Exchange でのメッセージ追跡

製品: Exchange Server 2013

Microsoft Exchange Server 2013 のメッセージ追跡ログは、メッセージがメールボックス サーバーのトランスポート サービス、メールボックス サーバーのメールボックス、およびエッジ トランスポート サーバーとの間で転送される際のすべてのアクティビティを詳細に記録したものです。 メッセージ追跡ログを使用して、メッセージ フォレンシック、メール フロー分析、レポート、およびトラブルシューティングを行うことができます。

Exchange 2013 では、Exchange 2013 メールボックス サーバーにトランスポート サービスとメールボックスがあるため、 Set-TransportService コマンドレットまたは Set-MailboxServer コマンドレットを使用してメッセージ追跡のすべての構成タスクを実行できます。 これらのコマンドレットのいずれかを使用すると、メッセージ追跡に関する以下の構成変更が行えます。

  • メッセージ追跡を有効または無効にします。 既定では有効になっています。
  • メッセージ追跡ログ ファイルの場所を指定します。
  • 個々のメッセージ追跡ログ ファイルの最大サイズを指定します。 既定値は 10 MB です。
  • メッセージ追跡ログ ファイルが格納されるディレクトリの最大サイズを指定します。既定値は 1,000 MB です。
  • メッセージ追跡ログ ファイルの最大保存期間を指定します。既定値は 30 日です。
  • メッセージ追跡ログで、メッセージの件名のログ収集を有効または無効にします。 既定では有効になっています。

注:

Exchange 管理センター (EAC) を使用してメッセージ追跡の有効/無効化、およびメッセージ追跡ログ ファイルの場所を指定することができます。

既定では、メッセージ追跡ログ ファイルが使用するハード ディスク容量を抑えるために、Exchange は循環ログを使用してファイルのサイズと保存期間に基づいてメッセージ追跡ログを制限します。

メッセージ追跡ログを検索する

メッセージ追跡ログには、Exchange 2013 メールボックス サーバーを通過するメッセージに関する膨大なデータが含まれています。 メッセージ追跡ログの検索にはいくつかの方法があります。

  • Get-MessageTrackingLog: 管理者は、このコマンドレットを使用して、メッセージ追跡ログを検索して、さまざまなフィルター条件を使用してメッセージに関する情報を検索できます。 詳細については、「 メッセージ追跡ログの検索」を参照してください。

  • 管理者向けの配信レポート: 管理者は、Exchange 管理センター (EAC) または基になる Search-MessageTrackingReport コマンドレットと Get-MesageTrackingReport コマンドレットの [配信レポート] タブを使用して、メッセージ追跡ログを検索して、organization内の特定のメールボックスによって送受信されたメッセージに関する情報を検索できます。 詳細については、「 管理者用の配信レポート」を参照してください。

メッセージ追跡ログ ファイルの構造

既定では、メッセージ追跡ログ ファイルは %exchangeinstallpath%transportroles\logs\messagetracking にあります。

メッセージ追跡ログ ディレクトリ内のログ ファイルの名前付け規則は、 MSGTRKyyyyMMdd-nnnn.logMSGTRKMAyyyyMMdd-nnnn.logMSGTRKMDyyyyMMdd-nnnn.log、および MSGTRKMSyyyyMMdd-nnnn.logです。 それぞれのログは以下のサービスで使用されます。

  • MSGTRK: これらのログはトランスポート サービスに関連付けられています。
  • MSGTRKMA: これらのログは、モデレートされたトランスポートによって使用される承認と拒否に関連付けられます。 詳細については、「メッセージ承認の管理」を参照してください。
  • MSGTRKMD: これらのログは、メールボックス トランスポート配信サービスによってメールボックスに配信されるメッセージに関連付けられます。
  • MSGTRKMS: これらのログは、メールボックス トランスポート送信サービスによってメールボックスから送信されたメッセージに関連付けられます。

ログ ファイル名に含まれるプレースホルダーは以下の情報を表しています。

  • プレースホルダー yyyyMMdd は、ログ ファイルが作成された協定世界時 (UTC) の日付です。 yyyy = year、 MM = month、 dd = day。
  • プレースホルダー nnnn は、メッセージ追跡ログ ファイル名プレフィックスごとに 1 日 1 の値から始まるインスタンス番号です。

ファイル サイズが、ログ ファイルごとに指定されている最大値に達するまで、それぞれのログ ファイルに情報を書き込みます。 ファイル サイズがこの最大値に達したら、インスタンス番号を増やした新しいログ ファイルを開きます。 このプロセスを終日繰り返します。 ログ ファイル ローテーション機能では、次のいずれかの条件が満たされると、最も古いログ ファイルが削除されます。

  • ログ ファイルが指定された最大保存期間に達する。

  • メッセージ追跡ログ ディレクトリが指定された最大サイズに達する。

    重要

    メッセージ追跡ログ ディレクトリの最大サイズは、名前のプレフィックスが同じログ ファイルの合計サイズとして計算されます。 同じプレフィックスの表記規則に従っていない他のファイルは、合計ディレクトリ サイズの計算には含まれません。 古いログ ファイルの名前を変更したり、他のファイルをメッセージ追跡ログ ディレクトリにコピーしたりすると、ディレクトリが指定した最大サイズを超える場合があります。

    Exchange 2013 メールボックス サーバーでは、メッセージ追跡ログ ディレクトリの最大サイズは、指定した値の 3 倍です。 異なる 4 つのサービスによって生成されるメッセージ追跡ログ ファイルは、それぞれ異なるファイル名プレフィックスを持っていますが、 MSGTRKMA ログ ファイルに書き込まれるデータの量と頻度は、他の 3 つに比べてごくわずかなものです。

メッセージ追跡ログ ファイルは、データをコンマ区切り (CSV) 形式で格納するテキスト ファイルです。 個々のメッセージ追跡ログ ファイルには、以下の情報を含むヘッダーがあります。

  • #Software:: メッセージ追跡ログ ファイルを作成したソフトウェアの名前。 通常、値は Microsoft Exchange Server です。

  • #Version:: メッセージ追跡ログ ファイルを作成したソフトウェアのバージョン番号。 現在、この値は 15.0.0.0 です。

  • #Log-Type:: ログの種類の値。これはメッセージ追跡ログです。

  • #Date:: ログ ファイルが作成された UTC 日時。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ( yyyy = year、 MM = month、 dd = day)、T は時間成分 hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Zifies Zulu を示します。これは UTC を示す別の方法です。

  • #Fields:: メッセージ追跡ログ ファイルで使用されるコンマ区切りのフィールド名。

メッセージ追跡ログ ファイルのフィールド

メッセージ追跡ログでは、個々のメッセージ イベントがログの 1 行として格納されます。 メッセージ イベント情報はフィールドで構成され、各フィールドはコンマで区切られています。 通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。 ただし、場合によってはフィールドが空であったり、メッセージ イベントの種類やイベントが記録されるメッセージ追跡ログ ファイルの種類によってフィールドに格納される情報の種類が変わったりすることがあります。 以下の表に、メッセージ追跡イベントの分類に使用されるフィールドの概要を示します。

フィールド名 説明
date-time メッセージ追跡イベントの日時です (UTC)。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ は、 yyyy = year、 MM = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を示す別の方法です。
client-ip メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのアドレスです (IPv4 または IPv6)。
client-hostname メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのホスト名または FQDN です。
server-ip 送信元または送信先の Exchange サーバーのアドレスです (IPv4 または IPv6)。
server-hostname 送信先サーバーのホスト名または FQDN です。
source-context source フィールドに関連する追加情報です。 トランスポート エージェントの情報などが該当します。
connector-id 送信元または送信先の送信コネクタまたは受信コネクタの名前です。 たとえば、 ServerName\ConnectorNameConnectorName などです。
source メッセージ追跡イベントを担当する Exchange トランスポート コンポーネントです。 フィールド内の値については、「メッセージ追跡ログのソースの値」セクションで後述します。
event-id メッセージ イベントの種類です。 イベントの種類については、「メッセージ追跡ログのイベントの種類」セクションで後述します。
internal-message-id 現在メッセージを処理している Exchange サーバーによって割り当てられたメッセージ ID です。

各メッセージの internal-message-id の値は、そのメッセージの配信に携わった Exchange サーバーのメッセージ追跡ログごとに異なります。 値の例は です 73014444033
message-id メッセージ ヘッダー内で検出された Message-Id: ヘッダー フィールドの値です。 Message-Id: ヘッダー フィールドが存在しないか、空白の場合、任意の値が割り当てられます。 この値は、メッセージの有効期間全体にわたって不変です。 Exchange で作成されたメッセージの場合、値は山かっこ (< >) を含む形式<GUID@ServerFQDN>になります。 たとえば、「 <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com> 」のように入力します。 他のメッセージング システムは異なる構文や値を使用する可能性があります。
network-message-id 分岐または配布グループの拡張によって作成される可能性があるメッセージのコピー間で保持される一意のメッセージ ID 値。 値の例は です 1341ac7b13fb42ab4d4408cf7f55890f
recipient-address メッセージ受信者の電子メール アドレスです。 複数の電子メール アドレスがある場合は、セミコロン (;) で区切られます。
recipient-status このフィールドには、セミコロン (;) で区切られた各受信者の状態が含まれます。 各受信者の状態値の並び順は、 recipient-address フィールドの値と同じです。 状態値の例には、 または が550 4.4.7 QUEUE.Expired;<ErrorText>含まれます250 2.1.5 Recipient OK
total-bytes 添付ファイルを含むメッセージのサイズを、バイト単位で表します。
recipient-count メッセージ内の受信者の数です。
related-recipient-address このフィールドは、 EXPANDREDIRECT 、および RESOLVE イベントの場合に、そのメッセージに関連する他の受信者の電子メール アドレスを表示するために使用されます。
reference このフィールドには、イベントの種類に応じた追加情報が含まれます。 以下に例を示します。

DSN: レポート リンクが含まれます。これは、このイベントの後に DSN が生成された場合に関連付けられた配信状態通知 (DSN) の メッセージ ID 値です。 これが DSN メッセージの場合は、この DSN を生成した元のメッセージの Message-Id の値が Reference フィールドに入ります。

展開: [参照] フィールドには、関連するメッセージの 関連受信者アドレス 値が含まれています。

RECEIVE: メッセージが他のプロセス (ジャーナリングルールや受信トレイルールなど) によって生成された場合、関連するメッセージの [参照] フィールドに Message-Id 値が含まれる場合があります。

SEND: [参照] フィールドには、任意の DSN メッセージの内部メッセージ ID 値が 含まれます。

THROTTLE: [参照] フィールドには、メッセージが調整された理由が含まれます。

転送: [参照] フィールドには、フォークされているメッセージの内部メッセージ ID が含まれています。

受信トレイ ルールによって生成されたメッセージの場合、 Reference フィールドには、受信トレイ ルールでこの送信メッセージが生成される原因となった受信メッセージの Internal-Message-Id の値が入ります。

その他の種類のイベントの場合、 Reference フィールドには、フォークされたメッセージの Internal-Message-Id の値が入ります。

その他の種類のイベントの場合、 Reference フィールドは通常空白です。
message-subject ヘッダー フィールドで見つかったメッセージの Subject: 件名。 メッセージサブジェクトの追跡は、Set-TransportService コマンドレットまたは Set-MailboxServer コマンドレットの MessageTrackingLogSubjectLoggingEnabled パラメーターによって制御されます。 既定では、メッセージの件名の追跡は有効になっています。
sender-address ヘッダー フィールドに Sender: 指定された電子メール アドレス、または From: ヘッダー フィールドが存在しない場合 Sender: はヘッダー フィールド。
return-path メッセージ エンベロープで 指定 MAIL FROM: された返信メール アドレス。 このフィールドは空ではありませんが、null 送信者アドレス値を として <>表すことができます。
message-info メッセージに関する追加情報です。 たとえば、
  • DELIVER イベントおよび SEND イベントのメッセージ発生 UTC 日時。 発生日時とは、そのメッセージが最初に Exchange 組織に入った日時です。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-MM-ddThh:mm:ss.fffZ は、 yyyy = year、 MM = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を示す別の方法です。
  • 認証エラー。 たとえば、認証エラーが発生したときに使用される認証の値 11a と種類が表示される場合があります。
directionality メッセージの方向です。 値の例には、、Undefined、および がOriginating含まれますIncoming
tenant-id このフィールドは社内 Exchange 2013 組織では使用されません。
original-client-ip 元のクライアントのアドレス (IPv4 または IPv6)。
original-server-ip 元のサーバーのアドレス (IPv4 または IPv6)。
custom-data このフィールドには、イベントの種類に応じたデータが入ります。 たとえば、トランスポート ルール エージェントはこのフィールドに、メッセージに適用されたトランスポート ルールまたは DLP ポリシーの GUID を記録します。 これらのトランスポート ルール エージェントの値の詳細については、「 DLP ポリシー検出レポートの表示 」トピックの「データ ログ」セクションを参照してください。

メッセージ追跡ログのイベントの種類

メッセージ追跡 ログのメッセージ イベントは、 event-id フィールドのさまざまなイベントの種類によって分類されます。 メッセージ イベントの中には、1 種類のメッセージ追跡ログ ファイルにしか出現しないものもあれば、すべての種類のメッセージ追跡ログ ファイルに出現するものもあります。 各メッセージ イベントの分類に使用されるイベントの種類を次の表に示します。

イベント名 説明
AGENTINFO このイベントは、トランスポート エージェントがカスタム データを記録するために使用されます。
BADMAIL ピックアップ ディレクトリまたは再生ディレクトリによって、配信または返却できないメッセージが発信された。
DEFER メッセージの配信の遅延が発生した。
DELIVER メッセージがローカル メールボックスに配信された。
DROP メッセージは、配信状態通知 (DSN、バウンス メッセージ、配信不能レポート、または NDR とも呼ばれる) なしでドロップされました。 次に例を示します。
  • 完了したモデレート承認依頼メッセージ。
  • スパム メッセージは NDR なしでドロップされました。
DSN 配信状態通知 (DSN) が生成された。
DUPLICATEDELIVER 重複するメッセージが受信者に配信された。 重複は、受信者が複数の入れ子になった配布グループのメンバーである場合に発生することがあります。 重複するメッセージはインフォメーション ストアによって検出され、削除されます。
DUPLICATEEXPAND 配布グループの展開中に、重複する受信者が検出された。
DUPLICATEREDIRECT メッセージの代理受信者がすでに受信者になっていた。
EXPAND 配布グループが展開された。
FAIL メッセージの配信が失敗した。 ソースには、 SMTPDNSQUEUE 、および ROUTING が含まれます。
HADISCARD プライマリ コピーが次のホップに配信された後、シャドウ メッセージが破棄された。 詳細については、「シャドウ冗長」を参照してください。
HARECEIVE ローカルのデータベース可用性グループ (DAG) または Active Directory サイトがシャドウ メッセージを受信した。
HAREDIRECT シャドウ メッセージが作成された。
HAREDIRECTFAIL シャドウ メッセージの作成に失敗した。 詳細は、 source-context フィールドに格納されます。
INITMESSAGECREATED モデレート受信者に送信されたメッセージが、承認のために調停メールボックスに送信された。 詳細については、「メッセージ承認の管理」を参照してください。
LOAD 起動時にメッセージが正常に読み込まれた。
MODERATIONEXPIRE モデレート受信者のモデレーターがメッセージの承認も拒否もしなかったため、メッセージが期限切れになった。 モデレート受信者の詳細については、「メッセージ承認の管理」を参照してください。
MODERATORAPPROVE モデレート受信者のモデレーターがメッセージを承認したため、メッセージがモデレート受信者に配信された。
MODERATORREJECT モデレート受信者のモデレーターがメッセージを拒否したため、メッセージがモデレート受信者に配信されなかった。
MODERATORSALLNDR モデレート受信者のモデレーター全員に送られた承認依頼がすべて配信不能だったため、配信不能レポート (NDR) が生成された。
NOTIFYMAPI ローカル サーバーのメールボックスの送信トレイでメッセージが検出された。
NOTIFYSHADOW ローカル サーバーのメールボックスの送信トレイでメッセージが検出され、メッセージのシャドウ コピーを作成する必要がある。
POISONMESSAGE メッセージが有害メッセージ キューに格納されたか、または有害メッセージ キューから削除された。
PROCESS メッセージが正常に処理された。
PROCESSMEETINGMESSAGE 会議メッセージは、メールボックス トランスポート配信サービスによって処理されました。
RECEIVE メッセージは、トランスポート サービスの SMTP 受信コンポーネントまたはピックアップまたは再生ディレクトリ (ソース: SMTP) から受信されたか、メールボックスからメールボックス トランスポート送信サービス (ソース: STOREDRIVER) に送信されました。
REDIRECT Active Directory 参照の後に、メッセージが代替受信者にリダイレクトされた。
RESOLVE Active Directory 参照の後に、メッセージの受信者が別の電子メール アドレスに解決された。
RESUBMIT メッセージがセーフティ ネットから自動的に再送信された。 詳細については、「セーフティ ネット」を参照してください。
RESUBMITDEFER セーフティ ネットからのメッセージの再送信が遅延した。
RESUBMITFAIL セーフティ ネットからのメッセージの再送信が失敗した。
SEND トランスポート サービス間でメッセージが SMTP で送信された。
SUBMIT メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が成功した。 SUBMIT イベントの場合、 source-context プロパティには以下の詳細情報が格納されます。
  • MDB: メールボックス データベース GUID。
  • メールボックス: メールボックス GUID。
  • イベント: イベント シーケンス番号。
  • MessageClass: メッセージの種類。 たとえば、「 IPM.Note 」のように入力します。
  • CreationTime: メッセージ送信の日時。
  • ClientType: たとえば、、 UserOWA 、または ActiveSyncです。
SUBMITDEFER メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が遅延した。
SUBMITFAIL メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が失敗した。
SUPPRESSED メッセージの送信が止められた。
THROTTLE メッセージが調整された。
TRANSFER コンテンツ変換、メッセージの受信者制限、またはエージェントが原因で、フォークされているメッセージに受信者が移動された。 ソースには、 ROUTING または QUEUE が含まれます。

メッセージ追跡ログのソースの値

メッセージ追跡ログの source フィールドの値は、そのメッセージ追跡イベントを担当するトランスポート コンポーネントを示します。 次の表は、 source フィールドの値の一覧です。

source の値 説明
ADMIN イベント ソースは人間の介入でした。 たとえば、管理者はキュー ビューアーを使用してメッセージを削除したり、再生ディレクトリを使用して送信されたメッセージ ファイルを送信したりしました。
AGENT トランスポート エージェントがイベント ソース。
APPROVAL モデレート受信者に使用される承認フレームワークがイベント ソース。 詳細については、「メッセージ承認の管理」を参照してください。
BOOTLOADER イベント ソースは、ブート時にサーバー上に存在する未処理のメッセージでした。 これは、イベントの種類 LOAD と関係しています。
DNS DNS がイベント ソース。
DSN 配信状態通知 (DSN) がイベント ソース。 たとえば、配信不能レポート (NDR) など。
GATEWAY 外部コネクタがイベント ソース。 詳細については、「外部コネクタ」を参照してください。
MAILBOXRULE 受信トレイ ルールがイベント ソース。 詳細については、「受信トレイのルール」を参照してください。
MEETINGMESSAGEPROCESSOR イベント ソースは、会議の更新情報に基づいたカレンダーを更新する会議メッセージのプロセッサでした。
ORAR 発信者が要求した代理受信者 (ORAR) がイベント ソース。 New-ReceiveConnector コマンドレットまたは Set-ReceiveConnector コマンドレットの OrarEnabled パラメーターを使用して、受信コネクタでの ORAR のサポートを有効または無効にすることができます。
PICKUP ピックアップ ディレクトリがイベント ソース。 詳細については、「ピックアップ ディレクトリと再生ディレクトリ」を参照してください。
POISONMESSAGE 有害メッセージ識別子がイベント ソース。 有害メッセージおよび有害メッセージ キューの詳細については、「キュー」を参照してください。
PUBLICFOLDER メールが有効なパブリック フォルダーがイベント ソース。
QUEUE キューがイベント ソース。
REDUNDANCY シャドウ冗長がイベント ソース。 詳細については、「シャドウ冗長」を参照してください。
ROUTING トランスポート サービスのカテゴライザーのルーティング解決コンポーネントがイベント ソース。
SAFETYNET セーフティ ネットがイベント ソース。 詳細については、「セーフティ ネット」を参照してください。
SMTP メッセージが、トランスポート サービスの SMTP 送信コンポーネントまたは SMTP 受信コンポーネントによって発信された。
STOREDRIVER ローカル サーバー上のメールボックスからの MAPI 送信がイベント ソース。

メッセージ追跡ログのエントリの例

2 人のユーザー間でメッセージが問題なく送受信された場合、いくつかエントリがメッセージ追跡ログに書き込まれます。 ログを参照するには、 Get-MessageTrackingLog コマンドレットを使用します。 詳細については、「 メッセージ追跡ログの検索」を参照してください。

これは、ユーザーがテスト メッセージをユーザー chris@contoso.com に正常に送信したときに作成されたメッセージ追跡ログ エントリの要約された michelle@contoso.com例です。 どちらのユーザーも、同じサーバー上にメールボックスを持っています。

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

メッセージ追跡ログに関するセキュリティ上の考慮事項

メッセージ追跡ログには、メッセージのコンテンツは格納されません。 既定では、電子メール メッセージの件名がメッセージ追跡ログに格納されます。 セキュリティまたはプライバシーの強化された要件に従うために、メッセージの件名のログ収集を無効にする必要がある場合があります。 メッセージの件名のログ収集を有効または無効にする場合は、事前に件名の情報の表示に関する組織のポリシーを確認してください。 詳細については、「メッセージ追跡を構成する」を参照してください。