利用Log parse 分析Exchange 性能并产生相应报表!(1)-Protocol 协议 Log!

最新推荐文章于 2023-04-14 20:00:00 发布
最新推荐文章于 2023-04-14 20:00:00 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: 脚本技术 Exchange 活动目录 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fogyisland2000/article/details/8917052
版权
Exchange 同时被 3 个专栏收录
154 篇文章 1 订阅
订阅专栏
活动目录
76 篇文章 2 订阅
订阅专栏
杂七杂八
27 篇文章 0 订阅
订阅专栏

我们分析完成agent Log, 有时候领导需要我们分析出当前整个系统的邮件使用量情况,这怎么办呢?这就要使用我们的LOG PARSE来分析我们的 协议日志。

协议日志一般出现以下目录C:\Progra~1\Microsoft\Exchan~1\TransportRoles\Logs\ProtocolLog 下面,我们先来分析下全局的Inbound的连接属性,需要执行下如下的命令:

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT QUANTIZE(TO_TIMESTAMP (EXTRACT_PREFIX(TO_STRING(EXTRACT_SUFFIX([#Fields: date-time],0,'T')),0,'.'), 'hh:mm:ss'),3600) AS Hour, COUNT(*) AS Hits INTO radar_traffic.gif FROM C:\Progra~1\Microsoft\Exchan~1\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive\RECV*.LOG WHERE event='+' GROUP BY Hour ORDER BY Hour ASC" -i:CSV -nSkipLines:4 -o:CHART -charttype:RadarLineFilled -charttitle:" Global total SMTP inbound simultaneous connections per hours"

这里我们生成的是图表。能够很直观的显示出我们相应的时间点对应的入站连接数,注意这里的时间是国际标准时间,这里显示的0点是我们的8点,生成的雷达图能够很清楚的表明我们当前的入站连接:

 

接下来我们希望看到发送的量的总体分布,可以采用如下的命令来实现:

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT QUANTIZE(TO_TIMESTAMP (EXTRACT_PREFIX(TO_STRING(EXTRACT_SUFFIX([#Fields: date-time],0,'T')),0,'.'), 'hh:mm:ss'),3600) AS Hour, COUNT(*) AS Hits INTO radar_traffic_send.gif FROM C:\Progra~1\Microsoft\Exchan~1\V14\TransportRoles\Logs\ProtocolLog\SmtpSend\SEND*.LOG WHERE event='+' GROUP BY Hour ORDER BY Hour ASC" -i:CSV -nSkipLines:4 -o:CHART -charttype:RadarLineFilled -charttitle:" Global total SMTP outbound simultaneous connections per hours"

我们打开当前执行的目录下,看到刚才 RADER_Traffic_send.gif 我们可以看得到出站的连接数如下:

 

接下来我们来分析可疑发送者用户,这个操作我们会分为两个部分,我们将可疑发送者写入XML 文件,接下来我们将XML文件读取到LOG PARSE中。

我们先来执行第一步,命令如下:

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT EXTRACT_PREFIX(remote-endpoint,0,':') AS Remote-host, count (*) AS hits INTO SuspiciousSenders.xml  FROM C:\Progra~1\Microsoft\Exchan~1\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive\RECV*.log WHERE TO_INT(SUBSTR(DATA,0,3)) > 500 AND event = '>' GROUP BY Remote-host ORDER BY hits DESC" -i:CSV -nSkipLines:4 -o:XML

会在当前命令执行的地方生成XML文件,接下来我们执行第二步,从XML总读取数据到Log parse,执行如下命令:

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT TOP 10 REVERSEDNS(Remote-host), hits FROM SuspiciousSenders.xml" -i:XML -o:DATAGRID

结果如下:

接下来呢,我们分析从本地出去的邮件被拒绝的比较多的原因,我们可以采用如下的命令:

"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT CASE TO_INT( SUBSTR(DATA,0,3)) when NULL then 0 else TO_INT( SUBSTR(DATA,0,3)) END AS RemoteHostReturnCode, data, count (*) AS hits FROM C:\Progra~1\Microsoft\Exchan~1\V14\TransportRoles\Logs\ProtocolLog\SmtpSend\SEND*.log WHERE RemoteHostReturnCode > 400 AND context <> 'Certificate thumbprint' AND context <> 'sending message' GROUP BY RemoteHostReturnCode, data ORDER BY hits DESC" -i:CSV -nSkipLines:4 -o:DATAGRID

我们来看看比较多的错误代码好原因是神马?看以下图标便知:

 

 

雾岛心情
关注
专栏目录
初探802.11协议(4)——Wi-Fi QoS
FanFF的博客
08-25 3467
802.11 QoS机制
2023-06-05 stonedb-在聚合的场景查询为空无法执行case属性-问题分析-及定位问题的思路
最新发布
技术之路
06-05 651
stonedb-在派生表的场景查询为空无法传递默认值-问题分析.本文对该问题的成因, 相关功能的代码设计, 在下一步设计时如何应对这种问题, 做相关的分析
logparser日志分析详解
qq_26243045的博客
02-15 1093
Logparser是微软的一款日志分析工具,使用方便功能强大。 支持的日志类型: IISW3C,NCSA,IIS,IISODBC,BIN,IISMSID,HTTPERR,URLSCAN,CSV,TSV,W3C,XML,EVT, ETW,NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS,COM
Logparser 分析 Exchange 日志文件
weixin_34010566的博客
03-31 163
Exchange的日志分析有很多方式,最简单的应该是打开Exchange Manage Console, 然后ToolBox里面打开Troubleshooting assistant工具就可以通过GUI查看了,也可以运行他对应的powershell命令查看。不过这样查看比较有局限性,只能按照他给的几个eventid和时间段选择,传统的方式更推荐使用logparser进行分析logparser最开...
PowerBI从Exchange跟踪日志中分析数据和KPI展现
weixin_34245169的博客
05-24 359
很多企业都有用Exchange Server来构建自己的企业邮箱,但做邮件统计的时候,自带的Exchange toolboxs总是不能很友好的展示出您想查询或统计的结果,要么就是借助的第三方的反垃圾网关设备来完成邮件的查询和统计,今天我将采用PowerBI Desktop来实现查询,统计和自己检索的功能,仅仅只是利用跟踪日志。在这里我的环境是Exchange Server 2013,传输的日志默认...
LogParse-Windows系统日志分析
weixin_45922278的博客
04-02 1187
目录 Windows系统日志分析 一、前言 二、Windows登录类型 事件 ID(Event ID) 事件类型(EventType) 三、分析思路 关注节点 关联分析 四、LogParse分析语法 显示方式 筛选语句 五、Windows日志分析 参考 Windows系统日志分析 回到顶部 一、前言 本文将对常见的日志类型,利用微软日志分析工具(LogParser)结合已经掌握的恶意代码分析Windows系统日志,关联出系统的异常。 数据来源于Windows的事件查.
一款Exchange 2000/2003 日志分析系统使用教程
徐火军博客
06-20 5469
一款Exchange 2000/2003 日志分析系统使用教程经常有朋友问我类似这几个问题:怎么才能统计出Exchange每天收发的邮件?如何分析Exchange每天接收到多少封邮件?如何分析Exchange每天向外面发送了多少封邮件?如何统计出每一个用户收发的邮件?在以往我们都会建议大家使用一些第三方开发的专业日志分析的软件,今天钉子给大家一款完全免费开源的Exchange 2000/2
网络请求框架OkHttp4的使用与原理解析01:任务调度与拦截器分析
老蒋也疯狂
04-21 1191
OkHttp任务调度流程: 1. OkHttpClient构建过程分析 案例: OkHttpClient client = new OkHttpClient.Builder() .addInterceptor(new CustomInterceptor()) .cache(new Cache(cacheDir, cacheSize)) .readTimeout(1000, TimeUnit.MILLISECONDS) .writeTimeout(1000,
JavaEE - Tomcat和HTTP协议
旧时言的博客
06-06 1万+
HTTP (全称为 “超文本传输协议”) 是一种应用非常广泛的 应用层协议.HTTP 诞生与1991年. 目前已经发展为最主流使用的一种应用层协议.最新的 HTTP 3 版本也正在完善中, 目前 Google / Facebook 等公司的产品已经支持了.HTTP 往往是基于传输层的 TCP 协议实现的. (HTTP1.0, HTTP1.1, HTTP2.0 均为TCP, HTTP3 基于 UDP实现)目前我们主要使用的还是 HTTP1.1 和 HTTP2.0 . 当前课堂上讨论的 HTTP 以 1.1 版
【WLAN】Wi-Fi Direct---从 Android 13 supplicant 视角分析 Go端代码
weixin_47456647的博客
03-31 511
先从Starting find入手,可以看到设置P2P模块的状态为 P2P_SEARCH。120命令,底层进入扫描状态. 扫描到的设备的个数会在这里打印出来.接着进入。接下来主要根据P2p的Go端的log分析代码的流程.接着看下P2P模块的状态为 P2P_SEARCH后如何进行。以下代码是基于Android 13基线上分析。在讲解这边之前,建议大家先看下我写的这篇文章。状态,让自己可以被其他的设备发现.
分享一个IIS日志分析工具-LogParse
weixin_33847182的博客
05-31 187
分享一个IIS日志分析工具  LogParser工具的使用 1)先安装LogParser 2.2.msi ,是一个命令行工具,功能强大,但使用不便; 下载地址:http://www.microsoft.com/DownLoads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&amp;displaylang=en ...
利用Log parse 分析Exchange 性能产生相应报表!(1)-Agent Log!
技术与管理的平衡木-
05-12 3351
这是一个基于微软官方的博客翻译的一个主题,最近发现了Log parse 这个工具真的不错,能够很方便的帮我们分析相关的问题。我们接下来的系列就是利用Log parse 工具来生成相应报表或者分析出当前数据状况!我们新来看下使用Log parselog parse 是一个日志分析工具,他可以分析各类不同的数据日志,我是Exchange MVP 嘛,就用他分析Exchange 相关的日志,再次申明
利用LogParser分析exchange日志
weixin_30292745的博客
01-30 217
LogParser微软开发的一个强大的日志分析软件,他的大名还是在和微软合作项目的时候听说的,但当时只是为了分析iis日志使用,可以很方便的把iis日志导入数据库中。 最近做的一个exchange监控系统时候需要分析log日志又把他拎了出来详细研究了一下。 LogParser主用分为以下几块: Input Formats Output Formats Query Syntax ...
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
qq_51577576的博客
04-14 6375
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
利用Log parse 分析Exchange 性能产生相应报表!(1)-Protocol 协议 Log!(2)
技术与管理的平衡木-
05-12 7158
我们分析下发送量最大的来源IP和地址,我们需要执行两个命令,第一个命令是将用户从日志中读取并写入XML文件,第二个命令是读取XML文件并以图形方式呈现!我们先执行第一条命令将数据写入XML文件:"C:\Program Files (x86)\Log Parser 2.2\logparser.exe" "SELECT TOP 10 EXTRACT_PREFIX(remote-endpoint,0,'
日志分析-LogParser使用方法
热门推荐
weixin_41073877的博客
01-21 1万+
今天给大家介绍如果利用LogParser和LogParser Studio 对常见的日志文件进行统计分析LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示,接下来给大家介绍下如何安装使用。 LogParser安装: 大家可以在微软官网下载、安装。安装过程很简单,一步到位。 下载链接:http://www
日志分析工具 LogParser 学习笔记
Memetali_ss的博客
04-05 6544
1.LogParser是什么? 官方文档解释:log Parser是一款功能强大的多功能工具,可提供对基于文本的数据(例如日志文件,XML文件和CSV文件)以及Windows®操作系统上的关键数据源(例如事件日志,注册表, 文件系统和ActiveDirectory®的查询以及输出。 您可以告诉Log Parser所需的信息以及处理方式。 查询结果可以在基于文本的自定义格式中输出,也可以持...
Logparser 的用法
altzlo7909的博客
09-22 179
Logparser是一款非常强大的日志分析软件,可以帮助你详细的分析网站日志。是所有数据分析和网站优化人员都应该会的一个软件。Logparser是微软的一款软件完全免费的,大家可以在微软的官网上去下载,下载地址: http://www.microsoft.com/en-us/download/details.aspx?id=24659 下载后安装也非常简单,只要按照步骤去安装...
使用python判断 如果XML中“<....../>”没有被<!--XX_HLR_NUM--><!--END-->包含的,报错。
05-29
可以通过Python中的ElementTree库来解析XML文件,并根据指定的条件进行判断。以下是一个示例代码,可以实现上述要求: ```python import xml.etree.ElementTree as ET # 加载XML文件 tree = ET.parse('example.xml') root = tree.getroot() # 检查每个XML元素是否被注释包含 for elem in root.iter(): if elem.tail is not None and '<' in elem.tail and '>' in elem.tail: if '<!--XX_HLR_NUM-->' not in elem.tail or '<!--END-->' not in elem.tail: raise ValueError('XML element not contained in comment: ' + ET.tostring(elem).decode()) ``` 以上代码中,我们首先使用`ET.parse()`方法加载XML文件,然后使用`root.iter()`方法遍历每个XML元素。我们检查每个元素的`tail`属性(即该元素后面的字符串),如果该字符串包含`<`和`>`,则说明该元素是一个自闭合标签,我们需要检查该元素是否被注释包含。如果不是,则通过`raise`语句抛出异常,报错信息中包含该元素的字符串表示。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雾岛心情

欢迎你的打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值