概述
了解日志文件和日志订用
日志是收集 AsyncOS 邮件操作重要信息的有效方法,非常节省空间。这些日志将记录邮件网关上发生的活动的相关信息。日志中的信息会因您查看的日志(例如,退回日志或传送日志)而异。
大多数日志采用纯文本 (ASCII) 格式记录;但为保证资源效率,传送日志采用二进制格式。ASCII 文本信息在任何文本编辑器中均可读。
思科提供 M 系列思科安全管理器邮件和网络网关,作为来自多个邮件网关的日志的集中报告和跟踪工具。请联系您的思科代表,了解详情。
日志订用可将日志类型与名称、日志记录级别和其他约束(例如大小和目标信息)关联起来;同一日志类型允许存在多个订用。
日志类型
日志类型指明了在生成的日志中记录的信息,例如,消息数据、系统统计信息、二进制或文本数据。创建日志订用时,您可选择日志类型。有关详细信息,请参阅日志订用。
AsyncOS 会生成以下日志类型︰
记录 |
说明 |
---|---|
文本邮件日志 |
文本邮件日志记录邮件系统操作的相关信息。例如,邮件接收、邮件传送尝试、打开和关闭的连接、退回、TLS 连接等。 |
qmail格式邮件日志 |
qmail 格式传送日志记录的邮件系统操作信息与下文中的传送日志相同,但会将信息存储为 qmail 格式。 |
投递日志 |
传送日志记录邮件网关的邮件传送操作的重要信息,例如,有关每次收件人传送的信息以及传送尝试时的退回相关信息。日志消息为“无状态”消息,这意味着所有相关信息都会逐条记录在每条日志消息中,用户无需参考上一条日志消息即可了解当前传送尝试的相关信息。传送日志以二进制格式记录,以提高资源效率。必须使用提供的实用程序对传送日志文件进行后处理,将其转换为 XML 或 CSV(逗号分隔值)格式。转换工具位置: https://supportforums.cisco.com/document/33721/cisco-ironport-systems-contributed-tools |
反弹日志 |
退回日志记录有关退回的收件人的信息。为每个退回的收件人记录如下信息:邮件 ID、收件人 ID、封信发件人地址、信封收件人地址、收件人退回的原因以及来自收件人主机的响应代码。此外,针对每个退回的收件人邮件,您还可以选择记录固定大小的信息。此大小以字节为单位,默认为零。 |
状态日志 |
此类日志文件记录 CLI 状态命令中的系统统计信息,包括 status detail 和 dnsstatus 命令。记录期限使用 logconfig 中的 setup 子命令设置。状态日志中的每个计数器或记录的速率为从上次重置计数器起至当前的值。 |
域名调试日志 |
域调试日志记录邮件网关与指定收件人主机之间的 SMTP 会话期间的客户端和服务器通信。此类日志可用来调试特定收件人主机存在的问题。必须在日志文件中指定要记录的 SMTP 会话总数。随着会话记录的增加,此数目会逐渐减少。可以通过删除或编辑日志订用,在记录所有会话之前停止域调试。 |
注入调试日志 |
注入调试日志记录邮件网关与连接到系统的指定主机之间的 SMTP 会话。注入调试日志对于排除邮件安全设备和互联网上某主机之间的通信问题很有帮助。 |
系统日志 |
系统日志记录以下信息:引导信息、虚拟邮件网关许可证到期警报、DNS 状态信息和用户使用 commit 命令输入的备注。系统日志对于排查邮件网关的基本状态很有用。 |
CLI审核日志 |
CLI 审核日志会记录系统中的所有 CLI 活动。 |
FTP服务器日志 |
FTP 日志记录了有关在接口上启用的 FTP 服务的信息。会记录连接详细信息和用户活动。 |
GUI 日志 |
请参阅 HTTP 日志。 |
HTTP日志 |
HTTP 日志记录接口上启用的 HTTP 和/或安全 HTTP 服务的相关信息。由于图形用户界面 (GUI) 通过 HTTP 访问,因此 HTTP 日志实质上等同于 CLI 审核日志的 GUI。日志会记录会话数据(新会话和过期的会话)和在 GUI 中访问的页面。 这些日志还包括有关 SMTP 事务的信息,例如,从邮件网关上邮件发送的计划报告的信息。 |
NTP 日志 |
NTP 日志记录邮件网关与配置的所有 NTP(网络时间协议)服务器之间的会话。有关详细信息,请参阅“系统管理”章节的“编辑网络时间协议 (NTP) 配置(计时方法)”部分。 |
LDAP调试日志 |
LDAP 调试日志用于调试 LDAP 安装。(请参阅“LDAP 查询”一章。)此类日志将记录有关邮件网关发送到 LDAP 服务器的查询的实用信息。有关详细信息,请参阅 |
反垃圾邮件日志 |
反垃圾邮件日志记录系统反垃圾邮件扫描功能的状态,包括最新反垃圾邮件规则更新的接收状态。此外,日志还将记录所有与情景自适应扫描引擎相关的日志。 |
反垃圾邮件归档 |
如启用反垃圾邮件扫描功能,此类日志将存档经过扫描且与“存档邮件”操作有关的邮件。日志文件为 mbox 格式。有关反垃圾邮件引擎的详细信息,请参阅“反垃圾邮件”一章。 |
灰色邮件引擎日志 |
包含有关灰色邮件引擎、状态、配置的信息等。大多数信息处于信息或调试级别。 |
灰色邮件存档 |
包含存档的邮件(经过扫描且与“存档邮件”操作关联的邮件)。日志文件为 mbox 格式。 |
防病毒日志 |
防病毒日志记录系统防病毒扫描功能的状态,包括最新防病毒身份文件更新的接收状态。 |
防病毒归档 |
如启用防病毒引擎,此类日志将记录经过扫描并与“存档邮件”操作关联的邮件。日志文件为 mbox 格式。有关详细信息,请参阅“防病毒”一章。 |
AMP 引擎日志 |
AMP 引擎日志记录系统高级恶意软件防护功能的状态。有关详细信息,请参阅文件信誉过滤和文件分析: |
AMP 存档 |
如已将邮件策略配置为对高级恶意软件防护引擎发现附件不可扫描或包含恶意软件的邮件进行存档,此类邮件会存档至此处。日志文件为 mbox 格式。 |
Scaning 日志 |
扫描日志包含扫描引擎的所有 LOG 和 COMMON 消息(请参阅警报)。这类消息通常是应用故障、发送的警报,失败的警报和日志错误消息。此日志不适用于系统范围警报。 |
垃圾邮件隔离区日志 |
垃圾邮件隔离区日志记录与垃圾邮件隔离区进程相关的操作。 |
垃圾邮件隔离区 GUI 日志 |
垃圾邮件隔离区日志记录与垃圾邮件隔离区相关的操作,例如,通过 GUI 进行的配置、最终用户身份验证和最终用户操作(发行邮件等)。 |
SMTP 会话日志 |
SMTP 会话日志记录传入和传出 SMTP 会话的所有信息。 |
安全/阻止列表日志 |
安全列表/阻止列表日志会记录有关安全列表/阻止列表设置和数据库的数据。 |
报告日志 |
报告日志会记录与集中报告服务的进程相关的操作。 |
报告查询日志 |
报告查询日志会记录与邮件网关上运行的报告查询相关的操作。 |
更新程序日志 |
更新程序日志记录与系统服务更新相关的事件,例如 McAfee 防病毒定义更新。 |
跟踪日志 |
跟踪日志记录了与跟踪服务过程关联的操作。跟踪日志是邮件日志的子集。 |
身份验证日志 |
身份验证日志记录成功的用户登录和失败的登录尝试。 |
配置历史记录日志 |
配置历史记录日志记录以下信息:邮件网关上发生的变更以及变更发生的时间。每次用户提交更改时,都会创建一份新的配置历史记录日志。 |
升级日志 |
有关升级下载和安装的状态信息。 |
API 日志 |
API 日志记录与邮件网关 AsyncOS API 相关的各种事件,例如:
|
合并事件日志 |
统一事件日志在单个日志行中汇总每个邮件事件。使用此日志类型,您可以减少发送到安全信息和事件管理 (SIEM) 供应商或应用进行分析的数据(日志信息)的字节数。这些日志采用大多数 SIEM 供应商广泛使用的通用事件格式 (CEF) 日志消息格式。 |
CSN 日志 |
CSN 日志包含有关 CSN 数据上传的详细信息。可以在跟踪级别查看 CSN 数据(邮件网关和功能使用详细信息)。 |
高级网络钓鱼防护日志 |
高级网络钓鱼防护日志包含与思科高级网络钓鱼防护云服务相关的信息。大多数信息处于“信息”或“严重”级别。 |
审核日志 |
审核日志记录 AAA(身份验证、授权和记帐)事件。
|
CSA 日志 |
CSA 日志包含与思科安全感知云服务相关的信息。大多数信息处于“信息”或“调试”级别。 |
日志类型特征
下表汇总了每种日志类型的不同特征。
包含 |
||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
事务 |
无状态 |
记录为文本 |
记录为 mbox 文件 |
记录为二进制 |
定期状态信息 |
邮件接收信息 |
传送信息 |
单个硬退回 |
单个软退回 |
注入 SMTP 会话 |
信头日志记录 |
传送 SMTP 会话 |
配置信息 |
|
邮件日志 |
• |
• |
• |
• |
• |
• |
• |
• |
||||||
qmail 格式传送日志 |
• |
• |
• |
• |
• |
• |
||||||||
传送日志 |
• |
• |
• |
• |
• |
• |
||||||||
反弹日志 |
• |
• |
• |
• |
• |
|||||||||
状态日志 |
• |
• |
• |
|||||||||||
域名调试日志 |
• |
• |
• |
• |
• |
• |
||||||||
注入调试日志 |
• |
• |
• |
• |
||||||||||
系统日志 |
• |
• |
• |
|||||||||||
CLI 审核日志 |
• |
• |
• |
|||||||||||
FTP 服务器日志 |
• |
• |
• |
|||||||||||
HTTP 日志 |
• |
• |
• |
|||||||||||
NTP 日志 |
• |
• |
• |
|||||||||||
LDAP 日志 |
• |
• |
||||||||||||
反垃圾邮件日志 |
• |
• |
• |
|||||||||||
反垃圾邮件存档 |
• |
|||||||||||||
灰色邮件引擎日志 |
• |
• |
• |
|||||||||||
灰色邮件存档 |
• |
|||||||||||||
防病毒日志 |
• |
• |
• |
|||||||||||
防病毒存档 |
• |
|||||||||||||
AMP 引擎日志 |
• |
• |
• |
|||||||||||
AMP 存档 |
• |
|||||||||||||
Scaning 日志 |
• |
• |
• |
• |
||||||||||
垃圾邮件隔离区 |
• |
• |
• |
|||||||||||
垃圾邮件隔离区 GUI |
• |
• |
• |
|||||||||||
安全/阻止列表日志 |
• |
• |
• |
|||||||||||
报告日志 |
• |
• |
• |
|||||||||||
报告查询日志 |
• |
• |
• |
|||||||||||
更新程序日志 |
• |
|||||||||||||
跟踪日志 |
• |
• |
• |
• |
• |
• |
• |
• |
||||||
身份验证日志 |
• |
• |
||||||||||||
配置历史记录日志 |
• |
• |
• |
|||||||||||
API 日志 |
• |
• |
||||||||||||
合并事件日志 |
• |
• |
• |
• |
||||||||||
CSN 日志 |
• |
• |
• |
• |
||||||||||
高级网络钓鱼防护日志 |
• |
• |
||||||||||||
审核日志 |
• |
日志检索方法
可根据以下其中一个文件传输协议检索日志文件。在日志订用过程中,当使用 GUI 或 logconfig 命令创建或编辑日志订用时,可以设置协议。
Note |
在某个日志上使用日志推送方法时,该日志在本地无法用于故障排除或者通过 CLI 进行搜索。 |
手动下载 |
使用这种方法,随时可以通过在“日志订用”(Log Subscriptions) 页面单击日志目录链接,然后单击要访问的日志文件,来访问日志文件。根据使用的浏览器,可以在浏览器窗口中查看文件、打开文件,或将文件另存为文本文件。此方法使用 HTTP(S) 协议,也是默认的检索方法。
|
||||||
FTP 推送 |
此方法可将日志文件定期推送到远程计算机上的 FTP 服务器。订用要求提供远程计算机的用户名、密码和目标目录。日志文件将根据您设置的回滚计划进行传输。 |
||||||
SCP 推送 |
此方法可将日志文件定期推送到远程计算机上的 SCP 服务器。此方法要求在远程计算机上存在使用 SSH1 或 SSH2 协议的 SSH SCP 服务器。订用要求提供远程计算机的用户名、密码和目标目录。日志文件将根据您设置的回滚计划进行传输。 |
||||||
Syslog Push |
此方法会将日志消息发送到远程系统日志服务器。此方法符合 RFC 3164 标准。
选择系统日志推送方法后,在下列字段中输入以下信息:
|
||||||
|
|||||||
|
|||||||
[仅适用于统一事件日志] AWS S3 推送 |
此方法会定期将日志文件推送到 Amazon Web 服务 (AWS) 公有云上提供的 Amazon 简单存储服务 (S3) 存储桶。订用需要 S3 存储桶名称、访问密钥和密钥来访问 Amazon S3 存储桶。您可以设置滚动更新计划以传输日志文件。
|
日志文件名和目录结构
AsyncOS 会根据日志订用名称为每个日志订用创建目录。日志文件在目录中的实际名称由指定的日志文件名、启动日志文件的时间戳以及单字符状态代码组成。可使用以下公式创建日志文件名:
/LogSubscriptionName/LogFilename.@timestamp.statuscode
状态代码可以是 .current 或 .s(表示已保存)。只能传送或删除已保存状态的日志文件。
日志回滚和传输计划
日志文件由日志订用创建,并根据满足的第一个用户指定的条件进行回滚(并调用,如选择基于推送的检索选项):最大文件大小或计划回滚。在 CLI 中使用 logconfig 命令,或在 GUI 中使用“日志订用”页面配置最大文件大小和计划回滚的时间间隔。此外,还可以在 GUI 中使用立即回滚按钮,或在 CLI 中使用 rollovernow 命令对选定的日志订用进行回滚。有关计划回滚的详细信息,请参阅滚动更新日志订用。
设备会对使用手动下载检索的日志进行保存,直至日志达到指定的最大数量(默认为 10 个文件)或直至系统需要更多的日志文件存储空间。
默认启用的日志
邮件网关预配置了很多默认启用的日志订用(其他日志可根据您应用的许可证密钥进行配置)。默认情况下,检索方法是“手动下载”(Manually Download)。
所有预配置日志订用的日志级别均为 3,但 error_logs 日志订用除外。此类日志的级别为 1,以便其中仅包含错误。有关详细信息,请参阅日志级别。有关创建新日志订用或修改现有日志订用的信息,请参阅日志订用。