Índice. Introdução. Pré-requisitos. Rastreamento de mensagem. Comando de Findevent

Documentos relacionados
Melhores prática para a política centralizada, quarentena do vírus e da manifestação Setup e migração do ESA ao S A

Configurar o beta ESA para aceitar o tráfego da produção ESA

Detecte mensagens de falsificado no ESA e crie exceções para os remetentes que são permitidos ao spoof

Teste avançado da proteção do malware ESA (AMP)

Índice. Introdução. Teste o ampère no ESA. Chaves de recurso. Serviços de segurança

Este documento descreve como controlar a falsificação do em Cisco ESA e como criar exceções para que os usuários enviem falsificado.

Como obstruir o tipo de conteúdo baseou jogos de caracteres

Corrija o serviço da reputação do arquivo na nuvem é erro inacessível recebido para o ampère

Como pesquisar defeitos edições da entrega no ESA?

Guia detalhado da instalação para o TLS no ESA

Transferência de arquivo ASA com exemplo de configuração FXP

Pesquise defeitos de partida indesejáveis no ESA das contas comprometidas

Que faz de a fila trabalho alerta pausou, XX msgs, antispam ou de fila trabalho pausaram, XX os msgs, antivirus significam?

O domínio ESA debuga o exemplo de configuração dos logs

Reescrita de teste do filtro URL da manifestação

Configuração e melhores prática da Filtragem URL para a Segurança do de Cisco

Procedimentos da captura de pacote de informação ESA

A política de centralização ESA, o vírus, e a quarentena da manifestação (PVO) não podem ser permitidos

Configurar IP SLA que segue para as rotas estáticas IPv4 em um interruptor SG550XG

Pesquise defeitos edições intermitentes e conexões abortadas durante o recibo e a entrega do correio

CRE: Abastecimento da conta para virtual, hospedado, e o exemplo de configuração do hardware ESA

Cisco FirePOWER pesquisa defeitos procedimentos de geração do arquivo

IPS 6.X e mais tarde: Notificações de usando o exemplo de configuração IME

Assegure a funcionalidade virtual apropriada do grupo WSA HA em um ambiente de VMware

O endereço IP de Um ou Mais Servidores Cisco ICM NT é obstruído ou põr pela inteligência de Segurança de um sistema de Cisco FireSIGHT

Processo de verificação TLS para a Segurança do de Cisco

Configuração alerta do no Access point WAP121 e WAP321 de Cisco

Capítulo 7. A camada de aplicação

Fluxo de Eventos para Mensagens de Entrada e Saída AMIS

Captura de pacote de informação aumentada em todos os modelos do dispositivo VOS

Redes de Computadores

Configurar o CUCM para a conexão IPSec entre Nós

Índice. Introdução. Pré-requisitos. Requisitos

Como configurar ICD em CRA 2.2(1)

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

ADMINISTRAÇÃO DE SISTEMAS LINUX. Servidor de

Mobilidade DHCP interno expresso

Permita notificações do mensagem SMTP no Cisco Unity Connection 8.x

Configurar o evento que entra um ponto de acesso Wireless

L2 que constrói uma ponte sobre através de um exemplo da configuração de rede L3

Configurando e pesquisando defeitos o S TP na série C UCS

Migração da licença da versão 10.x CUCM no exemplo de configuração PLM

Configuração do log de sistema no Roteadores RV016, RV042, RV042G e RV082 VPN

Centro de gerenciamento da potência de fogo: Contadores de acertos da política do controle de acesso do indicador

Packet Tracer Usando Traceroute para Descobrir a Rede

Guia detalhado da instalação da quarentena do Spam na ferramenta de segurança do (ESA) e no dispositivo do Gerenciamento de segurança (S A)

Este documento descreve como substituir um acessório descascado com um mensagem de texto na ferramenta de segurança do (ESA).

Configurar o SNMP a fim receber armadilhas do server CVP

Cisco unificou o Processamento de chamadas do proxy do SORVO

Exemplo de configuração do ISDN - IP

Configuração do log de sistema na série do VPN Router RV320 e RV325

A vista entra um Series Router rv

Funcionalidade e Protocolos da Camada de Aplicação

Gerente de rede do centro de dados (DCNM) com backup da configuração de switch SFTP

Por exemplo, no endereço temos:

Configuração do Intrusion Prevention System (IPS) para o roteador da Segurança do gigabit do Sem fio-n WRVS4400N

Uso do repairqueue do comando

Instale uma chave da opção em um valor-limite baseado TC

Como configurar a rede da ferramenta de segurança da Web de Cisco e DLP RSA para

Levantamento de informação (Footprint)

Configurar ajustes do e personalize notificações de no WAP125 e no WAP581

CUCM 9.x+ e OLMO - Upgrade de licença e instalação

Redes de Computadores

Configurando ajustes e Failover avançados do VPN de Site-para-Site no RV160 e no RV260

Guia de Referência Rápida IBM CMM

Controle o anúncio de roteador na série do VPN Router RV320 e RV325

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Configurar ajustes do no roteador do RV34x Series

O ISE com estática reorienta para o exemplo de configuração isolado das redes de convidado

Parâmetros das saúdes de sistema ESA e verificação de saúdes de sistema

Configurar ajustes do relé do protocolo de configuração dinâmica host (DHCP) em um interruptor através do comando line interface(cli)

Universidade Federal do Rio Grande do Norte

UNIVERSIDADE FEDERAL DO PIAUÍ COLÉGIO TÉCNICO DE TERESINA-TÉCNICO EM INFORMÁTICA DISCIPLINA: REDES DE COMPUTADORES I PROFESSOR: Valdemir Junior

Problemas comuns com o conjunto transparente do Inter-local ASA

Expiração do certificado e supressão do CallManager

Laboratório - Uso do Wireshark para examinar uma captura UDP DNS

Servidor DNS de Microsoft Windows 2003 para o exemplo de configuração da descoberta do controlador do Wireless LAN (WLC)

Configurar receptores da notificação de SNMP em um interruptor com o CLI

Laboratório Usando Wireshark para Examinar Quadros Ethernet

Configurar configurações de tempo no RV130 e no roteador RV130W

Configurar o ajuste da autenticação da porta do 802.1x em um interruptor

Troubleshooting do erro da gravação do atendimento CUCM MediaSense

Aplicações de Rede DHCP

Configurar servidores de raio externos no ISE

Configurar ajustes do e personalize notificações de na ponta de prova da rede de FindIT

Configurar recursos do roteamento no interruptor

Configurar a interface de gerenciamento IPv4 em um interruptor SG350XG ou SG550XG com o CLI

Parâmetros das saúdes de sistema ESA e verificação de saúdes de sistema

Lugar do ID exclusivo de reunião do servidor MeetingPlace

Transferência de arquivos (FTP)

Papel da autenticação chap configurado sob a relação celular

SpeechView para a conexão de unidade com exemplo de configuração do Microsoft Exchange

Questões de conectividade de rede satisfeitas da ferramenta de segurança

Configurando o interruptor como um cliente SNTP do protocolo de tempo de rede simples do unicast através do CLI

SpeechView para a conexão de unidade com exemplo de configuração do Microsoft Exchange

Laboratório Uso do Wireshark para examinar quadros Ethernet

Configurar e pesquise defeitos servidores de TACACS externos no ISE

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Transcrição:

Índice Introdução Pré-requisitos Rastreamento de mensagem Comando de Findevent Comando grep Exemplo Introdução Este documento descreve como determinar a disposição de uma mensagem com os logs do correio recuperados dos vários comandos na ferramenta de segurança do email de Cisco (ESA). Pré-requisitos A informação neste documento é baseada sobre: ESA Todas as versões de AsyncOS Rastreamento de mensagem Se você executa AsyncOS para a versão 6.0 ou mais recente do email, a maioria de maneira eficaz determinar o que aconteceu a um mensagem particular é usar a página do rastreamento de mensagem da aba do monitor. Isto permite que você procure com uma variedade de opções em uma interface da WEB fácil de usar. Se você executa uma versão mais velha ou a precisa de recolher todas as linhas de registro para propósitos de Troubleshooting, use o grep ou os comandos findevent como detalhado nas próximas seções. Comando de Findevent Se você tem AsyncOS para a versão 5.1.2 ou mais recente do email, o comando findevent CLI faz mais simples procurar por uma mensagem específica. Findevent deixa-o procurar pelo envelope de, pelo receptor do envelope, ou pelo assunto da mensagem. Isto pode ser feito apesar do caso também. Uma vez que você encontra sua mensagem, você pode retornar cada linha de registro relevante a essa mensagem. Se você executa findevent sem argumentos, lança um assistente a fim guiá-lo com o processo. Como sempre, você pode usar o comando help a fim aprender a forma resumida: > help findevent

findevent [-i] [-f from -s subject -t to] log_name findevent -m mid log_name O primeiro formulário conduz uma busca para um envelope de, um assunto, ou um envelope específico dentro do log_name Nomeado e alista os ID de mensagem (MIDs) esse fósforo. - A bandeira i pode ser usada para buscas NON-caso-sensíveis. O segundo formulário indica todas as linhas de registro para o MEADOS DE dado. Se você tem uma versão mais velha, o comando grep CLI pode ser usado a fim realizar a mesma coisa. Contudo, o uso do comando grep exige um conhecimento mais detalhado de como eventos do mensagem de registro ESA. Comando grep O primeiro desafio quando você procura logs do correio é encontrar sua mensagem. Você pode fazer este se você procura pelo remetente, o receptor, ou pelo assunto. Uma vez que você encontrou sua mensagem, é importante compreender como os logs do correio são organizados. Os eventos satisfeitos do log do correio da Segurança são dados acrônimos. Os eventos os mais importantes são ICID, MEADOS DE, LIVRAM, e DCID. Identificador de conexão da injeção (ICID): Quando um host remoto estabelece uma conexão ao dispositivo, essa conexão está atribuída um ICID. Um ICID pode desovar muito o MIDs. Nota: ICID 0 define uma mensagem que seja injetada dse. De facto, o numeral 0 depois que um ICID ou um DCID referem as sessões abertas a ou do endereço do loop local do dispositivo. MEADOS DE: Uma vez que uma conexão é estabelecida, cada correio bem sucedido do Simple Mail Transfer Protocol (SMTP) de: o comando cria um MEADOS DE novo. Um único MEADOS DE pode desovar muitos RID. Receptor ID (LIVRADO): Cada receptor (a: Centímetro cúbico: ou Bcc obtém LIVRADO. Os RID desovam somente DCIDs múltiplo se há um salto macio (erro de conexão) e a entrega reattempted. Identificador de conexão da entrega (DCID): Cada receptor que vai ao mesmo domínio do destino recebe o mesmo DCID até os limites do sistema de recepção. Assim se os receipients do mensagens todas vão ao mesmo domínio, a seguir há um DCID para todos os RID. Se pelo contrário, cada um LIVRADO vai a um domínio separado, a seguir há uma correlação um a um. Nota: DCID 0 define uma mensagem que seja enviada nunca. De facto, o numeral 0 depois que um ICID ou um DCID referem as sessões abertas a ou do endereço do loop local do dispositivo. Geralmente, quando você encontra sua mensagem, você encontra seu MEADOS DE. Então você grep para o MEADOS DE e determina o ICID e LIVRA-O. Com o ICID, você pode determinar a contagem da reputação de SenderBase (SBR) para o remetente. Com LIVRADO e então o DCID, você pode determinar o que aconteceu quando o ESA tentou a entrega.

Nota: Uma vez que você tem o MEADOS DE, ICID, e DCID, você pode recuperar todas as fileiras para essa mensagem em um grep, se a origem da mensagem não é mais velha do que seu log mais velho do correio. example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs Exemplo 1. Busca para o assunto da mensagem: example.com> grep []> test Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter 'testdrop' Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine' Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine' Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2' Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip' Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip' Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip' Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test' Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test' Isto gerou diversos fósforos que contiveram o teste no assunto. A mensagem foi enviada em aproximadamente 3:42pm, assim que você pode usar aquele MEADOS DE para a busca seguinte. Estão aqui alguns pontos impotant a notar sobre as perguntas: Você quer esta busca ser não diferenciando maiúsculas e minúsculas? [Y] > Se você responde sim a esta pergunta, encontra entradas apesar do caso. Você quer atar os logs? [N] > Se você responde sim a esta pergunta, encontra somente entradas novas enquanto são geradas. Não procura todos os arquivos de registro. Escolha nenhum a fim procurar todos os logs. Você quer paginar a saída? [N] > Se você responde sim a esta pergunta, indica entradas uma página de cada vez. Isto é útil se você precisa de fazer uma busca geral e da esperar recuperar muitas entradas. Isto para as entradas do enrolamento fora do indicador. 2. Busca para o MEADOS DE:

mail.example.com> grep []> MID 96 Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394 Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net> Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To: <nasir@example.com> Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID <4o8836$30@mail.example.com> Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test' Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from <bob@example.net> Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for per-recipient policy DEFAULT in the outbound table Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0] Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0] Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0 <4o8836$30@mail.example.com> Queued mail for delivery' Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done Observe que as entradas MEADOS DE fornecem mais informação sobre como a mensagem é processada. As entradas MEADOS DE igualmente proveem o ICID e o DCID. Se você quer saber mais sobre a conexão recebida, grep para o ICID. Se você quer saber mais sobre o que aconteceu quando o o ESA tentou a entrega, grep para o DCID. 3. A fim determinar onde a mensagem foi entregada, procure pelo DCID. mail.example.com> grep []> DCID 14 Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199 address 10.1.1.112 port 25 Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0] Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0] Fri Feb 3 15:42:11 2006 Info: DCID 14 close Observe que a mensagem esteve entregada da relação de 192.168.0.199 ao host com endereço IP 10.1.1.112 sobre a porta 25. Se a entrega não foi tentada, mas a mensagem foi enfileirada para a entrega, indica que o sistema pôde ter a dificuldade em suas comunicações com o servidor de destino. Você pode

usar o hoststatus do CLI a fim ver se o estado do host destinatário está abaixo de e para verificar que o fósforo pedido IPs uma ou outra suas rotas S TP para o domínio do destino ou os registros do público MX, como aplicável.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback