メッセージ追跡について

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

メッセージ追跡ログは、ハブ トランスポート サーバーの役割、メールボックス サーバーの役割、またはエッジ トランスポート サーバーの役割がインストールされた Microsoft Exchange Server 2010 を実行するコンピューターがメッセージを送受信する際に記録される、すべてのメッセージ動作の詳細ログです。クライアント アクセス サーバーの役割またはユニファイド メッセージング サーバーの役割がインストールされている Exchange サーバーには、メッセージ追跡ログはありません。 メッセージ追跡ログは、メッセージ フォレンシック、メール フローの分析、報告、およびトラブルシューティングに使用されます。

Set-TransportServer コマンドレットは、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーにおけるすべてのメッセージ追跡構成タスクに使用できます。 Set-MailboxServer コマンドレットは、メールボックス サーバーにおけるすべてのメッセージ追跡構成タスクに使用できます。 ハブ トランスポート サーバーの役割とメールボックス サーバーの役割がインストールされているサーバーには、Set-TransportServer コマンドレットまたは Set-MailboxServer コマンドレットを使用できます。 これらのコマンドレットを使用すると、メッセージ追跡に関する以下の構成変更を行えます。

  • Enable or disable message tracking: 既定では有効になっています。

  • Specify the location of the message tracking log files

  • Specify a maximum size for the individual message tracking log files: 既定値は 10 MB です。

  • Specify a maximum size for the directory that contains the message tracking log files:既定値は 1,000 MB です。

  • Specify maximum age for the message tracking log files: 既定値は 30 日です。

  • Enable or disable message subject logging in the message tracking logs 既定では有効になっています。

注意

ハブ トランスポート サーバーまたはエッジ トランスポート サーバーで Exchange 管理コンソールを使用して、メッセージ追跡を有効または無効にしたり、メッセージ追跡ログ ファイルの場所を指定したりすることもできます。

Exchange 2010 ではログ ローテーションが使用され、ファイルのサイズと保存期間に基づいてメッセージ追跡ログが制限されます。 これは、ログ ファイルに使用されるハード ディスク容量を制限するために役立ちます。

メッセージ追跡ログ ファイルの構造

既定では、メッセージ追跡ログ ファイルは C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking に保存されます。

メッセージ追跡ログ ディレクトリにあるログ ファイルの名前付け規則は、インストール先のサーバーの役割によって異なります。 ハブ トランスポート サーバーまたはエッジ トランスポート サーバーでは、ログ ファイルの名前は MSGTRKyyyymmdd-nnnn.log になります。 メールボックス サーバーでは、ログ ファイルの名前は MSGTRKMyyyymmdd-nnnn.log になります。 ハブ トランスポート サーバーの役割とメールボックス サーバーの役割が同じサーバーにインストールされている場合は、メッセージ追跡ログ ディレクトリ内に、これらの異なる名前のプレフィックスを使用したログ ファイルがそれぞれ作成されます。

ログ ファイル名に含まれるプレースホルダーは以下の情報を表しています。

  • プレースホルダー yyyymmdd は、ログ ファイルを作成した世界協定時刻 (UTC) の日付です。ここで、yyyy = 年、mm = 月、dd = 日を表しています。

  • プレースホルダー nnnn はインスタンス番号で、メッセージ追跡ログ ファイルの名前のプレフィックスごとに、毎日値 1 から始まります。

ファイル サイズが、ログ ファイルごとに指定されている最大値に達するまで、それぞれのログ ファイルに情報を書き込みます。ファイル サイズがこの最大値に達したら、インスタンス番号を増やした新しいログ ファイルを開きます。 このプロセスを終日繰り返します。 ログ ファイル ローテーション機能では、次のいずれかの条件が満たされると、最も古いログ ファイルが削除されます。

  • ログ ファイルが指定された最大保存期間に達する。

  • メッセージ追跡ログ ディレクトリが指定された最大サイズに達する。

    重要

    メッセージ追跡ログ ディレクトリの最大サイズは、名前のプレフィックスが同じログ ファイルの合計サイズとして計算されます。 同じプレフィックスの表記規則に従っていない他のファイルは、合計ディレクトリ サイズの計算には含まれません。 古いログ ファイルの名前を変更したり、他のファイルをメッセージ追跡ログ ディレクトリにコピーしたりすると、ディレクトリが指定した最大サイズを超える場合があります。 ハブ トランスポート サーバーの役割とメールボックス サーバーの役割が同じサーバーにインストールされている場合、メッセージ追跡ログ ディレクトリの最大サイズは、指定された最大サイズではありません。これは、別のサーバーの役割によって生成されるメッセージ追跡ログ ファイルには、これとは異なる名前のプレフィックスが付けられるためです。 ハブ トランスポート サーバーの役割とメールボックス サーバーの役割が同じサーバーにインストールされている場合、メッセージ追跡ログ ディレクトリの最大サイズは、指定された値の 2 倍になります。

メッセージ追跡ログ ファイルは、データをコンマ区切り (CSV) 形式で格納するテキスト ファイルです。 個々のメッセージ追跡ログ ファイルには、以下の情報を含むヘッダーがあります。

  • #Software:   メッセージ追跡ログ ファイルを作成したソフトウェアの名前です。通常、この値は Microsoft Exchange Server です。

  • #Version:   メッセージ追跡ログ ファイルを作成したソフトウェアのバージョン番号です。現在、この値は 14.0.0.0 です。

  • #Log-Type:   このフィールドの値は、メッセージ追跡ログです。

  • #Date:   ログ ファイルが作成された UTC の日時です。 UTC の日時は次のような ISO 8601 の日時形式で表されます。yyyy-mm-ddThh:mm:ss.fffZ。ここでは yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数であり、Z は UTC の別の呼び方である Zulu を表しています。

  • #Fields:   メッセージ追跡ログ ファイルで使用されているフィールド名をコンマで区切ったものです。 以下のフィールドが表示されます。

メッセージ追跡ログに書き込まれる情報

メッセージ追跡ログでは、個々のメッセージ イベントがログの 1 行として格納されます。 各メッセージ イベントの分類に使用されるイベントの種類を表 1 に示します。

表 1   各メッセージ イベントの分類に使用されるイベントの種類

イベント名 説明

BADMAIL

ピックアップ ディレクトリまたは再生ディレクトリによって、配信または返却できないメッセージが発信された。

DELIVER

メッセージがメールボックスに配信された。

DEFER

メッセージの配信の遅延が発生した。

DSN

配信状態通知 (DSN) が生成された。

DUPLICATEDELIVER

重複するメッセージが受信者に配信された。 重複は、受信者が 2 つの配布グループのメンバーである場合に発生することがあります。 重複するメッセージはインフォメーション ストアによって検出され、削除されます。

EXPAND

配布グループが展開された。

FAIL

メッセージの配信が失敗した。

POISONMESSAGE

メッセージが有害メッセージ キューに格納されたか、または有害メッセージ キューから削除された。

RECEIVE

メッセージが受信され、データベースにコミットされた。RECEIVE イベントは、SMTP 受信 (ソース: SMTP) または STOREDRIVER によって発信されたメール (ソース: STOREDRIVER) にすることができます。

SMTP RECEIVE の送信元は、SMTP を使用してメッセージを送信する任意の送信元になります。 たとえば、ハブ トランスポート サーバーの役割、エッジ トランスポート サーバーの役割、サード パーティのメッセージ転送エージェント (MTA)、POP/IMAP クライアントなどです。

STOREDRIVER RECEIVE は EdgeTransport.exe プロセスによって記録され、STOREDRIVER SUBMIT イベントに対応するイベントです。 STOREDRIVER SUBMIT は、メール発信プロセスによってログに記録されます。 両方のサーバーの役割がローカルにインストールされている場合、これらのイベントは同一サーバーで発生し、その他の場合は異なるサーバーで発生します。

注意

EdgeTransport.exe および MSExchangeTransport.exe は、Microsoft Exchange Transport サービスによって使用される実行可能ファイルです。このサービスは、すべてのハブ トランスポート サーバーまたはエッジ トランスポート サーバーで実行されます。

REDIRECT

Active Directory ディレクトリ サービス参照後に、メッセージが代替受信者にリダイレクトされた。

RESOLVE

Active Directory 参照後に、メッセージの受信者が別の電子メール アドレスに解決された。

SEND

メッセージが SMTP (簡易メール転送プロトコル) によって別のサーバーに送信された。

SUBMIT

SUBMIT イベントは、メールボックス サーバーの役割を実行している Exchange 2007 コンピューター上のメール発信サービスによってログに記録されます。 SUBMIT イベントは、このサービスが、メールボックス ストア内でメッセージが発信待機中であることを、ハブ トランスポート サーバーに通知したときにログに記録されます。

SourceContext プロパティは、メッセージング データベース (MDB) GUID、メールボックス GUID、イベント シーケンス番号、メッセージ クラス、ストアへのクライアント発信の作成タイム スタンプ、およびクライアントの種類を提供します。クライアントの種類は、ユーザー (Outlook ダイレクト MAPI)、RPCHTTP (Outlook Anywhere)、Outlook Web Access、Exchange Web サービス (EWS)、Exchange ActiveSync、アシスタント、またはトランスポートです。 メールボックス サーバーの役割によって生成されたメッセージ追跡ログには、SUBMIT イベントのみが含まれます。

TRANSFER

コンテンツ変換、メッセージの受信者制限、またはエージェントが原因で、フォークされているメッセージに受信者が移動された。

各行のメッセージ イベント情報は、フィールドごとにまとめられています。 これらのフィールドはコンマで区切られています。 通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。 ただし、フィールドが空白である場合や、表 1 に示されているようにメッセージ イベントの種類によってフィールドに格納されている情報の種類が異なる場合があります。各メッセージ追跡イベントの分類に使用されるフィールドの概要を表 2 に示します。

表 2   各メッセージ追跡イベントの分類に使用されるフィールド

フィールド名 説明

date-time

メッセージ追跡イベントの UTC 日時で、ISO 8601 形式で表されます。値は yyyy-mm-ddThh:mm:ss.fffZ 形式で記述されます。ここでは yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数であり、Z は UTC の別の呼び方である Zulu を表しています。

client-ip

メッセージを発信したメッセージング サーバーまたはメッセージング クライアントの TCP/IP アドレスです。

client-hostname

メッセージを発信したメッセージング サーバーまたはメッセージング クライアントの名前です。

server-ip

発信元または発信先 Exchange サーバーの TCP/IP アドレスです。

server-hostname

発信先サーバーの名前です。

source-context

source フィールドに関連する追加情報です。

connector-id

発信元または発信先の送信コネクタまたは受信コネクタの名前です。

source

そのメッセージ追跡イベントを担当する Exchange トランスポート コンポーネントです。 このフィールドが取り得る値は以下のとおりです。

  • ADMIN (再生ディレクトリの発信の場合)

  • AGENT

  • DSN

  • GATEWAY (外部コネクタの発信の場合)

  • PICKUP

  • ROUTING

  • SMTP

  • STOREDRIVER (MAPI 発信の場合)

event-id

メッセージ イベントの種類です。 これらのイベントについては、このトピックの表 1 で詳しく説明されています。 取り得る値は、BADMAIL、DEFER、DELIVER、DSN、EXPAND、FAIL、POISONMESSAGE、RECEIVE、REDIRECT、RESOLVE、SEND、SUBMIT、および TRANSFER です。

internal-message-id

そのメッセージを現在処理している Exchange 2010 サーバーによって割り当てられたメッセージ ID です。

各メッセージの internal-message-id の値は、そのメッセージの配信に関係するすべての Exchange 2010 サーバーのメッセージ追跡ログで異なります。

message-id

メッセージのヘッダー フィールドにある Message-Id: フィールドの値です。 Message-Id: ヘッダー フィールドが存在しないか、空白の場合、任意の値が割り当てられます。 この値は、メッセージの有効期間全体にわたって不変です。

recipient-address

メッセージの受信者の電子メール アドレスです。 複数の電子メール アドレスは、セミコロン (;) で区切られています。

recipient-status

このフィールドは、SEND イベントまたは FAIL イベントの場合に設定されます。

total-bytes

添付ファイルを含むメッセージのサイズを、バイト単位で表します。

recipient-count

メッセージ内の受信者の数です。

related-recipient-address

このフィールドは、EXPAND、REDIRECT、および RESOLVE イベントの場合に、そのメッセージに関連する他の受信者の電子メール アドレスを表示するために使用します。

reference

このフィールドには、イベントの種類に応じた追加情報が含まれます。

DSN   reference フィールドには、DSN が発生したメッセージの Internet-Message-Id が含まれます。

SEND   reference フィールドには、任意の配信状態通知 (DSN) メッセージの Internet-Message-Id が含まれます。

TRANSFER   reference フィールドには、フォークされているメッセージの internal-message-id が含まれます。

イベントが他の種類である場合、reference フィールドは空白です。

message-subject

Subject: ヘッダー フィールドにあるメッセージの件名です。 メッセージの件名の追跡は、ハブ トランスポート サーバーおよびエッジ トランスポート サーバーの場合は Set-TransportServer コマンドレットで、メールボックス サーバーの場合は Set-MailboxServer コマンドレットで、MessageTrackingLogSubjectLoggingEnabled パラメーターを使用して制御します。 既定では、メッセージの件名の追跡は有効になっています。 メッセージの件名のログ収集は、MessageTrackingLogSubjectLoggingEnabled パラメーターの値を $false に設定して無効にすることができます。

sender-address

Sender: ヘッダー フィールド (Sender: がない場合は From: ヘッダー フィールド) に指定されている電子メール アドレスです。

return-path

メッセージ エンベロープの MAIL FROM: で指定されているリターン電子メール アドレスです。 このフィールドが空であることはありませんが、<> と表される空の送信者アドレス値である場合があります。

message-info

このフィールドには、DELIVER および SEND イベントの場合のメッセージ発生日時が含まれます。 発生日時とは、そのメッセージが Exchange 組織に最初に入ったときです。値は yyyy-mm-ddThh:mm:ss.fffZ 形式で記述されます。ここでは yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数であり、Z は UTC の別の呼び方である Zulu を表しています。

特定のメッセージ条件を使用してメッセージを検索するには、Exchange 管理シェルで Get-MessageTrackingLog コマンドレットを使用するか、Exchange 管理コンソールでメッセージ履歴管理ツールを使用します。

メッセージ追跡ログに関するセキュリティ上の考慮事項

メッセージ追跡ログには、メッセージのコンテンツは格納されません。 既定では、電子メール メッセージの件名がメッセージ追跡ログに格納されます。 セキュリティまたはプライバシーの強化された要件に従うために、メッセージの件名のログ収集を無効にする必要がある場合があります。 メッセージの件名のログ収集を有効または無効にする場合は、事前に件名の情報の表示に関する組織のポリシーを確認してください。

詳細情報

詳細については、以下のトピックを参照してください。

メッセージ追跡を構成する

メッセージ追跡ログの検索

 © 2010 Microsoft Corporation.All rights reserved.