Mit dem Logparser können die Exchange Logbücher des Empfangskonnektors automatisch auf SMTP-Fehler hin geparst werden. Standard-Filter für 4xx bzw. 5xxer-Fehler sind im Skript bereits integriert (Error4xx, Error5xx). Über den Schalter -Pattern kann aber auch ein eigener Pattern zum Parsen der Files mitgegeben werden. Die Anfangs- und Endzeit für die auszuwertenden Daten kann definiert werden. Als Ausgabe kann eine Zusammenfassungsdatei (Summary) ausgegeben werden, welche den Fehlercode die IP-Adresse und die SessionID der SMTP-Sitzung beinhaltet. Diese Datei kann auch automatisch als Mail verschickt werden (SummaryAsMail). Wenn der Parser einen Fehler in einer Sitzung findet, kann die gesamte Sitzung in eine Textdatei geschrieben werden (WriteSessionLog). Der Speicherort der Ausgabedateien kann mittels SavePath definiert werden. Alle Parameter sind im Header des Scripts beschrieben (Get-Help -Parameter). Der Verbose-Switch wird im Script für Debugging unterstützt.
Funktionsweise:
Das Skript prüft ob der Zugriff auf die Logbuch-Pfade der angegeben Exchange Server möglich ist.
Sofern eine zeitliche Eingrenzung definiert wurde, wird basierend auf dem Änderungsdatum der Logdateien eine Eingrenzung der möglichen Logdateien durchgeführt.
Die übrig gebliebenen Logdateien werden mittels des definierten Pattern untersucht und nochmal - sofern angegeben - zeitlich gefiltert.
Bei Treffern wird der Treffer-Capture, die IP-Adresse des Clients und die SMTP-SessionID in ein Array gespeichert.
Im Anschluss nach der ersten Auswertung aller Logdateien, werden die Daten in dem Array je nach Konfiguration der Auswertung wie folgt behandelt: Wenn PatternCaptureinFileName gesetzt ist, werden die Treffer-Capture dem Dateinamen vorneweg hinzugefügt. Alternativ wird lediglich die SMTP-SessionID in den Dateinamen aufgenommen.
WriteSessionLog Alle Sessionsequenzen der jeweiligen SMTP-Session werden mit der MEZ-Zeit, Name des Connectors, IP-Adresse, Kommunikationsweg, dem SMTP-Befehl/der SMTP-Rückgabe in eine separate Textdatei gespeichert.
OriginalLog Alle Sessionsequenzen der jeweiligen SMTP-Session werden vom Original-Log in eine separate Textdatei gespeichert.
Wird Summary gesetzt, wird eine Zusammenfassungsdatei mit der SMTP-SessionID, dem Treffer-Capture und der Client-IP-Adresse erstellt.
Wird SummaryAsMail gesetzt, wird eine E-Mail mit der Zusammenfassungsdatei an definierbare Empfänger versendet. Es werden sowohl unverschlüsselte als auch verschlüsselte SMTP-Verbindungen an einen definierbaren SMTP-Port unterstützt. Ebenso wird SMTP-Authentifizierung unterstützt.
Voraussetzungen:
lokale Administrationsrechte auf den Exchange-Servern. (Auch über Mitgliedschaft in der Gruppe "Organization Management" möglich)
Ausführliche Protokollierung für die Empfangskonnektoren ist konfiguriert
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen, Cloud-Lösungen (Microsoft 365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Insbesondere im Umfeld hybrider Identitätsumgebungen mit Entra Connect und den Möglichkeiten zur Härtung der IT-Landschaft konnte er in vielen Projekten Erfahrungen sammeln. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.
Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.
Login
Sie haben ein ungelöstes Problem in Ihrer Exchange Server oder Microsoft-Infrastruktur? Treten Sie gerne mit mir in Kontakt.
Sowohl bei einfachen Exchange Installationen, als auch bei hochverfügbaren, lastverteilten Mehrstandort-DAG-Topologien mit Loadbalancern
unterstütze ich Sie -auch kurzfristig- sehr gerne.
- Spontaner Administrationsverlust unter Exchange Online - Und wie man es behebt! -
Zweimal in diesem Jahr hatte ich bei Kunden das Phänonem, dass spontan bestimmte Administrationsrechte unter Exchange Online fehlten, trotz der Rollenmitgliedschaft "Globaler Administrator" bzw. "Exchange Administrator".
Aus ungeklärten Gründen waren verschiedene RBAC-Rechte unter Exchange Online für "Organization Management" spontan verschwunden.
Im folgenden Artikel löse ich das Problem mit Skripten und erläutere das Vorgehen