簡介
本文檔介紹如何使用從思科郵件安全裝置(ESA)上的各種命令中檢索到的郵件日誌來確定郵件的處理方式。
必要條件
本文檔中的資訊基於:
郵件跟蹤
如果運行AsyncOS for Email版本6.0或更高版本,則確定特定郵件發生情況的最有效方法是使用「監控」頁籤中的「郵件跟蹤」頁。這可讓您在易於使用的Web介面中使用各種選項進行搜尋。
如果運行的版本較舊,或者出於故障排除目的需要收集所有日誌行,請使用grep或findevent命令,如以下部分所述。
Findevent命令
如果您擁有AsyncOS for Email版本5.1.2或更高版本,CLI findevent命令可使搜尋特定郵件變得更簡單。Findevent允許您按發件人的信封、信封收件人或郵件主題進行搜尋。無論情況如何,這都可以做到。找到郵件後,您可以返回與該郵件相關的每個日誌行。如果您運行不帶引數的findevent,則它將啟動一個嚮導來引導您完成此過程。一如既往,您可以使用help命令學習短形式:
> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name
第一個表單在命名的log_name內搜尋從、主旨或至的特定信封,並列出符合的訊息ID (MID)。i旗標可用於不區分大小寫的搜尋。
第二個表單顯示給定MID的所有日誌行。
如果使用的版本較舊,則可使用CLI grep命令來實現同樣的目的。但是,使用grep命令需要有關ESA如何記錄消息事件的更多詳細資訊。
Grep指令
搜尋郵件日誌時的第一個難題是查詢郵件。如果搜尋發件人、收件人或主題,則可以執行此操作。找到郵件後,必須瞭解郵件日誌的組織方式。內容安全郵件日誌事件被賦予縮寫。最重要的事件是ICID、MID、RID和DCID。
注入連線ID (ICID):當遠端主機建立與裝置的連線時,該連線會被分配一個ICID。一個ICID可以生成多個MID。
注意:ICID 0定義從自身注入的消息。實際上,ICID或DCID後面的數字0是指向裝置本地環路地址開放或從裝置本地環路地址開放的會話。
MID:一旦建立連線,每個成功的簡單郵件傳輸協定(SMTP)郵件來源:命令將建立一個新的MID。單個MID可以生成多個RID。
收件人ID (RID):每個收件人(收件人:抄送:或密件抄送)獲得一個RID。RID僅在存在軟退回(連線錯誤)並重新嘗試傳送時生成多個DCID。
傳送連線ID (DCID):到達同一目標域的每個接收方都接收相同的DCID,直到到達接收系統的限制。因此,如果消息的接收方都進入同一域,則所有RID都有一個DCID。相反,如果每個RID都轉到單獨的域,則存在一對一的關聯。
注意:DCID 0定義了從未傳送的消息。實際上,ICID或DCID後面的數字0是指向裝置本地環路地址開放或從裝置本地環路地址開放的會話。
通常,當您找到消息時,會找到它的MID。然後,您會為MID打招呼,並確定ICID和RID。使用ICID,您可以確定發件人的SenderBase信譽得分(SBRS)。使用RID和DCID,您可以確定ESA嘗試傳送時發生的狀況。
注意:一旦您擁有MID、ICID和DCID,您便可以檢索一個grep中該消息的所有行(如果消息源早於您最早的郵件日誌)。
example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs
範例
- 搜尋郵件主旨:
example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> test
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
'testdrop'
Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
這將生成多個在主題中包含test的匹配。郵件大約在下午3:42傳送,因此您可以使用該MID進行下一次搜尋。
以下是一些需要注意的重要問題:
- 是否要讓此搜尋不區分大小寫?[Y]>
如果對這個問題回答Yes,則不論大小寫它都會查詢條目。
- 是否要跟蹤日誌?[N]>
如果對這個問題回答Yes,則僅當生成新條目時才會找到新條目。它不會搜尋所有日誌檔案。選擇No以搜尋所有日誌。
- 是否要將輸出分頁?[N]>
如果對此問題回答Yes,則每次只顯示一頁條目。如果您需要執行一般搜尋,並預期會擷取許多專案,此功能非常有用。這樣可防止專案從顯示畫面中捲動。
- 搜尋MID:
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> MID 96
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
<nasir@example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
<4o8836$30@mail.example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
<bob@example.net>
Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
per-recipient policy DEFAULT in the outbound table
Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
<4o8836$30@mail.example.com> Queued mail for delivery'
Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done
請注意,MID條目提供了有關如何處理消息的更多資訊。MID條目還引用ICID和DCID。如果要瞭解有關傳入連線的更多資訊,請為ICID選擇grep。如果您想瞭解更多有關ESA嘗試傳送時發生了什麼,請為DCID選擇grep。
- 要確定消息送達的位置,請搜尋DCID。
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> DCID 14
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
address 10.1.1.112 port 25
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:11 2006 Info: DCID 14 close
請注意,該消息透過埠25從192.168.0.199介面傳送到IP地址為10.1.1.112的主機。
如果未嘗試傳遞,但郵件排隊等待傳遞,則表明系統在與目標伺服器通訊時可能有困難。您可以從CLI使用hoststatus來檢視收件人主機的狀態是否為Down,並驗證已訂購的IP是否與目標域的SMTP路由或公共MX記錄(如果適用)匹配。
意見