Pour faciliter la planification de la migration et la conception de l’infrastructure Exchange Server, il ne sera pas inutile de connaître les modes d’utilisation de la messagerie au sein de votre organisation. L’article « Dimensionnement d’un système Exchange 2003 », également publié dans Exchange Magazine, aborde les techniques et concepts de la classification des utilisateurs, à savoir leur répartition dans les catégories d’utilisation élevée, moyenne et faible.Pour débuter cette tâche, une approche consiste à déterminer les statistiques par utilisateur, telles que le nombre des messages échangés ou le nombre total d’octets envoyés et reçus. Les fichiers de journaux de suivi des messages d’Exchange constituent une excellente source pour obtenir ces informations. Le présent article examine le format des journaux de suivi, signale les informations qu’ils peuvent fournir et explique comment interpréter ces dernières pour identifier les modes d’utilisation de la messagerie.
Les journaux de suivi des messages exchange et la classification des utilisateurs
Dès que la fonctionnalité de suivi des messages d’Exchange est activée, le serveur consigne un événement dans le journal de suivi chaque fois qu’un message est envoyé ou reçu par un composant Exchange tel que la banque d’informations, l’Agent de transfert des messages (MTA), une passerelle ou un connecteur. Ce journal comporte entre 15 et 20 champs d’informations (selon la version d’Exchange utilisée), lesquels incluent un code d’événement identifiant le type d’action effectuée ainsi que des informations telles que l’expéditeur, les destinataires, la taille du message et un ID de message. Les champs de journal et les codes d’événement ont évolué avec chaque version d’Exchange et TechNet consacre plusieurs articles au format du journal et aux codes d’événement pour chaque version. Vous trouverez une liste de ces articles dans l’encart « Ressources supplémentaires ».
Les journaux de suivi sont des fichiers texte délimités par des tabulations et il est extrêmement facile de les importer dans Microsoft Excel ou dans WordPad pour les consulter. Ils sont généralement trop volumineux et contiennent trop de données pour permettre une évaluation complète en tant que fichier Excel ou WordPad. Par exemple, à l’ouverture d’un fichier dans Excel, l’application indique généralement que le journal n’a pas pu être chargé intégralement, d’où l’impossibilité d’effectuer une analyse complète. Néanmoins, ces applications peuvent être utiles pour décrypter le format du journal et des champs ou encore pour effectuer des évaluations superficielles. Si la quantité de données à évaluer est importante, il faudra écrire un script d’extraction des informations ou charger les fichiers dans une base de données et utiliser des requêtes pour récupérer les éléments nécessaires. Vous pouvez aussi faire appel à une suite de reporting tierce partie, telle que celles proposées par Quest Software ou PROMODAG, pour vous aider à évaluer les journaux de suivi.
Les figures 1 et 2 présentent des exemples d’entrées de journal de suivi dans Exchange Server 5.5 et Exchange 2000 Server. Comme vous pouvez le voir, il s’agit de champs de données délimités par des tabulations et j’ai ajouté des flèches pour marquer l’emplacement des tabulations et identifier plus facilement le début et la fin des champs. Par ailleurs, j’ai inséré des retours à la ligne afin de faciliter la lecture des entrées.
Plusieurs composants Exchange peuvent générer des entrées de journal. Ce que vous pensez être une action unique, par exemple l’envoi par Ben d’un message à Andrew, représente en fait une série d’événements journalisés séparément. Il faudra exploiter les données dans chaque entrée, par exemple l’ID de message (Exchange 5.5) ou l’ID de message lié (Exchange 2000), pour corréler les informations entre elles. Autre aspect important, les journaux sont spécifiques au serveur et ils enregistrent uniquement les événements locaux à celui-ci. Si Ben et Andrew résident sur des serveurs distincts, le journal sur le serveur de Ben consignera le dépôt du message et un événement SMPT ou MTA « Transfert externe ». Le serveur d’Andrew enregistrera les événements SMTP ou MTA « Transfert interne » et de remise du message.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.