反垃圾邮件代理日志记录

代理日志通过 Exchange 2013 中特定的反垃圾邮件代理记录在邮件上执行的操作。只有下列代理可以将信息写入代理日志：

1）连接筛选代理

2）内容筛选器代理

3）边缘规则代理

4）收件人筛选器代理

5）发件人筛选器代理

6）发件人 ID 代理

写入代理日志中的信息取决于代理、SMTP 事件和对邮件执行的操作。

使用 Exchange 命令行管理程序中的 Set-TransportService cmdlet 可执行所有代理日志配置任务。

以下选项可用于代理日志：

启用或禁用代理日志记录。默认为启用。

指定代理日志文件的位置。默认值为 %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog。

指定个别代理日志文件的最大大小。默认大小为 10 MB。

指定包含代理日志文件的目录的最大大小。默认大小为 250 MB。

指定代理日志文件的最长期限。默认期限为 7 天。

Exchange 使用循环日志记录，并基于文件大小和文件期限对代理日志进行限制，以帮助控制日志文件所使用的硬盘空间。

传输代理概述

代理仅可以在 SMTP 命令顺序中的特定点对邮件进行操作，该 SMTP 命令顺序用于通过邮箱服务器或边缘传输服务器上的传输服务传输邮件。 SMTP 命令顺序中的这些访问点称为“SMTP 事件”。 每个代理都具有可为其分配的优先级值。 但是，SMTP 事件必须始终以特定顺序出现。 因此，代理的优先级取决于 SMTP 事件。 如果在同一个 SMTP 事件期间两个代理都可对邮件进行操作，则具有较高优先级的代理可首先对该邮件进行操作。

下表列出了 SMTP 事件（以出现顺序）和向代理日志写入信息的代理（以代理对每个 SMTP 事件的由高至低优先级顺序）。

SMTP 事件（以出现顺序）和向代理日志写入信息的代理（以代理对每个 SMTP 事件的优先级顺序）

代理日志文件的结构

代理日志存在于 %ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog。

代理日志文件的命名约定为 AGENTLOGyyyymmdd-nnnn.log。 占位符代表下列信息：

1）占位符 yyyymmdd 是创建日志文件的协调世界时 (UTC) 日期。 占位符 yyyy = 年，mm = 月，dd = 天。

2）占位符 nnnn 为每天的实例编号，从值 1 开始。

信息将写入日志文件，直到文件大小达到其指定的最大值，然后打开具有递增实例编号的新日志文件。 此过程在全天重复进行。

代理日志目录达到其指定的最大大小时，或日志文件达到其指定的最长期限时，循环日志记录将删除最早的日志文件。

代理日志文件是文本文件，其中包含逗号分隔值文件 (CSV) 格式的数据。 每个代理日志文件的文件头都包含下列信息：

1）#Software：创建代理日志文件的软件的名称。通常情况下，此值是 Microsoft Exchange Server。

2）#Version：创建代理日志文件的软件的版本号。当前值为 15.0.0.0。

3）#Log-Type   日志类型的值，即代理日志。

4）#Date：创建日志文件的 UTC 日期-时间。 UTC 日期-时间以 ISO 8601 日期-时间格式表示： yyyy-mm-ddThh:mm:ss.fffZ，其中 yyyy = 年，mm = 月，dd = 日，T 表示时间组件的开始，hh = 小时，mm = 分钟，ss = 秒，fff = 几分之一秒，并且 Z 表示 Zulu，其为注释 UTC 的另一种方法。

5）#Fields：代理日志文件中使用的字段名（以逗号分隔）。

写入代理日志的信息

代理日志将每个代理事务存储在日志中的一行上。 存储在每行上的信息按这些字段组织。 这些字段用逗号隔开。 通常，字段名是描述性的，足以确定其包含的信息类型。 但是，某些字段可能为空。 或者存储在字段中的信息类型可能根据代理或代理对邮件执行的操作而更改。 下表说明了用于对各个代理事务分类的字段。

用于对每个代理事务进行分类的字段

搜索代理日志

可以使用 Exchange Management 命令行管理程序中的 Get-AgentLog cmdlet 和 Get-AntiSpamFilteringReport.ps1 脚本搜索代理日志。