Отслеживание сообщений

Журнал отслеживания сообщений — это подробный отчет о всех действиях по потоку почты через транспортный конвейер на серверах почтовых ящиков и на транспортных серверах edge. Отслеживание сообщений можно использовать для судебной экспертизы сообщений, анализа потока сообщений, отчетности и устранения неполадок.

По умолчанию Exchange для ограничения журнала отслеживания сообщений в зависимости от размера файла и возраста файлов для управления пространством жесткого диска, используемым файлами журнала. Чтобы настроить журнал отслеживания сообщений, см. в тексте Настройка отслеживания сообщений.

Поиск в журнале отслеживания сообщений

Журналы отслеживания сообщений содержат огромное количество данных по мере перемещения сообщений через сервер почтовых ящиков или на границе транспортного сервера. Когда речь заходит о поиске журналов отслеживания сообщений, у вас есть варианты:

  • Get-MessageTrackingLog. Администраторы могут использовать этот Exchange для поиска журнала отслеживания сообщений для получения сведений о сообщениях с использованием широкого спектра критериев фильтрации. Дополнительные сведения см. в журнале отслеживания сообщений поиска.

  • Отчеты о доставке для администраторов . Администраторы могут использовать вкладку Отчеты о доставке в центре администрирования Exchange или в окне поисковых сообщенийTrackingReport и команды Get-MessageTrackingReport в оболочке управления Exchange для поиска журналов отслеживания сообщений для получения сведений о сообщениях, отправленных или полученных определенным почтовым ящиком в организации. Дополнительные сведения см. в отчете о доставке для администраторов.

Структура файлов журналов отслеживания сообщений

По умолчанию файлы журнала отслеживания сообщений существуют в %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. Папка содержит файлы журналов с разными именами, но все они следуют конвенции именования MSGTRKServiceyyyymmdd-nnnn.log. Различные имена файлов журнала описаны в следующей таблице.

Имя файла Серверы Описание
MSGTRK Серверы почтовых ящиков и пограничные транспортные серверы Файлы журнала для транспортной службы.
MSGTRKMA Серверы почтовых ящиков Файлы журнала для утверждений и отклонений в модераном транспорте. Дополнительные сведения см. в тексте Управление утверждением сообщений.
MSGTRKMD Серверы почтовых ящиков Журнал файлов для сообщений, доставленных в почтовые ящики службой доставки транспорта почтовых ящиков.
MSGTRKMS Серверы почтовых ящиков Журнал файлов для сообщений, отправленных из почтовых ящиков службой отправки транспорта почтовых ящиков.

Другие места в именах файлов журнала представляют следующую информацию:

  • yyyymmdd — это дата создания файла журнала (в формате UTC). yyyy = год, мм = месяц и dd = день.

  • nnnn — это номер экземпляра, который начинается со значения 1 каждый день для каждого журнала.

Данные записываются в файл журнала, пока не будет достигнут его максимальный размер. Затем открывается новый файл журнала с увеличенным номером экземпляра (-1 для первого, -2 для второго и т. Циркулярный журнал удаляет самые старые файлы журнала для службы, если все эти условия являются верными:

  • достигнут максимальный срок хранения файла журнала;

  • Папка журнала отслеживания сообщений достигает максимального размера.

    Примечания:

    • Максимальный размер папки журнала отслеживания сообщений рассчитывается как общий размер всех файлов журнала с одним и тем же префиксом имен. Другие файлы, которые не следуют конвенции префикса имен, не учитываются в расчете общего размера папки. Переименование старых файлов журнала или копирование других файлов в папку журнала отслеживания сообщений может привести к превышению указанного максимального размера папки.

    • На серверах почтовых ящиков максимальный размер папки журнала отслеживания сообщений в три раза больше указанного значения. Хотя файлы журнала отслеживания сообщений создаются четырьмя различными службами и имеют четыре разных префикса имен, количество и частота данных, написанных в модерируемый транспортный журнал (MSGTRKMA) незначительно по сравнению с тремя другими журналами.

Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:

  • #Software: значение Microsoft Exchange Server.

  • #Version: номер версии сервера Exchange, создав файл журнала отслеживания сообщений. Значение использует формат 15.01.nnnn.nnn.

  • #Log тип: значение Message Tracking Log.

  • #Date: дата UTC, когда был создан файл журнала. Дата UTC представлена в формате дата-времени ISO 8601: yyyy-mm-ddThh*:mm:ss.fffZ*, где yyyy = год, мм = месяц, dd = день, T указывает начало компонента времени, hh = час, мм = минута, ss = second, fff = доли секунды, а Z означает Zulu, который является еще одним способом обозначить UTC.

  • #Fields. Имена полей, которые используются в файлах журнала отслеживания сообщений.

Поля в файлах журналов отслеживания сообщений

В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Информация о событиях с сообщениями упорядочена по полям, разделенным запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми, или тип сведений в поле может изменяться в зависимости от типа события сообщения и службы, записав событие. В следующей таблице приводятся общие описания полей, которые используются для классификации каждого события отслеживания сообщений.

Имя поля Описание
date-time Дата и время события отслеживания сообщений в формате UTC. Дата UTC представлена в формате дата-времени ISO 8601: yyyy-mm-ddThh*:mm:ss.fffZ*, где yyyy = год, мм = месяц, dd = день, T указывает начало компонента времени, hh = час, мм = минута, ss = second, fff = доли секунды, а Z означает Zulu, который является еще одним способом обозначить UTC.
client-ip Адрес IPv4 или IPv6 сервера или клиента, который отправил сообщение.
client-hostname Имя узла или полное доменное имя сервера или клиента обмена сообщениями , который отправил сообщение.
server-ip Адрес IPv4 или IPv6 источника или сервера назначения.
server-hostname Имя узла или полное доменное имя сервера назначения.
source-context Дополнительная информация, относящаяся к полю источника. Например.
CatContentConversion
250 2.0.0 OK;ClientSubmitTime:<UTC>
connector-id Имя соединителю отправки или соединителю получения, которые приняли сообщение. Например, ServerNameConnectorName \ или ConnectorName.
источник Транспортный Exchange, отвечающий за событие. Эти значения описаны в исходных значениях в разделе журнал отслеживания сообщений в этом разделе.
event-id Тип события. Эти значения описаны в типах Событий в разделе журнал отслеживания сообщений позднее в этом разделе.
internal-message-id Идентификатор сообщения, который назначен сервером Exchange, который в настоящее время обрабатывает сообщение.
Внутренний ид сообщения отличается в журнале отслеживания сообщений каждого Exchange сервера, который участвует в передаче сообщения. Например, значение 73014444033.
message-id Значение поля заголовка Message-Id: в заголовке сообщения. Если поле Заголовка Message-Id: не существует или пусто, Exchange назначает произвольное значение. Это значение не изменяется на протяжении всего времени жизни сообщения. Для сообщений, созданных в Exchange, значение находится в формате<GUID@ServerFQDN>, включая угловые скобки (< >). Например, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. В других системах обмена сообщениями могут использоваться другие значения или синтаксис.
network-message-id Уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. Например, значение 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-address Адрес электронной почты получателя сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;).
recipient-status Состояние получателя для каждого получателя, разделенного полуколоном (;). Значения состояния представляются получателям в таком же порядке, как и значения в поле recipient-address. Например, значения состояния:
To, или Cc``Bcc
250 2.1.5 Recipient OK
550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytes Общий размер сообщения в bytes, включая все вложения.
recipient-count Общее число получателей в сообщении.
related-recipient-address Это поле используется с событиями EXPAND, REDIRECT и RESOLVE для отображения других адресов электронной почты получателей, связанных с сообщением.
reference В этом поле содержится дополнительная информация о конкретных типах событий. Например:
DSN. Содержит ссылку отчета, которая является значением Message-Id связанного уведомления о состоянии доставки (также известного как DSN, отказов сообщение, отчет о невывозе или NDR), если DSN создается после этого события. Если это сообщение DSN, поле Reference содержит значение Message-Id исходного сообщения, для которое было сгенерировано DSN.
EXPAND. Содержит связанное с получателем-адресом значение связанных сообщений.
ПОЛУЧЕНИЕ: Может содержать значение Message-Id связанного сообщения, если сообщение было сгенерировано другими процессами, например правилами журнала или почтовых ящиков.
SEND: содержит значение Internal-Message-Id любых сообщений DSN.
THROTTLE. Содержит причину, по которой сообщение было отретротовлено.
TRANSFER. Содержит значение Internal-Message-Id для раздвояемого сообщения.
Сообщение, сформированное правилами почтовых ящиков: содержит значение Internal-Message-Id входящих сообщений, из-за чего правило "Входящие" создает исходящие сообщения.
Forked messages: Might contain the Internal-Message-Id value.
Для других типов событий это поле обычно пусто.
message-subject Тема сообщения указывается в поле заголовка Subject:. Отслеживание субъектов сообщений контролируется параметром MessageTrackingLogSubjectLoggingEnabled в кодлете Set-TransportService . По умолчанию отслеживание тем сообщений включено.
sender-address Адрес электронной почты, указанный в поле Sender: header , или поле "От: заглавное поле", если поле Sender: field не существует.
return-path Адрес электронной почты, указанный командой MAIL FROM , отправив сообщение. Несмотря на то, что это поле никогда не пусто, оно может иметь значение адреса отправитель null в качестве <>.
message-info Дополнительные сведения о сообщении. Например:
Дата начала сообщения в UTC для событий DELIVER и SEND . Это дата и время первоначального поступления сообщения в организацию Exchange. Дата UTC представлена в формате дата-времени ISO 8601: yyyy-mm-ddThh*:mm:ss.fffZ*, где yyyy = год, мм = месяц, dd = день, T указывает начало компонента времени, hh = час, мм = минута, ss = second, fff = доли секунды, а Z означает Zulu, который является еще одним способом обозначить UTC.
Ошибки проверки подлинности. Например, вы можете увидеть 11a значение и тип проверки подлинности, которые использовались при ошибке проверки подлинности.
directionality Направление сообщения. Примеры значений включают Incoming, Undefinedи Originating.
tenant-id Это поле не используется в локальной Exchange организациях.
original-client-ip Адрес IPv4 или IPv6 исходного клиента.
original-server-ip Адрес IPv4 или IPv6 исходного сервера.
custom-data Это поле содержит данные, связанные с определенными типами событий. Например, агент правила транспорта использует это поле для записи GUID правила потока почты (также известного как правило транспорта) или политики DLP, которая действовала в сообщении. Дополнительные сведения см. в отчете об обнаружении политики DLP.
транспорт-трафик типа В локальном Exchange это поле пусто или имеет значение Email.
log-id Уникальный идентификатор строки в журнале отслеживания сообщений. Это поле не важно в локальной Exchange организациях.
схема-версия Номер версии сервера Exchange, создав запись в журнале отслеживания сообщений. Значение использует формат 15.01.nnnn.nnn.

Типы событий в журнале отслеживания сообщений

Различные типы событий в поле event-id используются для классификации событий, связанных с сообщениями, в журнале отслеживания сообщений. Некоторые события, связанные с сообщениями, отображаются только в одном типе файлов журнала отслеживания сообщений, а некоторые — во всех типах файлов. Типы событий, используемые для классификации каждого события, приведены в следующей таблице.

Имя события Описание
AGENTINFO Это событие используется агентами транспорта для журналирования пользовательских данных.
BADMAIL Сообщение отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено.
CLIENTSUBMISSION Сообщение было отправлено из избоя почтового ящика.
DEFER Доставка сообщения отложена.
DELIVER Сообщение было доставлено в локальный почтовый ящик.
DELIVERFAIL Агент пытался доставить сообщение в папку, которая не существует в почтовом ящике.
DROP Сообщение было отклонено без уведомления о доставке (также называемого сообщением возврата или отчетом о недоставке). Например:
  • сообщения о выполненных запросах для утверждения;
  • нежелательные сообщения, удаленные автоматически без отчета о недоставке.
DSN Создано уведомление о доставке.
DUPLICATEDELIVER Сообщение было доставлено получателю повторно. Повторная доставка сообщений может происходить в том случае, если получатель входит в несколько вложенных групп рассылки. Банк данных обнаруживает и удаляет дубликаты сообщений.
DUPLICATEEXPAND При расширении группы рассылки обнаружен повторяющийся получатель.
DUPLICATEREDIRECT Альтернативный получатель сообщения уже являлся получателем.
EXPAND Была расширена группа рассылки.
FAIL Не удается доставить сообщение. Источники: SMTP, DNS, QUEUE и ROUTING.
HADISCARD Теневое сообщение было отвергнуто, после того как основная копия была доставлена на следующий узел. Дополнительные сведения см. в Exchange Server.
HARECEIVE Теневое сообщение было получено сервером в локальной группе обеспечения доступности баз данных или на сайте Active Directory.
HAREDIRECT Создано теневое сообщение.
HAREDIRECTFAIL Не удалось создать теневое сообщение. Сведения сохранены в поле source-context.
INITMESSAGECREATED Сообщение отправлено контролируемому получателю, поэтому оно отправлено в почтовый ящик вынесения решения для утверждения. Подробнее см. в разделе Управление утверждением сообщений.
LOAD Сообщение успешно загружено при загрузке.
MODERATIONEXPIRE Модератор контролируемого получателя не утвердил и не отклонил сообщение, поэтому для него истек срок ожидания. Дополнительные сведения о контролируемых получателях см. в разделе Управление утверждением сообщений.
MODERATORAPPROVE Модератор контролируемого получателя утвердил сообщение, поэтому оно было доставлено контролируемому получателю.
MODERATORREJECT Модератор контролируемого получателя отклонил сообщение, поэтому оно не было доставлено контролируемому получателю.
MODERATORSALLNDR Все запросы на утверждение, отправленные всем модераторам модерируемых получателей, не были недоступны, что привело к невыдаваемым отчетам (также известным как NDRs или отказов).
NOTIFYMAPI Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере.
NOTIFYSHADOW Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере, и необходимо создать теневую копию сообщения.
POISONMESSAGE Сообщение помещено в очередь сообщений о сбое или удалено из нее.
PROCESS Сообщение успешно обработано.
PROCESSMEETINGMESSAGE Сообщение о собрании обработано службой транспортной доставки почтовых ящиков.
RECEIVE Сообщение было получено компонентом smTP-получения транспортной службы или каталогами pickup или Replay (источник: SMTP) или сообщение было отправлено из почтового ящика в службу отправки транспорта почтовых ящиков (источник: STOREDRIVER).
REDIRECT Сообщение перенаправлено другому получателю в результате поиска в Active Directory.
RESOLVE В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты.
RESUBMIT Сообщение было автоматически повторно отправлено из сети безопасности. Дополнительные сведения см. в Exchange Server.
RESUBMITDEFER Сообщение, повторно отправленное из сети безопасности, было отложено.
RESUBMITFAIL Сообщение, повторно отправленное из сети безопасности, не удалось отправить.
SEND Сообщение было отправлено протоколом SMTP между службами транспорта.
SUBMIT Служба отправки почтовых ящиков успешно передала сообщение службе транспорта. Для событий SUBMIT свойство source-context содержит следующие данные:
  • MDB. GUID базы данных почтовых ящиков.
  • Почтовый ящик: GUID почтового ящика.
  • Событие. Номер последовательности событий.
  • Класс сообщений. Тип сообщения. Например, IPM.Note.
  • CreationTime. Дата отправки сообщения.
  • ClientType: Например, Userили OWA``ActiveSync.
SUBMITDEFER Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта была отложена.
SUBMITFAIL Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта не была выполнена.
SUPPRESSED Передача сообщения была отменена.
THROTTLE Сообщение было отрегулировано.
TRANSFER В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением. Источники: ROUTING или QUEUE.

Значения источника в журнале отслеживания сообщений

Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.

Значение источника Описание
ADMIN Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения.
AGENT Источником события был агент транспорта.
APPROVAL Источником события была платформа утверждения, используемая для контролируемых получателей. Подробнее см. в разделе Управление утверждением сообщений.
BOOTLOADER Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD.
DNS Источником события было DNS.
DSN Источником события было уведомление о состоянии доставки (также известное как DSN, сообщение отказов, отчет о невывозе или NDR).
GATEWAY Источником события был внешний соединитель. Подробнее см. в разделе Foreign Connectors.
MAILBOXRULE Источником события было правило для папки "Входящие". Дополнительные сведения см. в разделе Правило для папки "Входящие".
MEETINGMESSAGEPROCESSOR Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания.
ORAR Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR на соединители получения с помощью параметра OrarEnabled в cmdlets New-ReceiveConnector или Set-ReceiveConnector .
PICKUP Источником события был каталог раскладки. Подробнее см. в разделе Pickup Directory and Replay Directory.
POISONMESSAGE Источником события был идентификатор сообщения о сбое. Дополнительные сведения об отравляющих сообщениях и очереди сообщений об отравлении см. в рублях Queues and messages in queues
PUBLICFOLDER Источником события была общедоступная папка, поддерживающая почту.
QUEUE Источником события была очередь.
REDUNDANCY Источником события было избыточное теневое копирование. Дополнительные сведения см. в Exchange Server.
RESOLVER Источником событий был компонент разрешения получателей в категоризаторе транспортной службы. Дополнительные сведения см. в Exchange Server.
ROUTING Источником события был компонент разрешения маршрутизации классификатора в службе транспорта.
SAFETYNET Источником события была сеть безопасности. Дополнительные сведения см. в Exchange Server.
SMTP Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта.
STOREDRIVER Источником события была MAPI-отправка из почтового ящика на локальном сервере.

Примеры записей в журнале отслеживания сообщений

Не вызвавшее событий сообщение, отправленное между двумя пользователями, создает несколько записей в журнале отслеживания сообщений. Результаты можно просмотреть с помощью командлета Get-MessageTrackingLog. Подробнее см. в разделе Поиск в журналах отслеживания сообщений.

Это пример записей журнала отслеживания сообщений, созданных при успешном chris@contoso.com отправки тестового сообщения пользователю michelle@contoso.com. У обоих пользователей есть почтовые ящики на одном и том же сервере.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Журнал отслеживания сообщений и вопросы безопасности

В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. Возможно, вам потребуется отключить ведение журнала субъектов, чтобы соответствовать повышенным требованиям безопасности или конфиденциальности. Инструкции по отключению ведения журнала темы см. в инструкции По настройке отслеживания сообщений.