メッセージ追跡

メッセージ追跡ログは、メールボックス サーバーとエッジ トランスポート サーバー上のトランスポート パイプラインを通じてメールが流れるすべてのアクティビティの詳細なレコードです。 メッセージ追跡は、メッセージの法医学、メール フロー分析、レポート、トラブルシューティングに使用できます。

既定では、Exchange は循環ログを使用して、ファイル サイズとファイルの保存時間に基づいてメッセージ追跡ログを制限し、ログ ファイルで使用されるハード ディスク領域を制御します。 メッセージ追跡ログを構成するには、「メッセージ追跡の 構成」を参照してください

メッセージ追跡ログを検索する

メッセージ追跡ログには、メッセージがメールボックス サーバーまたはエッジ トランスポート サーバーを経由して移動する場合、膨大な量のデータが含まれています。 メッセージ追跡ログの検索に関しては、次のオプションがあります。

  • Get-MessageTrackingLog: 管理者は、この Exchange 管理シェル コマンドレットを使用して、幅広いフィルター条件を使用してメッセージに関する情報をメッセージ追跡ログで検索できます。 詳細については、「 メッセージ追跡ログの検索」を参照してください。

  • 管理者向け配信 レポート: 管理者は、Exchange管理センターの [配信レポート] タブ、または Exchange 管理シェルの基になる Search-MessageTrackingReport コマンドレットと Get-MessageTrackingReport コマンドレットを使用して、組織内の特定のメールボックスによって送信または受信されたメッセージに関する情報をメッセージ追跡ログで検索できます。 詳細については、「管理者向 け配信レポート」を参照してください

メッセージ追跡ログ ファイルの構造

既定では、メッセージ追跡ログ ファイルはに存在します %ExchangeInstallPath%TransportRoles\Logs\MessageTracking 。 フォルダーには、名前が異なるログ ファイルが含まれますが、それらはすべて名前付け規則に従います MSGTRKServiceyyyymmdd-nnnn.log 。 次の表に、さまざまなログ ファイル名について説明します。


ファイル名 Servers 説明
MSGTRK メールボックス サーバーとエッジ トランスポート サーバー トランスポート サービスのログ ファイル。
MSGTRKMA メールボックス サーバー モデ評価されたトランスポートの承認と拒否のログ ファイル。 詳細については、「メッセージ承認の管理」を参照してください。
MSGTRKMD メールボックス サーバー メールボックス トランスポート配信サービスによってメールボックスに配信されるメッセージのログ ファイル。
MSGTRKMS メールボックス サーバー メールボックス トランスポート送信サービスによってメールボックスから送信されたメッセージのログ ファイル。

ログ ファイル名の他のプレースホルダーは、次の情報を表します。

  • yyyymmdd は、ログ ファイルが作成された協定世界時 (UTC) の日付です。 yyyy = year、mm = month、 および dd = day。

  • nnnn は 、ログごとに毎日値 1 から始まるインスタンス番号です。

情報は、ファイル サイズが最大値に達するまでログ ファイルに書き込まれます。 それから、インスタンス番号を増やした新しいログ ファイルが開かれます (最初のログ ファイルは -1、次のファイルは -2、というように)。 循環ログは、次のいずれかの条件に当てはまる場合に、サービスの最も古いログ ファイルを削除します。

  • ログ ファイルが最大保存期間に達している。

  • メッセージ追跡ログ フォルダーの最大サイズに達します。

    :

    • メッセージ追跡ログ フォルダーの最大サイズは、同じ名前プレフィックスを持つすべてのログ ファイルの合計サイズとして計算されます。 名前プレフィックス規則に従ってない他のファイルは、フォルダー サイズの合計計算ではカウントされません。 古いログ ファイルの名前を変更するか、他のファイルをメッセージ追跡ログ フォルダーにコピーすると、フォルダーが指定した最大サイズを超える可能性があります。

    • メールボックス サーバーでは、メッセージ追跡ログ フォルダーの最大サイズは、指定した値の 3 倍です。 メッセージ追跡ログ ファイルは 4 つの異なるサービスによって生成され、4 つの異なる名前プレフィックスを持ちますが、モデレ処理されたトランスポート ログ ( ) に書き込まれるデータの量と頻度は、他の 3 つのログと比較してごくわずかです。 MSGTRKMA

メッセージ追跡ログ ファイルは、データをコンマ区切り (CSV) 形式で格納するテキスト ファイルです。個々のメッセージ追跡ログ ファイルには、以下の情報を含むヘッダーがあります。

  • #Software: 値は Microsoft Exchange Server .

  • #Version: メッセージ追跡ログ ファイルをExchangeしたサーバーのバージョン番号。 値は形式を使用します 15.01.nnnn.nnn

  • #Log-Type: 値はです Message Tracking Log

  • #Date: ログ ファイルが作成された UTC 日時。 UTC の日付時刻は、ISO 8601 の日時形式で表されます 。yyyy-mm-dd T hh:mm:ss.fff Z、ここで、yyyy = year、mm = month、dd = day、T は時間コンポーネントの開始を示し 、hh = hour、mm = minute、ss = second、fff = 分数は秒、Z は Zulu を表す別の方法です。

  • #Fields: メッセージ追跡ログ ファイルで使用されるコンマで区切られたフィールド名。

メッセージ追跡ログ ファイルのフィールド

メッセージ追跡ログでは、個々のメッセージ イベントがログの 1 行として格納されます。 メッセージ イベント情報はフィールドで構成され、各フィールドはコンマで区切られています。 通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。 ただし、一部のフィールドが空白の場合や、メッセージ イベントの種類とイベントを記録したサービスに基づいてフィールド内の情報の種類が変わる場合があります。 以下の表に、メッセージ追跡イベントの分類に使用されるフィールドの概要を示します。

フィールド名 説明
date-time メッセージ追跡イベントの日時です (UTC)。 UTC の日付時刻は、ISO 8601 の日時形式で表されます 。yyyy-mm-dd T hh:mm:ss.fff Z、ここで、yyyy = year、mm = month、dd = day、T は時間コンポーネントの開始を示し 、hh = hour、mm = minute、ss = second、fff = 分数は秒、Z は Zulu を表す別の方法です。
client-ip メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのアドレスです (IPv4 または IPv6)。
client-hostname メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのホスト名または FQDN です。
server-ip 送信元または宛先サーバーの IPv4 または IPv6 アドレス。
server-hostname 送信先サーバーのホスト名または FQDN です。
source-context source フィールドに関連する追加情報です。 次に例を示します。
CatContentConversion
250 2.0.0 OK;ClientSubmitTime:<UTC>
connector-id メッセージを受け入れる送信コネクタまたは受信コネクタの名前。 たとえば 、ServerName \ ConnectorName または ConnectorName です。
source イベントExchangeを担当するトランスポート コンポーネントが含まれています。 これらの値については、後の「メッセージ追跡 ログの ソース値」セクションで説明します。
event-id メッセージ イベントの種類です。 これらの値については、後の「 メッセージ追跡ログの イベントの種類」セクションで説明します。
internal-message-id 現在メッセージを処理しているExchangeによって割り当てられているメッセージ識別子。
メッセージ の内部メッセージ ID は、メッセージの送信に関係する Exchange サーバーのメッセージ追跡ログで異なります。 値の例は、 です 73014444033
message-id メッセージ ヘッダー内の Message-Id: ヘッダー フィールドの値です。 Message-Id: ヘッダー フィールドが存在しないか、空白の場合は、任意Exchangeを割り当てる必要があります。 この値は、メッセージの有効期間全体にわたって不変です。 ユーザー設定で作成Exchange値は、角かっこ () を含 <GUID@ServerFQDN> む形式です < > 。 たとえば、<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com> などです。 他のメッセージング システムは異なる構文や値を使用する可能性があります。
network-message-id 分岐または配布グループの展開によって作成される可能性があるメッセージのコピー全体にわたって保持される一意のメッセージ ID 値。 値の例は、 です 1341ac7b13fb42ab4d4408cf7f55890f
recipient-address メッセージ受信者の電子メール アドレスです。複数の電子メール アドレスがある場合は、セミコロン (;) で区切られます。
recipient-status セミコロンで区切られた各受信者の受信者の状態 (;)。 各受信者の状態値の並び順は、 recipient-address フィールドの値と同じです。 状態の値の例は次のとおりです。
ToCc または Bcc
250 2.1.5 Recipient OK
550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytes すべての添付ファイルを含む、メッセージの合計サイズ (バイト単位)。
recipient-count メッセージ内の受信者の総数。
related-recipient-address このフィールドは 、EXPAND イベント 、REDIRECT イベント、 および RESOLVE イベントと一緒に使用され、メッセージに関連付けられている他の受信者の電子メール アドレスを表示します。
reference このフィールドには、イベントの種類に応じた追加情報が含まれます。たとえば、
DSN: このイベントの後に DSN が生成された場合、関連付けられた配信状態通知 (DSN、バウンス メッセージ、配信不可レポート、または NDR とも呼ばれる) の Message-Id 値であるレポート リンクが格納されます。 これが DSN メッセージの場合、[参照] フィールドには、DSN が生成された元のメッセージの Message-Id 値が含まれる。
EXPAND: 関連するメッセージ の関連する受信者アドレス の値を格納します。
RECEIVE: ジャーナリングルールや受信トレイ ルールなど、他のプロセスによってメッセージが生成された場合、関連するメッセージの Message-Id 値が含まれる場合があります。
SEND: DSN メッセージ の Internal-Message-Id 値を格納します。
THROTTLE: メッセージが調整された理由が含まれる。
TRANSFER: フォーク されているメッセージの Internal-Message-Id 値を格納します。
受信トレイ ルールによって生成 されるメッセージ: 受信トレイ ルールが送信メッセージを生成する原因となる受信メッセージの Internal-Message-Id 値が含まれる。
Forked メッセージ: Internal-Message-Id 値が含まれている可能性 があります。
他の種類のイベントでは、通常、このフィールドは空白です。
message-subject Subject: ヘッダー フィールドにあるメッセージの件名です。 メッセージの件名の追跡は 、Set-TransportService コマンドレットの MessageTrackingLogSubjectLoggingEnabled パラメーターによって制御されます。 既定では、メッセージの件名の追跡は有効になっています。
sender-address Sender: ヘッダー フィールドで指定された電子メール アドレス、または Sender: フィールドが存在しない場合は From: ヘッダー フィールド。
return-path メッセージを送信した MAIL FROM コマンドで指定された戻りメール アドレス。 このフィールドは空ではありませんが、null 送信者アドレスの値をとして表す場合があります <>
message-info メッセージに関する追加情報です。たとえば、
DELIVER イベントおよび SEND イベントの UTC でのメッセージの 配信日時。 発生日時とは、そのメッセージが最初に Exchange 組織に入った日時です。 UTC の日付時刻は、ISO 8601 の日時形式で表されます 。yyyy-mm-dd T hh:mm:ss.fff Z、ここで、yyyy = year、mm = month、dd = day、T は時間コンポーネントの開始を示し 、hh = hour、mm = minute、ss = second、fff = 分数は秒、Z は Zulu を表す別の方法です。
認証エラー。 たとえば、認証エラーが発生した場合に使用された認証の値と 11a 種類が表示される場合があります。
directionality メッセージの方向です。 値の例 Incoming には Undefined 、、、 を含む Originating
tenant-id このフィールドは、オンプレミスの組織ではExchangeされません。
original-client-ip 元のクライアントのアドレス (IPv4 または IPv6)。
original-server-ip 元のサーバーのアドレス (IPv4 または IPv6)。
custom-data このフィールドには、特定のイベントの種類に関連するデータが含まれる。 たとえば、トランスポート ルール エージェントは、このフィールドを使用して、メッセージに作用したメール フロー ルール (トランスポート ルールとも呼ばれる) または DLP ポリシーの GUID を記録します。 詳細については 、「View DLP ポリシー検出レポート」を参照してください
transport-traffic-type オンプレミス の場合、Exchangeフィールドは空白または値です Email
log-id メッセージ追跡ログ内の行の一意の識別子。 このフィールドは、組織のオンプレミスのExchangeではありません。
スキーマバージョン メッセージ追跡ログにExchangeしたサーバーのバージョン番号。 値は形式を使用します 15.01.nnnn.nnn

メッセージ追跡ログのイベントの種類

メッセージ追跡 ログのメッセージ イベントは、 event-id フィールドのさまざまなイベントの種類によって分類されます。メッセージ イベントの中には、1 種類のメッセージ追跡ログ ファイルにしか出現しないものもあれば、すべての種類のメッセージ追跡ログ ファイルに出現するものもあります。各メッセージ イベントの分類に使用されるイベントの種類を次の表に示します。

イベント名 説明
AGENTINFO このイベントは、トランスポート エージェントがカスタム データを記録するために使用されます。
BADMAIL ピックアップ ディレクトリまたは再生ディレクトリによって、配信または返却できないメッセージが発信された。
CLIENTSUBMISSION メールボックスの送信ボックスからメッセージが送信されました。
DEFER メッセージの配信の遅延が発生した。
DELIVER メッセージがローカル メールボックスに配信された。
DELIVERFAIL エージェントが、メールボックスに存在しないフォルダーにメッセージを配信しようとした。
DROP メッセージは、配信状態通知 (DSN、バウンス メッセージ、配信不能レポート、または NDR とも呼ばれる) なしでドロップされました。次に例を示します。
• モデレート承認要求メッセージの完了。
• NDR なしでサイレント ドロップされたスパム メッセージ。
DSN 配信状態通知 (DSN) が生成された。
DUPLICATEDELIVER 重複するメッセージが受信者に配信された。重複は、受信者が複数の入れ子になった配布グループのメンバーである場合に発生することがあります。重複するメッセージはインフォメーション ストアによって検出され、削除されます。
DUPLICATEEXPAND 配布グループの展開中に、重複する受信者が検出された。
DUPLICATEREDIRECT メッセージの代理受信者がすでに受信者になっていた。
EXPAND 配布グループが展開された。
FAIL メッセージの配信が失敗した。ソースには、 SMTPDNSQUEUE 、および ROUTING が含まれます。
HADISCARD プライマリ コピーが次のホップに配信された後、シャドウ メッセージが破棄された。 詳細については、「Shadow redundancy in Exchange Server」 を参照してください
HARECEIVE ローカルのデータベース可用性グループ (DAG) または Active Directory サイトがシャドウ メッセージを受信した。
HAREDIRECT シャドウ メッセージが作成された。
HAREDIRECTFAIL シャドウ メッセージの作成に失敗した。詳細は、 source-context フィールドに格納されます。
INITMESSAGECREATED モデレート受信者に送信されたメッセージが、承認のために調停メールボックスに送信された。詳細については、「メッセージ承認の管理」を参照してください。
LOAD 起動時にメッセージが正常に読み込まれた。
MODERATIONEXPIRE モデレート受信者のモデレーターがメッセージの承認も拒否もしなかったため、メッセージが期限切れになった。モデレート受信者の詳細については、「メッセージ承認の管理」を参照してください。
MODERATORAPPROVE モデレート受信者のモデレーターがメッセージを承認したため、メッセージがモデレート受信者に配信された。
MODERATORREJECT モデレート受信者のモデレーターがメッセージを拒否したため、メッセージがモデレート受信者に配信されなかった。
MODERATORSALLNDR モデレーターの受信者のすべてのモデレーターに送信された承認要求はすべて配信不能であり、配信不能レポート (NDR またはバウンス メッセージとも呼ばれる) が発生しました。
NOTIFYMAPI ローカル サーバーのメールボックスの送信トレイでメッセージが検出された。
NOTIFYSHADOW ローカル サーバーのメールボックスの送信トレイでメッセージが検出され、メッセージのシャドウ コピーを作成する必要がある。
POISONMESSAGE メッセージが有害メッセージ キューに格納されたか、または有害メッセージ キューから削除された。
PROCESS メッセージが正常に処理された。
PROCESSMEETINGMESSAGE 会議メッセージは、メールボックス トランスポート配信サービスによって処理されました。
RECEIVE メッセージは、トランスポート サービスの SMTP 受信コンポーネント、またはピックアップ ディレクトリまたは再生ディレクトリ (ソース:) から受信するか、メールボックスからメールボックス トランスポート送信サービス SMTP (ソース:) に送信されたメッセージです STOREDRIVER
REDIRECT Active Directory 参照の後に、メッセージが代替受信者にリダイレクトされた。
RESOLVE Active Directory 参照の後に、メッセージの受信者が別の電子メール アドレスに解決された。
RESUBMIT メッセージがセーフティ ネットから自動的に再送信された。 詳細については、「セーフティ ネット in Exchange Server」 を参照してください
RESUBMITDEFER セーフティ ネットからのメッセージの再送信が遅延した。
RESUBMITFAIL セーフティ ネットからのメッセージの再送信が失敗した。
SEND トランスポート サービス間でメッセージが SMTP で送信された。
SUBMIT メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が成功した。 SUBMIT イベントの場合、 source-context プロパティには以下の詳細情報が格納されます。
MDB: メールボックス データベース GUID。
メールボックス: メールボックス GUID。
イベント: イベント シーケンス番号。
MessageClass: メッセージの種類。 たとえば、IPM.Note などです。
CreationTime: メッセージ送信の日時。
ClientType: たとえば User OWA 、、、、 ActiveSync または です。
SUBMITDEFER メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が遅延した。
SUBMITFAIL メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が失敗した。
SUPPRESSED メッセージの送信が止められた。
THROTTLE メッセージが調整された。
TRANSFER コンテンツ変換、メッセージの受信者制限、またはエージェントが原因で、フォークされているメッセージに受信者が移動された。ソースには、 ROUTING または QUEUE が含まれます。

メッセージ追跡ログのソースの値

メッセージ追跡ログの source フィールドの値は、そのメッセージ追跡イベントを担当するトランスポート コンポーネントを示します。次の表は、 source フィールドの値の一覧です。

source の値 説明
ADMIN 人の介入がイベント ソース。たとえば、管理者がキュー ビューアーでメッセージを削除した。または、再生ディレクトリを使用してメッセージを送信した。
AGENT トランスポート エージェントがイベント ソース。
APPROVAL モデレート受信者に使用される承認フレームワークがイベント ソース。詳細については、「メッセージ承認の管理」を参照してください。
BOOTLOADER イベント ソースは、ブート時にサーバー上に存在する未処理のメッセージでした。これは、イベントの種類 LOAD と関係しています。
DNS DNS がイベント ソース。
DSN イベント ソースは配信状態通知 (DSN、バウンス メッセージ、配信不可レポート、または NDR とも呼ばれる) でした。
GATEWAY 外部コネクタがイベント ソース。 詳細については、「Foreign Connectors」を参照してください
MAILBOXRULE 受信トレイ ルールがイベント ソース。詳細については、「受信トレイのルール」を参照してください。
MEETINGMESSAGEPROCESSOR イベント ソースは、会議の更新情報に基づいたカレンダーを更新する会議メッセージのプロセッサでした。
ORAR 発信者が要求した代理受信者 (ORAR) がイベント ソース。 受信コネクタの ORAR のサポートを有効または無効にするには 、New-ReceiveConnector コマンドレットまたは Set-ReceiveConnector コマンドレットの OrarEnabled パラメーターを使用します。
PICKUP ピックアップ ディレクトリがイベント ソース。 詳細については、「ピックアップ ディレクトリ と再生ディレクトリ」を参照してください
POISONMESSAGE 有害メッセージ識別子がイベント ソース。 有害メッセージと有害メッセージ キューの詳細については、「キュー内のキューとメッセージ」 を参照してください。
PUBLICFOLDER メールが有効なパブリック フォルダーがイベント ソース。
QUEUE キューがイベント ソース。
REDUNDANCY シャドウ冗長がイベント ソース。 詳細については、「Shadow redundancy in Exchange Server」 を参照してください
RESOLVER イベント ソースは、トランスポート サービスのカテゴライザーの受信者解決コンポーネントでした。 詳細については、「受信者の解決」を参照Exchange Server。
ROUTING トランスポート サービスのカテゴライザーのルーティング解決コンポーネントがイベント ソース。
SAFETYNET セーフティ ネットがイベント ソース。 詳細については、「セーフティ ネット in Exchange Server」 を参照してください
SMTP メッセージが、トランスポート サービスの SMTP 送信コンポーネントまたは SMTP 受信コンポーネントによって発信された。
STOREDRIVER ローカル サーバー上のメールボックスからの MAPI 送信がイベント ソース。

メッセージ追跡ログのエントリの例

2 人のユーザー間でメッセージが問題なく送受信された場合、いくつかエントリがメッセージ追跡ログに書き込まれます。ログを参照するには、 Get-MessageTrackingLog コマンドレットを使用します。詳細については、「 メッセージ追跡ログの検索」を参照してください。

次に、ユーザーがテスト メッセージをユーザーに正常に送信するときに chris@contoso.com 追跡ログ エントリの例を示 michelle@contoso.com。 両方のユーザーが同じサーバー上にメールボックスを持っています。

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

メッセージ追跡ログに関するセキュリティ上の考慮事項

メッセージ追跡ログには、メッセージのコンテンツは格納されません。 既定では、電子メール メッセージの件名がメッセージ追跡ログに格納されます。 セキュリティまたはプライバシー要件の強化に準拠するために、サブジェクト ログを無効にする必要がある場合があります。 件名ログを無効にする方法については、「メッセージ追跡の構成 」を参照してください