Exchange SMTP-Log Parser

- 05.04.2016
von Thomas Windscheif / Microlinc



Exchange 2010
Exchange 2013
Logparser SMTP
Logparser Receive Connector, Empfangskonnektoren

Mit dem Logparser können die Exchange Logbücher des Empfangskonnektors automatisch auf SMTP-Fehler hin geparst werden. Standard-Filter für 4xx bzw. 5xxer-Fehler sind im Skript bereits integriert (Error4xx, Error5xx). Über den Schalter -Pattern kann aber auch ein eigener Pattern zum Parsen der Files mitgegeben werden. Die Anfangs- und Endzeit für die auszuwertenden Daten kann definiert werden.
Als Ausgabe kann eine Zusammenfassungsdatei (Summary) ausgegeben werden, welche den Fehlercode die IP-Adresse und die SessionID der SMTP-Sitzung beinhaltet. Diese Datei kann auch automatisch als Mail verschickt werden (SummaryAsMail).
Wenn der Parser einen Fehler in einer Sitzung findet, kann die gesamte Sitzung in eine Textdatei geschrieben werden (WriteSessionLog). Der Speicherort der Ausgabedateien kann mittels SavePath definiert werden.
Alle Parameter sind im Header des Scripts beschrieben (Get-Help -Parameter).
Der Verbose-Switch wird im Script für Debugging unterstützt.

Funktionsweise:
  1. Das Skript prüft ob der Zugriff auf die Logbuch-Pfade der angegeben Exchange Server möglich ist.

  2. Sofern eine zeitliche Eingrenzung definiert wurde, wird basierend auf dem Änderungsdatum der Logdateien eine Eingrenzung der möglichen Logdateien durchgeführt.

  3. Die übrig gebliebenen Logdateien werden mittels des definierten Pattern untersucht und nochmal - sofern angegeben - zeitlich gefiltert.

  4. Bei Treffern wird der Treffer-Capture, die IP-Adresse des Clients und die SMTP-SessionID in ein Array gespeichert.

  5. Im Anschluss nach der ersten Auswertung aller Logdateien, werden die Daten in dem Array je nach Konfiguration der Auswertung wie folgt behandelt:
    Wenn PatternCaptureinFileName gesetzt ist, werden die Treffer-Capture dem Dateinamen vorneweg hinzugefügt. Alternativ wird lediglich die SMTP-SessionID in den Dateinamen aufgenommen.
    • WriteSessionLog
      Alle Sessionsequenzen der jeweiligen SMTP-Session werden mit der MEZ-Zeit, Name des Connectors, IP-Adresse, Kommunikationsweg, dem SMTP-Befehl/der SMTP-Rückgabe in eine separate Textdatei gespeichert.
    • OriginalLog
      Alle Sessionsequenzen der jeweiligen SMTP-Session werden vom Original-Log in eine separate Textdatei gespeichert.

  6. Wird Summary gesetzt, wird eine Zusammenfassungsdatei mit der SMTP-SessionID, dem Treffer-Capture und der Client-IP-Adresse erstellt.

  7. Wird SummaryAsMail gesetzt, wird eine E-Mail mit der Zusammenfassungsdatei an definierbare Empfänger versendet. Es werden sowohl unverschlüsselte als auch verschlüsselte SMTP-Verbindungen an einen definierbaren SMTP-Port unterstützt. Ebenso wird SMTP-Authentifizierung unterstützt.





Voraussetzungen:
  • lokale Administrationsrechte auf den Exchange-Servern. (Auch über Mitgliedschaft in der Gruppe "Organization Management" möglich)
  • Ausführliche Protokollierung für die Empfangskonnektoren ist konfiguriert
  • Exchange 2010 oder Exchange 2013


aktuelle Downloads

Download
-> Get-SMTPFilteredSessionsV3.zip (Version 3.0) ~ 5,81 KB
MICROL!NC - URL zum Artikel: http://microlinc.homeip.net/index.php?lev1=25&lev2=12&id=332 - Ausdruck vom 28.03.2024