Nachrichtenverfolgung

Das Nachrichtenverfolgungsprotokoll ist eine detaillierte Aufzeichnung aller Aktivitäten während der Übertragung von Nachrichten über die Transportpipeline auf Postfachservern und Edge-Transport-Servern. Sie können Nachrichtenverfolgungsprotokolle für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, die Berichterstellung und die Problembehandlung verwenden.

Standardmäßig verwendet Exchange die Umlaufprotokollierung, um Größe und Alter der Nachrichtenverfolgungsprotokolle zu begrenzen und somit den von diesen Protokolldateien benötigten Festplattenspeicherplatz zu verringern. Informationen zum Konfigurieren der Nachverfolgung finden Sie unter Konfigurieren der Nachverfolgung.

Durchsuchen des Nachrichtenverfolgungsprotokolls

Nachrichtenverfolgungsprotokolle enthalten große Datenmengen, wenn Nachrichten über einen Postfachserver oder Edge-Transport-Server verschoben werden. Wenn es darum geht, die Nachrichtenverfolgungsprotokolle zu durchsuchen, haben Sie Folgendes:

  • Get-MessageTrackingLog Administratoren nutzen dieses Cmdlet der Exchange-Verwaltungsshell zum Durchsuchen des Nachrichtenverfolgungsprotokolls nach Informationen zu Nachrichten mithilfe einer breiten Palette von Filterkriterien. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.

  • Zustellungsberichte für Administratoren Administratoren können über die Registerkarte Zustellungsberichte in der Exchange-Verwaltungskonsole oder die zugrunde liegenden Cmdlets Search-MessageTrackingReport und Get-MesageTrackingReport in der Exchange-Verwaltungsshell die Nachrichtenverfolgungsprotokolle nach Informationen zu Nachrichten durchsuchen, die von einem bestimmten Postfach in der Organisation gesendet oder empfangen wurden. Weitere Informationen finden Sie unter Übermittlungsberichte für Administratoren.

Struktur der Protokolldateien der Nachrichtenverfolgung

Die Protokolldateien der Nachrichtenverfolgung sind in %ExchangeInstallPath%TransportRoles\Logs\MessageTracking standardmäßig vorhanden. Der Ordner enthält Protokolldateien, die unterschiedliche Namen haben, aber alle der Namenskonvention MSGTRKServiceyyyymmdd-nnnn.log entsprechen. Die unterschiedlichen Protokolldateinamen sind in der folgenden Tabelle angegeben.

Dateiname Server Beschreibung
MSGTRK Postfachserver und Edge-Transport-Server Protokolldateien für den Transportdienst.
MSGTRKMA Postfachserver Protokolldateien für die Genehmigungen und Ablehnungen beim moderierten Transport. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
MSGTRKMD Postfachserver Protokolldateien für Nachrichten, die Postfächern vom Postfachtransport-Zustellungsdienst zugestellt werden.
MSGTRKMS Postfachserver Protokolldateien für Nachrichten, die Postfächern vom Postfachtransport-Übermittlungsdienst gesendet werden.

Die anderen Platzhalter in den Protokolldateinamen stehen für folgende Informationen:

  • Bei dem Platzhalter yyyymmdd handelt es sich um das UTC-Datum (Universal Time Coordinated), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, mm = Monat und dd = Tag.

  • Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.

In die Protokolldatei werden solange Informationen geschrieben, bis die für die Datei angegebene maximale Größe erreicht ist. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. (Die erste Protokolldatei ist -1, die nächste ist -2 usw.). Bei der Umlaufprotokollierung werden die ältesten Protokolldateien für einen Dienst gelöscht, wenn eine der folgenden Bedingungen zutrifft:

  • Eine Protokolldatei erreicht ihr Höchstalter.

  • Der Ordner für Nachrichtenverfolgungsprotokolle erreicht seine maximal zulässige Größe.

    Hinweise:

    • Die Maximalgröße des Nachrichtenverfolgungsprotokoll-Ordners wird aus der Gesamtgröße aller Protokolldateien berechnet, die dasselbe Namenspräfix haben. Alle weiteren Dateien, die die Namenspräfixkonvention nicht einhalten, werden bei der Berechnung der Gesamtgröße des Ordners nicht berücksichtigt. Das Umbenennen alter Protokolldateien oder das Kopieren anderer Dateien in den Nachrichtenverfolgungsprotokoll-Ordner kann dazu führen, dass der Ordner seine angegebene Maximalgröße überschreitet.

    • Bei Postfachservern entspricht die maximale Größe des Protokollordners für die Nachrichtenverfolgung dem Dreifachen des angegebenen Werts. Wenngleich die Dateien für die Nachrichtenverfolgungsprotokolle von vier verschiedenen Diensten generiert werden und vier unterschiedliche Namenspräfixe haben, sind Umfang und Häufigkeit, wie Daten in das moderierte Transportprotokoll (MSGTRKMA) geschrieben werden, im Vergleich zu den anderen drei Protokollen zu vernachlässigen.

Bei den Protokolldateien der Nachrichtenverfolgung handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value, durch Komma getrennte Werte) enthalten. Jede Datei enthält eine Kopfzeile mit den folgenden Informationen:

  • #Software: Der Wert ist Microsoft Exchange Server.

  • #Version: Die Versionsnummer des Exchange-Servers, der die Protokolldatei zur Nachrichtenverfolgung erstellt hat. Der Wert wird im Format 15.01.nnnn.nnn angegeben.

  • #Log-Type: Der Wert ist Message Tracking Log.

  • #Date: Datum und Uhrzeit (UTC) der Erstellung der Protokolldatei. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-dd T hh:mm:ss.fff Z, wobei yyyy = Jahr, mm = Monat, dd = Tag. T gibt an, dass eine Zeitangabe folgt. hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde. Und Z steht für Zulu, eine weitere Möglichkeit zur Angabe von UTC.

  • #Fields: Kommagetrennte Feldnamen, die in den Nachrichtenverfolgungs-Protokolldateien verwendet werden.

Felder in den Protokolldateien für die Nachrichtenverfolgung

Im Nachrichtenverfolgungsprotokoll werden die einzelnen Nachrichtenereignisse jeweils in einer einzelnen Zeile gespeichert. Die Nachrichtenereignisinformationen sind in Feldern organisiert, die durch Kommas voneinander getrennt sind. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind möglicherweise jedoch leer, oder der Informationstyp des Felds kann sich basierend auf dem Nachrichtenereignistyp und dem Dienst ändern, der das Ereignis aufgezeichnet hat. Allgemeine Beschreibungen der Felder, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in folgenden Tabelle erläutert.

Feldname Beschreibung
date-time Datum und Uhrzeit des Nachrichtenverfolgungsereignisses im UTC-Datums-/Uhrzeitformat. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-dd T hh:mm:ss.fff Z, wobei yyyy = Jahr, mm = Monat, dd = Tag. T gibt an, dass eine Zeitangabe folgt. hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde. Und Z steht für Zulu, eine weitere Möglichkeit zur Angabe von UTC.
client-ip Die IPv4- oder IPv6-Adresse des Messagingservers oder -clients, der die Nachricht übermittelt hat.
client-hostname Der Hostname oder FQDN des Messagingservers oder -clients, der die Nachricht übermittelt hat.
server-ip Die IPv4- oder IPv6-Adresse des Quell- oder Zielservers.
server-hostname Der Hostname oder FQDN des Zielservers.
source-context Zusätzliche Informationen, die zum Feld source gehören. Zum Beispiel:
CatContentConversion
250 2.0.0 OK;ClientSubmitTime:<UTC>
connector-id Der Name des Sendeconnectors oder Empfangsconnectors, der die Nachricht akzeptiert. Beispiel: ServerName\ ConnectorName oder ConnectorName.
source Die für das Ereignis zuständige Exchange-Transportkomponente. Diese Werte werden im Abschnitt Quellwerte im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.
event-id Der Nachrichtenereignistyp. Diese Werte werden im Abschnitt Ereignistypen im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.
internal-message-id Eine Nachrichten-ID, die von dem Exchange-Server zugewiesen wird, der die Nachricht aktuell verarbeitet.
Der Wert internal-message-id einer Nachricht ist im Nachrichtenverfolgungsprotokoll jedes exExchangeNoVersion-Servers unterschiedlich, der an der Zustellung der Nachricht beteiligt ist. Ein Beispielwert ist 73014444033.
message-id Der Wert des Kopfzeilenfelds Message-Id: im Nachrichtenkopf. Wenn das Kopfzeilenfeld Message-Id: nicht vorhanden oder leer ist, wird von Exchange ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant. Für in Exchange erstellte Nachrichten hat der Wert das Format <GUID@ServerFQDN> einschließlich der eckigen Klammern (< >). Beispiel: <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Andere Messagingsysteme können eine andere Syntax oder andere Werte verwenden.
network-message-id Ein eindeutiger Nachrichten-ID-Wert, der bei Kopien der Nachricht erhalten bleibt, die ggf. durch eine Verzweigung oder Aufgliederung der Verteilergruppe erstellt wurden. Ein Beispielwert ist 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-address Die E-Mail-Adresse des Empfängers der Nachricht. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.
recipient-status Der Empfängerstatus jedes Empfängers getrennt durch ein Semikolon (;). Die Statuswerte werden für die Empfänger in derselben Reihenfolge wie die Werte im Feld recipient-address dargestellt. Beispielstatuswerte sind:
To, Cc oder Bcc
250 2.1.5 Recipient OK
550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytes Die Gesamtgröße der Nachricht, einschließlich Anlagen, in Byte.
recipient-count Gesamtzahl der Empfänger für die Nachricht.
related-recipient-address Dieses Feld wird mit Ereignissen vom Typ EXPAND, REDIRECT, and RESOLVE verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.
reference Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Beispiel:
DSN : Enthält den Berichtslink, bei dem es sich um den Message-Id-Wert der dazugehörigen Benachrichtigung über den Zustellungsstatus handelt (auch als DNS, Unzustellbarkeitsnachricht oder NDR bezeichnet), falls eine solche im Anschluss an dieses Ereignis generiert wird. Wenn es sich um eine Benachrichtigung über den Zustellungsstatus handelt, enthält das Feld Reference den Message-Id-Wert der ursprünglichen Nachricht, für die diese Benachrichtigung über den Zustellungsstatus generiert wurde.
EXPAND: Enthält den related-recipient-address-Wert der dazugehörigen Nachrichten.
RECEIVE: Kann den Message-Id-Wert der dazugehörigen Nachricht enthalten, wenn die Nachricht durch andere Prozesse generiert wird, z. B. Journal- oder Posteingangsregeln.
SEND: Enthält den Internal-Message-Id-Wert beliebiger Benachrichtigungen über den Zustellungsstatus.
THROTTLE: Enthält den Grund, warum die Nachricht eingeschränkt wurde.
TRANSFER: Enthält den Internal-Message-Id-Wert der Nachricht, die verzweigt wird.
Von Posteingangsregeln generierte Nachrichten: Enthält den Internal-Message-Id-Wert der eingehenden Nachricht, die bewirkt hat, dass die Posteingangsregel die ausgehende Nachricht generiert hat.
Nachrichten aufgespalten: enthält möglicherweise die intern-Nachrichten-Id Wert.
Für andere Ereignistypen ist dieses Feld zumeist leer.
message-subject Der Nachrichtenbetreff aus dem Kopfzeilenfeld Subject:. Die Nachverfolgen von Nachrichtenbetreffs wird über den Parameter MessageTrackingLogSubjectLoggingEnabled im Cmdlet Set-TransportService gesteuert. Die Nachrichtenbetreffverfolgung ist in der Standardeinstellung aktiviert.
sender-address Die E-Mail-Adresse, die im Kopfzeilenfeld Absender: angegeben ist, oder das Kopfzeilenfeld Von: (falls das Kopfzeilenfeld Absender: nicht vorhanden ist).
return-path Die E-Mail-Adresse des Absenders, die vom Befehl MAIL FROM angegeben wurde, der die Nachricht gesendet hat. Zwar ist dieses Feld niemals leer, es kann jedoch den Absenderadresswert Null enthalten, der als <> dargestellt wird.
message-info Weitere Informationen zur Nachricht. Beispiel:
UTC-Datum/Uhrzeit des Nachrichtenursprungs für die Ereignisse DELIVER und SEND. Hierbei handelt es sich um den Zeitpunkt, zu dem die Nachricht erstmals in die Exchange-Organisation eingetreten ist. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-dd T hh:mm:ss.fff Z, wobei yyyy = Jahr, mm = Monat, dd = Tag. T gibt an, dass eine Zeitangabe folgt. hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde. Und Z steht für Zulu, eine weitere Möglichkeit zur Angabe von UTC.
Authentifizierungsfehler. Bei Auftreten von Authentifizierungsfehlern werden ggf. der Wert 11a und der Typ der verwendeten Authentifizierung angezeigt, als der Authentifizierungsfehler auftrat.
directionality Die Richtung der Nachricht. Beispielwerte sind Incoming, Undefined und Originating.
tenant-id Dieses Feld wird in lokalen Exchange-Organisationen nicht verwendet.
original-client-ip Die IPv4- oder IPv6-Adresse des ursprünglichen Clients.
original-server-ip Die IPv4- oder IPv6-Adresse des ursprünglichen Servers.
custom-data Dieses Feld enthält Daten im Zusammenhang mit bestimmten Ereignistypen. Beispielsweise verwendet der Transportregel-Agent dieses Feld zum Aufzeichnen der GUID der Nachrichtenflussregel (auch als Transportregel bezeichnet) oder der DLP-Richtlinie, die auf die Nachricht reagiert hat. Weitere Informationen finden Sie unter Anzeigen von DLP-Richtlinienerkennungsberichten.
transport-traffic-type In Exchange (lokal) ist dieses Feld ist leer oder hat den Wert Email.
log-id Ein eindeutiger Bezeichner für eine Zeile im Nachrichtenverfolgungsprotokoll. Dieses Feld ist in lokalen Exchange-Organisationen nicht wichtig.
schema-version Versionsnummer des Exchange-Servers, mit der der Eintrag im Nachrichtenverfolgungsprotokoll erstellt wurde. Der Wert verwendet das Format 15.01.nnnn.nnn.

Ereignistypen im Nachrichtenverfolgungsprotokoll

Verschiedene Ereignistypen im Feld event-id dienen zum Klassifizieren der Nachrichtenereignisse im Nachrichtenverfolgungsprotokoll. Einige Nachrichtenereignisse werden nur in einem Typ von Protokolldatei für die Nachrichtenverfolgung angezeigt, andere hingegen in allen. Die Ereignistypen, die zum Klassifizieren der einzelnen Nachrichtenereignisse verwendet werden, sind in Tabelle 1 beschrieben.

Ereignisname Beschreibung
AGENTINFO Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren.
BADMAIL Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.
CLIENTSUBMISSION Eine Nachricht wurde aus dem Postausgang eines Postfachs übermittelt.
DEFER Die Nachrichtenzustellung wurde verzögert.
DELIVER Eine Nachricht wurde an ein lokales Postfach zugestellt.
DELIVERFAIL Ein Agent hat versucht, die Nachricht an einen Ordner zu übermitteln, der in dem Postfach nicht vorhanden ist.
DROP Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel:
• Die Moderation von Genehmigungsanforderungsnachrichten wurde abgeschlossen.
• Spamnachrichten, die ohne NDR im Hintergrund gelöscht wurden.
DSN Eine Benachrichtigung über den Zustellungsstatus wurde generiert.
DUPLICATEDELIVER Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.
DUPLICATEEXPAND Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt.
DUPLICATEREDIRECT Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger.
EXPAND Eine Verteilergruppe wurde erweitert.
FAIL Bei der Nachrichtenzustellung ist ein Fehler aufgetreten. Quellen sind u. a. SMTP, DNS, QUEUE und ROUTING.
HADISCARD Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz in Exchange Server.
HARECEIVE Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen.
HAREDIRECT Eine Shadow-Nachricht erstellt wurde.
HAREDIRECTFAIL Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert.
INITMESSAGECREATED Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
LOAD Eine Nachricht wurde erfolgreich beim Starten geladen.
MODERATIONEXPIRE Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung.
MODERATORAPPROVE Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde.
MODERATORREJECT Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde.
MODERATORSALLNDR Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten (auch als NDR bezeichnet) geführt hat.
NOTIFYMAPI Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt.
NOTIFYSHADOW Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden.
POISONMESSAGE Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.
PROCESS Die Nachricht wurde erfolgreich verarbeitet.
PROCESSMEETINGMESSAGE Eine Besprechungsnachricht wurde vom Postfachtransport-Zustellungsdienst verarbeitet.
RECEIVE Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: SMTP), oder eine Nachricht wurde aus einem Postfach an den Postfachtransport-Übermittlungsdienst gesendet (Quelle: STOREDRIVER).
REDIRECT Eine Nachricht wurde nach einer Active Directory-Suche an einen alternativen Empfänger umgeleitet.
RESOLVE Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst.
RESUBMIT Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz in Exchange Server.
RESUBMITDEFER Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt.
RESUBMITFAIL Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht.
SEND Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet.
SUBMIT Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details:
MDB: Die Postfachdatenbank-GUID.
Mailbox: Die Postfach-GUID.
Event: Die Ereignissequenznummer.
MessageClass: Der Typ der Nachricht. Beispiel: IPM.Note.
CreationTime: Datum / Uhrzeit des der Nachrichtenübermittlung.
ClientType: Beispiel: User, OWA oder ActiveSync.
SUBMITDEFER Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt.
SUBMITFAIL Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst.
SUPPRESSED Die Nachrichtenübertragung wurde unterdrückt.
THROTTLE Die Nachricht wurde eingeschränkt.
TRANSFER Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben. Quellen sind u. a. ROUTING oder QUEUE.

Quellwerte im Nachrichtenverfolgungsprotokoll

Die Werte im Feld source im Nachrichtenverfolgungsprotokoll geben die Transportkomponente an, die für das Nachrichtenverfolgungsereignis zuständig ist. In der folgenden Tabelle werden die Werte des Felds source beschrieben.

Wert von „source“ Beschreibung
ADMIN Die Ereignisquelle war menschliches Eingreifen. Beispiel: Ein Administrator hat in der Warteschlangenanzeige eine Nachricht gelöscht oder Nachrichtendateien mithilfe des Wiedergabeverzeichnisses übermittelt.
AGENT Die Ereignisquelle war ein Transport-Agent.
APPROVAL Die Ereignisquelle war das Genehmigungssystem, das mit moderierten Empfänger verwendet wird. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
BOOTLOADER Die Ereignisquelle waren nicht verarbeitete Nachrichten, die auf dem Server beim Start vorhanden sind. Dies bezieht sich auf den Ereignistyp LOAD.
DNS Die Ereignisquelle war DNS.
DSN Die Ereignisquelle war eine Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet).
GATEWAY Die Ereignisquelle war ein fremder Connector. Weitere Informationen finden Sie unter Fremde Connectors.
MAILBOXRULE Die Ereignisquelle war eine Posteingangsregel. Weitere Informationen finden Sie unter Posteingangsregeln.
MEETINGMESSAGEPROCESSOR Die Ereignisquelle war die Verarbeitung der Besprechungsnachrichten, die Kalender basierend auf Besprechungsaktualisierungen aktualisiert.
ORAR Die Quelle war ein Originator Requested Alternate Recipient (ORAR, vom Absender angeforderter Alternativempfänger). Über den Parameter OrarEnabled für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector können Sie Unterstützung für ORAR oder Empfangsconnectors aktivieren oder deaktivieren.
PICKUP Die Ereignisquelle war das PICKUP-Verzeichnis. Weitere Informationen finden Sie unter PICKUP-Verzeichnis und Wiedergabeverzeichnis.
POISONMESSAGE Die Ereignisquelle war die ID einer nicht verarbeitbaren Nachricht. Weitere Informationen zu nicht verarbeitbaren Nachrichten und zur Warteschlange für nicht verarbeitbare Nachrichten finden Sie unter Warteschlangen und Nachrichten in Warteschlangen.
PUBLICFOLDER Die Ereignisquelle war ein E-Mail-aktivierter öffentliche Ordner.
QUEUE Die Ereignisquelle war eine Warteschlange.
REDUNDANCY Die Ereignisquelle war Shadow-Redundanz. Weitere Informationen finden Sie unter Shadow-Redundanz in Exchange Server.
RESOLVER Die Ereignisquelle war die Empfängerauflösungskomponente des Kategorisierungsmoduls im Transportdienst. Weitere Informationen finden Sie unter Empfängerauflösung in Exchange Server.
ROUTING Die Ereignisquelle war die Routingauflösungskomponente des Kategorisierungsmoduls im Transportdienst.
SAFETYNET Die Ereignisquelle war das Sicherheitsnetz. Weitere Informationen finden Sie unter Sicherheitsnetz in Exchange Server.
SMTP Die Nachricht wurde von der SMTP-Sende- oder SMTP-Empfangskomponente des Transportdiensts übermittelt.
STOREDRIVER Die Ereignisquelle war eine MAPI-Übermittlung aus einem Postfach auf dem lokalen Server.

Beispieleinträge im Nachrichtenverfolgungsprotokoll

Eine ereignislose Nachricht, die zwischen zwei Benutzern gesendet wurde, generiert mehrere Einträge im Nachrichtenverfolgungsprotokoll. Sie können die Ergebnisse mit dem Cmdlet Get-MessageTrackingLog überprüfen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.

Dies ist ein Beispiel für Einträge im Nachrichtenverfolgungsprotokoll, die erstellt wurden, als der Benutzer "chris@contoso.com" erfolgreich eine Testnachricht an die Benutzerin "michelle@contoso.com" gesendet hat. Beide Benutzer haben Postfächer auf demselben Server.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Sicherheitsüberlegungen zum Nachrichtenverfolgungsprotokoll

Im Nachrichtenverfolgungsprotokoll wird kein Nachrichteninhalt gespeichert. Standardmäßig wird die Betreffzeile einer E-Mail-Nachricht im Nachrichtenverfolgungsprotokoll gespeichert. Sie müssen möglicherweise die Betreffprotokollierung deaktivieren, um den erhöhten Anforderungen an Sicherheit und Datenschutz gerecht zu werden. Anweisungen zum Deaktivieren der Betreffprotokollierung finden Sie unter Konfigurieren der Nachverfolgung.