Suivi des messages dans le nouveau centre d’administration Exchange dans Exchange Online

Le suivi des messages dans le nouveau Centre d’administration Exchange (EAC) suit les messages électroniques qui transitent par votre organization Microsoft 365. Vous pouvez déterminer si le service a reçu, rejeté, différé ou remis un message. Le suivi des messages indique également les actions effectuées sur le message avant qu’il n’atteigne son status final.

Le suivi des messages dans le nouveau CENTRE d’administration Exchange améliore la trace des messages d’origine qui était disponible dans le centre d’administration Exchange classique. Vous pouvez utiliser les informations du suivi des messages pour répondre efficacement aux questions des utilisateurs sur ce qui est arrivé aux messages, résoudre les problèmes de flux de messagerie et valider les modifications de stratégie.

Ce qu'il faut savoir avant de commencer

• Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

  • Exchange Online autorisations : appartenance au groupe de rôles Gestion de l’organisation.
  • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur général ou Administrateur Exchange donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

• Le nombre maximal de messages affichés dans les résultats dépend du type de rapport que vous avez sélectionné. Pour plus d’informations, consultez Résultats de la trace des messages. L’applet de commande Get-HistoricalSearch dans Exchange Online PowerShell retourne tous les messages dans les résultats.

Ouvrir la trace des messages

Dans le nouveau CENTRE d’administration Exchange à l’adresse https://admin.exchange.microsoft.com, accédez à Flux de messagerie>Suivi des messages. Ou, pour accéder directement à la page Suivi des messages, utilisez https://admin.exchange.microsoft.com/#/messagetrace.

Page de suivi des messages

Dans la page Suivi des messages, vous pouvez démarrer une nouvelle trace par défaut en sélectionnant Démarrer une trace.

Dans le menu volant Nouvelle trace de message qui s’ouvre, les sélections par défaut recherchent tous les messages pour tous les expéditeurs et destinataires des deux derniers jours. Vous pouvez également utiliser l’une des requêtes stockées à partir des onglets disponibles (telles qu’elles sont ou comme point de départ pour vos propres requêtes) :

• Requêtes par défaut : requêtes intégrées fournies par Microsoft 365.
• Requêtes personnalisées : les requêtes enregistrées par les administrateurs dans votre organization pour une utilisation ultérieure.
• Requêtes enregistrées automatiquement : les 10 dernières requêtes exécutées récemment. Cette liste vous permet de reprendre facilement là où vous vous étiez arrêté.

L’onglet Rapports téléchargeables affiche les demandes de rapport téléchargeables et les rapports eux-mêmes lorsqu’ils sont disponibles en téléchargement.

Options d’une nouvelle trace de message

Les sections suivantes décrivent les paramètres disponibles dans le menu volant Nouvelle trace de message qui s’ouvre lorsque vous sélectionnez Démarrer une trace ou ouvrez une trace existante.

Expéditeurs et destinataires

La valeur par défaut pour Expéditeurs et Destinataires est All, mais vous pouvez entrer des valeurs spécifiques :

• Expéditeurs : cliquez dans la zone et commencez à taper pour entrer ou sélectionner un ou plusieurs expéditeurs de votre organization.
• Destinataires : cliquez dans la zone et commencez à taper pour entrer ou sélectionner un ou plusieurs destinataires dans votre organization.

Vous pouvez taper les adresses e-mail des expéditeurs et destinataires externes. Les caractères génériques sont pris en charge (par exemple, *@contoso.com), mais vous ne pouvez pas utiliser plusieurs caractères génériques dans une seule valeur.

Vous pouvez coller plusieurs listes d’expéditeurs ou de destinataires séparées par des points-virgules (;), des espaces (\s), des retours chariot (\r) ou de nouvelles lignes (\n).

Intervalle de temps

Dans la section Intervalle de temps , la valeur par défaut est 2 jours, mais vous pouvez spécifier des plages de date/heure allant jusqu’à 90 jours. Lorsque vous utilisez des plages de date/heure, tenez compte des problèmes suivants :

• Par défaut, vous sélectionnez l’intervalle de temps en mode Curseur à l’aide d’un chronologie.

  

  L’enregistrement d’une requête en mode Curseur permet d’enregistrer l’intervalle de temps relatif (par exemple, deux jours à partir d’aujourd’hui).

• Vous pouvez basculer vers l’affichage d’intervalle de temps personnalisé pour spécifier les valeurs suivantes :

  • Fuseau horaire : s’applique à vos entrées de requête et résultats de requête.
  • Date de début : date et heure.
  • Date de fin : date et heure.

  

  L’enregistrement d’une requête dans l’affichage Intervalle de temps personnalisé enregistre la plage de date/heure absolue (par exemple, 2023-05-06 13:00 to 2023-05-08 18:00).

Pendant 10 jours ou moins, les résultats sont disponibles instantanément sous la forme d’un rapport de synthèse.

Si vous spécifiez une plage de dates/heures légèrement supérieure à 10 jours :

• Les résultats sont disponibles uniquement sous forme de fichier CSV téléchargeable ( rapport de synthèse amélioré ou rapport étendu).
• Les résultats sont préparés à l’aide des données de trace de message archivées. Le téléchargement du rapport peut prendre plusieurs heures. Selon le nombre d’autres administrateurs qui ont également envoyé des demandes de rapport à la même heure, vous pouvez également remarquer un délai avant le début du traitement d’une demande en file d’attente.

Options de recherche détaillées

Dans la section Options de recherche détaillée , les options suivantes sont disponibles :

• Remise status : Les valeurs suivantes sont disponibles :

  • Tout : il s’agit de la valeur par défaut.
  • Remise : le message a été remis à la destination prévue.
  • Développé : un destinataire de groupe de distribution a été développé avant la remise aux membres individuels du groupe.
  • Échec : le message n’a pas été remis.
  • En attente^* : la remise du message est en cours de tentative ou de réatempestion.
  • ^*Mis en quarantaine : le message a été mis en quarantaine (en tant que courrier indésirable, courrier en bloc ou hameçonnage). Pour plus d’informations, consultez Messages électroniques mis en quarantaine dans EOP.
  • Filtré comme courrier indésirable^* : le message a été identifié comme courrier indésirable et a été rejeté ou bloqué (non mis en quarantaine).
  • Obtention de status : Le message a récemment été reçu par Microsoft 365, mais aucune autre donnée status n’est encore disponible. Vous pouvez case activée à nouveau en quelques minutes.

  ^* Cette valeur est disponible uniquement dans les recherches de moins de 10 jours. Si vous avez besoin d’interroger des données datant de plus de 10 jours, utilisez l’applet de commande Start-HistoricalSearch dans Exchange Online PowerShell.

  Remarque

  il peut y avoir un délai de cinq à dix minutes entre les valeurs de status de remise signalée et réelle.

• ID de message : ID de message Internet (également appelé ID client) qui se trouve dans le champ d’en-tête Message-ID dans l’en-tête du message. Les utilisateurs peuvent vous donner cette valeur pour examiner des messages spécifiques.

  Cette valeur est constante pendant toute la durée de vie du message. Pour les messages créés dans Microsoft 365 ou Exchange, la valeur ID de message utilise le format <GUID@ServerFQDN>, y compris les crochets inclinés. Par exemple : <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. D’autres systèmes de messagerie peuvent utiliser une syntaxe ou des valeurs différentes. Cette valeur est censée être unique, mais tous les systèmes de messagerie ne respectent pas strictement cette exigence. Si le champ Message-ID : header n’existe pas ou est vide pour les messages entrants provenant de sources externes, une valeur arbitraire est affectée.

  Lorsque vous utilisez l’ID de message pour filtrer les résultats, veillez à inclure la chaîne complète, y compris les crochets inclinés.

• Direction : sélectionnez l’une des valeurs suivantes :

  • Tout : il s’agit de la valeur par défaut.
  • Entrant : messages envoyés aux destinataires dans votre organization.
  • Sortant : messages envoyés par les utilisateurs de votre organization.

• Adresse IP du client d’origine : adresse IP de l’ordinateur client ou de l’appareil de l’expéditeur de l’e-mail. Vous pouvez utiliser ce filtre pour examiner les ordinateurs piratés qui envoient de grandes quantités de courrier indésirable ou de programmes malveillants. Bien que les messages puissent sembler provenir de plusieurs expéditeurs, il est probable que le même ordinateur génère tous les messages.

  Remarque

  Les informations d’adresse IP du client sont disponibles uniquement pendant 10 jours et uniquement dans le rapport de synthèse amélioré ou le rapport étendu (fichiers CSV téléchargeables).

Type de rapport

Les types de rapports disponibles sont les suivants :

• Rapport de synthèse : disponible si l’intervalle de temps est inférieur à 10 jours et ne nécessite aucune autre option de filtrage. Les résultats sont disponibles presque immédiatement après avoir sélectionné Recherche. Le rapport retourne jusqu’à 20 000 résultats.

  Sélectionnez Recherche pour démarrer le suivi des messages. Vous êtes redirigé vers la page des résultats de recherche de suivi des messages, comme décrit dans la section Sortie du rapport de synthèse .

  Les 10 dernières requêtes de rapport résumé sont disponibles sous l’onglet Requêtes enregistrées automatiquement sur la page Suivi des messages.

• Rapport de synthèse amélioré : inclut les informations du rapport de synthèse ainsi que d’autres détails (par exemple, la direction et l’adresse IP du client d’origine). Disponible uniquement en tant que fichier CSV téléchargeable. Le rapport retourne jusqu’à 100 000 résultats.

• Rapport étendu : inclut les mêmes informations que le rapport de synthèse étendu, ainsi que les détails complets des événements de routage et de message. Disponible uniquement en tant que fichier CSV téléchargeable. Le rapport retourne jusqu’à 1 000 résultats.

  Le rapport de synthèse amélioré et le rapport étendu nécessitent une ou plusieurs des options de filtrage suivantes, quel que soit l’intervalle de temps : Expéditeurs, Destinataires ou ID de message.

  Le rapport de synthèse amélioré et le rapport étendu sont préparés à l’aide des données de suivi des messages archivés. Le téléchargement du rapport peut prendre plusieurs heures. Selon le nombre d’autres administrateurs qui ont également envoyé des demandes de rapport à la même heure, vous pouvez également remarquer un délai avant le début du traitement d’une demande en file d’attente.

  Bien que vous puissiez sélectionner le rapport de synthèse amélioré ou le rapport étendu pour n’importe quelle plage de dates/heures, les dernières 24 heures de données archivées ne sont généralement pas disponibles.

  La taille maximale d’un fichier CSV téléchargeable est de 800 Mo. Si un rapport téléchargeable dépasse 800 Mo, vous ne pouvez pas ouvrir le rapport dans Excel ou le Bloc-notes.

  Lorsque vous sélectionnez Suivant, vous accédez à un menu volant récapitulatif qui répertorie les options de filtrage sélectionnées, un titre unique (modifiable) pour le rapport et l’adresse e-mail pour recevoir la notification à la fin de la trace des messages (également modifiable et doit se trouver dans l’un des domaines acceptés de votre organization).

  Sélectionnez Préparer le rapport pour envoyer le suivi des messages. Vous pouvez voir les status du rapport sous l’onglet Rapports téléchargeables. Pour plus d’informations sur les données retournées, consultez les sections Rapports récapitulatives améliorés et Rapports étendus.

Résultats de la trace des messages

Les différents types de rapports retournent différents niveaux d’informations. Les informations disponibles dans les différents rapports sont décrites dans les sections suivantes :

• Sortie du rapport de synthèse
• Rapports récapitulatives améliorés
• Rapports étendus

Sortie du rapport de synthèse

Après avoir exécuté la trace des messages, les résultats sont triés par date/heure décroissantes (événements les plus récents en premier).

Le rapport Résumé contient les informations suivantes :

• Date : date et heure auxquelles le message a été reçu par le service, à l’aide du fuseau horaire UTC configuré.
• Expéditeur : adresse e-mail de l’expéditeur (domaine d’alias@).
• Destinataire : adresse e-mail du destinataire. Si le message a plusieurs destinataires, chaque destinataire se trouve sur une ligne distincte. Si le destinataire est un groupe de distribution, un groupe de distribution dynamique ou un groupe de sécurité à extension messagerie, le groupe est le premier destinataire, suivi de chaque membre du groupe sur une ligne distincte.
• Objet : les 256 premiers caractères du champ Objet : du message.
• État : ces valeurs sont décrites dans la section Options de recherche détaillées .

Par défaut, les 250 premiers résultats sont chargés et facilement disponibles. Lorsque vous faites défiler vers le bas, il y a une légère pause lorsque le lot de résultats suivant est chargé, jusqu’à un maximum de 10 000.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.

Sous l’onglet Email, vous pouvez réduire l’espacement vertical dans la liste en cliquant sur Modifier l’affichage, puis en sélectionnant Liste compacte.

Utilisez la zone Recherche et une valeur correspondante pour rechercher des entrées spécifiques. Les caractères génériques ne sont pas pris en charge

Pour des filtres plus avancés que vous pouvez également enregistrer et utiliser ultérieurement, sélectionnez Filtrer , puis sélectionnez Nouveau filtre. Dans le menu volant Filtre personnalisé qui s’ouvre, entrez les informations suivantes :

• Nommez votre filtre : entrez un nom unique.

• Ajoutez une clause de filtre en entrant les informations suivantes :

  • Champ : sélectionnez parmi les valeurs suivantes :
    • Sender
    • Destinataire
    • Sujet
    • État
  • Opérateur : sélectionner commence par ou est.
  • Valeur : entrez la valeur que vous souhaitez rechercher.

  Vous pouvez sélectionner Ajouter une nouvelle clause et répéter l’étape précédente autant de fois que nécessaire. Plusieurs clauses utilisent la logique AND (<Clause1> AND <Clause2>...).

  Pour supprimer une clause de filtre, sélectionnez Supprimer la clause en regard de l’entrée.

  Lorsque vous avez terminé dans le menu volant Filtre personnalisé , sélectionnez Enregistrer. Le nouveau filtre est automatiquement chargé et les résultats filtrés sont affichés sur la page Résultats de recherche de suivi des messages . Ce résultat est identique à la sélection de Filtre , puis à la sélection du filtre existant dans la section Filtres personnalisés de la liste.

  Pour décharger un filtre existant et revenir aux informations par défaut affichées dans la page Résultats de recherche de suivi des messages, sélectionnez >Effacer tous les filtres.

Sélectionnez Modifier la trace des messages pour modifier les critères de recherche.

Utilisez Exporter les résultats pour exporter les résultats affichés dans un fichier CSV.

Sélectionnez Actualiser pour actualiser les résultats.

Rechercher les enregistrements associés pour ce message

Les enregistrements de messages associés sont des enregistrements qui partagent le même ID de message. N’oubliez pas qu’un seul message envoyé entre deux personnes peut générer plusieurs enregistrements. Le nombre d’enregistrements augmente lorsque le message est affecté par l’expansion du groupe de distribution, le transfert, les règles de flux de courrier (également appelées règles de transport), etc.

Dans la zone vide en regard de la colonne Date, sélectionnez la zone de case activée arrondie qui s’affiche en regard de l’entrée. Les actions suivantes s’affichent dans la page de résultats Suivis des messages :

• Afficher dans Explorer : ouvre le message dans Threat Explorer dans les organisations avec Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations, consultez Qu’est-ce que la Explorer des menaces ?.
• Go Hunting : recherche le message dans Threat Explorer dans les organisations avec Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations, consultez La chasse aux menaces dans threat Explorer for Microsoft Defender pour Office 365
• Rechercher des éléments associés : ouvre une nouvelle trace de message pour rechercher les enregistrements associés au message.

Pour plus d’informations sur l’ID de message, consultez la section Options de recherche détaillées .

Détails de la trace des messages

Dans la sortie du rapport de synthèse, vous pouvez afficher les détails d’un message en cliquant n’importe où dans la ligne autre que la zone de case activée arrondie qui apparaît en regard de la valeur Date.

Les détails qui s’ouvrent contiennent les informations suivantes qui ne sont pas présentes dans le rapport de synthèse :

• Événements de message : après avoir étendu cette section, vous pouvez voir des classifications qui permettent de catégoriser les actions que le service effectue sur les messages. Voici quelques-uns des événements les plus intéressants que vous pouvez rencontrer :

  • Réception : le message a été reçu par le service.
  • Envoyer : le message a été envoyé par le service.
  • Échec : le message n’a pas pu être remis.
  • Remise : le message a été remis à une boîte aux lettres.
  • Développer : le message a été envoyé à un groupe de distribution qui a été développé.
  • Transfert : les destinataires ont été déplacés vers un message bifurqué en raison de la conversion de contenu, des limites de destinataires de message ou des agents.
  • Différer : la remise du message a été différée et peut être réattempérée ultérieurement.
  • Résolu : le message a été redirigé vers une nouvelle adresse de destinataire en fonction d’une recherche Active Directory. Lorsque cet événement se produit, l’adresse du destinataire d’origine est répertoriée dans une ligne distincte dans la trace du message, ainsi que la status de remise finale du message.
  • Règle DLP : le message avait une correspondance de règle DLP.
  • Étiquette de confidentialité : Un événement d’étiquetage côté serveur s’est produit. Par exemple, une étiquette a été automatiquement ajoutée à un message qui inclut une action à chiffrer ou a été ajoutée via le client web ou mobile. Cette action est effectuée par le serveur Exchange et est journalisée. Une étiquette ajoutée via Outlook n’est pas incluse dans le champ de l’événement.

  Remarques :

  • Un message sans incident qui est correctement remis génère plusieurs entrées d’événement dans la trace du message. Pour obtenir une description d’autres événements, consultez Types d’événements dans le journal de suivi des messages. Ce lien est une rubrique Exchange Server (Exchange local).

• Informations supplémentaires : Après avoir étendu cette section, vous pouvez afficher les détails suivants :

  • ID du message : cette valeur est décrite dans la section Options de recherche détaillées . Un exemple de valeur d’ID de message est <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • Taille du message : taille du message envoyé, y compris les pièces jointes/images/texte.
  • À partir de l’adresse IP : adresse IP de l’ordinateur qui a envoyé le message. Pour les messages sortants envoyés à partir d'Exchange Online, ce champ est vide.
  • Vers l’adresse IP : adresse IP à laquelle le service a tenté de remettre le message. Si le message a plusieurs destinataires, ces adresses sont affichées. Pour les messages entrants envoyés à Exchange Online, ce champ est vide.

Rapports récapitulatives améliorés

Un rapport de synthèse amélioré est disponible sous l’onglet Rapports téléchargeables de la page Suivi des messages :

• Les rapports disponibles en téléchargement ont la valeur ÉtatTerminé
• Les rapports qui ne sont pas disponibles en téléchargement ont les valeurs ÉtatNon démarré ou En cours.

Les informations suivantes sont disponibles dans le fichier CSV du rapport de synthèse amélioré :

• ^*origin_timestamp : date et heure de réception initiale du message par le service, à l’aide du fuseau horaire UTC configuré.
• sender_address : adresse e-mail de l’expéditeur (domained’alias@).
• Recipient_status : status de la remise du message au destinataire. Si le message a été envoyé à plusieurs destinataires, il affiche tous les destinataires et les status correspondants pour chacun, au format : < adresse >e-mail##<status>. Voici quelques exemples d’états de destinataire :
  • ##Receive, Envoyer signifie que le message a été reçu par le service et a été envoyé à la destination prévue.
  • ##Receive, Échec signifie que le message a été reçu par le service, mais que la remise à la destination prévue a échoué.
  • ##Receive, Remettre signifie que le message a été reçu par le service et remis à la boîte aux lettres du destinataire.
• message_subject : les 256 premiers caractères du champ Objet du message.
• total_bytes : taille du message en octets, pièces jointes comprises.
• message_id : cette valeur est décrite dans la section Options de recherche détaillées . Un exemple de valeur message_id est <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
• network_message_id : valeur d’ID de message unique qui est conservée sur toutes les copies du message qui peuvent être créées en raison de la bifurcation ou de l’expansion du groupe de distribution. Un exemple de valeur network_message_id est 1341ac7b13fb42ab4d4408cf7f55890f.
• original_client_ip : adresse IP du serveur SMTP de l’expéditeur.
• directionnalité : indique si le message a été envoyé entrant (vers votre organization) ou sortant (à partir de votre organization).
• connector_id : nom du connecteur source ou de destination. Pour plus d’informations sur les connecteurs dans Exchange Online, consultez Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.
• ^*delivery_priority : indique si le message a été envoyé avec une priorité élevée, faible ou normale.

^* Ces propriétés sont disponibles uniquement dans un rapport de synthèse amélioré.

Rapports étendus

Un rapport étendu est disponible sous l’onglet Rapports téléchargeables de la page Suivi des messages :

• Les rapports disponibles en téléchargement ont la valeur ÉtatTerminé
• Les rapports qui ne sont pas disponibles en téléchargement ont les valeurs ÉtatNon démarré ou En cours.

Les informations suivantes sont disponibles dans le fichier CSV de rapport amélioré :

• client_ip : adresse IP du serveur de messagerie ou du client de messagerie qui a envoyé le message.

• client_hostname : nom d’hôte ou nom de domaine complet du serveur de messagerie ou du client de messagerie qui a envoyé le message.

• server_ip : adresse IP du serveur source ou de destination.

• server_hostname : nom d’hôte ou nom de domaine complet du serveur de destination.

• source_context : informations supplémentaires associées au champ source . Par exemple :

  • Protocol Filter Agent
  • 3489061114359050000

• source : composant Exchange Online responsable de l’événement. Par exemple :

  • AGENT
  • MAILBOXRULE
  • SMTP

• event_id : cette valeur correspond aux valeurs d’événement Message qui sont expliquées dans Rechercher les enregistrements associés pour ce message.

• internal_message_id : identificateur de message attribué par le serveur Exchange Online qui traite actuellement le message.

• recipient_address : adresses e-mail des destinataires du message. Les adresses de messagerie multiples sont séparées par des points-virgules (;).

• recipient_count : nombre total de destinataires dans le message.

• related_recipient_address : présentez des EXPANDévénements , REDIRECTet RESOLVE pour afficher les adresses e-mail des autres destinataires associées au message.

• référence : ce champ contient des informations supplémentaires pour des types d’événements spécifiques. Par exemple :

  • DSN : contient le lien de rapport, qui est la valeur message_id de la notification de remise status associée (également appelée DSN, rapport non remis, NDR ou message de rebond) si un DSN est généré après cet événement. Si ce message est un message DSN, ce champ contient la valeur message_id du message d’origine pour lequel le DSN a été généré.

  • EXPAND : contient la valeur related_recipient_address des messages associés.

  • RECEIVE : peut contenir la valeur message_id du message associé si le message a été généré par d’autres processus (par exemple, règles de boîte de réception).

  • SEND : contient la valeur internal_message_id de tout message DSN.

  • TRANSFER : contient la valeur internal_message_id du message qui est dupliqué (par exemple, par conversion de contenu, limites de destinataire du message ou agents).

  • MAILBOXRULE : contient la valeur internal_message_id du message entrant qui a provoqué la génération du message sortant par la règle de boîte de réception.

    Pour les autres types d’événements, ce champ (internal_message_id) est vide.

• return_path : adresse e-mail de retour spécifiée par la commande MAIL FROM qui a envoyé le message. Bien que ce champ ne soit jamais vide, la valeur d’adresse de l’expéditeur null peut être représentée sous la forme <>.

• message_info : informations supplémentaires sur le message. Par exemple :

  • Date-heure d’origine du message au format UTC pour DELIVER les événements et SEND . La date-heure d’origine est l’heure à laquelle le message a entré le Exchange Online organization pour la première fois. La date-heure UTC est représentée au format date-heure ISO 8601 : yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, indique le début du composant d’heure, hhT = heure, mm = minute, ss = seconde, fff = fractions de seconde, et Z signifie Zulu, ce qui est une autre façon de désigner UTC.
  • Erreurs d'authentification. Par exemple, vous pouvez voir la valeur 11a et le type d’authentification qui a été utilisé lorsque l’erreur d’authentification s’est produite.

• tenant_id : valeur GUID qui représente le Exchange Online organization (par exemple, 39238e87-b5ab-4ef6-a559-af54c6b07b42).

• original_server_ip : adresse IP du serveur d’origine.

• custom_data : contient des données relatives à des types d’événements spécifiques. Pour plus d'informations, voir les ressources suivantes :

  • custom_data valeurs
  • Agent de filtrage du courrier indésirable
  • Agent de filtrage des programmes malveillants
  • Agent de règle de transport

custom_data valeurs

Le champ custom_data d’un AGENTINFO événement est utilisé par différents agents Exchange Online pour enregistrer les détails du traitement des messages. Certains des agents les plus intéressants sont décrits dans les sections suivantes.

• Agent de filtrage du courrier indésirable
• Agent de filtrage des programmes malveillants
• Agent de règle de transport

Agent de filtrage du courrier indésirable

Une valeur custom_data qui commence par S:SFA provient de l’agent de filtre anti-courrier indésirable. Pour plus d’informations, consultez Champs d’en-tête de message X-Forefront-Antispam-Report.

Voici un exemple de valeur custom_data pour un message filtré pour le courrier indésirable :

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agent de filtrage des programmes malveillants

Une valeur custom_data qui commence par S:AMA provient de l’agent de filtre de programmes malveillants. Les détails clés sont décrits dans le tableau suivant :

Valeur	Description
AMA=SUM|v=1| ou AMA=EV|v=1	Un programme malveillant a été détecté dans le message. SUM indique que le programme malveillant a pu être détecté par un certain nombre de moteurs. EV indique que le programme malveillant a été détecté par un moteur spécifique. Lorsqu’un moteur détecte un programme malveillant, les actions suivantes sont déclenchées.
Action=r	Le message a été remplacé.
Action=p	Le message a été ignoré.
Action=d	Le message a été différé.
Action=s	Le message a été supprimé.
Action=st	Le message a été ignoré.
Action=sy	Le message a été ignoré.
Action=ni	Le message a été rejeté.
Action=ne	Le message a été rejeté.
Action=b	Le message a été bloqué.
Name=<malware>	Nom du programme malveillant détecté.
File=<filename>	Nom du fichier qui contenait le programme malveillant.

Voici un exemple de valeur custom_data d’un message contenant un programme malveillant :

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agent de règle de transport

Une valeur custom_data qui commence parS:TRA provient de l’agent de règle de transport pour les règles de flux de courrier (également appelées règles de transport). Les détails clés sont décrits dans le tableau suivant :

Valeur	Description
ETR|ruleId=<guid>	ID de la règle qui s'applique.
St=<datetime>	Date et heure UTC auxquelles la correspondance de règle s’est produite.
Action=<ActionDefinition>	Action appliquée. Pour obtenir la liste des actions disponibles, consultez Actions de règle de flux de messagerie dans Exchange Online.
Mode=<Mode>	Mode de la règle. Les valeurs valides sont les suivantes : Appliquer : toutes les actions sur la règle sont appliquées. Tester avec des conseils de stratégie : toutes les actions de conseil de stratégie sont envoyées, mais les autres actions d’application ne sont pas prises en compte. Test sans conseils de stratégie : les actions sont répertoriées dans un fichier journal, mais les expéditeurs ne sont pas avertis et les actions d’application ne sont pas prises en compte.</Li?

Voici un exemple de valeur custom_data pour un message qui correspond aux conditions d’une règle de flux de messagerie :

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce