NachrichtenverfolgungMessage tracking

Das Nachrichtenverfolgungsprotokoll ist eine detaillierte Aufzeichnung aller Aktivitäten während der Übertragung von Nachrichten über die Transportpipeline auf Postfachservern und Edge-Transport-Servern. Sie können Nachrichtenverfolgungsprotokolle für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, die Berichterstellung und die Problembehandlung verwenden.The message tracking log is a detailed record of all activity as mail flows through the transport pipeline on Mailbox servers and Edge Transport servers. You can use message tracking for message forensics, mail flow analysis, reporting, and troubleshooting.

Standardmäßig verwendet Exchange die Umlaufprotokollierung, um Größe und Alter der Nachrichtenverfolgungsprotokolle zu begrenzen und somit den von diesen Protokolldateien benötigten Festplattenspeicherplatz zu verringern. Informationen zum Konfigurieren der Nachverfolgung finden Sie unter Konfigurieren der Nachverfolgung.By default, Exchange uses circular logging to limit the message tracking log based on file size and file age to help control the hard disk space that's used by the log files. To configure the message tracking log, see Configure message tracking.

Durchsuchen des NachrichtenverfolgungsprotokollsSearch the message tracking log

In Nachrichtenverfolgungsprotokollen fallen große Datenmengen an, während sich Nachrichten durch einen Postfachserver oder Edge-Transport-Server bewegen. Zur Durchsuchung der Nachrichtenverfolgungsprotokolle haben Sie mehrere Möglichkeiten.Message tracking logs contain vast amounts of data as messages move through a Mailbox server or Edge Transport server. When it comes to searching the message tracking logs, you have different options.

  • Get-MessageTrackingLog Administratoren nutzen dieses Cmdlet der Exchange-Verwaltungsshell zum Durchsuchen des Nachrichtenverfolgungsprotokolls nach Informationen zu Nachrichten mithilfe einer breiten Palette von Filterkriterien. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.Get-MessageTrackingLog: Administrators can use this Exchange Management Shell cmdlet to search the message tracking log for information about messages using a wide range of filter criteria. For more information, see Search message tracking logs.

  • Zustellungsberichte für Administratoren Administratoren können über die Registerkarte Zustellungsberichte in der Exchange-Verwaltungskonsole oder die zugrunde liegenden Cmdlets Search-MessageTrackingReport und Get-MesageTrackingReport in der Exchange-Verwaltungsshell die Nachrichtenverfolgungsprotokolle nach Informationen zu Nachrichten durchsuchen, die von einem bestimmten Postfach in der Organisation gesendet oder empfangen wurden. Weitere Informationen finden Sie unter Übermittlungsberichte für Administratoren.Delivery reports for administrators: Administrators can use the Delivery reports tab in the Exchange admin center or the underlying Search-MessageTrackingReport and Get-MessageTrackingReport cmdlets in the Exchange Management Shell to search the message tracking logs for information about messages sent by or received by a specific mailbox in the organization. For more information, see Delivery reports for administrators.

  • Zustellungsberichte für Benutzer Benutzer können über die Registerkarte Zustellungsberichte in Outlook im Web die Nachrichtenverfolgungsprotokolle nach Informationen zu Nachrichten durchsuchen, die von ihrem eigenen Postfach gesendet und empfangen wurden. Weitere Informationen finden Sie unter Zustellungsberichte für Benutzer.Delivery reports for users: Users can use the Delivery reports tab in Outlook on the web to search the message tracking logs for information about messages sent to or sent by their own mailbox. For more information, see Delivery Reports for Users.

Struktur der Protokolldateien der NachrichtenverfolgungStructure of the message tracking log files

Die Protokolldateien der Nachrichtenverfolgung sind in %ExchangeInstallPath%TransportRoles\Logs\MessageTracking standardmäßig vorhanden. Der Ordner enthält Protokolldateien, die unterschiedliche Namen haben, aber alle der Namenskonvention MSGTRKServiceyyyymmdd-nnnn.log entsprechen. Die unterschiedlichen Protokolldateinamen sind in der folgenden Tabelle angegeben.By default, the message tracking log files exist in %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. The folder contains log files that have different names, but they all follow the naming convention MSGTRKServiceyyyymmdd-nnnn.log. The different log file names are described in the following table.


DateinameFile name ServerServers BeschreibungDescription
MSGTRK Postfachserver und Edge-Transport-ServerMailbox servers and Edge Transport servers Protokolldateien für den Transportdienst.Log files for the Transport service.
MSGTRKMA PostfachserverMailbox servers Protokolldateien für die Genehmigungen und Ablehnungen im moderierten Transport. Weitere Informationen finden Sie unter Moderierter Transport.Log files for the approvals and rejections in moderated transport. For more information, see Moderated Transport.
MSGTRKMD PostfachserverMailbox servers Protokolldateien für Nachrichten, die Postfächern vom Postfachtransport-Zustellungsdienst zugestellt werden.Log files for messages delivered to mailboxes by the Mailbox Transport Delivery service.
MSGTRKMS PostfachserverMailbox servers Protokolldateien für Nachrichten, die Postfächern vom Postfachtransport-Übermittlungsdienst gesendet werden.Log files for messages sent from mailboxes by the Mailbox Transport Submission service.

Die anderen Platzhalter in den Protokolldateinamen stehen für folgende Informationen:The other placeholders in the log file names represent the following information:

  • Bei dem Platzhalter yyyymmdd handelt es sich um das UTC-Datum (Universal Time Coordinated), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, mm = Monat und dd = Tag.yyyymmdd is the coordinated universal time (UTC) date when the log file was created. yyyy = year, mm = month, and dd = day.

  • Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.nnnn is an instance number that starts at the value 1 every day for each log.

In die Protokolldatei werden solange Informationen geschrieben, bis die für die Datei angegebene maximale Größe erreicht ist. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. (Die erste Protokolldatei ist -1, die nächste ist -2 usw.). Bei der Umlaufprotokollierung werden die ältesten Protokolldateien für einen Dienst gelöscht, wenn eine der folgenden Bedingungen zutrifft:Information is written to the log file until the file reaches its maximum size. Then, a new log file that has an incremented instance number is opened (the first log file is -1, the next is -2, and so on). Circular logging deletes the oldest log files for a service when either of the following conditions are true:

  • Eine Protokolldatei erreicht ihr Höchstalter.A log file reaches its maximum age.

  • Der Ordner für Nachrichtenverfolgungsprotokolle erreicht seine maximal zulässige Größe.The message tracking log folder reaches its maximum size.

    Hinweise:Notes:

    • Die Maximalgröße des Nachrichtenverfolgungsprotokoll-Ordners wird aus der Gesamtgröße aller Protokolldateien berechnet, die dasselbe Namenspräfix haben. Alle weiteren Dateien, die die Namenspräfixkonvention nicht einhalten, werden bei der Berechnung der Gesamtgröße des Ordners nicht berücksichtigt. Das Umbenennen alter Protokolldateien oder das Kopieren anderer Dateien in den Nachrichtenverfolgungsprotokoll-Ordner kann dazu führen, dass der Ordner seine angegebene Maximalgröße überschreitet.The maximum size of the message tracking log folder is calculated as the total size of all log files that have the same name prefix. Other files that do not follow the name prefix convention are not counted in the total folder size calculation. Renaming old log files or copying other files into the message tracking log folder could cause the folder to exceed its specified maximum size.

    • Bei Postfachservern entspricht die maximale Größe des Protokollordners für die Nachrichtenverfolgung dem Dreifachen des angegebenen Werts. Wenngleich die Dateien für die Nachrichtenverfolgungsprotokolle von vier verschiedenen Diensten generiert werden und vier unterschiedliche Namenspräfixe haben, sind Umfang und Häufigkeit, wie Daten in das moderierte Transportprotokoll (MSGTRKMA) geschrieben werden, im Vergleich zu den anderen drei Protokollen zu vernachlässigen.On Mailbox servers, the maximum size of the message tracking log folder is three times the specified value. Although the message tracking log files are generated by the four different services and have four different name prefixes, the amount and frequency of data written to the moderated transport log (MSGTRKMA) is negligible compared to the other three logs.

Bei den Protokolldateien der Nachrichtenverfolgung handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value, durch Komma getrennte Werte) enthalten. Jede Datei enthält eine Kopfzeile mit den folgenden Informationen:The message tracking log files are text files that contain data in the comma-separated value (CSV) format. Each message tracking log file has a header that contains the following information:

  • #Software: Der Wert ist Microsoft Exchange Server.#Software: The value is Microsoft Exchange Server.

  • #Version: Die Versionsnummer des Exchange-Servers, der die Protokolldatei zur Nachrichtenverfolgung erstellt hat. Der Wert wird im Format 15.01.nnnn.nnn angegeben.#Version: Version number of the Exchange server that created the message tracking log file. The value uses the format 15.01.nnnn.nnn.

  • #Log-Type: Der Wert ist Message Tracking Log.#Log-Type: The value is Message Tracking Log.

  • #Date: Datum und Uhrzeit (UTC) der Erstellung der Protokolldatei. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag. T gibt an, dass eine Zeitangabe folgt. hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde. Und Z steht für Zulu, eine weitere Möglichkeit zur Angabe von UTC.#Date: The UTC date-time when the log file was created. The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

  • #Fields: Kommagetrennte Feldnamen, die in den Nachrichtenverfolgungs-Protokolldateien verwendet werden.#Fields: Comma-delimited field names that are used in the message tracking log files.

Felder in den Protokolldateien für die NachrichtenverfolgungFields in the message tracking log files

Im Nachrichtenverfolgungsprotokoll werden die einzelnen Nachrichtenereignisse jeweils in einer einzelnen Zeile gespeichert. Die Nachrichtenereignisinformationen sind in Feldern organisiert, die durch Kommas voneinander getrennt sind. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind möglicherweise jedoch leer, oder der Informationstyp des Felds kann sich basierend auf dem Nachrichtenereignistyp und dem Dienst ändern, der das Ereignis aufgezeichnet hat. Allgemeine Beschreibungen der Felder, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in folgenden Tabelle erläutert.The message tracking log stores each message event on a single line in the log. The message event information is organized by fields, and these fields are separated by commas. The field name is generally descriptive enough to determine the type of information that it contains. However, some fields may be blank, or the type of information in the field may change based on the message event type and the service that recorded the event. General descriptions of the fields that are used to classify each message tracking event are explained in the following table.

FeldnameField name BeschreibungDescription
date-timedate-time Datum und Uhrzeit des Nachrichtenverfolgungsereignisses im UTC-Datums-/Uhrzeitformat. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag. T gibt an, dass eine Zeitangabe folgt. hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde. Und Z steht für Zulu, eine weitere Möglichkeit zur Angabe von UTC.The UTC date-time of the message tracking event. The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.
client-ipclient-ip Die IPv4- oder IPv6-Adresse des Messagingservers oder -clients, der die Nachricht übermittelt hat.The IPv4 or IPv6 address of the messaging server or messaging client that submitted the message.
client-hostnameclient-hostname Der Hostname oder FQDN des Messagingservers oder -clients, der die Nachricht übermittelt hat.The host name or FQDN of the messaging server or messaging client that submitted the message.
server-ipserver-ip Die IPv4- oder IPv6-Adresse des Quell- oder Zielservers.The IPv4 or IPv6 address of the source or destination server.
server-hostnameserver-hostname Der Hostname oder FQDN des Zielservers.The host name or FQDN of the destination server.
source-contextsource-context Zusätzliche Informationen, die zum Feld source gehören. Zum Beispiel:Extra information associated with the source field. For example:
CatContentConversion
250 2.0.0 OK;ClientSubmitTime:<UTC>
connector-idconnector-id Der Name des Sendeconnectors oder Empfangsconnectors, der die Nachricht akzeptiert. Beispiel: ServerName\ ConnectorName oder ConnectorName.The name of the Send connector or Receive connector that accepted the message. For example, ServerName\ ConnectorName or ConnectorName.
sourcesource Die für das Ereignis zuständige Exchange-Transportkomponente. Diese Werte werden im Abschnitt Quellwerte im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.The Exchange transport component that's responsible for the event. These values are described in the Source values in the message tracking log section later in this topic.
event-idevent-id Der Nachrichtenereignistyp. Diese Werte werden im Abschnitt Ereignistypen im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.The message event type. These values are described in the Event types in the message tracking log section later in this topic.
internal-message-idinternal-message-id Eine Nachrichten-ID, die von dem Exchange-Server zugewiesen wird, der die Nachricht aktuell verarbeitet.A message identifier that's assigned by the Exchange server that's currently processing the message.
Der Wert internal-message-id einer Nachricht ist im Nachrichtenverfolgungsprotokoll jedes exExchangeNoVersion-Servers unterschiedlich, der an der Zustellung der Nachricht beteiligt ist. Ein Beispielwert ist 73014444033.The internal-message-id of a message is different in the message tracking log of every Exchange server that's involved in the transmission of the message. An example value is 73014444033.
message-idmessage-id Der Wert des Kopfzeilenfelds Message-Id: im Nachrichtenkopf. Wenn das Kopfzeilenfeld Message-Id: nicht vorhanden oder leer ist, wird von Exchange ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant. Für in Exchange erstellte Nachrichten hat der Wert das Format <GUID@ServerFQDN> einschließlich der eckigen Klammern (< >). Beispiel: <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Andere Messagingsysteme können eine andere Syntax oder andere Werte verwenden.The value of the Message-Id: header field in the message header. If the Message-Id: header field doesn't exist or is blank, Exchange assigns an arbitrary value. This value is constant for the lifetime of the message. For messages created in Exchange, the value is in the format <GUID@ServerFQDN>, including the angle brackets (< >). For example, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Other messaging systems may use different syntax or values.
network-message-idnetwork-message-id Ein eindeutiger Nachrichten-ID-Wert, der bei Kopien der Nachricht erhalten bleibt, die ggf. durch eine Verzweigung oder Aufgliederung der Verteilergruppe erstellt wurden. Ein Beispielwert ist 1341ac7b13fb42ab4d4408cf7f55890f.A unique message ID value that persists across copies of the message that may be created due to bifurcation or distribution group expansion. An example value is 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-addressrecipient-address Die E-Mail-Adresse des Empfängers der Nachricht. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.The email addresses of the message's recipients. Multiple email addresses are separated by the semicolon character (;).
recipient-statusrecipient-status Der Empfängerstatus jedes Empfängers getrennt durch ein Semikolon (;). Die Statuswerte werden für die Empfänger in derselben Reihenfolge wie die Werte im Feld recipient-address dargestellt. Beispielstatuswerte sind:The recipient status for each recipient separated by the semicolon character (;). The status values are presented for the recipients in the same order as the values in the recipient-address field. Example status values include:
To, Cc oder BccTo, Cc or Bcc
250 2.1.5 Recipient OK
550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytestotal-bytes Die Gesamtgröße der Nachricht, einschließlich Anlagen, in Byte.The total size of the message in bytes, including all attachments.
recipient-countrecipient-count Gesamtzahl der Empfänger für die Nachricht.The total number of recipients in the message.
related-recipient-addressrelated-recipient-address Dieses Feld wird mit Ereignissen vom Typ EXPAND, REDIRECT, and RESOLVE verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.This field is used with EXPAND, REDIRECT, and RESOLVE events to display other recipient email addresses that are associated with the message.
referencereference Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Beispiel:This field contains additional information for specific types of events. For example:
DSN : Enthält den Berichtslink, bei dem es sich um den Message-Id-Wert der dazugehörigen Benachrichtigung über den Zustellungsstatus handelt (auch als DNS, Unzustellbarkeitsnachricht oder NDR bezeichnet), falls eine solche im Anschluss an dieses Ereignis generiert wird. Wenn es sich um eine Benachrichtigung über den Zustellungsstatus handelt, enthält das Feld Reference den Message-Id-Wert der ursprünglichen Nachricht, für die diese Benachrichtigung über den Zustellungsstatus generiert wurde.DSN: Contains the report link, which is the Message-Id value of the associated delivery status notification (also known as a DSN, bounce message, non-delivery report, or NDR) if a DSN is generated subsequent to this event. If this is a DSN message, the Reference field contains the Message-Id value of the original message that the DSN was generated for.
EXPAND: Enthält den related-recipient-address-Wert der dazugehörigen Nachrichten.EXPAND: Contains the related-recipient-address value of the related messages.
RECEIVE: Kann den Message-Id-Wert der dazugehörigen Nachricht enthalten, wenn die Nachricht durch andere Prozesse generiert wird, z. B. Journal- oder Posteingangsregeln.RECEIVE: May contain the Message-Id value of the related message if the message was generated by other processes, for example, journaling or inbox rules.
SEND: Enthält den Internal-Message-Id-Wert beliebiger Benachrichtigungen über den Zustellungsstatus.SEND: Contains the Internal-Message-Id value of any DSN messages.
THROTTLE: Enthält den Grund, warum die Nachricht eingeschränkt wurde.THROTTLE: Contains the reason why the message was throttled.
TRANSFER: Enthält den Internal-Message-Id-Wert der Nachricht, die verzweigt wird.TRANSFER: Contains the Internal-Message-Id value of the message that's being forked.
Von Posteingangsregeln generierte Nachrichten: Enthält den Internal-Message-Id-Wert der eingehenden Nachricht, die bewirkt hat, dass die Posteingangsregel die ausgehende Nachricht generiert hat.Message generated by inbox rules: Contains the Internal-Message-Id value of the inbound message that caused the inbox rule to generate the outbound message.
Nachrichten aufgespalten: enthält möglicherweise die intern-Nachrichten-Id Wert.Forked messages: Might contain the Internal-Message-Id value.
Für andere Ereignistypen ist dieses Feld zumeist leer.For other types of events, this field is usually blank.
message-subjectmessage-subject Der Nachrichtenbetreff aus dem Kopfzeilenfeld Subject:. Die Nachverfolgen von Nachrichtenbetreffs wird über den Parameter MessageTrackingLogSubjectLoggingEnabled im Cmdlet Set-TransportService gesteuert. Die Nachrichtenbetreffverfolgung ist in der Standardeinstellung aktiviert.The message's subject found in the Subject: header field. The tracking of message subjects is controlled by the MessageTrackingLogSubjectLoggingEnabled parameter on the Set-TransportService cmdlet. By default, message subject tracking is enabled.
sender-addresssender-address Die E-Mail-Adresse, die im Kopfzeilenfeld Absender: angegeben ist, oder das Kopfzeilenfeld Von: (falls das Kopfzeilenfeld Absender: nicht vorhanden ist).The email address specified in the Sender: header field, or the From: header field if the Sender: field doesn't exist.
return-pathreturn-path Die E-Mail-Adresse des Absenders, die vom Befehl MAIL FROM angegeben wurde, der die Nachricht gesendet hat. Zwar ist dieses Feld niemals leer, es kann jedoch den Absenderadresswert Null enthalten, der als <> dargestellt wird.The return email address specified by the MAIL FROM command that sent the message. Although this field is never empty, it can have the null sender address value represented as <>.
message-infomessage-info Weitere Informationen zur Nachricht. Beispiel:Additional information about the message. For example:
UTC-Datum/Uhrzeit des Nachrichtenursprungs für die Ereignisse DELIVER und SEND. Hierbei handelt es sich um den Zeitpunkt, zu dem die Nachricht erstmals in die Exchange-Organisation eingetreten ist. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag. T gibt an, dass eine Zeitangabe folgt. hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde. Und Z steht für Zulu, eine weitere Möglichkeit zur Angabe von UTC.The message origination date-time in UTC for DELIVER and SEND events. The origination date-time is the time when the message first entered the Exchange organization. The UTC date-time is represented in the ISO 8601 date-time format: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.
Authentifizierungsfehler. Bei Auftreten von Authentifizierungsfehlern werden ggf. der Wert 11a und der Typ der verwendeten Authentifizierung angezeigt, als der Authentifizierungsfehler auftrat.Authentication errors. For example, you may see the value 11a and the type of authentication that was used when the authentication error occurred.
directionalitydirectionality Die Richtung der Nachricht. Beispielwerte sind Incoming, Undefined und Originating.The direction of the message. Example values include Incoming, Undefined, and Originating.
tenant-idtenant-id Dieses Feld wird in lokalen Exchange-Organisationen nicht verwendet.This field isn't used in on-premises Exchange organizations.
original-client-iporiginal-client-ip Die IPv4- oder IPv6-Adresse des ursprünglichen Clients.The IPv4 or IPv6 address of the original client.
original-server-iporiginal-server-ip Die IPv4- oder IPv6-Adresse des ursprünglichen Servers.The IPv4 or IPv6 address of the original server.
custom-datacustom-data Dieses Feld enthält Daten in Bezug auf einen bestimmten Ereignistyp. Beispielsweise nutzt der Transportregel-Agent dieses Feld zum Aufzeichnen der GUID der E-Mail-Flussregel (auch als Transportregel bezeichnet) oder DLP-Richtlinie, die auf die Nachricht angewendet wurde. Weitere Informationen zu diesen Transportregel-Agent-Werten finden Sie im Abschnitt "Datenprotokollierung" im Thema Verwaltung der DLP-Richtlinienerkennung.This field contains data related to specific event types. For example, the Transport Rule agent uses this field to record the GUID of the mail flow rule (also known as a transport rule) or DLP policy that acted on the message. For more information about these Transport Rule agent values, see the "Data logging" section in the DLP Policy Detection Management topic,
transport-traffic-typetransport-traffic-type In Exchange (lokal) ist dieses Feld ist leer oder hat den Wert Email.In on-premises Exchange, this field is blank or has the value Email.
log-idlog-id Ein eindeutiger Bezeichner für eine Zeile im Nachrichtenverfolgungsprotokoll. Dieses Feld ist in lokalen Exchange-Organisationen nicht wichtig.A unique identifier for a row in the in the message tracking log. This field isn't important in on-premises Exchange organizations.
schema-versionschema-version Versionsnummer des Exchange-Servers, mit der der Eintrag im Nachrichtenverfolgungsprotokoll erstellt wurde. Der Wert verwendet das Format 15.01.nnnn.nnn.Version number of the Exchange server that created the entry in the message tracking log. The value uses the format 15.01.nnnn.nnn.

Ereignistypen im NachrichtenverfolgungsprotokollEvent types in the message tracking log

Verschiedene Ereignistypen im Feld event-id dienen zum Klassifizieren der Nachrichtenereignisse im Nachrichtenverfolgungsprotokoll. Einige Nachrichtenereignisse werden nur in einem Typ von Protokolldatei für die Nachrichtenverfolgung angezeigt, andere hingegen in allen. Die Ereignistypen, die zum Klassifizieren der einzelnen Nachrichtenereignisse verwendet werden, sind in Tabelle 1 beschrieben.Various event types in the event-id field are used to classify the message events in the message tracking log. Some message events appear in only one type of message tracking log file, and some message events appear in all types of message tracking log files. The events types that are used to classify each message event are explained in the following table.

EreignisnameEvent name BeschreibungDescription
AGENTINFOAGENTINFO Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren.This event is used by transport agents to log custom data.
BADMAILBADMAIL Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.A message submitted by the Pickup directory or the Replay directory that can't be delivered or returned.
CLIENTSUBMISSIONCLIENTSUBMISSION Eine Nachricht wurde aus dem Postausgang eines Postfachs übermittelt.A message was submitted from the Outbox of a mailbox.
DEFERDEFER Die Nachrichtenzustellung wurde verzögert.Message delivery was delayed.
DELIVERDELIVER Eine Nachricht wurde an ein lokales Postfach zugestellt.A message was delivered to a local mailbox.
DELIVERFAILDELIVERFAIL Ein Agent hat versucht, die Nachricht an einen Ordner zu übermitteln, der in dem Postfach nicht vorhanden ist.An agent tried to deliver the message to a folder that doesn't exist in the mailbox.
DROPDROP Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel:A message was dropped without a delivery status notification (also known as a DSN, bounce message, non-delivery report, or NDR). For example:
• Die Moderation von Genehmigungsanforderungsnachrichten wurde abgeschlossen.• Completed moderation approval request messages.
• Spamnachrichten, die ohne NDR im Hintergrund gelöscht wurden.• Spam messages that were silently dropped without an NDR.
DSNDSN Eine Benachrichtigung über den Zustellungsstatus wurde generiert.A delivery status notification (DSN) was generated.
DUPLICATEDELIVERDUPLICATEDELIVER Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.A duplicate message was delivered to the recipient. Duplication may occur if a recipient is a member of multiple nested distribution groups. Duplicate messages are detected and removed by the information store.
DUPLICATEEXPANDDUPLICATEEXPAND Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt.During the expansion of the distribution group, a duplicate recipient was detected.
DUPLICATEREDIRECTDUPLICATEREDIRECT Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger.An alternate recipient for the message was already a recipient.
EXPANDEXPAND Eine Verteilergruppe wurde erweitert.A distribution group was expanded.
FAILFAIL Bei der Nachrichtenzustellung ist ein Fehler aufgetreten. Quellen sind u. a. SMTP, DNS, QUEUE und ROUTING.Message delivery failed. Sources include SMTP, DNS, QUEUE, and ROUTING.
HADISCARDHADISCARD Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz in Exchange Server.A shadow message was discarded after the primary copy was delivered to the next hop. For more information, see Shadow redundancy in Exchange Server.
HARECEIVEHARECEIVE Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen.A shadow message was received by the server in the local database availability group (DAG) or Active Directory site.
HAREDIRECTHAREDIRECT Eine Shadow-Nachricht erstellt wurde.A shadow message was created.
HAREDIRECTFAILHAREDIRECTFAIL Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert.A shadow message failed to be created. The details are stored in the source-context field.
INITMESSAGECREATEDINITMESSAGECREATED Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Moderated Transport.A message was sent to a moderated recipient, so the message was sent to the arbitration mailbox for approval. For more information, see Moderated Transport.
LOADLOAD Eine Nachricht wurde erfolgreich beim Starten geladen.A message was successfully loaded at boot.
MODERATIONEXPIREMODERATIONEXPIRE Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Moderated Transport.A moderator for a moderated recipient never approved or rejected the message, so the message expired. For more information about moderated recipients, see Moderated Transport.
MODERATORAPPROVEMODERATORAPPROVE Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde.A moderator for a moderated recipient approved the message, so the message was delivered to the moderated recipient.
MODERATORREJECTMODERATORREJECT Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde.A moderator for a moderated recipient rejected the message, so the message wasn't delivered to the moderated recipient.
MODERATORSALLNDRMODERATORSALLNDR Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten (auch als NDR bezeichnet) geführt hat.All approval requests sent to all moderators of a moderated recipient were undeliverable, and resulted in non-delivery reports (also known as NDRs or bounce messages).
NOTIFYMAPINOTIFYMAPI Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt.A message was detected in the Outbox of a mailbox on the local server.
NOTIFYSHADOWNOTIFYSHADOW Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden.A message was detected in the Outbox of a mailbox on the local server, and a shadow copy of the message needs to be created.
POISONMESSAGEPOISONMESSAGE Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.A message was put in the poison message queue or removed from the poison message queue.
PROCESSPROCESS Die Nachricht wurde erfolgreich verarbeitet.The message was successfully processed.
PROCESSMEETINGMESSAGEPROCESSMEETINGMESSAGE Eine Besprechungsnachricht wurde vom Postfachtransport-Zustellungsdienst verarbeitet.A meeting message was processed by the Mailbox Transport Delivery service.
RECEIVERECEIVE Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: SMTP), oder eine Nachricht wurde aus einem Postfach an den Postfachtransport-Übermittlungsdienst gesendet (Quelle: STOREDRIVER).A message was received by the SMTP receive component of the transport service or from the Pickup or Replay directories (source: SMTP), or a message was submitted from a mailbox to the Mailbox Transport Submission service (source: STOREDRIVER).
REDIRECTREDIRECT Eine Nachricht wurde nach einer Active Directory-Suche an einen alternativen Empfänger umgeleitet.A message was redirected to an alternative recipient after an Active Directory lookup.
RESOLVERESOLVE Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst.A message's recipients were resolved to a different email address after an Active Directory lookup.
RESUBMITRESUBMIT Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz in Exchange Server.A message was automatically resubmitted from Safety Net. For more information, see Safety Net in Exchange Server.
RESUBMITDEFERRESUBMITDEFER Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt.A message resubmitted from Safety Net was deferred.
RESUBMITFAILRESUBMITFAIL Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht.A message resubmitted from Safety Net failed.
SENDSEND Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet.A message was sent by SMTP between transport services.
SUBMITSUBMIT Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details: The Mailbox Transport Submission service successfully transmitted the message to the Transport service. For SUBMIT events, the source-context property contains the following details:
MDB: Die Postfachdatenbank-GUID.MDB: The mailbox database GUID.
Mailbox: Die Postfach-GUID.Mailbox: The mailbox GUID.
Event: Die Ereignissequenznummer.Event: The event sequence number.
MessageClass: Der Typ der Nachricht. Beispiel: IPM.Note.MessageClass: The type of message. For example, IPM.Note.
CreationTime: Datum / Uhrzeit des der Nachrichtenübermittlung.CreationTime: Date-time of the message submission.
ClientType: Beispiel: User, OWA oder ActiveSync.ClientType: For example, User, OWA, or ActiveSync.
SUBMITDEFERSUBMITDEFER Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt.The message transmission from the Mailbox Transport Submission service to the Transport service was deferred.
SUBMITFAILSUBMITFAIL Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst.The message transmission from the Mailbox Transport Submission service to the Transport service failed.
SUPPRESSEDSUPPRESSED Die Nachrichtenübertragung wurde unterdrückt.The message transmission was suppressed.
THROTTLETHROTTLE Die Nachricht wurde eingeschränkt.The message was throttled.
TRANSFERTRANSFER Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben. Quellen sind u. a. ROUTING oder QUEUE.Recipients were moved to a forked message because of content conversion, message recipient limits, or agents. Sources include ROUTING or QUEUE.

Quellwerte im NachrichtenverfolgungsprotokollSource values in the message tracking log

Die Werte im Feld source im Nachrichtenverfolgungsprotokoll geben die Transportkomponente an, die für das Nachrichtenverfolgungsereignis zuständig ist. In der folgenden Tabelle werden die Werte des Felds source beschrieben.The values in the source field in the message tracking log indicate the transport component that's responsible for the message tracking event. The following table describes the values of the source field.

Wert von „source“Source value BeschreibungDescription
ADMINADMIN Die Ereignisquelle war menschliches Eingreifen. Beispiel: Ein Administrator hat in der Warteschlangenanzeige eine Nachricht gelöscht oder Nachrichtendateien mithilfe des Wiedergabeverzeichnisses übermittelt.The event source was human intervention. For example, an administrator used Queue Viewer to delete a message, or submitted message files using the Replay directory.
AGENTAGENT Die Ereignisquelle war ein Transport-Agent.The event source was a transport agent.
APPROVALAPPROVAL Die Ereignisquelle war das Genehmigungssystem, das mit moderierten Empfänger verwendet wird. Weitere Informationen finden Sie unter Moderierter Transport.The event source was the approval framework that's used with moderated recipients. For more information, see Moderated Transport.
BOOTLOADERBOOTLOADER Die Ereignisquelle waren nicht verarbeitete Nachrichten, die auf dem Server beim Start vorhanden sind. Dies bezieht sich auf den Ereignistyp LOAD.The event source was unprocessed messages that exist on the server at boot time. This is related to the LOAD event type.
DNSDNS Die Ereignisquelle war DNS.The event source was DNS.
DSNDSN Die Ereignisquelle war eine Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet).The event source was a delivery status notification (also known as a DSN, bounce message, non-delivery report, or NDR).
GATEWAYGATEWAY Die Ereignisquelle war ein fremder Connector. Weitere Informationen finden Sie unter Fremde Connectors.The event source was a Foreign connector. For more information, see Foreign Connectors.
MAILBOXRULEMAILBOXRULE Die Ereignisquelle war eine Posteingangsregel. Weitere Informationen finden Sie unter Posteingangsregeln.The event source was an Inbox rule. For more information, see Inbox rules.
MEETINGMESSAGEPROCESSORMEETINGMESSAGEPROCESSOR Die Ereignisquelle war die Verarbeitung der Besprechungsnachrichten, die Kalender basierend auf Besprechungsaktualisierungen aktualisiert.The event source was the meeting message processor, which updates calendars based on meeting updates.
ORARORAR Die Quelle war ein Originator Requested Alternate Recipient (ORAR, vom Absender angeforderter Alternativempfänger). Über den Parameter OrarEnabled für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector können Sie Unterstützung für ORAR oder Empfangsconnectors aktivieren oder deaktivieren.The event source was an Originator Requested Alternate Recipient (ORAR). You can enable or disable support for ORAR on Receive connectors using the OrarEnabled parameter on the New-ReceiveConnector or Set-ReceiveConnector cmdlets.
PICKUPPICKUP Die Ereignisquelle war das PICKUP-Verzeichnis. Weitere Informationen finden Sie unter PICKUP-Verzeichnis und Wiedergabeverzeichnis.The event source was the Pickup directory. For more information, see Pickup Directory and Replay Directory.
POISONMESSAGEPOISONMESSAGE Die Ereignisquelle war die ID einer nicht verarbeitbaren Nachricht. Weitere Informationen zu nicht verarbeitbaren Nachrichten und zur Warteschlange für nicht verarbeitbare Nachrichten finden Sie unter Warteschlangen und Nachrichten in Warteschlangen.The event source was the poison message identifier. For more information about poison messages and the poison message queue, see Queues and messages in queues
PUBLICFOLDERPUBLICFOLDER Die Ereignisquelle war ein E-Mail-aktivierter öffentliche Ordner.The event source was a mail-enabled public folder.
QUEUEQUEUE Die Ereignisquelle war eine Warteschlange.The event source was a queue.
REDUNDANCYREDUNDANCY Die Ereignisquelle war Shadow-Redundanz. Weitere Informationen finden Sie unter Shadow-Redundanz in Exchange Server.The event source was Shadow Redundancy. For more information, see Shadow redundancy in Exchange Server.
ROUTINGROUTING Die Ereignisquelle war die Routingauflösungskomponente des Kategorisierungsmoduls im Transportdienst.The event source was the routing resolution component of the categorizer in the Transport service.
SAFETYNETSAFETYNET Die Ereignisquelle war das Sicherheitsnetz. Weitere Informationen finden Sie unter Sicherheitsnetz in Exchange Server.The event source was Safety Net. For more information, see Safety Net in Exchange Server.
SMTPSMTP Die Nachricht wurde von der SMTP-Sende- oder SMTP-Empfangskomponente des Transportdiensts übermittelt.The message was submitted by the SMTP send or SMTP receive component of the transport service.
STOREDRIVERSTOREDRIVER Die Ereignisquelle war eine MAPI-Übermittlung aus einem Postfach auf dem lokalen Server.The event source was a MAPI submission from a mailbox on the local server.

Beispieleinträge im NachrichtenverfolgungsprotokollExample entries in the message tracking log

Eine ereignislose Nachricht, die zwischen zwei Benutzern gesendet wurde, generiert mehrere Einträge im Nachrichtenverfolgungsprotokoll. Sie können die Ergebnisse mit dem Cmdlet Get-MessageTrackingLog überprüfen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.An uneventful message sent between two users generates several entries in the message tracking log. You can see the results using the Get-MessageTrackingLog cmdlet. For more information, see Search message tracking logs.

Dies ist ein Beispiel für Einträge im Nachrichtenverfolgungsprotokoll, die erstellt wurden, als der Benutzer "chris@contoso.com" erfolgreich eine Testnachricht an die Benutzerin "michelle@contoso.com" gesendet hat. Beide Benutzer haben Postfächer auf demselben Server.This is an example of the message tracking log entries created when the user chris@contoso.com successfully sends a test message to the user michelle@contoso.com. Both users have mailboxes on the same server.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Sicherheitsüberlegungen zum NachrichtenverfolgungsprotokollSecurity concerns for the message tracking log

Im Nachrichtenverfolgungsprotokoll wird kein Nachrichteninhalt gespeichert. Standardmäßig wird die Betreffzeile einer E-Mail-Nachricht im Nachrichtenverfolgungsprotokoll gespeichert. Sie müssen möglicherweise die Betreffprotokollierung deaktivieren, um den erhöhten Anforderungen an Sicherheit und Datenschutz gerecht zu werden. Anweisungen zum Deaktivieren der Betreffprotokollierung finden Sie unter Konfigurieren der Nachverfolgung.No message content is stored in the message tracking log. By default, the subject line of an email message is stored in the message tracking log. You might need to disable subject logging to comply with increased security or privacy requirements. For instructions on how to disable subject logging, see Configure message tracking.