Windows - Diagnosztikai naplózás Exchange 2000 szerveren

Kihasználva az Exchange 2000 szerver naplózási képességeit, nagy alaposággal, aprólékosan meg tudjuk határozni, hogy melyik szolgáltatás milyen részletességgel készítsen bejegyzéseket a naplófájlba. A kiszolgálónként megadható beállítás jelentősen hozzájárulhat egy hiba felkutatásához, de a betörési kísérleteket és a felhasználói tevékenységeket is figyelemmel kísérhetjük.
Hol jelennek meg az Exchange naplóbejegyzései?
Nem külön fájlba naplóz az Exchange, mint teszi az IIS, hanem az Eseménynaplót (Event Viewer) használja. Két naplót vesz igénybe erre a célra: az alkalmazásnaplót és a rendszernaplót.
Nyissuk meg a Felügyeleti eszközök > Eseménynapló (Administrative Tools > Event Viewer) konzolt és lépjünk be az "Alkalmazásnapló"-ba ("Application Log"). A "Forrás" ("Source") oszlopban elsősorban olyan kifejezéseket kell keresni, melyek tartalmazzák az "Exchange" szót. Például: "MSExchangeMU", "MSExchangeSA", "MSExchangeIs Mailbox Store", "MsExchangeMTA" vagy "MSExchangeIs Public Store". Az Exchange szerver hozza létre még a kezelésében lévő protokollok neveit tartalmazó bejegyzéseket is. Például: "POP3SVC" vagy "IMAP4SVC".
Bővítet naplózás bekapcsolása
Indítsuk el a System Manager felügyeleti konzolt és a farendszerben keressük meg az Exchange kiszolgálót. Ha több is van a rendszerben, akkor az alábbi műveleteket kiszolgálónként kell végrehajtanunk. Kattintsunk a gépnévre a jobboldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. Lépjünk a megjelenő ablak "Diagnostics Logging" oldalára.
Első ránézésre kicsit talán furcsa amit látunk: bal oldalon az Exchange szolgáltatások rövidített nevei jelennek meg, jobb oldalon pedig az általuk ellátott műveletek.
  • IMAP4Svc = IMAP szolgáltatás
  • MSExchangeAL = MS Exchange Address List
  • MSExchangeIS = MS Exchange Information Store
  • MSExchangeMTA = MS Exchange Message Transfer Agent
  • MSExchangeSA = MS Exchange System Attendant
  • MSExchangeSRS = MS Exchange Site Replication Service
  • POP3Svc = POP 3 szolgáltatás
A szolgáltatásnevek megegyeznek az eseménynapló forrásával.
Kattintsunk valamelyik szolgáltatásra. Megjelenik a jobb oldalon a hozzá tartozó kategória, mellette a "Logging level" oszlopban a naplózás gyakorisága. Alapértelmezésben mindegyik ki van kapcsolva ("None"). Ez nem azt jelenti, hogy nem naplóz az Exchange. Továbbra is megmarad az alapértelmezett naplózási mennyiség, amivel eddig is találkozhattunk az eseménynaplóban. Itt a TOVÁBBI naplózási mennyiséget lehet növelni négy fokozatban:
  • None (alapértelmezés)- nincs további naplózás
  • Minimum - minimális mértékben növekszenek a bejegyzések
  • Medium - közepes mértékben növekszenek a bejegyzések
  • Maximum - minden esemény bekerül a naplóba
Itt hívnánk fel a figyelmet, hogy a bővített naplózást csak diagnosztikai, nyomkövetési célra érdemes használni. Figyelembe kell venni, hogy maximumon gyorsan betelik az eseménynapló és a kiszolgáló teljesítménye is csökken. Ha megvan a hiba, álljunk vissza az alapértelmezett szintre, ami azt jelenti, hogy a "Diagnostics Logging" oldalon az összes kategóriát "None"-ra kell állítani. Ha megnöveljük a naplók méretét, fennállhat annak a veszélye, hogy betelik a merevlemez. Ebben az esetben az Exchange szerver automatikusan leáll és beállításoktól függően a Windows 2000 is kiléphet.
Nézzünk egy példát a használatra:
Tegyük fel, hogy meg akarjuk tudni milyen IP címekről kérik le a felhasználók a leveleiket, mikor jött létre a kapcsolat és mikor bontódott. Kattintsunk a "POP3Svc" szolgáltatásra, a jobb oldalon pedig a "Connections" kategóriára. Aktivizáljuk a "Maximum" rádiógombot, végül lépjünk ki. Kérjük meg valamelyik felhasználót, hogy ellenőrizze a leveleit, nem baj, ha nem kapott egyet sem. Nyissuk meg az eseménynapló "Alkalmazásnaplóját" ("Application Log") és keressük meg a "POP3Svc" forrással bejegyzett üzeneteket. Minimum két eseményt kapunk: az egyik a kapcsolat kezdetekor keletkezett, a másik a végén. Mindkét esetben láthatjuk a kliens IP címét és a pontos időt is.