Супер-акция от Inferno Solutions! Получи 30$ на халяву и забудь об оплате VPS на все лето!

При анализе загрузке транспортных серверов Exchange одним из интересных показателей будет просмотр IP адресов, которые подключаются к вашему серверу чаще всего.

Для данного анализа вы можете использовать следующие различные наборы лог-файлов:

• Лог протокола (Protocol logs)
• Журнал отслеживания сообщений (Message Tracking logs)

Их различие заключается в том, что в лог протокола записываются все SMTP подключения, которые далее могли попасть в очередь транспорта, а могли и не попасть. К примеру, все подключения спамеров, которые далее были заблокированы IP фильтрами попадут в лог протокола, но будут отсутствовать в журнале отслеживания сообщений.

Если вы откроете лог протокола, то увидите там все те же команды, которые вы можете вручную использовать при тестировании SMTP через telnet.

В журнал отслеживания сообщений попадают все сообщения, которые обрабатываются транспортным конвейером и туда записывается информация о приеме сообщения и доставке, а не сам SMTP диалог между клиентом и сервером.

Также журнал отслеживания сообщений включен по умолчанию и работает на на уровне сервера, тогда как логирование протокола по умолчанию выключено и применяется на уровне коннектора.

Получение списка самых частых отправителей из лога протокола с помощью Log Parser

Для получения данного списка используем следующий запрос в Log Parser.

SELECT EXTRACT_PREFIX(remote-endpoint,0,':') as IP,
	REVERSEDNS(EXTRACT_PREFIX(remote-endpoint,0,':')) as Name,
	Count(*) as Hits
FROM *.log
WHERE data LIKE '%EHLO%'
GROUP BY IP
ORDER BY Hits DESC

Для получения нужного результата запрос нужно выполнять из директории с соответсвующими логами (в моем случае это C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive):

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT EXTRACT_PREFIX(remote-endpoint,0,':') as IP,REVERSEDNS(EXTRACT_PREFIX(remote-endpoint,0,':')) as Name,Count(*) as Hits from *.log WHERE data LIKE '%EHLO%' GROUP BY IP ORDER BY Hits DESC" -i:CSV -nSkipLines:4 -rtp:-1

Вы получите примерно следующий результат:

IP              Name                                    Hits
--------------- --------------------------------------- ----
83.222.31.220   v8622.vps.masterhost.ru                 52
204.13.248.72   mho-02-ewr.mailhop.org                  12
50.78.250.97    dcmail.designercabinetry.com            9
10.1.1.21       ho-ex2010-mb1.exchangeserverpro.net     8
64.61.92.26     static-64-61-92-26.isp.broadviewnet.net 7
217.108.179.228 mailhost.el-internationale.com          7
69.60.118.117   mail1.ambr.com.br                       4
10.1.1.22       ho-ex2010-mb2.exchangeserverpro.net     4
95.154.196.147  95.154.196.147                          4
118.22.2.202    pc2.land-ho-unet.ocn.ne.jp              3
187.108.193.223 cloud.newmediahost.com.br               2
109.169.77.169  109.169.77.169                          2
59.106.64.208   ns1.uranaikan.info                      2
204.13.248.71   mho-01-ewr.mailhop.org                  2
78.129.222.16   78.129.222.16                           2
199.119.76.15   mail.seoauditions.com                   1
Statistics:
-----------
Elements processed: 3359
Elements output:    16
Execution time:     17.41 seconds

Одной из самых важных строк является следующая:

WHERE data LIKE '%EHLO%'

Это означает, что только подсчитываются только те записи из лога, где встречается EHLO. Если вы уберете данное значение, то в показатель “Hit” попадет каждая строка содержащая удаленный IP.

Получение списка самых частых отправителей из журнала отслеживания сообщений с помощью Log Parser

Для данного лог формат будет немного отличаться, т.к. в нем изменены имена полей.

SELECT client-ip as IP,
	REVERSEDNS(client-ip) as Name,
	Count(*) as Hits
FROM *.log
WHERE (event-id='RECEIVE')
GROUP BY IP
ORDER BY Hits DESC

Соответственно по аналогии с первым примером запускать запрос нужно из директории C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT client-ip as IP,REVERSEDNS(client-ip) as Name,Count(*) as Hits from *.log WHERE (event-id='RECEIVE') GROUP BY IP ORDER BY Hits DESC" -i:CSV -nSkipLines:4 -rtp:-1

В результате получите такой вывод:

IP              Name                                 Hits
--------------- ------------------------------------ ----
204.93.210.179  mariajunco.com                       32
10.1.1.22       ho-ex2010-mb2.exchangeserverpro.net  23
216.151.172.180 hosted.airvm.net                     22
10.1.1.21       ho-ex2010-mb1.exchangeserverpro.net  22
83.142.48.139   83.142.48.139                        17
67.215.235.199  67.215.235.199.static.quadranet.com  13
109.169.76.124  109.169.76.124                       10
109.169.55.146  109.169.55.146                       10
109.169.62.15   109.169.62.15                        10
109.169.60.137  109.169.60.137                       9
173.254.208.113 173.254.208.113.static.quadranet.com 9
59.106.64.208   ns1.uranaikan.info                   8
72.11.150.131   72.11.150.131.static.quadranet.com   7
109.169.73.116  109.169.73.116                       7
109.169.55.135  109.169.55.135                       7
189.39.9.214    mail3.ibcbrasil.com.br               5
204.13.248.72   mho-02-ewr.mailhop.org               5
109.169.87.100  109.169.87.100                       4
109.169.84.105  109.169.84.105                       4
169.232.46.177  out-58.smtp.ucla.edu                 3
Statistics:
-----------
Elements processed: 1018
Elements output:    20
Execution time:     74.03 seconds (00:01:14.03)

Вы можете использовать данную информацию в самых разных сценариях, начиная от расследования причин загрузки или планирования увеличения числа серверов.