Exchange Online의 기본 EAC에서 메시지 추적 실행

참고

메시지 추적은 최신 Exchange 관리 센터에서 사용할 수 있습니다. 자세한 내용은 최신 Exchange 관리 센터의 메시지 추적을 참조하세요. Microsoft Defender 포털의 Exchange 메시지 추적 링크는 최신 EAC에서 메시지 추적을 엽니다.

관리자는 EAC(Exchange 관리 센터)에서 메시지 추적을 실행하여 전자 메일 메시지에 대해 수행된 작업을 확인할 수 있습니다. 메시지 추적을 실행한 후 목록에서 결과를 보고 특정 메시지에 대한 세부 정보를 볼 수 있습니다. 메시지 추적 데이터는 지난 90일 동안 사용할 수 있습니다. 메시지가 7일 이상 지난 경우 다운로드 가능한 .CSV 파일에서만 결과를 볼 수 있습니다.

메시지 추적 및 기타 메일 흐름 문제 해결 도구에 대한 비디오 연습은 Microsoft 365 또는 비즈니스 관리자용 Office 365 전자 메일 배달 문제 찾기 및 해결을 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Online 또는 Exchange Online Protection 포럼을 방문하세요. 비즈니스 관리자용 Microsoft 365 또는 Office 365 경우 비즈니스 제품 지원 문의 - 관리 도움말을 참조하세요.

메시지 추적 실행

  1. EAC에서 메일 흐름>메시지 추적으로 이동합니다.

    메일 흐름 탐색 메뉴에서 메시지 추적이 선택되었음을 보여 주는 Exchange 관리 센터의 스크린샷

  2. 검색 대상에 따라 다음 필드에 값을 입력할 수 있습니다. 7일이 경과하지 않은 메시지에는 이러한 필드가 필요 없습니다. 검색을 클릭하여 지난 48시간 동안의 기본 기간 동안 모든 메시지 추적 데이터를 검색할 수 있습니다.

    1. 날짜 범위: 드롭다운 목록을 사용하여 지난 24시간, 48시간 또는 7일 이내에 보내거나 받은 메시지를 검색하려면 선택합니다. 지난 90일 이내의 원하는 범위가 포함된 사용자 지정 시간 프레임을 선택할 수도 있습니다. 사용자 지정 검색의 경우에는 표준 시간대를 UTC(협정 표준시)로 변경할 수도 있습니다.

    2. 배달 상태: 드롭다운 목록을 사용하여 정보를 보려는 메시지의 상태 선택합니다. 모든 상태를 포함하려면 기본값( 모두)을 그대로 둡니다. 그 이외의 가능한 값은 다음과 같습니다.

      • 배달됨: 메시지가 의도한 대상으로 성공적으로 전달되었습니다.
      • 실패: 메시지가 배달되지 않았습니다. 시도되었거나 실패했거나 필터링 서비스에서 수행한 작업의 결과로 배달되지 않았습니다. 예를 들어 메시지에 맬웨어가 있다고 판단된 경우 배달되지 않습니다.
      • 보류 중*: 메시지 배달을 시도하거나 다시 시도 중입니다.
      • 확장됨: 메시지가 메일 그룹으로 전송되었고 목록의 멤버를 개별적으로 볼 수 있도록 확장되었습니다.
      • 스팸으로 필터링됨: 메시지가 정크 Email 폴더로 전달되었습니다.
      • 알 수 없음*: 현재 메시지 배달 상태 알 수 없습니다. 쿼리 결과가 나열되면 배달 세부 정보 필드에 정보가 포함되지 않습니다.

      *7일보다 오래된 메시지를 검색하는 경우 보류 중 또는 알 수 없음을 선택할 수 없습니다.

    3. 메시지 ID: 메시지 ID: 헤더 필드의 메시지 헤더에 있는 인터넷 메시지 ID(클라이언트 ID 라고도 함)입니다. 특정 메시지를 조사하기 위해 사용자가 관리자에게 이 정보를 제공할 수 있습니다.

      이 ID 형식은 송신 메일 시스템에 따라 다릅니다 예를 들면 다음과 같습니다. 예제는 입니다 <08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

      이 ID는 고유해야 합니다. 그러나 모든 보내는 메일 시스템이 동일한 방식으로 동작하는 것은 아닙니다. 따라서 단일 메시지 ID를 쿼리할 때 여러 메시지에 대한 결과를 얻을 수 있습니다.

      참고: 전체 메시지 ID 문자열을 포함해야 합니다. 꺾쇠 괄호(<>)가 포함될 수도 있습니다.

    4. 보낸 사람: 보낸 사람필드 옆에 있는 보낸 사람 추가 단추를 클릭하여 특정 보낸 사람 검색 범위를 좁힐 수 있습니다. 그러면 표시되는 대화 상자의 사용자 선택 목록에서 회사의 보낸 사람을 한 명 이상 선택하고 추가를 클릭합니다. 목록에 없는 보낸 사람을 추가하려면 해당 전자 메일 주소를 입력하고 이름 확인을 클릭합니다. 이 상자에서 와일드카드는 *@contoso.com 형식의 이메일 주소에 대해 지원됩니다. 와일드카드를 지정할 때 다른 주소는 사용할 수 없습니다. 선택을 완료하면 확인을 클릭합니다.

    5. 받는 사람: 받는 사람 필드 옆에 있는 받는 사람 추가 단추를 클릭하여 특정 받는 사람에 대한 검색 범위를 좁힐 수 있습니다. 다음 표시되는 대화 상자의 사용자 선택 목록에서 회사 내 한 명의 받는 사람이나 여러 받는 사람을 선택한 후 추가를 클릭합니다. 목록에 없는 받는 사람을 추가하려면 해당 보낸 사람의 전자 메일 주소를 입력한 후 이름 확인을 클릭합니다. 이 상자에서 와일드카드는 *@contoso.com 형식의 이메일 주소에 대해 지원됩니다. 와일드카드를 지정할 때 다른 주소는 사용할 수 없습니다. 선택을 완료하면 확인을 클릭합니다.

  3. 7일보다 오래된 메시지를 검색하는 경우 다음 설정을 구성합니다( 그렇지 않으면 이 단계를 건너뛸 수 있음).

    1. 보고서에 메시지 이벤트 및 라우팅 세부 정보 포함: 적은 수의 메시지를 찾는 경우에만 이 검사 상자를 선택하는 것이 좋습니다. 그렇지 않으면 결과를 반환하는 데 더 오래 걸립니다.

    2. 방향: 기본값인 All을 그대로 두거나 organization 보낸 메시지에 대해 organization 보낸 메시지의 인바운드 또는 아웃바운드를 선택합니다.

    3. 원래 클라이언트 IP 주소: 보낸 사람 클라이언트의 IP 주소를 지정합니다.

    4. 보고서 제목: 이 보고서의 고유 식별자를 지정합니다. 이 제목은 전자 메일 알림의 제목 줄 텍스트로도 사용됩니다. 기본값은 "메시지 추적 보고서 <요일>, <현재 날짜><현재 시간>"입니다. 예를 들어 "메시지 추적 보고서 2018년 10월 17일 목요일 오전 7:21:09".

    5. 알림 이메일 주소: 메시지 추적이 완료될 때 알림을 받을 전자 메일 주소를 지정합니다. 이 주소는 허용된 도메인 목록에 있어야 합니다.

  4. 검색: 을 클릭하여 메시지 추적을 실행합니다. 24시간 동안 실행할 수 있는 추적 수의 임계값에 가까워지면 경고가 표시됩니다.

메시지 추적을 실행한 후 다음 섹션 중 하나를 진행하여 결과를 보는 방법을 읽습니다.

참고: 다른 메시지를 검색하려면 지우기 단추를 클릭한 다음 새 검색 조건을 지정할 수 있습니다.

7일 미만의 메시지에 대한 메시지 추적 결과 보기

EAC에서 메시지 추적을 실행하면 결과가 날짜별로 정렬되고 가장 최근 메시지가 먼저 표시됩니다. 메시지 헤더를 클릭하여 나열된 필드를 정렬할 수 있습니다. 열 머리글을 다시 클릭하면 정렬 순서가 반전됩니다. 메시지 추적 결과를 볼 때 각 메시지에 대해 다음 정보가 제공됩니다.

  • 날짜: 구성된 UTC 표준 시간대를 사용하여 서비스에서 메시지를 받은 날짜 및 시간입니다.
  • 보낸 사람: 형식 alias@domain의 보낸 사람의 전자 메일 주소입니다.
  • 받는 사람: 받는 사람 또는 받는 사람의 전자 메일 주소입니다. 두 명 이상의 받는 사람에게 메시지를 전송한 경우 받는 사람당 하나의 줄이 표시됩니다. 받는 사람이 메일 그룹이면 메일 그룹이 첫 번째 받는 사람이 되며, 메일 그룹의 각 구성원은 모든 받는 사람의 상태를 확인할 수 있도록 별도의 줄에 표시됩니다.
  • 제목: 메시지의 제목 줄 텍스트입니다. 필요한 경우 제목은 처음 256자로 잘립니다.
  • 상태: 이 필드는 메시지가 받는 사람에게 배달되었는지 또는 의도한 대상에 배달되었는지, 받는 사람에게 배달되지 못했는지(대상에 도달하지 못했거나 필터링되었기 때문에) 배달 보류 중(배달 중이거나 배달이 지연되었지만 다시 시도 중임)을 지정합니다. 가 확장되었거나(메시지가 DL의 받는 사람에게 확장된 DL(메일 그룹)으로 전송되었거나 없음의 상태 있습니다(메시지가 거부되거나 다른 받는 사람에게 리디렉션되었기 때문에 받는 사람에게 메시지를 배달할 상태 없음).

참고

메시지 추적에는 항목을 최대 500개 표시할 수 있습니다. 기본적으로 사용자 인터페이스에는 페이지당 항목이 50개 표시되며, 사용자가 페이지를 탐색할 수 있습니다. 500페이지까지 각 페이지의 항목 크기를 변경할 수도 있습니다.

7일 미만의 특정 메시지에 대한 세부 정보 보기

EAC에서 메시지 추적을 실행하여 반환된 항목 목록을 확인했으면 개별 메시지를 두 번 클릭하여 메시지에 대한 다음과 같은 추가 세부 정보를 볼 수 있습니다.

  • 메시지 크기: 첨부 파일을 포함한 메시지의 크기(KB)이거나 메시지 크기가 999KB보다 큰 경우 MB(메가바이트)입니다.

  • 메시지 ID: "Message-ID:" 토큰이 있는 메시지의 헤더에 있는 인터넷 메시지 ID(클라이언트 ID라고도 함)입니다. 이 형식은 송신 메일 시스템에 따라 다릅니다 예를 들면 다음과 같습니다. 예제는 입니다 <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>.

    그러나 이 ID는 고유해야 하지만 생성을 위해 보내는 메일 시스템에 따라 달라지며 모든 보내는 메일 시스템이 동일한 방식으로 동작하는 것은 아닙니다. 따라서 단일 메시지 ID를 쿼리할 때 여러 메시지에 대한 결과를 얻을 수 있습니다.

    이 ID는 추적 항목과 해당 메시지가 서로 관련되도록 출력으로 표시됩니다.

  • IP: 서비스에서 메시지를 배달하려고 시도한 IP 주소 또는 주소입니다. 받는 사람이 여러 명일 경우 이 항목이 표시됩니다. Exchange Online으로 전송되는 인바운드 메시지의 경우 이 값은 비어 있습니다.

  • IP에서: 메시지를 보낸 컴퓨터의 IP 주소입니다. Exchange Online에서 전송되는 아웃바운드 메시지의 경우 이 값은 비어 있습니다.

이벤트 섹션에서 다음 필드는 메시징 파이프라인을 통과하는 메시지에 대해 발생한 이벤트 정보를 제공합니다.

  • 날짜: 이벤트가 발생한 날짜 및 시간입니다.

  • 이벤트: 이 필드는 서비스에서 메시지를 받은 경우, 메시지가 전달되었거나 의도한 받는 사람에게 배달되지 않은 경우 등과 같이 발생한 일을 간략하게 알려줍니다. 다음은 나열될 수 있는 이벤트 예입니다.

    • 수신: 서비스에서 메시지를 받았습니다.

    • SEND: 서비스에서 메시지를 보냈습니다.

    • 실패: 메시지를 배달하지 못했습니다.

    • 배달: 메시지가 사서함에 배달되었습니다.

    • EXPAND: 메시지가 확장된 메일 그룹으로 전송되었습니다.

    • TRANSFER: 받는 사람이 콘텐츠 변환, 메시지 받는 사람 제한 또는 에이전트로 인해 순환된 메시지로 이동되었습니다.

    • DEFER: 메시지 배달이 연기되었으며 나중에 다시 시도할 수 있습니다.

    • 해결됨: 메시지가 Active Directory 조회를 기반으로 새 받는 사람 주소로 리디렉션되었습니다. 이 경우 원본 받는 사람 주소가 메시지 추적에 별도의 행으로 표시되고 메시지의 최종 배달 상태가 표시됩니다.

    • DLP 규칙: 메시지에 이 메시지의 DLP 규칙이 일치했습니다.

    • 민감도 레이블: 서버 쪽 레이블 지정 이벤트가 발생했습니다. 예를 들어 레이블은 암호화 작업을 포함하는 메시지에 자동으로 추가되거나 웹 또는 모바일 클라이언트를 통해 추가되었습니다. 이 작업은 Exchange 서버에서 완료되고 기록됩니다. Outlook을 통해 추가된 레이블은 이벤트 필드에 포함되지 않습니다.

      추가 이벤트가 나타날 수 있습니다. 이러한 이벤트에 대한 자세한 내용은 메시지 추적 로그의 이벤트 유형을 참조하세요.

  • 작업: 이 필드는 맬웨어 또는 스팸 검색 또는 규칙 일치로 인해 메시지가 필터링된 경우 수행된 작업을 보여 줍니다. 예를 들어 메시지가 삭제되었거나 메시지가 격리로 보내진 경우 이러한 상황을 알 수 있습니다.

  • 세부 정보: 이 필드는 발생한 일을 자세히 설명하는 자세한 정보를 제공합니다. 예를 들어 일치하는 특정 메일 흐름 규칙(전송 규칙이라고도 함)과 해당 일치의 결과로 메시지에 어떤 일이 발생했는지 알려줄 수 있습니다. 또한 어느 첨부 파일에서 어떠한 맬웨어가 탐지되었는지, 메시지가 스팸으로 탐지된 이유 등도 알려줍니다. 메시지가 배달된 경우에는 메시지가 배달된 IP 주소가 표시됩니다.

7일이 지난 메시지에 대한 메시지 추적 결과 보기

7일보다 오래된 항목에 대해 메시지 추적을 실행하는 경우 메시지 검색 을 클릭하면 메시지가 성공적으로 제출되었으며 추적이 완료되면 제공된 전자 메일 주소로 전자 메일 알림이 전송됨을 알리는 메시지가 표시됩니다. (메시지 추적이 처리되고 검색 조건과 일치하는 데이터가 성공적으로 검색되면 이 알림 메시지에는 추적에 대한 정보와 다운로드 가능한 .CSV 파일에 대한 링크가 포함됩니다. 지정한 검색 조건과 일치하는 데이터를 찾을 수 없는 경우 유효한 결과를 얻기 위해 변경된 조건을 사용하여 새 요청을 제출하라는 메시지가 표시됩니다.)

EAC에서 보류 중 또는 완료된 추적 보기를 클릭하여 7일보다 오래된 항목에 대해 실행된 추적 목록을 볼 수 있습니다. 결과 UI에서 추적 목록은 제출된 날짜와 시간에 따라 정렬되어 있으며, 가장 최근 제출이 첫 번째로 표시됩니다. 보고서 제목, 추적이 제출된 날짜 및 시간, 보고서의 메시지 수 외에 다음 상태 값이 나열됩니다.

  • 시작되지 않음: 추적이 제출되었지만 아직 실행되고 있지 않습니다. 이 시점에서는 추적을 취소할 수 있는 옵션이 제공됩니다.
  • 취소됨: 추적이 제출되었지만 취소되었습니다.
  • 진행 중: 추적이 실행 중이며 추적을 취소하거나 결과를 다운로드할 수 없습니다.
  • 완료됨: 추적이 완료되었으며 이 보고서 다운로드 를 클릭하여 .CSV 파일에서 결과를 검색할 수 있습니다. 요약 보고서에 대한 메시지 추적 결과가 100000 메시지를 초과하면 처음 1000000 메시지로 잘립니다. 자세한 보고서에 대한 메시지 추적 결과가 1000 메시지를 초과하면 처음 1,000 메시지로 잘립니다. 필요한 결과가 모두 표시되지 않으면 검색을 여러 쿼리로 분할하는 것이 좋습니다.

특정 메시지 추적을 선택하면 오른쪽 창에 추가 정보가 나타납니다. 지정한 검색 조건에 따라 추적이 실행된 날짜 범위, 메시지의 보낸 사람 및 의도된 받는 사람 등의 세부 정보가 포함될 수 있습니다.

참고

  • 7일이 지난 데이터를 포함하는 메시지 추적은 10일 후에 EAC에서 자동으로 삭제됩니다. 보고서를 수동으로 삭제할 수는 없습니다.

  • 다운로드 가능한 보고서의 최대 크기는 500MB입니다. 다운로드 가능한 보고서가 500MB를 초과하는 경우 Excel 또는 메모장에서 보고서를 열 수 없습니다.

7일이 지난 특정 메시지에 대한 보고서 세부 정보 보기

EAC에서 보류 중이거나 완료된 추적 보기 에서 또는 알림 전자 메일에서 메시지 추적 보고서를 다운로드하고 볼 때 해당 내용은 보고서와 함께 메시지 이벤트 포함 및 라우팅 세부 정보 옵션을 선택했는지 여부에 따라 달라집니다.

중요

다운로드한 메시지 추적 보고서를 보려면 역할 그룹에 "보기 전용 받는 사람" RBAC 역할을 할당해야 합니다. 이 역할은 기본적으로 준수 관리, 지원 센터, 방역 관리, 조직 관리, 보기 전용 조직 관리 역할 그룹에 할당됩니다.

라우팅 세부 정보 없이 메시지 추적 보고서 보기

메시지 추적을 실행할 때 라우팅 정보가 포함되지 않은 경우 다음 정보가 .CSV 파일에 포함됩니다. 이 파일은 Microsoft Excel과 같은 응용 프로그램에서 열 수 있습니다.

  • origin_timestamp: 구성된 UTC 표준 시간대를 사용하여 서비스에서 메시지를 받은 날짜 및 시간입니다.

  • sender_address: 양식 별칭도메인에 있는 보낸 사람의 이메일 주소입니다@.

  • Recipient_status: 받는 사람에게 메시지를 전달하는 상태. 메시지가 여러 받는 사람에게 전송된 경우 메일 주소>##><상태 형식 < 으로 모든 받는 사람과 해당 상태 표시합니다. 예를 들어 다음과 같은 상태가 표시될 수 있습니다.

    • ##Receive, 보내기: 서비스가 메시지를 받고 의도한 대상으로 전송되었음을 의미합니다.
    • ##Receive, Fail: 서비스에서 메시지를 받았지만 의도한 대상으로 배달하지 못했음을 의미합니다.
    • ##Receive, 배달: 서비스가 메시지를 받고 받는 사람의 사서함으로 배달되었음을 의미합니다.
  • message_subject: 메시지의 제목 줄 텍스트입니다. 필요한 경우 제목은 처음 256자로 잘립니다.

  • total_bytes: 첨부 파일을 포함한 메시지의 크기(바이트)입니다.

  • message_id: "Message-ID:" 토큰이 있는 메시지의 헤더에 있는 인터넷 메시지 ID(클라이언트 ID라고도 함)입니다. 이 형식은 송신 메일 시스템에 따라 다릅니다 예를 들면 다음과 같습니다. 예제는 입니다 <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>.

    그러나 이 ID는 고유해야 하지만 생성을 위해 보내는 메일 시스템에 따라 달라지며 모든 보내는 메일 시스템이 동일한 방식으로 동작하는 것은 아닙니다. 따라서 단일 메시지 ID를 쿼리할 때 여러 메시지에 대한 결과를 얻을 수 있습니다.

    이 ID는 추적 항목과 해당 메시지가 서로 관련되도록 출력으로 표시됩니다.

  • network_message_id: 이 값은 분기 또는 메일 그룹 확장으로 인해 생성될 수 있는 메시지의 복사본 간에 유지되는 고유한 메시지 ID 값입니다. 1341ac7b13fb42ab4d4408cf7f55890f와 같은 값을 예로 들 수 있습니다.

  • original_client_ip: 보낸 사람 클라이언트의 IP 주소입니다.

  • directionality: 이 필드는 메시지가 organization 인바운드(1)로 전송되었는지 또는 organization 아웃바운드(2)로 전송되었는지 여부를 나타냅니다.

  • connector_id: 원본 또는 대상 송신 커넥터 또는 수신 커넥터의 이름입니다. 예를 들어 ServerName\ConnectorName 또는 ConnectorName입니다.

  • delivery_priority: 메시지가 음, 음 또는 정상 우선 순위로 전송되었는지 여부를 표시합니다.

라우팅 정보가 포함된 메시지 추적 보고서를 보려면

메시지 추적을 실행할 때 라우팅 정보를 포함한 경우 메시지 추적 로그의 모든 정보가 .CSV 파일에 포함됩니다. 이 파일은 Microsoft Excel과 같은 응용 프로그램에서 열 수 있습니다. 이 보고서에 포함된 값 중 일부는 이전 섹션에 설명되어 있지만 조사 목적으로 유용할 수 있는 다른 값은 메시지 추적 로그 파일의 필드에 설명되어 있습니다.

custom_data 필드

또한 custom_data 필드에는 필터링 서비스 관련 값이 포함될 수 있습니다. AGENTINFO 이벤트의 custom_data 필드는 다양한 에이전트에서 메시지 처리에 대한 세부 정보를 기록하는 데 사용됩니다. 아래에는 메시지 데이터 보호 관련 에이전트 중 일부가 설명되어 있습니다.

스팸 필터 에이전트(S:SFA)

S:SFA로 시작하는 문자열은 스팸 필터 에이전트의 항목이며 다음과 같은 주요 정보를 제공합니다.

로그 정보 설명
SFV=NSPM 메시지가 스팸이 아닌 것으로 표시되었으며 받는 사람에게 전송되었습니다.
SFV=SPM 메시지가 콘텐츠 필터에 의해 스팸으로 표시되었습니다.
SFV=BLK 수신 거부된 보낸 사람이 보낸 메시지이므로 필터링을 건너뛰었으며 메시지가 차단되었습니다.
SFV=SKS 메시지가 콘텐츠 필터에 의해 처리되기 전에 이미 스팸으로 표시되었습니다. 여기에는 메시지가 메일 흐름 규칙과 일치하여 자동으로 스팸으로 표시되고 모든 추가 필터링을 우회하는 메시지가 포함됩니다.
SCL=<number> 여러 SCL 값과 각 값의 의미에 대한 자세한 내용은 Spam Confidence Levels을 참조하세요.
PCL=<number> 메시지의 PCL(피싱 지수) 값입니다. 이러한 값은 Spam Confidence Levels에 설명되어 있는 SCL 값과 같은 방식으로 해석할 수 있습니다.
DI=SB 메시지의 보낸 사람이 차단되었습니다.
DI=SQ 메시지가 격리되었습니다.
DI=SD 메시지가 삭제되었습니다.
DI=SJ 메시지가 받는 사람의 정크 Email 폴더로 전송되었습니다.
DI=SN 메시지가 위험 수준이 높은 배달 풀을 통해 라우팅되었습니다. 자세한 내용은 아웃바운드 메시지의 고위험 전송 풀을 참조하세요.
DI=SO 메시지가 일반 아웃바운드 배달 풀을 통해 라우팅되었습니다.
SFS=[a]
SFS=[b]
스팸 규칙이 일치했음을 나타냅니다.
IPV=CAL IP 주소가 연결 필터의 IP 허용 목록에 지정되었기 때문에 스팸 필터를 통해 메시지가 허용되었습니다.
H=[helostring] 연결하는 메일 서버의 HELO 또는 EHLO 문자열입니다.
PTR=[ReverseDNS] 보내는 IP 주소의 PTR 레코드로, 역방향 DNS 주소라고도 합니다.

메시지가 스팸에 대해 필터링된 경우 예제 custom_data 항목은 다음과 유사합니다.

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

맬웨어 필터 에이전트(S:AMA)

S:AMA로 시작하는 문자열은 맬웨어 방지 에이전트의 항목이며 다음과 같은 주요 정보가 제공됩니다.

로그 정보 설명
AMA=SUM|v=1|

또는

AMA=EV|v=1|

메시지에 맬웨어가 포함된 것으로 확인되었습니다. SUM은 맬웨어가 여러 엔진에서 검색되었을 수 있음을 나타냅니다. EV는 특정 엔진에서 맬웨어를 검색했음을 나타냅니다. 맬웨어가 엔진에서 검색되면 후속 작업이 트리거됩니다.
Action=r 메시지가 대체되었습니다.
Action=p 메시지가 무시되었습니다.
Action=d 메시지가 지연되었습니다.
Action=s 메시지가 삭제되었습니다.
Action=st 메시지가 무시되었습니다.
Action=sy 메시지가 무시되었습니다.
Action=ni 메시지가 거부되었습니다.
Action=ne 메시지가 거부되었습니다.
Action=b 메시지가 차단되었습니다.
Name=<malware> 검색된 맬웨어의 이름입니다.
File=<filename> 맬웨어가 포함된 파일의 이름입니다.

메시지에 맬웨어가 포함된 경우 예제 custom_data 항목은 다음과 유사합니다.

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

전송 규칙 에이전트(S:TRA)

S:TRA로 시작하는 문자열은 전송 규칙 에이전트의 항목이며 다음 주요 세부 정보를 제공합니다.

로그 정보 설명
ETR|ruleId=[guid] 일치된 규칙 ID입니다.
St=[datetime] 규칙 일치가 발생한 날짜 및 시간(UTC)입니다.
Action=[ActionDefinition] 적용된 작업입니다. 사용 가능한 작업 목록은 Exchange Online 메일 흐름 규칙 작업을 참조하세요.
Mode=Enforce 규칙의 모드입니다. 가능한 값은 다음과 같습니다.
  • 적용: 규칙에 대한 모든 작업이 적용됩니다.
  • 정책 팁을 사용하여 테스트: 정책 팁 작업이 전송되지만 다른 적용 작업은 수행되지 않습니다.
  • 정책 팁이 없는 테스트: 작업은 로그 파일에 나열되지만 보낸 사람에게는 어떤 방식으로도 알림이 표시되지 않으며 적용 작업은 수행되지 않습니다.

메시지가 메일 흐름 규칙과 일치하는 경우 샘플 custom_data 항목은 다음과 유사합니다.

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

자세한 내용

메시지 추적 FAQ 에서는 사용자의 메시징 관련 질문과 가능한 대답이 제공됩니다. 또한 이러한 대답을 확인하고 특정 메일 배달 문제를 해결하기 위해 메시지 추적 도구를 사용하는 방법도 설명합니다.

Exchange Online PowerShell 또는 Exchange Online Protection PowerShell을 통해 메시지 추적을 실행할 수 있나요? 사용할 cmdlet은 무엇인가요? 는 메시지 추적을 실행하는 데 사용할 수 있는 PowerShell cmdlet에 대한 정보를 제공합니다.