Ведение журнала подключений в Exchange Server
В журнале подключения записываются действия подключения для передачи исходящих сообщений на серверы Exchange. В Exchange Server следующие службы передают сообщения, поэтому у них есть журналы подключения:
Служба транспорта на серверах почтовых ящиков и пограничных транспортных серверах.
Внешняя служба транспорта на серверах почтовых ящиков.
Служба отправки транспорта почтовых ящиков на серверах почтовых ящиков.
Служба доставки транспорта почтовых ящиков на серверах почтовых ящиков.
Дополнительные сведения об этих службах транспорта, а также о том, куда они могут передавать сообщения, см. в разделе Mail flow and the transport pipeline.
Журнал подключения не отслеживает передачу отдельных сообщений. Вместо этого он отслеживает число и размер сообщений, переданных через подключение, сведения о разрешении DNS для назначения, а также информационные сообщения, имеющие отношение к подключению.
Функция ведения журнала подключения включена по умолчанию, а для облегчения контроля за расходованием места на жестком диске, где хранятся файлы журналов подключений, Exchange использует циклическое ведение журнала, чтобы ограничивать количество файлов журнала, исходя из их размера и срока хранения. Сведения о настройке ведения журнала подключений см. в статье Настройка ведения журнала подключений в Exchange Server.
Примечание. Если вам необходимо подробно записать всю беседу по протоколу SMTP от начала до конца, см. раздел Ведение журнала протокола.
Структура файлов журнала подключения
По умолчанию файлы журнала подключения размещаются в следующих папках:
Серверы почтовых ящиков:
Транспортная служба:
%ExchangeInstallPath%TransportRoles\Logs\Hub\ConnectivityТранспортная служба переднего плана:
%ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ConnectivityСлужба доставки транспорта почтовых ящиков:
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\Connectivity\DeliveryСлужба отправки транспорта почтовых ящиков:
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\Connectivity\Submission
Пограничные транспортные серверы
Соглашение об именовании для файлов журнала подключения — CONNECTLOGyyymmdd-nnnn.log. Заполнители обозначают следующее:
yyyymmdd это дата создания файла журнала (в формате UTC). гггг = год, мм = месяц, и дд = день.
nnnn представляет собой номер экземпляра, который каждый день начинается со значения 1.
Данные записываются в файл журнала, пока не будет достигнут его максимальный размер. Затем открывается новый файл журнала с увеличенным номером экземпляра (1 для первого файла, 2 для второго и т. д.) При циклическом ведении журнала самые старые файлы журнала удаляются при соблюдении любого из следующих условий:
достигнут максимальный срок хранения файла журнала;
достигнут максимальный размер папки журнала подключений.
Файлы журнала подключения представляют собой текстовые файлы с разделителями-запятыми в формате CSV. Каждый файл журнала подключения снабжен заголовком, содержащим следующие сведения:
#Software: значение равно
Microsoft Exchange Server.#Version: значение равно
15.0.0.0.#Log-Type: значение равно
Transport Connectivity Log.#Date: дата и время создания файла журнала в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-мм-ддTчч:мм:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
#Fields: имена полей с разделителями-запятыми, которые используются в файлах журнала подключения. Эти значения описаны в следующем разделе.
Поля в файлах журнала подключения
В журнале подключения каждое событие исходящего подключения хранится отдельной строкой. Сведения по каждой строке сгруппированы по полям, разделенным запятыми. В приведенной ниже таблице описаны поля, используемые для классификации каждого события исходящего подключения.
| Имя поля | Описание |
|---|---|
| date-time | Дата и время события подключения в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-мм-ддTчч:мм:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC. |
| session | Значение GUID. Значение GUID одинаковое для каждого события, связанного с одним и тем же сеансом, но уникальное для каждого сеанса. |
| source | Одно из этих значений:
|
| destination | Вот некоторые примеры значений, которые вы увидите здесь:
|
| direction | Одиночный символ, указывающий начало, середину или завершение подключения. Здесь вы можете увидеть следующие значения:
|
| description | Текстовая информация, относящаяся к событию подключения. Например:
|
Транспортные службы подключаются и отправляют сообщения к нескольким назначениям одновременно. Записи различных событий подключения в файле журнала чередуются (обычно они не группируются вместе как непрерывный ряд событий подключения). Однако, чтобы упорядочивать и сортировать записи журнала для каждого отдельного подключения от начала до конца, можно использовать поля (в частности, уникальное значение поля session для подключения).