Отслеживание сообщений в Exchange

  • Статья
  • Чтение занимает 6 мин

Область действия: Exchange Server 2013

В Microsoft Exchange Server 2013 журнал отслеживания сообщений содержит подробные сведения о всей активности сообщений при их передаче на транспортную службу и с нее на серверы почтовых ящиков, в почтовые ящики на этих серверах и на пограничные транспортные серверы. Журналы отслеживания сообщений можно использовать для изучения сообщений, анализа потока почты, создания отчетов и устранения неполадок.

В Exchange 2013 можно использовать командлеты Set-TransportService и Set-MailboxServer для всех задач отслеживания конфигурации, поскольку на сервере почтовых ящиков Exchange 2013 расположена служба транспорта и почтовые ящики. Любой из этих командлетов можно использовать для внесения следующих изменений в настройку отслеживания сообщений.

  • Включение и отключение отслеживания сообщений. По умолчанию регистрация включена.

  • Выбор расположения файлов журналов отслеживания сообщений.

  • Задание максимального размера отдельных файлов журналов отслеживания сообщений. Значение по умолчанию — 10 МБ.

  • Задание максимального размера каталога, который содержит файлы журналов отслеживания сообщений. Значение по умолчанию — 1 000 MB.

  • Задание максимального времени хранения файлов журналов отслеживания сообщений. Значение по умолчанию — 30 дней.

  • Включение и отключение регистрации темы сообщений в журналах отслеживания сообщений. По умолчанию регистрация включена.

Примечание

Включать и отключать отслеживание сообщений, а также указывать расположение файлов журнала отслеживания сообщений можно также в Центре администрирования Exchange.

По умолчанию для ограничения пространства на диске, где хранятся журналы отслеживания сообщений, сервер Exchange использует циклическое ведение журнала, чтобы ограничивать размер этих журналов, исходя из размера файлов и срока их хранения.

Поиск в журнале отслеживания сообщений

Журналы отслеживания сообщений содержат большое количество данных, собранных при перемещении сообщений через сервер почтовых ящиков Exchange 2013. При поиске в журналах отслеживания сообщений можно использовать несколько разных параметров.

  • Get-MessageTrackingLog: администраторы могут использовать этот командлет для поиска сведений о сообщениях в журнале отслеживания сообщений с помощью широкого спектра критериев фильтрации. Дополнительные сведения см. в журналах отслеживания сообщений поиска.

  • Отчеты о доставке для администраторов . Администраторы могут использовать вкладку "Отчеты о доставке" в Центре администрирования Exchange (EAC) или базовые командлеты Search-MessageTrackingReport и Get-MesageTrackingReport для поиска сведений о сообщениях, отправленных или полученных определенным почтовым ящиком в организации. Дополнительные сведения см . в отчетах о доставке для администраторов.

Структура файлов журналов отслеживания сообщений

По умолчанию файлы журнала отслеживания сообщений существуют в %ExchangeInstallPath%TransportRolesLogsMessageTracking\\.

Соглашение об именовании файлов журналов в каталоге журнала отслеживания сообщений: MSGTRKyymmdd-nnnn.log, yyyyymmdd-nnnn.log, MSGTRKMDyyyyymmdd-nnnn.log и MSGTRKMSyyyymmdd-nnnn.log MSGTRKMA . Различные журналы используются следующими службами.

  • MSGTRK: эти журналы связаны со службой транспорта.

  • MSGTRKMA: эти журналы связаны с утверждениями и отклонениями, используемыми модерируемой транспортировкой. Дополнительные сведения см. в разделе "Управление утверждением сообщений".

  • MSGTRKMD: эти журналы связаны с сообщениями, доставленными в почтовые ящики службой доставки транспорта почтовых ящиков.

  • MSGTRKMS: эти журналы связаны с сообщениями, отправленными из почтовых ящиков службой отправки транспорта почтовых ящиков.

Прототипы в именах файлов журналов означают следующее:

  • Заполнитель yyyymmdd — это дата в формате UTC, на которой был создан файл журнала. yyyy = year, mm = month, and dd = day.

  • Заполнитель nnnn — это номер экземпляра, который начинается со значения 1 ежедневно для каждого префикса имени файла журнала отслеживания сообщений.

Данные будут записываться в каждый файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения. После этого будет открыт новый файл журнала со следующим порядковым номером. Эта процедура повторяется в течение дня. Функциональная возможность циклического ведения журналов удаляет наиболее старые файлы журнала при выполнении одного из следующих условий:

  • файл журнала достиг максимального установленного срока хранения;

  • каталог журналов отслеживания сообщений достиг максимального размера.

    Важно!

    Максимальный размер каталога журналов отслеживания сообщений равен общему размеру всех файлов журнала, которые имеют одинаковый префикс имен. При расчете общего размера каталога не учитываются другие файлы, которые не соответствуют соглашению о префиксе имен. Переименование старых файлов журнала или копирование других файлов в каталог журналов отслеживания сообщений может привести к превышению заданного максимального размера каталога.
    На Exchange почтовых ящиков 2013 максимальный размер каталога журнала отслеживания сообщений в три раза больше указанного значения. Несмотря на то что файлы журнала отслеживания сообщений, создаваемые четырьмя различными службами, имеют четыре различных префикса имен, количество и частота данных, записываемых в файлы журнала MSGTRKMA, являются незначительными по сравнению с тремя другими префиксами.

Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:

  • #Программное обеспечение:: имя программного обеспечения, создавшего файл журнала отслеживания сообщений. Как правило, значением является: Microsoft Exchange Server.

  • #Версия:: номер версии программного обеспечения, создавшего файл журнала отслеживания сообщений. Текущее значение — 15.0.0.0.

  • #Log-Type:: значение типа журнала, которое является журналом отслеживания сообщений.

  • #Дата:: дата и время создания файла журнала в формате UTC. Дата и время в формате UTC представлены в формате даты и времени ISO 8601: yyyy-mm-ddThh*:mm:ss.fffZ*, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

  • #Поля:: имена полей с разделителями-запятыми, используемые в файлах журнала отслеживания сообщений.

Поля в файлах журналов отслеживания сообщений

В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Информация о событиях с сообщениями упорядочена по полям, разделенным запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут оставаться пустыми и может изменяться тип информации, которая хранится в поле, в зависимости от типа события с сообщением и типа файла журнала отслеживания сообщений, где было записано событие. В следующей таблице приводятся общие описания полей, которые используются для классификации каждого события отслеживания сообщений.

Имя поля Описание

date-time

Дата и время события отслеживания сообщений в формате UTC. Дата и время в формате UTC представлены в формате даты и времени ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

client-ip

Адрес IPv4 или IPv6 сервера или клиента, который отправил сообщение.

client-hostname

Имя узла или полное доменное имя сервера или клиента обмена сообщениями , который отправил сообщение.

server-ip

Адрес IPv4 или IPv6 исходного сервера или сервера назначения Exchange.

server-hostname

Имя узла или полное доменное имя сервера назначения.

source-context

Дополнительная информация, относящаяся к полю источника. Например, информация об агенте транспорта.

connector-id

The name of the source or destination Send connector or Receive connector. Например, ServerNameConnectorName \ или ConnectorName.

источник

Компонент транспорта Exchange, отвечающий за событие, связанное с отслеживанием сообщений. Значения, которые содержатся в этом поле, описаны в разделе Значения источника в журнале отслеживания сообщений далее.

event-id

Тип события. Типы событий описаны в разделеТипы событий в журнале отслеживания сообщений далее.

internal-message-id

Идентификатор сообщения, назначенный сервером Exchange, который выполняет текущую обработку сообщения.

В журнале отслеживания сообщений на каждом из серверов Exchange, которые участвуют в передаче сообщения, для каждого отдельного сообщения будет указываться свое значение internal-message-id. Например, значение .73014444033

message-id

Значение поля заголовка Message-Id: в заголовке сообщения. Если поле заголовка Message-Id: не существует или пусто, назначается произвольное значение. Это значение не изменяется на протяжении всего времени жизни сообщения. Для сообщений, созданных Exchange, значение имеет <GUID@ServerFQDN>формат, включая угловые скобки (< >). Например, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. В других системах обмена сообщениями могут использоваться другие значения или синтаксис.

network-message-id

Уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. Например, значение .1341ac7b13fb42ab4d4408cf7f55890f

recipient-address

Адрес электронной почты получателя сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;).

recipient-status

Это поле содержит состояния каждого получателя, разделенные символом точки с запятой (;). Значения состояния представляются получателям в таком же порядке, как и значения в поле recipient-address. Примеры значений состояния включают или 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText>.

total-bytes

Размер сообщения с учетом вложений (в байтах).

recipient-count

Количество получателей сообщения.

related-recipient-address

В этом поле для событий EXPAND, REDIRECT и RESOLVE выводятся другие адреса получателей, связанные с сообщением.

reference

В этом поле содержится дополнительная информация о конкретных типах событий. Например:

DSN Содержит ссылку на отчет, которая является значением идентификатора сообщения связанного уведомления о состоянии доставки (DSN), если после этого события создается DSN. Если это сообщение DSN, в поле Reference содержится значение Message-Id исходного сообщения, для которого был создан DNS.

РАЗВЕРНИТЕ Поле ссылки содержит связанное значение адреса получателя связанных сообщений.

ПОЛУЧИТЬ Поле "Ссылка" может содержать значение идентификатора сообщения, если сообщение было создано другими процессами, например правилами ведения журнала или папки "Входящие".

ОТПРАВИТЬ Поле ссылки содержит значение internal-Message-Id всех сообщений DSN.

ДРОССЕЛЬНОЙ ЗАСЛОНКИ Поле ссылки содержит причину регулирования сообщения.

ПЕРЕДАЧИ Поле ссылки содержит внутренний идентификатор сообщения, которое вилку выполняется.

Для сообщений, созданных правилами для папки "Входящие", поле Справка содержит значение Internal-Message-Id входящего сообщения, из-за которого правило для папки "Входящие" создало исходящее сообщение.

Для других типов событий поле Справка может содержать значение Internal-Message-Id для разветвленных сообщений.

Для остальных типов событий поле Справка не заполняется.

message-subject

Тема сообщения, найденная в поле Subject: заголовка. Отслеживание тем сообщений контролируется с помощью параметра MessageTrackingLogSubjectLoggingEnabled в командлетах Set-TransportService или Set-MailboxServer . По умолчанию отслеживание тем сообщений включено.

sender-address

Адрес электронной почты, указанный в Sender: поле заголовка, From: или поле заголовка Sender: , если оно отсутствует.

return-path

Обратный адрес электронной почты, указанный в MAIL FROM: конверте сообщения. Хотя это поле никогда не пустое, в нем может быть представлено значение адреса отправителя NULL <>.

message-info

Дополнительные сведения о сообщении. Например:

  • Дата и время поступления сообщения в формате UTC для событий DELIVER и SEND. Это дата и время первоначального поступления сообщения в организацию Exchange. Дата и время в формате UTC представлены в формате даты и времени ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, where yyyy = year, mm = month, dd = day, T indicates the beginning of the time component, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z signifies Zulu, which is another way to denote UTC.

  • Ошибки проверки подлинности. Например, вы можете увидеть значение 11a и тип проверки подлинности, используемый при возникновении ошибок проверки подлинности.

directionality

Направление сообщения. Примеры значений: Incomingи UndefinedOriginating.

tenant-id

Это поле не используется в локальных организациях Exchange 2013.

original-client-ip

Адрес IPv4 или IPv6 исходного клиента.

original-server-ip

Адрес IPv4 или IPv6 исходного сервера.

custom-data

Это поле содержит данные, связанные с определенными типами событий. Например, агент правил транспорта использует это поле для записи GUID правила транспорта или политики DLP, которая применялась к сообщению. Дополнительные сведения об этих значениях агента правил "" транспорта см. в разделе "Ведение журнала данных" раздела "Просмотр отчетов об обнаружении политики защиты от потери данных".

Типы событий в журнале отслеживания сообщений

Различные типы событий в поле event-id используются для классификации событий, связанных с сообщениями, в журнале отслеживания сообщений. Некоторые события, связанные с сообщениями, отображаются только в одном типе файлов журнала отслеживания сообщений, а некоторые — во всех типах файлов. Типы событий, используемые для классификации каждого события, приведены в следующей таблице.

Имя события Описание

AGENTINFO

Это событие используется агентами транспорта для журналирования пользовательских данных.

BADMAIL

Сообщение отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено.

DEFER

Доставка сообщения отложена.

DELIVER

Сообщение было доставлено в локальный почтовый ящик.

DROP

Сообщение было отклонено без уведомления о доставке (также называемого сообщением возврата или отчетом о недоставке). Например:

  • сообщения о выполненных запросах для утверждения;

  • нежелательные сообщения, удаленные автоматически без отчета о недоставке.

DSN

Создано уведомление о доставке.

DUPLICATEDELIVER

Сообщение было доставлено получателю повторно. Повторная доставка сообщений может происходить в том случае, если получатель входит в несколько вложенных групп рассылки. Банк данных обнаруживает и удаляет дубликаты сообщений.

DUPLICATEEXPAND

При расширении группы рассылки обнаружен повторяющийся получатель.

DUPLICATEREDIRECT

Альтернативный получатель сообщения уже являлся получателем.

EXPAND

Была расширена группа рассылки.

FAIL

Не удается доставить сообщение. Источники: SMTP, DNS, QUEUE и ROUTING.

HADISCARD

Теневое сообщение было отвергнуто, после того как основная копия была доставлена на следующий узел. Подробнее см. в разделе Теневая избыточность.

HARECEIVE

Теневое сообщение было получено сервером в локальной группе обеспечения доступности баз данных или на сайте Active Directory.

HAREDIRECT

Создано теневое сообщение.

HAREDIRECTFAIL

Не удалось создать теневое сообщение. Сведения сохранены в поле source-context.

INITMESSAGECREATED

Сообщение отправлено контролируемому получателю, поэтому оно отправлено в почтовый ящик вынесения решения для утверждения. Подробнее см. в разделе Управление утверждением сообщений.

LOAD

Сообщение успешно загружено при загрузке.

MODERATIONEXPIRE

Модератор контролируемого получателя не утвердил и не отклонил сообщение, поэтому для него истек срок ожидания. Дополнительные сведения о контролируемых получателях см. в разделе Управление утверждением сообщений.

MODERATORAPPROVE

Модератор контролируемого получателя утвердил сообщение, поэтому оно было доставлено контролируемому получателю.

MODERATORREJECT

Модератор контролируемого получателя отклонил сообщение, поэтому оно не было доставлено контролируемому получателю.

MODERATORSALLNDR

Все запросы утверждения, отправленные всем модераторам контролируемого получателя, не могли быть доставлены и привели к отправке отчетов о недоставке.

NOTIFYMAPI

Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере.

NOTIFYSHADOW

Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере, и необходимо создать теневую копию сообщения.

POISONMESSAGE

Сообщение помещено в очередь сообщений о сбое или удалено из нее.

PROCESS

Сообщение успешно обработано.

PROCESSMEETINGMESSAGE

Сообщение о собрании обработано службой транспортной доставки почтовых ящиков.

RECEIVE

Сообщение было получено компонентом получения SMTP транспортной службы или из каталогов pickup или Replay (источник): SMTPили сообщение было отправлено из почтового ящика в службу отправки транспорта почтовых ящиков (источник: STOREDRIVER).

REDIRECT

Сообщение перенаправлено другому получателю в результате поиска в Active Directory.

RESOLVE

В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты.

RESUBMIT

Сообщение было автоматически повторно отправлено из сети безопасности. Подробнее см. в разделе Система безопасности.

RESUBMITDEFER

Сообщение, повторно отправленное из сети безопасности, было отложено.

RESUBMITFAIL

Сообщение, повторно отправленное из сети безопасности, не удалось отправить.

SEND

Сообщение было отправлено протоколом SMTP между службами транспорта.

SUBMIT

Служба отправки почтовых ящиков успешно передала сообщение службе транспорта. Для событий SUBMIT свойство source-context содержит следующие данные:

  • MDB GUID базы данных почтовых ящиков.

  • Почтовых ящиков GUID почтового ящика.

  • Событие Порядковый номер события.

  • MessageClass Тип сообщения. Например, IPM.Note.

  • Время создания Дата отправки сообщения.

  • ClientType Например, Userили OWA ActiveSync.

SUBMITDEFER

Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта была отложена.

SUBMITFAIL

Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта не была выполнена.

SUPPRESSED

Передача сообщения была отменена.

THROTTLE

Сообщение было отрегулировано.

TRANSFER

В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением. Источники: ROUTING или QUEUE.

Значения источника в журнале отслеживания сообщений

Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.

Значение источника Описание

ADMIN

Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения.

AGENT

Источником события был агент транспорта.

APPROVAL

Источником события была платформа утверждения, используемая для контролируемых получателей. Подробнее см. в разделе Управление утверждением сообщений.

BOOTLOADER

Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD.

DNS

Источником события было DNS.

DSN

Источником события было уведомление о доставке (DSN). Например, отчет о недоставке (NDR).

GATEWAY

Источником события был внешний соединитель. Подробнее см. в разделе Внешние соединители.

MAILBOXRULE

Источником события было правило для папки "Входящие". Дополнительные сведения см. в разделе Правило для папки "Входящие".

MEETINGMESSAGEPROCESSOR

Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания.

ORAR

Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR в соединителях receive с помощью параметра OrarEnabled в командлетах New-ReceiveConnector или Set-ReceiveConnector .

PICKUP

Источником события был каталог раскладки. Подробнее см. в разделе Каталог раскладки и каталог преобразования.

POISONMESSAGE

Источником события был идентификатор сообщения о сбое. Дополнительные сведения о сообщениях о сбое и очереди сообщений о сбое см. в разделе Очереди

PUBLICFOLDER

Источником события была общедоступная папка, поддерживающая почту.

QUEUE

Источником события была очередь.

REDUNDANCY

Источником события было избыточное теневое копирование. Подробнее см. в разделе Теневая избыточность.

ROUTING

Источником события был компонент разрешения маршрутизации классификатора в службе транспорта.

SAFETYNET

Источником события была сеть безопасности. Подробнее см. в разделе Система безопасности.

SMTP

Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта.

STOREDRIVER

Источником события была MAPI-отправка из почтового ящика на локальном сервере.

Примеры записей в журнале отслеживания сообщений

Не вызвавшее событий сообщение, отправленное между двумя пользователями, создает несколько записей в журнале отслеживания сообщений. Результаты можно просмотреть с помощью командлета Get-MessageTrackingLog. Подробнее см. в разделе Поиск в журналах отслеживания сообщений.

Это краткий пример записей журнала отслеживания сообщений, который создается, когда пользователь pavel@contoso.com успешно отправляет тестовое сообщение пользователю victor@contoso.com. У обоих пользователей есть почтовые ящики на одном и том же сервере.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Журнал отслеживания сообщений и вопросы безопасности

В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. Для повышения безопасности и конфиденциальности функцию регистрации темы сообщения в журнале можно отключить. Прежде чем включить или отключить регистрацию тем сообщения в журнале, ознакомьтесь с политикой организации относительно раскрытия сведений в строке «Тема». Подробнее см. в разделе Настройка отслеживания сообщений.