Nachrichtenablaufverfolgung im neuen Exchange Admin Center in Exchange Online

  • Artikel

Die Nachrichtenablaufverfolgung im neuen Exchange Admin Center (EAC) folgt E-Mail-Nachrichten, während sie Ihre Microsoft 365-organization durchlaufen. Sie können ermitteln, ob der Dienst eine Nachricht empfangen, abgelehnt, verzögert oder zugestellt hat. Die Nachrichtenablaufverfolgung zeigt auch, welche Aktionen für die Nachricht ausgeführt wurden, bevor sie ihre endgültige status erreicht hat.

Die Nachrichtenablaufverfolgung im neuen EAC verbessert die ursprüngliche Nachrichtenablaufverfolgung, die im klassischen EAC verfügbar war. Sie können die Informationen aus der Nachrichtenablaufverfolgung verwenden, um Benutzerfragen zu den Vorgängen mit Nachrichten effizient zu beantworten, Probleme mit dem Nachrichtenfluss zu beheben und Richtlinienänderungen zu überprüfen.

Was sollten Sie wissen, bevor Sie beginnen?

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Exchange Online Berechtigungen: Mitgliedschaft in der Rollengruppe "Organisationsverwaltung".
    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator" oder "Exchange-Administrator" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

  • Die maximale Anzahl von Nachrichten, die in den Ergebnissen angezeigt werden, hängt vom ausgewählten Berichtstyp ab. Weitere Informationen finden Sie unter Ergebnisse der Nachrichtenablaufverfolgung. Das Cmdlet Get-HistoricalSearch in Exchange Online PowerShell gibt alle Nachrichten in den Ergebnissen zurück.

Öffnen der Nachrichtenablaufverfolgung

Wechseln Sie im neuen EAC unter https://admin.exchange.microsoft.comzuNachrichtenfluss-Nachrichtenablaufverfolgung>. Oder verwenden Sie , um direkt zur Seite Nachrichtenablaufverfolgung zu wechseln https://admin.exchange.microsoft.com/#/messagetrace.

Seite "Nachrichtenablaufverfolgung"

Auf der Seite Nachrichtenablaufverfolgung können Sie eine neue Standardablaufverfolgung starten, indem Sie Ablaufverfolgung starten auswählen.

Im flyout Neue Nachrichtenablaufverfolgung , das geöffnet wird, sucht die Standardauswahl nach allen Nachrichten für alle Absender und Empfänger der letzten zwei Tage. Alternativ können Sie eine der gespeicherten Abfragen auf den verfügbaren Registerkarten verwenden (unverändert oder als Ausgangspunkt für Ihre eigenen Abfragen):

  • Standardabfragen: Integrierte Abfragen, die von Microsoft 365 bereitgestellt werden.
  • Benutzerdefinierte Abfragen: Abfragen, die von Administratoren in Ihrem organization zur zukünftigen Verwendung gespeichert werden.
  • Automatisch gespeicherte Abfragen: Die letzten 10 zuletzt ausgeführten Abfragen. Diese Liste macht es einfach, dort weiter zu machen, wo Sie aufgehört haben.

Auf der Registerkarte Herunterladbare Berichte werden die herunterladbaren Berichtsanforderungen und die Berichte selbst angezeigt, sobald sie zum Download verfügbar sind.

Die Seite

Optionen für eine neue Nachrichtenablaufverfolgung

In den folgenden Abschnitten werden die verfügbaren Einstellungen im Flyout Neue Nachrichtenablaufverfolgung beschrieben, das geöffnet wird, wenn Sie Ablaufverfolgung starten auswählen oder eine vorhandene Ablaufverfolgung öffnen.

Das Flyout

Absender und Empfänger

Der Standardwert für Absender und Empfänger ist Alle, Aber Sie können bestimmte Werte eingeben:

  • Absender: Klicken Sie in das Feld, und beginnen Sie mit der Eingabe, um einen oder mehrere Absender aus Ihrem organization einzugeben oder auszuwählen.
  • Empfänger: Klicken Sie in das Feld, und beginnen Sie mit der Eingabe, um einen oder mehrere Empfänger in Ihre organization einzugeben oder auszuwählen.

Sie können die E-Mail-Adressen externer Absender und Empfänger eingeben. Wildcards werden unterstützt (z. B *@contoso.com. ), aber Sie können nicht mehrere Wildcards in einem Wert verwenden.

Sie können mehrere Absender- oder Empfängerlisten einfügen, die durch Semikolons (;), Leerzeichen (\s), Wagenrückläufe (\r) oder neue Zeilen (\n) getrennt sind.

Zeitbereich

Im Abschnitt Zeitbereich ist der Standardwert 2 Tage, Aber Sie können Datums-/Uhrzeitbereiche bis zu 90 Tage angeben. Wenn Sie Datums-/Uhrzeitbereiche verwenden, sollten Sie die folgenden Probleme berücksichtigen:

  • Standardmäßig wählen Sie den Zeitbereich in der Schieberegleransicht mit einem Zeitleiste aus.

    Ein Schieberegler-Zeitbereich in einer neuen Nachrichtenablaufverfolgung im neuen EAC.

    Beim Speichern einer Abfrage in der Schieberegleransicht wird der relative Zeitbereich (z. B. zwei Tage ab heute) gespeichert.

  • Sie können zur Ansicht Benutzerdefinierter Zeitbereich wechseln, um die folgenden Werte anzugeben:

    • Zeitzone: Gilt für Ihre Abfrageeingaben und Abfrageergebnisse.
    • Startdatum: Datum und Uhrzeit.
    • Enddatum: Datum und Uhrzeit.

    Ein benutzerdefinierter Zeitbereich in einer neuen Nachrichtenablaufverfolgung im neuen EAC.

    Beim Speichern einer Abfrage in der Benutzerdefinierten Zeitbereichsansicht wird der absolute Datums-/Uhrzeitbereich gespeichert (z. B 2023-05-06 13:00 to 2023-05-08 18:00. ).

Für maximal 10 Tage stehen die Ergebnisse sofort als Zusammenfassungsbericht zur Verfügung.

Wenn Sie einen Datums-/Uhrzeitbereich angeben, der sogar etwas größer als 10 Tage ist:

  • Die Ergebnisse sind nur als herunterladbare CSV-Datei ( erweiterter Zusammenfassungsbericht oder erweiterter Bericht) verfügbar.
  • Die Ergebnisse werden mithilfe archivierter Nachrichtenablaufverfolgungsdaten vorbereitet. Es kann mehrere Stunden dauern, bis der Bericht heruntergeladen werden kann. Je nachdem, wie viele andere Administratoren ebenfalls etwa gleichzeitig Berichtsanforderungen übermittelt haben, kann es auch vorkommen, dass die Verarbeitung einer Anforderung in der Warteschlange verzögert wird.

Detaillierte Suchoptionen

Im Abschnitt Detaillierte Suchoptionen sind die folgenden Optionen verfügbar:

  • Übermittlung status: Die folgenden Werte sind verfügbar:

    • Alle: Dies ist der Standardwert.
    • Übermittelt: Die Nachricht wurde erfolgreich an das beabsichtigte Ziel übermittelt.
    • Erweitert: Ein Verteilergruppenempfänger wurde vor der Übermittlung an die einzelnen Mitglieder der Gruppe erweitert.
    • Fehler: Die Nachricht wurde nicht zugestellt.
    • Ausstehend*: Es wird versucht, die Nachricht zu übermitteln oder erneut zu aktualisieren.
    • Unter* Quarantäne: Die Nachricht wurde unter Quarantäne gesetzt (als Spam, Massen-E-Mail oder Phishing). Weitere Informationen finden Sie unter Isolierte E-Mail-Nachrichten in EOP.
    • Als Spam* gefiltert: Die Nachricht wurde als Spam identifiziert und abgelehnt oder blockiert (nicht unter Quarantäne).
    • Abrufen status: Die Nachricht wurde kürzlich von Microsoft 365 empfangen, aber es sind noch keine anderen status Daten verfügbar. Sie können dies innerhalb weniger Minuten erneut überprüfen.

    * Dieser Wert ist nur in Suchvorgängen verfügbar, die weniger als 10 Tage dauern. Wenn Sie Daten abfragen müssen, die älter als 10 Tage sind, verwenden Sie das Cmdlet Start-HistoricalSearch in Exchange Online PowerShell.

    Hinweis

    Es kann eine Verzögerung von fünf bis zehn Minuten zwischen den gemeldeten und tatsächlichen und gemeldeten Übermittlungswerten status.

  • Nachrichten-ID: Die Internetnachrichten-ID (auch als Client-ID bezeichnet), die sich im Headerfeld Message-ID befindet. Benutzer können Ihnen diesen Wert geben, um bestimmte Nachrichten zu untersuchen.

    Dieser Wert ist für die Lebensdauer der Nachricht konstant. Für Nachrichten, die in Microsoft 365 oder Exchange erstellt wurden, verwendet der Wert der Nachrichten-ID das Format <GUID@ServerFQDN>, einschließlich der gewinkelten Klammern. Beispiel: <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Andere E-Mail-Systeme können unterschiedliche Syntax oder Werte verwenden. Dieser Wert soll eindeutig sein, aber nicht alle E-Mail-Systeme erfüllen diese Anforderung streng. Wenn das Headerfeld Message-ID: nicht vorhanden oder für eingehende Nachrichten aus externen Quellen leer ist, wird ein beliebiger Wert zugewiesen.

    Wenn Sie die Ergebnisse mithilfe der Nachrichten-ID filtern, stellen Sie sicher, dass Sie die vollständige Zeichenfolge einschließlich aller gewinkelten Klammern einschließen.

  • Richtung: Wählen Sie einen der folgenden Werte aus:

    • Alle: Dies ist der Standardwert.
    • Eingehend: Nachrichten, die an Empfänger in Ihrem organization gesendet werden.
    • Ausgehend: Nachrichten, die von Benutzern in Ihrem organization gesendet werden.

  • Ursprüngliche Client-IP-Adresse: Die IP-Adresse des Clientcomputers oder Geräts des E-Mail-Absenders. Sie können diesen Filter verwenden, um gehackte Computer zu untersuchen, die große Mengen an Spam oder Schadsoftware senden. Obwohl die Nachrichten von mehreren Absendern stammen, ist es wahrscheinlich, dass derselbe Computer alle Nachrichten generiert.

    Hinweis

    Client-IP-Adressinformationen sind nur für 10 Tage und nur im Erweiterten Zusammenfassungsbericht oder im erweiterten Bericht (herunterladbare CSV-Dateien) verfügbar.

Berichttyp

Folgende Berichtstypen sind verfügbar:

  • Zusammenfassungsbericht: Verfügbar, wenn der Zeitbereich weniger als 10 Tage beträgt und keine anderen Filteroptionen erforderlich sind. Die Ergebnisse sind fast unmittelbar nach der Auswahl von Search verfügbar. Der Bericht gibt bis zu 20.000 Ergebnisse zurück.

    Wählen Sie Search aus, um die Nachrichtenablaufverfolgung zu starten. Sie gelangen zur Seite mit den Suchergebnissen der Nachrichtenablaufverfolgung , wie im Abschnitt Zusammenfassungsberichtsausgabe beschrieben.

    Die letzten 10 Zusammenfassungsberichtsabfragen sind auf der Registerkarte Automatisch gespeicherte Abfragen auf der Seite Nachrichtenablaufverfolgung verfügbar.

  • Erweiterter Zusammenfassungsbericht: Enthält die Informationen im Zusammenfassungsbericht sowie weitere Details (z. B. Richtung und ursprüngliche Client-IP-Adresse). Nur als herunterladbare CSV-Datei verfügbar. Der Bericht gibt bis zu 100.000 Ergebnisse zurück.

  • Erweiterter Bericht: Enthält die gleichen Informationen wie der erweiterte Zusammenfassungsbericht sowie umfassende Routing- und Nachrichtenereignisdetails. Nur als herunterladbare CSV-Datei verfügbar. Der Bericht gibt bis zu 1.000 Ergebnisse zurück.

    Der Erweiterte Zusammenfassungsbericht und der erweiterte Bericht erfordern eine oder mehrere der folgenden Filteroptionen, unabhängig vom Zeitraum: Absender, Empfänger oder Nachrichten-ID.

    Der erweiterte Zusammenfassungsbericht und der erweiterte Bericht werden mithilfe archivierter Nachrichtenablaufverfolgungsdaten vorbereitet. Es kann mehrere Stunden dauern, bis der Bericht heruntergeladen werden kann. Je nachdem, wie viele andere Administratoren ebenfalls etwa gleichzeitig Berichtsanforderungen übermittelt haben, kann es auch vorkommen, dass die Verarbeitung einer Anforderung in der Warteschlange verzögert wird.

    Während Sie den Erweiterten Zusammenfassungsbericht oder erweiterten Bericht für einen beliebigen Datums-/Uhrzeitbereich auswählen können, sind die archivierten Daten der letzten 24 Stunden in der Regel nicht verfügbar.

    Die maximale Größe für eine herunterladbare CSV-Datei beträgt 800 MB. Wenn ein herunterladbarer Bericht 800 MB überschreitet, können Sie den Bericht nicht in Excel oder Editor öffnen.

    Wenn Sie Weiter auswählen, gelangen Sie zu einem Zusammenfassungs-Flyout, das die ausgewählten Filteroptionen, einen eindeutigen (bearbeitbaren) Titel für den Bericht und die E-Mail-Adresse auflistet, an der die Benachrichtigung nach Abschluss der Nachrichtenablaufverfolgung empfangen werden soll (auch bearbeitbar und muss sich in einer der akzeptierten Domänen Ihres organization befinden).

    Wählen Sie Bericht vorbereiten aus, um die Nachrichtenablaufverfolgung zu übermitteln. Die status des Berichts finden Sie auf der Registerkarte Herunterladbare Berichte. Weitere Informationen zu den zurückgegebenen Daten finden Sie in den Abschnitten Erweiterte Zusammenfassungsberichte und Erweiterte Berichte.

Ergebnisse der Nachrichtenablaufverfolgung

Die verschiedenen Berichtstypen geben unterschiedliche Informationsebenen zurück. Die informationen, die in den verschiedenen Berichten verfügbar sind, werden in den folgenden Abschnitten beschrieben:

Zusammenfassungsberichtsausgabe

Nachdem Sie die Nachrichtenablaufverfolgung ausgeführt haben, werden die Ergebnisse nach absteigender Datum/Uhrzeit sortiert (die letzten Ereignisse zuerst).

Der Zusammenfassungsbericht enthält die folgenden Informationen:

  • Datum: Das Datum und die Uhrzeit, zu dem die Nachricht vom Dienst unter Verwendung der konfigurierten UTC-Zeitzone empfangen wurde.
  • Absender: Die E-Mail-Adresse des Absenders (Aliasdomäne@).
  • Empfänger: Die E-Mail-Adresse des Empfängers. Wenn die Nachricht über mehrere Empfänger verfügt, befindet sich jeder Empfänger in einer separaten Zeile. Wenn der Empfänger eine Verteilergruppe, eine dynamische Verteilergruppe oder eine E-Mail-aktivierte Sicherheitsgruppe ist, ist die Gruppe der erste Empfänger, gefolgt von jedem Gruppenmitglied in einer separaten Zeile.
  • Betreff: Die ersten 256 Zeichen des Felds Betreff: der Nachricht.
  • Status: Diese Werte werden im Abschnitt Detaillierte Suchoptionen beschrieben.

Standardmäßig sind die ersten 250 Ergebnisse geladen und sofort verfügbar. Wenn Sie nach unten scrollen, gibt es eine leichte Pause, wenn der nächste Batch von Ergebnissen geladen wird, bis zu einem Maximum von 10.000.

Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Auf der Registerkarte Email können Sie den vertikalen Abstand in der Liste verringern, indem Sie auf Ansicht ändern klicken und dann Liste komprimieren auswählen.

Verwenden Sie das feld Search und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen. Wildcards werden nicht unterstützt.

Für erweiterte Filter, die Sie auch später speichern und verwenden können, wählen Sie Filtern und dann Neuer Filter aus. Geben Sie im daraufhin geöffneten Flyout Benutzerdefinierter Filter die folgenden Informationen ein:

  • Benennen Des Filters: Geben Sie einen eindeutigen Namen ein.

  • Fügen Sie eine Filterklausel hinzu, indem Sie die folgenden Informationen eingeben:

    • Feld: Wählen Sie aus den folgenden Werten aus:
      • Sender
      • Empfänger
      • Subject
      • Status
    • Operator: Wählen Sie beginnt mit oder ist aus.
    • Wert: Geben Sie den Wert ein, nach dem Sie suchen möchten.

    Sie können Neue Klausel hinzufügen auswählen und den vorherigen Schritt so oft wie erforderlich wiederholen. Mehrere Klauseln verwenden AND-Logik (<Klausel1> UND <Klausel2>...).

    Um eine Filterklausel zu entfernen, wählen Sie Neben dem Eintrag Die Option Klausel entfernen aus.

    Wenn Sie mit dem Flyout benutzerdefinierter Filter fertig sind, wählen Sie Speichern aus. Der neue Filter wird automatisch geladen, und die gefilterten Ergebnisse werden auf der Seite Mit den Suchergebnissen der Nachrichtenablaufverfolgung angezeigt. Dieses Ergebnis entspricht dem Auswählen von Filter und dem anschließenden Auswählen des vorhandenen Filters aus dem Abschnitt Benutzerdefinierte Filter in der Liste.

    Um einen vorhandenen Filter zu entladen und zu den Standardinformationen zurückzukehren, die auf der Seite Mit den Suchergebnissen der Nachrichtenablaufverfolgung angezeigt werden, wählen Sie Alle Filter löschen aus>.

Wählen Sie Nachrichtenablaufverfolgung bearbeiten aus, um die Suchkriterien zu bearbeiten.

Verwenden Sie Ergebnisse exportieren , um die angezeigten Ergebnisse in eine CSV-Datei zu exportieren.

Wählen Sie Aktualisieren aus, um die Ergebnisse zu aktualisieren.

Verwandte Nachrichtendatensätze sind Datensätze, die dieselbe Nachrichten-ID verwenden. Denken Sie daran, dass selbst eine einzelne Nachricht, die zwischen zwei Personen gesendet wird, mehrere Datensätze generieren kann. Die Anzahl der Datensätze nimmt zu, wenn die Nachricht von der Verteilergruppenerweiterung, Weiterleitung, Nachrichtenflussregeln (auch als Transportregeln bezeichnet) usw. betroffen ist.

Aktivieren Sie im leeren Bereich neben der Spalte Datum das runde Kontrollkästchen, das neben dem Eintrag angezeigt wird. Die folgenden Aktionen werden auf der Seite Ergebnisse der Nachrichtenablaufverfolgung angezeigt:

  • In Explorer anzeigen: Öffnet die Meldung unter Threat Explorer in Organisationen mit Microsoft Defender for Office 365 Plan 2. Weitere Informationen finden Sie unter Was ist Threat Explorer?.
  • Gehe zur Suche: Sucht in Explorer in Organisationen mit Microsoft Defender for Office 365 Plan 2 nach der Nachricht. Weitere Informationen finden Sie unter Bedrohungssuche in Threat Explorer for Microsoft Defender for Office 365
  • Verwandter Suchen: Öffnet eine neue Nachrichtenablaufverfolgung, um die zugehörigen Datensätze für die Nachricht zu suchen.

Weitere Informationen zur Nachrichten-ID finden Sie im Abschnitt Detaillierte Suchoptionen .

Details zur Nachrichtenablaufverfolgung

In der Ausgabe des Zusammenfassungsberichts können Sie Details zu einer Nachricht anzeigen, indem Sie an einer anderen Stelle in der Zeile als dem runden Kontrollkästchen klicken, das neben dem Datumswert angezeigt wird.

Das Details-Flyout, das nach dem Klicken auf eine Zeile in der Nachrichtenablaufverfolgung des Zusammenfassungsberichts geöffnet wird, führt zum neuen EAC.

Der daraufhin geöffnete Detailausschluss enthält die folgenden Informationen, die im Zusammenfassungsbericht nicht vorhanden sind:

  • Nachrichtenereignisse: Nachdem Sie diesen Abschnitt erweitert haben, werden Klassifizierungen angezeigt, mit denen die Aktionen kategorisiert werden, die der Dienst für Nachrichten ausführt. Einige der interessanteren Ereignisse, die Sie möglicherweise treffen, sind:

    • Empfangen: Die Nachricht wurde vom Dienst empfangen.
    • Senden: Die Nachricht wurde vom Dienst gesendet.
    • Fehler: Die Nachricht konnte nicht zugestellt werden.
    • Zustellung: Die Nachricht wurde an ein Postfach übermittelt.
    • Erweitern: Die Nachricht wurde an eine Verteilergruppe gesendet, die erweitert wurde.
    • Übertragung: Empfänger wurden aufgrund von Inhaltskonvertierungen, Nachrichtenempfängergrenzwerten oder Agents in eine bifurcierte Nachricht verschoben.
    • Zurückstellen: Die Nachrichtenübermittlung wurde verschoben und kann später erneut entfernt werden.
    • Gelöst: Die Nachricht wurde basierend auf einer Active Directory-Suche an eine neue Empfängeradresse umgeleitet. Wenn dieses Ereignis eintritt, wird die ursprüngliche Empfängeradresse in einer separaten Zeile in der Nachrichtenablaufverfolgung zusammen mit dem endgültigen übermittlungsbasierten status für die Nachricht aufgeführt.
    • DLP-Regel: Für die Nachricht wurde eine DLP-Regel gefunden.
    • Vertraulichkeitsbezeichnung: Ein serverseitiges Bezeichnungsereignis ist aufgetreten. Beispielsweise wurde automatisch eine Bezeichnung zu einer Nachricht hinzugefügt, die eine Aktion zum Verschlüsseln enthält, oder wurde über den Web- oder mobilen Client hinzugefügt. Diese Aktion wird vom Exchange-Server abgeschlossen und protokolliert. Eine über Outlook hinzugefügte Bezeichnung ist nicht im Ereignisfeld enthalten.

    Hinweise:

    • Eine unebente Nachricht, die erfolgreich übermittelt wird, generiert mehrere Ereigniseinträge in der Nachrichtenablaufverfolgung. Beschreibungen weiterer Ereignisse finden Sie unter Ereignistypen im Nachrichtenverfolgungsprotokoll. Dieser Link ist ein Exchange Server Thema (lokales Exchange).

  • Weitere Informationen: Nachdem Sie diesen Abschnitt erweitert haben, können Sie die folgenden Details anzeigen:

    • Meldungs-ID: Dieser Wert wird im Abschnitt Detaillierte Suchoptionen beschrieben. Ein Beispiel für einen Nachrichten-ID-Wert ist <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
    • Nachrichtengröße: Die Größe der gesendeten Nachricht, einschließlich Anlagen/Bilder/Text.
    • Von IP: Die IP-Adresse des Computers, der die Nachricht gesendet hat. Für ausgehende Nachrichten, die von Exchange Online gesendet wurden, wird kein Wert angegeben.
    • An IP: Die IP-Adresse(n), an die der Dienst versucht hat, die Nachricht zu übermitteln. Wenn die Nachricht mehrere Empfänger hat, werden diese Adressen angezeigt. Für eingehende Nachrichten, die an Exchange Online gesendet wurden, wird kein Wert angegeben.

Erweiterte Zusammenfassungsberichte

Ein erweiterter Zusammenfassungsbericht ist auf der Registerkarte Herunterladbare Berichte auf der Seite Nachrichtenablaufverfolgung verfügbar:

  • Berichte, die zum Herunterladen verfügbar sind, haben den StatuswertAbgeschlossen.
  • Berichte, die nicht zum Herunterladen verfügbar sind, weisen die StatuswerteNicht gestartet oder In Bearbeitung auf.

Die folgenden Informationen sind in der CSV-Datei des erweiterten Zusammenfassungsberichts verfügbar:

  • *origin_timestamp: Das Datum und die Uhrzeit des anfänglichen Empfangens der Nachricht durch den Dienst unter Verwendung der konfigurierten UTC-Zeitzone.
  • sender_address: Die E-Mail-Adresse des Absenders (Aliasdomäne@).
  • Recipient_status: Der status der Zustellung der Nachricht an den Empfänger. Wenn die Nachricht an mehrere Empfänger gesendet wurde, werden alle Empfänger und die entsprechenden status angezeigt, und zwar im folgenden Format: <E-Mail-Adresse>##<status>. Beispiele für den Empfängerstatus sind:
    • ##Receive, Senden bedeutet, dass die Nachricht vom Dienst empfangen und an das beabsichtigte Ziel gesendet wurde.
    • ##Receive, Fehler bedeutet, dass die Nachricht vom Dienst empfangen wurde, aber die Übermittlung an das beabsichtigte Ziel fehlgeschlagen ist.
    • ##Receive, Übermitteln bedeutet, dass die Nachricht vom Dienst empfangen und an das Postfach des Empfängers übermittelt wurde.
  • message_subject: Die ersten 256 Zeichen des Betrefffelds der Nachricht.
  • total_bytes: Die Größe der Nachricht in Bytes, einschließlich Anlagen.
  • message_id: Dieser Wert wird im Abschnitt Detaillierte Suchoptionen beschrieben. Ein Beispiel für einen message_id Wert ist <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • network_message_id: Ein eindeutiger Nachrichten-ID-Wert, der über alle Kopien der Nachricht hinweg beibehalten wird, die aufgrund einer Verteiler- oder Verteilergruppenerweiterung erstellt werden können. Ein Beispiel für network_message_id Wert ist 1341ac7b13fb42ab4d4408cf7f55890f.
  • original_client_ip: Die IP-Adresse des SMTP-Servers des Absenders.
  • directionality: Gibt an, ob die Nachricht eingehend (an Ihren organization) oder ausgehend (von Ihrem organization) gesendet wurde.
  • connector_id: Der Name des Quell- oder Zielconnectors. Weitere Informationen zu Connectors in Exchange Online finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.
  • *delivery_priority: Gibt an, ob die Nachricht mit der Priorität "Hoch", "Niedrig" oder "Normal" gesendet wurde.

* Diese Eigenschaften sind nur in einem erweiterten Zusammenfassungsbericht verfügbar.

Erweiterte Berichte

Ein erweiterter Bericht ist auf der Registerkarte Herunterladbare Berichte auf der Seite Nachrichtenablaufverfolgung verfügbar:

  • Berichte, die zum Herunterladen verfügbar sind, haben den StatuswertAbgeschlossen.
  • Berichte, die nicht zum Herunterladen verfügbar sind, weisen die StatuswerteNicht gestartet oder In Bearbeitung auf.

Die folgenden Informationen sind in der CSV-Datei des erweiterten Berichts verfügbar:

  • client_ip: Die IP-Adresse des E-Mail-Servers oder Messagingclients, der die Nachricht übermittelt hat.

  • client_hostname: Hostname oder FQDN des E-Mail-Servers oder Messagingclients, der die Nachricht übermittelt hat.

  • server_ip: Die IP-Adresse des Quell- oder Zielservers.

  • server_hostname: Der Hostname oder FQDN des Zielservers.

  • source_context: Zusätzliche Informationen, die dem Quellfeld zugeordnet sind. Zum Beispiel:

    • Protocol Filter Agent
    • 3489061114359050000

  • source: Die Exchange Online Komponente, die für das Ereignis verantwortlich ist. Zum Beispiel:

    • AGENT
    • MAILBOXRULE
    • SMTP

  • event_id: Dieser Wert entspricht den Message-Ereigniswerten , die unter Suchen verwandter Datensätze für diese Nachricht erläutert werden.

  • internal_message_id: Ein Nachrichtenbezeichner, der vom Exchange Online Server zugewiesen wird, der die Nachricht derzeit verarbeitet.

  • recipient_address: Die E-Mail-Adressen der Empfänger der Nachricht. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.

  • recipient_count: Die Gesamtzahl der Empfänger in der Nachricht.

  • related_recipient_address: Mit EXPANDden Ereignissen , REDIRECTund RESOLVE präsentieren, um die E-Mail-Adressen anderer Empfänger anzuzeigen, die der Nachricht zugeordnet sind.

  • Reference: Dieses Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Zum Beispiel:

    • DSN: Enthält den Berichtslink, bei dem es sich um den message_id Wert der zugeordneten Übermittlung status Benachrichtigung (auch als DSN, Nichtdeleiverbericht, NDR oder Unzustellbarkeitsnachricht bezeichnet) handelt, wenn ein DSN nach diesem Ereignis generiert wird. Wenn es sich bei dieser Nachricht um eine DSN-Nachricht handelt, enthält dieses Feld den message_id Wert der ursprünglichen Nachricht, für die der DSN generiert wurde.

    • EXPAND: Enthält den related_recipient_address Wert der zugehörigen Nachrichten.

    • RECEIVE: Kann den message_id Wert der zugehörigen Nachricht enthalten, wenn die Nachricht von anderen Prozessen (z. B. Posteingangsregeln) generiert wurde.

    • SEND: Enthält den internal_message_id Wert einer beliebigen DSN-Nachricht.

    • TRANSFER: Enthält den internal_message_id Wert der Nachricht, die gezweigt wird (z. B. durch Inhaltskonvertierung, Nachrichtenempfängergrenzwerte oder Agents).

    • MAILBOXRULE: Enthält den internal_message_id Wert der eingehenden Nachricht, durch die die Posteingangsregel die ausgehende Nachricht generiert hat.

      Für andere Ereignistypen ist dieses Feld (internal_message_id) leer.

  • return_path: Die rückgabe-E-Mail-Adresse, die durch den Befehl MAIL FROM angegeben wurde, der die Nachricht gesendet hat. Obwohl dieses Feld nie leer ist, kann der Null-Absenderadressenwert als <>dargestellt werden.

  • message_info: Zusätzliche Informationen zur Nachricht. Zum Beispiel:

    • Datum und Uhrzeit der Nachrichtenursprung in UTC für DELIVER - und SEND -Ereignisse. Datum/Uhrzeit der Ursprungsangabe ist der Zeitpunkt, zu dem die Nachricht zum ersten Mal in den Exchange Online organization gelangt ist. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Sekundenbruchteile und Z bedeutet Zulu, was eine andere Möglichkeit ist, UTC anzugeben.
    • Authentifizierungsfehler. Beispielsweise werden der Wert 11a und der Authentifizierungstyp angezeigt, der beim Auftreten des Authentifizierungsfehlers verwendet wurde.

  • tenant_id: Ein GUID-Wert, der die Exchange Online organization darstellt (z. B39238e87-b5ab-4ef6-a559-af54c6b07b42. ).

  • original_server_ip: Die IP-Adresse des ursprünglichen Servers.

  • custom_data: Enthält Daten im Zusammenhang mit bestimmten Ereignistypen. Weitere Informationen hierzu finden Sie in den folgenden Abschnitten:

custom_data Werte

Das feld custom_data für ein AGENTINFO Ereignis wird von verschiedenen Exchange Online-Agents verwendet, um Details zur Nachrichtenverarbeitung zu protokollieren. Einige der interessanteren Agents werden in den folgenden Abschnitten beschrieben.

Spamfilter-Agent

Ein custom_data Wert, der mit S:SFA beginnt, stammt vom Spamfilter-Agent. Weitere Informationen finden Sie unter X-Forefront-Antispam-Report-Nachrichtenheaderfelder.

Ein Beispiel für einen custom_data Wert für eine Nachricht, die nach Spam gefiltert ist, sieht wie folgt aus:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Malware-Filter-Agent

Ein custom_data Wert, der mit S:AMA beginnt, stammt vom Schadsoftwarefilter-Agent. Die wichtigsten Details werden in der folgenden Tabelle beschrieben:

Wert Beschreibung
AMA=SUM|v=1| oder AMA=EV|v=1 Die Nachricht enthält Schadsoftware. SUM gibt an, dass die Schadsoftware von einer beliebigen Anzahl von Engines erkannt worden sein könnte. EV gibt an, dass die Schadsoftware von einer bestimmten Engine erkannt wurde. Wenn eine Engine Schadsoftware erkennt, werden die nachfolgenden Aktionen ausgelöst.
Action=r Die Nachricht wurde ersetzt.
Action=p Die Nachricht wurde umgangen.
Action=d Die Nachricht wurde zurückgestellt.
Action=s Die Nachricht wurde gelöscht.
Action=st Die Nachricht wurde umgangen.
Action=sy Die Nachricht wurde umgangen.
Action=ni Die Nachricht wurde abgelehnt.
Action=ne Die Nachricht wurde abgelehnt.
Action=b Die Nachricht wurde blockiert.
Name=<malware> Der Name der Schadsoftware, die gefunden wurde.
File=<filename> Der Name der Datei, welche die Schadsoftware enthielt.

Ein Beispiel für einen custom_data Wert für eine Nachricht, die Schadsoftware enthält, sieht wie folgt aus:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Transportregel-Agent

Ein custom_data Wert, der mitS:TRA beginnt, stammt aus dem Transportregel-Agent für Nachrichtenflussregeln (auch als Transportregeln bezeichnet). Die wichtigsten Details werden in der folgenden Tabelle beschrieben:

Wert Beschreibung
ETR|ruleId=<guid> Die ID der Regel, die abgeglichen wurde.
St=<datetime> Das Datum und die Uhrzeit in UTC, an dem die Regelüberstimmung aufgetreten ist.
Action=<ActionDefinition> Die Aktion, die angewendet wurde. Eine Liste der verfügbaren Aktionen finden Sie unter Nachrichtenflussregelaktionen in Exchange Online.
Mode=<Mode> Der Modus der Regel. Gültige Werte sind:
  • Erzwingen: Alle Aktionen für die Regel werden erzwungen.
  • Testen mit Richtlinientipps: Alle Richtlinientippaktionen werden gesendet, andere Erzwingungsaktionen werden jedoch nicht ausgeführt.
  • Test ohne Richtlinientipps: Aktionen sind in einer Protokolldatei aufgeführt, absender werden jedoch in keiner Weise benachrichtigt, und Erzwingungsaktionen werden nicht ausgeführt.</Li?

Ein Beispiel für einen custom_data Wert für eine Nachricht, die den Bedingungen einer Nachrichtenflussregel entspricht, sieht wie folgt aus:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce