소개
이 문서에서는 Cisco ESA(Email Security Appliance)의 다양한 명령에서 검색된 메일 로그가 있는 메시지의 속성을 확인하는 방법에 대해 설명합니다.
사전 요구 사항
이 문서의 정보는 다음을 기반으로 합니다.
메시지 추적
AsyncOS for Email 버전 6.0 이상을 실행하는 경우 특정 메시지에 발생한 상황을 확인하는 가장 효과적인 방법은 Monitor(모니터) 탭의 Message Tracking(메시지 추적) 페이지를 사용하는 것입니다. 이렇게 하면 사용이 편리한 웹 인터페이스에서 다양한 옵션을 사용하여 검색할 수 있습니다.
이전 버전을 실행하거나 트러블슈팅을 위해 모든 로그 라인을 수집해야 하는 경우 다음 섹션에 설명된 대로 grep 또는 findevent 명령을 사용합니다.
Findevent 명령
AsyncOS for Email 버전 5.1.2 이상이 있는 경우 CLI findevent 명령을 사용하면 특정 메시지를 더 쉽게 검색할 수 있습니다. Findevent를 사용하면 Envelope from, Envelope Recipient 또는 메시지 Subject를 기준으로 검색할 수 있습니다. 이것은 또한 경우에 관계없이 할 수 있습니다. 메시지를 찾으면 해당 메시지와 관련된 모든 로그 라인을 반환할 수 있습니다. 인수 없이 findevent를 실행하면 프로세스를 안내하는 마법사가 실행됩니다. 언제나처럼 help 명령을 사용하여 간단한 형식을 학습할 수 있습니다.
> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name
첫 번째 양식은 명명된 log_name 내에서 특정 봉투, 제목 또는 봉투에 대한 검색을 수행하고 일치하는 MID(Message ID)를 나열합니다. -i 플래그는 대/소문자를 구분하지 않는 검색에 사용할 수 있습니다.
두 번째 양식은 지정된 MID에 대한 모든 로그 행을 표시합니다.
이전 버전이 있는 경우 CLI grep 명령을 사용하여 동일한 작업을 수행할 수 있습니다. 그러나 grep 명령을 사용하려면 ESA에서 메시지 이벤트를 로깅하는 방법에 대한 자세한 지식이 필요합니다.
Grep 명령
메일 로그를 검색할 때 첫 번째 과제는 메시지를 찾는 것입니다. 보낸 사람, 받는 사람 또는 제목을 검색하는 경우 이 작업을 수행할 수 있습니다. 메시지를 찾은 후에는 메일 로그가 어떻게 구성되는지 이해하는 것이 중요합니다. 콘텐츠 보안 메일 로그 이벤트에는 약어가 지정됩니다. 가장 중요한 이벤트는 ICID, MID, RID, DCID입니다.
ICID(Injection Connection ID): 원격 호스트가 어플라이언스에 대한 연결을 설정하면 해당 연결에는 ICID가 할당됩니다. 하나의 ICID는 많은 MID를 생성할 수 있습니다.
참고: ICID 0은 자신으로부터 삽입된 메시지를 정의합니다. 실제로, ICID 또는 DCID 다음의 숫자 0은 디바이스의 로컬 루프 주소로 또는 그로부터 열린 세션을 지칭한다.
MID: 연결이 설정되면 성공한 각 SMTP(Simple Mail Transfer Protocol) mail from: 명령은 새 MID를 만듭니다. 단일 MID는 많은 RID를 생성할 수 있습니다.
받는 사람 ID(RID): 각 받는 사람(받는 사람: 참조: 또는 숨은 참조에 RID가 할당됩니다. 소프트 반송(연결 오류)이 있고 전달을 다시 시도한 경우 RID는 여러 DCID만 생성합니다.
DCID(Delivery Connection ID): 동일한 대상 도메인으로 가는 각 수신자는 수신 시스템의 제한까지 동일한 DCID를 수신합니다. 따라서 메시지의 수신자가 모두 동일한 도메인으로 이동하면 모든 RID에 대해 하나의 DCID가 있습니다. 대신 각 RID가 별도의 도메인으로 이동하면 일대일 상관관계가 발생합니다.
참고: DCID 0은 전송되지 않은 메시지를 정의합니다. 실제로, ICID 또는 DCID 다음의 숫자 0은 디바이스의 로컬 루프 주소로 또는 그로부터 열린 세션을 지칭한다.
일반적으로 메시지를 찾으면 MID를 찾습니다. 그런 다음 MID를 선택하고 ICID와 RID를 결정합니다. ICID를 사용하여 발신자에 대한 SenderBase Reputation Score(SBRS)를 결정할 수 있습니다. RID와 DCID를 함께 사용하면 ESA에서 전달을 시도했을 때 발생한 상황을 확인할 수 있습니다.
참고: MID, ICID 및 DCID가 있으면 메시지 원본이 가장 오래된 메일 로그보다 오래되지 않은 경우 해당 메시지의 모든 행을 하나의 grep로 검색할 수 있습니다.
example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs
예
- 메시지 제목 검색:
example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> test
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
'testdrop'
Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
이렇게 하면 제목에 테스트가 포함된 몇 개의 일치가 생성됩니다. 메시지는 약 3:42 pm에 전송되었으므로 다음 검색을 위해 해당 MID를 사용할 수 있습니다.
다음은 질문에 대해 유의해야 할 몇 가지 중요한 사항입니다.
- 이 검색에서 대/소문자를 구분하지 않으시겠습니까? [Y]>
이 질문에 Yes(예)로 답하면 대소문자와 관계없이 항목이 검색됩니다.
- 로그를 추적하시겠습니까? [N]>
이 질문에 Yes(예)로 답하면 새 항목이 생성될 때만 검색됩니다. 모든 로그 파일을 검색하지는 않습니다. 모든 로그를 검색하려면 No를 선택합니다.
- 출력 페이지를 매기시겠습니까? [N]>
이 질문에 Yes(예)로 답하면 한 번에 한 페이지씩 항목이 표시됩니다. 이 기능은 일반 검색을 수행해야 하고 많은 항목을 검색해야 하는 경우에 유용합니다. 이렇게 하면 항목이 화면에서 스크롤되지 않습니다.
- MID 검색:
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> MID 96
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
<nasir@example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
<4o8836$30@mail.example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
<bob@example.net>
Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
per-recipient policy DEFAULT in the outbound table
Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
<4o8836$30@mail.example.com> Queued mail for delivery'
Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done
MID 항목은 메시지 처리 방법에 대한 자세한 정보를 제공합니다. MID 항목은 ICID 및 DCID도 참조합니다. 들어오는 연결에 대해 자세히 알아보려면 ICID에 grep를 입력합니다. ESA에서 전달을 시도했을 때 어떤 일이 있었는지 자세히 알고 싶다면 DCID에 grep를 입력합니다.
- 메시지가 전달된 위치를 확인하려면 DCID를 검색합니다.
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> DCID 14
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
address 10.1.1.112 port 25
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:11 2006 Info: DCID 14 close
메시지가 192.168.0.199 인터페이스에서 포트 25를 통해 IP 주소가 10.1.1.112인 호스트로 전달되었습니다.
전달을 시도하지 않았지만 메시지가 전달을 위해 대기열에 있었던 경우, 시스템이 대상 서버와의 통신에 어려움을 겪을 수 있음을 나타냅니다. CLI에서 hoststatus를 사용하여 수신자 호스트의 상태가 Down인지 확인하고 Ordered IP가 대상 도메인 또는 공용 MX 레코드에 대한 SMTP 경로와 일치하는지 확인할 수 있습니다.