Запуск трассировки сообщений и просмотр результатовRun a Message Trace and View Results

Обладая правами администратора, вы можете найти причину случившегося с сообщением электронной почты, запустив трассировку сообщения в Центр администрирования Exchange (EAC). После запуска трассировки сообщений можно просмотреть ее результаты в списке, а затем просмотреть сведения об определенном сообщении. Данные трассировки сообщений доступны за последние 90 дней. Если сообщение старше 7 дней, результаты можно просмотреть только в загружаемом CSV-файле.As an administrator, you can find out what happened to an email message by running a message trace in the Exchange admin center (EAC). After running the message trace, you can view the results in a list, and then view the details about a specific message. Message trace data is available for the past 90 days. If a message is more than 7 days old, the results can only be viewed in a downloadable .CSV file.

Обучающее видео по трассировке сообщений и другим средствам устранения неполадок с потоком обработки почты, см. в статье Поиск и устранение неполадок с доставкой электронной почты от имени администратора Office 365 для бизнеса.For a video walkthrough of message trace and other mail flow troubleshooting tools, see Find and fix email delivery issues as an Office 365 for business admin.

Примечание

Трассировка сообщений доступна в Office 365 безопасности & центре соответствия требованиям. Для получения дополнительных сведений см Трассировка сообщений в Office 365 безопасности & центре соответствия требованиямMessage trace is available in the Office 365 Security & Compliance Center. For more information, see Message trace in the Office 365 Security & Compliance Center

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Сведения о том, когда и как долго данные доступны, см. в разделе "Доступность и задержка данных отчетов и трассировки сообщений" статьи Reporting and Message Trace in Exchange Online Protection.For information about when data is available and for how long, see the "Reporting and message trace data availability and latency" section in Reporting and Message Trace in Exchange Online Protection.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись "Трассировка сообщений" в разделе Разрешения компонентов в Exchange Online.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Message trace" entry in the Feature permissions in Exchange Online topic.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Keyboard shortcuts in Exchange 2013.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection. > Администраторы Office 365 для бизнеса могут обратиться в службу поддержки Office 365 для бизнеса.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection. > If you're an Office 365 for business admin, you can contact Office 365 for business support.

Запуск трассировки сообщений из Центр администрирования Office 365Go to message trace from the Office 365 admin center

  1. Войдите в Office 365 с помощью рабочей или учебной учетной записи.Sign in to Office 365 with your work or school account.

  2. В левом верхнем углу выберите значок запуска приложений Средство запуска приложений Office 365 и выберите элемент Администратор.Select the app launcher icon Office 365 app launcher in the upper-left and choose Admin.

  3. В области навигации слева внизу разверните узел Администратор и выберите элемент Exchange.In the lower-left navigation, expand Admin and choose Exchange.

  4. В центре администрирования Exchange (EAC), выберите пункты поток обработки почты > Трассировка сообщенийIn the Exchange admin center (EAC), go to mail flow > message trace

    Снимок экрана с Центром администрирования Exchange, где показан выбор трассировки сообщений в меню навигации потока обработки почты.

Запуск трассировки сообщенийRun a message trace

  1. В Центре администрирования Exchange последовательно выберите пункты Поток обработки почты > Трассировка сообщений.In the EAC, navigate to mail flow > message trace.

    Снимок экрана с Центром администрирования Exchange, где показан выбор трассировки сообщений в меню навигации потока обработки почты.

  2. В зависимости от того, что вы ищете, можно вводить значения в следующие поля. Если речь идет о сообщениях, созданных менее 7 дней назад, эти поля заполнять не нужно. Достаточно нажать кнопку Поиск, чтобы получить все данные трассировки сообщений за период времени, заданный по умолчанию (последние 48 часов).Depending on what you are searching for, you can enter values in the following fields. None of these fields are required for messages that are less than 7 days old. You can simply click Search to retrieve all message trace data over the default time period, which is the past 48 hours.

  3. Диапазон дат. С помощью раскрывающегося списка выберите поиск сообщений, отправленных или полученных в течение последних 24 часов, 48 часов или 7 дней. Вы также можете выбрать пользовательский период времени, который включает любой диапазон в пределах последних 90 дней. Для пользовательского поиска вы также можете изменить часовой пояс в формате UTC.Date range Using the drop-down list, select to search for messages sent or received within the past 24 hours, 48 hours, or 7 days. You can also select a custom time frame that includes any range within the past 90 days. For custom searches you can also change the time zone, in Coordinated Universal Time (UTC).

  4. Состояние доставки. С помощью раскрывающегося списка выберите состояние сообщения, сведения о котором необходимо просмотреть. Выберите Все, чтобы включить в поиск сообщения со всеми состояниями (это — значение по умолчанию). Другие возможные значения.Delivery status Using the drop-down list, select the status of the message you want to view information about. Leave the default value of All to cover all statuses. Other possible values are:

    • Доставлено. Сообщение было успешно доставлено в место назначения.Delivered The message was successfully delivered to the intended destination.

    • Не доставлено. Сообщение не было доставлено. Это означает, что либо попытка доставить сообщение закончилась неудачно, либо оно не было доставлено в результате действий службы фильтрации. Например, было определено, что сообщение содержит вредоносную программу.Failed The message was not delivered. Either it was attempted and failed or it was not delivered as a result of actions taken by the filtering service. For example, if the message was determined to contain malware.

    • Ожидание. Выполняется попытка доставки или повторной доставки сообщения.Pending Delivery of the message is being attempted or re-attempted.

    • Расширено. Сообщение было отправлено в список рассылки и было расширено, чтобы просмотреть участников списка отдельно.Expanded The message was sent to a distribution list and was expanded so the members of the list can be viewed individually.

    • Неизвестно. В настоящее время нет сведений о состоянии доставки сообщения. При отображении результатов выполнения запроса поля сведений о доставке не будут содержать никакой информации.Unknown The message delivery status is unknown at this time. When the results of the query are listed, the delivery details fields will not contain any information.

      Важно!

      Если запускается трассировка сообщений старше 7 дней, варианты Ожидание и Неизвестно недоступны.If you are running a message trace for items that are greater than 7 days old, you cannot select Pending or Unknown.

  5. Код сообщения. Это идентификатор сообщения Интернета (также называемый кодом клиента), найденный в заголовке сообщения с маркером "Message-ID:". Пользователи могут предоставлять эти сведения, чтобы исследовать определенные сообщения.Message ID This is the Internet message ID (also known as the Client ID) found in the header of the message with the "Message-ID:" token. Users can provide you with this information in order to investigate specific messages.

    Этот идентификатор может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Пример: <08f1e0f6806a47b4ac103961109ae6ef@сервер.домен>.The form of this ID varies depending on the sending mail system. The following is an example: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

    Примечание

    Не забудьте включить полную строку идентификатора сообщения. Она может включать угловые скобки (<>).Be sure to include the full Message ID string. This may include angle brackets (<>).

    Этот идентификатор должен быть уникальным. Но он зависит от почтовой системы, отправившей сообщение и создавшей его, и не все почтовые системы, отправляющие сообщения, ведут себя одинаково. Поэтому существует вероятность, что при запросе сведений с использованием одного кода сообщения могут быть получены результаты для нескольких сообщений.This ID should be unique; however, it is dependent on the sending mail system for generation and not all sending mail systems behave the same way. As a result, there's a possibility that you may get results for multiple messages when querying upon a single Message ID.

  6. Отправитель. Вы можете ограничить область поиска определенными отправителями, нажав кнопку Добавить отправителя рядом с полем Отправитель. В появившемся диалоговом окне из списка выбора пользователей выберите одного или нескольких отправителей из своей компании, а затем нажмите кнопку Добавить. Чтобы добавить отправителей, которых нет в списке, введите их адреса электронной почты и нажмите Проверить имена. В этом поле для адресов электронной почты поддерживаются подстановочные знаки и имеют формат: *@contoso.com. Если используется подстановка, другие адреса использовать нельзя. Выбрав нужные параметры, нажмите кнопку ОК.Sender You can narrow the search for specific senders by clicking the Add sender button next to the Sender field. In the subsequent dialog box, select one or more senders from your company from the user picker list and then click Add. To add senders who aren't on the list, type their email addresses and click Check names. In this box, wildcards are supported for email addresses in the format: *@contoso.com. When specifying a wildcard, other addresses can't be used. When you're done with your selections, click OK.

  7. Получатель. Вы можете ограничить область поиска определенными получателями, нажав кнопку Добавить получателя рядом с полем Получатель. В появившемся диалоговом окне в списке выбора пользователей выберите одного или нескольких получателей из вашей компании, а затем нажмите кнопку Добавить. Чтобы добавить получателей, которых нет в списке, введите их адреса электронной почты и нажмите кнопку Проверить имена. В этом поле для адресов электронной почты поддерживаются подстановочные знаки и имеют формат: *@contoso.com. Если используется подстановка, другие адреса использовать нельзя. Выбрав нужные параметры, нажмите кнопку ОК.Recipient You can narrow the search for specific recipients by clicking the Add recipient button next to the Recipient field. In the subsequent dialog box, select one or more recipients from your company from the user picker list and then click Add. To add recipients who aren't on the list, type their email addresses and click Check names. In this box, wildcards are supported for email addresses in the format: *@contoso.com. When specifying a wildcard, other addresses can't be used. When you're done with your selections, click OK.

  8. Если вы ищете сообщения старше 7 дней, задайте следующие значения параметров (в ином случае их можно не задавать).If you're searching for messages that are greater than 7 days old, specify the following parameter values (otherwise you can skip this step):

  9. Включить в отчет сведения о событиях и маршрутизации. Этот флажок рекомендуется устанавливать только в том случае, если нужно найти одно сообщение или небольшое их количество, поскольку при включении в отчет событий, связанных с сообщениями, увеличиваются размер отчета и время поиска.Include message events and routing details with report We recommend selecting this check box only if you're targeting one or a few specific messages, because including event details will result in a larger report that takes longer to process.

  10. Направление. Если нужно проверить все сообщения, выберите соответствующий пункт в раскрывающемся списке (это значение по умолчанию). Выберите Входящие или Исходящие, если нужно проверить сообщения, полученные или отправленные организацией соответственно.Direction Using the drop-down list, select whether you want to search for All messages (this is the default), Inbound messages sent to your organization, or Outbound messages sent from your organization.

  11. Исходный IP-адрес клиента. Укажите IP-адрес клиента отправителя.Original client IP address Specify the IP address of the sender's client.

  12. Заголовок отчета. Укажите уникальный идентификатор для отчета. Он также будет использоваться как текст строки темы для уведомления по электронной почте. По умолчанию задано значение "Отчет о трассировке сообщений <день недели>, <текущая дата> <текущее время>". Например, "Отчет о трассировке сообщений Четверг, 17 октября 2013 г., 7:21:09".Report title Specify the unique identifier for this report. This will also be used as the subject line text for the email notification. The default is "Message trace report <day of the week>, <current date> <current time>". For example, "Message trace report Thursday, October 17, 2013 7:21:09 AM".

  13. Адрес электронной почты для уведомления. Укажите адрес электронной почты, на который нужно прислать уведомление по завершении процесса трассировки сообщений. Этот адрес должен находиться в списке обслуживаемых доменов.Notification email address Specify the email address that you want to receive the notification when the message trace completes. This address must reside within your list of accepted domains.

  14. Чтобы запустить трассировку сообщений, нажмите кнопку Поиск. В случае приближения к максимальному количеству трассировок, разрешенных за одни сутки, появится предупреждение.Click Search to run the message trace. You'll be warned if you're nearing the threshold of the amount of traces you're allowed to run over a 24 hour period.

После запуска трассировки сообщений перейдите к одному из следующих разделов в зависимости от того, выполняется ли поиск сообщений, возраст которых меньше или больше 7 дней, чтобы узнать, как просмотреть результаты.After running your message trace, depending on whether you're searching for messages that are less than or greater than 7 days old, proceed to one of the next sections to read about how to view your results.

Примечание

Чтобы выполнить поиск другого сообщения, нажмите кнопку Очистить и заново укажите критерии поиска.To search for a different message, you can click the Clear button and then specify new search criteria.

Просмотр результатов трассировки для сообщений не старше 7 днейView message trace results for messages that are less than 7 days old

Совет

Сведения о результатах трассировки сообщений старше 7 дней см. в разделе Просмотр результатов трассировки для сообщений старше 7 дней.For information about viewing message trace results for messages that are greater than 7 days old, see View message trace results for messages that are more than 7 days old.

После запуска трассировки сообщений в Центре администрирования Exchange будут отображены результаты, отсортированные по дате, причем в начале списка будут находиться самые новые сообщения. Можно выполнять сортировку по любому полю в списке. Для этого необходимо щелкнуть соответствующий заголовок. После второго щелчка по заголовку столбца порядок сортировки меняется на противоположный. При просмотре результатов трассировки сообщений отображаются следующие сведения о каждом сообщении.After running the message trace in the EAC, the results will be listed, sorted by date, with the most recent message appearing first. You can sort on any of the listed fields by clicking their headers. Clicking a column header a second time will reverse the sort order. When viewing message trace results, the following information is provided about each message:

  • Дата. Дата и время в формате UTC, когда служба получила сообщение (согласно настройкам часового пояса).Date The date and time at which the message was received by the service, using the configured UTC time zone.

  • Отправитель. Адрес электронной почты отправителя в следующей форме: псевдоним @ домен .Sender The email address of the sender in the form alias @ domain .

  • Получатель. Адрес электронной почты получателя или получателей. Для сообщений, отправленных нескольким получателям, для каждого получателя выделяется отдельная строка. Если получателем является список рассылки, то этот список будет первым получателем, а уже после него в отдельных строках будут указаны все участники списка рассылки, поэтому можно проверить состояние для всех получателей.Recipient The email address of the recipient or recipients. For messages sent to more than one recipient, there is one line per recipient. If the recipient is a distribution list, the distribution list will be the first recipient, and then each member of the distribution list will be included on a separate line so that you can check the status for all recipients.

  • Тема. Текст в строке темы сообщения. При необходимости эта строка усекается до первых 256 знаков.Subject The subject line text of the message. If necessary, this is truncated to the first 256 characters.

  • Состояние. Это поле может содержать следующие значения. Доставлено — сообщение доставлено получателю. Не доставлено — сообщение не доставлено получателю (не удалось доставить его в место назначения или оно было отфильтровано). Ожидание — сообщение ожидает доставки (либо оно находится в процессе доставки, либо доставка была отложена, но выполняется повторная попытка доставки). Расширено — сообщение не доставлено, потому что оно было отправлено в список рассылки, который был расширен получателями списка рассылки. Нет — нет сведений о состоянии доставки сообщения получателю, потому что оно было отклонено или перенаправлено на другого получателя.Status This field specifies whether the message was Delivered to the recipient or the intended destination, Failed to be delivered to the recipient (either because it failed to reach its destination or because it was filtered), is Pending delivery (it is either in the process of being delivered or the delivery was deferred but is being re-attempted), was Expanded (there was no delivery because the message was sent to a distribution list (DL) that was expanded to the recipients of the DL), or has a status of None (there is no status of delivery for the message to the recipient because the message was either rejected or redirected to a different recipient).

Примечание

В трассировке сообщений может отображаться не более 500 записей. По умолчанию в пользовательском интерфейсе отображается 50 записей на страницу, и вы можете переходить между страницами. Можно также изменить размер записи каждой страницы до 500.The message trace can display a maximum of 500 entries. By default, the user interface displays 50 entries per page, and you can navigate through the pages. You can also change the entry size of each page up to 500.

Просмотр сведений о конкретных сообщениях не старше 7 днейView details about a specific message that is less than 7 days old

После изучения списка элементов, возвращенных трассировкой сообщений в Центре администрирования Exchange, можно дважды щелкнуть какое-либо сообщение, чтобы просмотреть следующие дополнительные сведения о нем.After you review the list of items returned by running the message trace in the EAC, you can double-click an individual message to view the following additional details about the message:

  • Размер сообщения. Размер сообщения, включая вложения, в килобайтах (КБ) или, если размер сообщения превышает 999 КБ, в мегабайтах (МБ).Message size The size of the message, including attachments, in kilobytes (KB), or, if the message size is greater than 999 KBs, in megabytes (MB).

  • Код сообщения. Это идентификатор сообщения Интернета (также называемый кодом клиента), найденный в заголовке сообщения с маркером "Message-ID:". Он может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Пример. <08f1e0f6806a47b4ac103961109ae6ef @ сервер . домен >.Message ID This is the Internet message ID (also known as the Client ID) found in the header of the message with the "Message-ID:" token. The form of this varies depending on the sending mail system. The following is an example: <08f1e0f6806a47b4ac103961109ae6ef @ server . domain >.

    Этот идентификатор должен быть уникальным. Однако он зависит от почтовой системы, отправившей сообщение и создавшей его, и не все почтовые системы, отправляющие сообщения, ведут себя одинаково. Поэтому существует вероятность, что при запросе сведений с использованием одного кода сообщения могут быть получены результаты для нескольких сообщений.This ID should be unique, however, it is dependent on the sending mail system for generation and not all sending mail systems behave the same way. As a result, there is a possibility that you may get results for multiple messages when querying upon a single Message ID.

    Эти результаты возвращаются в виде выходных данных, так что записи трассировки и рассматриваемые сообщения могут быть связаны.This is given as output so that trace entries and the messages in question can be co-related.

  • На IP-адрес. IP-адрес или IP-адреса, по которым служба пыталась доставить сообщение. Если у сообщения несколько получателей, то отображается следующее. Для входящих сообщений, отправленных в Exchange Online, это значение будет пустым.To IP The IP address or addresses to which the service attempted to deliver the message. If there are multiple recipients, these are displayed. For inbound messages sent to Exchange Online, this value is blank.

  • С IP-адреса. IP-адрес компьютера, с которого было отправлено сообщение. Для исходящих сообщений, отправленных из Exchange Online, это значение будет пустым.From IP The IP address of the computer that sent the message. For outbound messages sent from Exchange Online, this value is blank.

В разделе событий сведения о событиях, произошедших с сообщением во время его передачи через канал передачи сообщений, отображаются в следующих полях.In the events section, the following fields provide information about the events that occurred to the message as it passed through the messaging pipeline:

  • Дата. Дата и время события.Date The date and time that the event occurred.

  • Событие. В этом поле содержится краткое описание события. Например, это могут быть сведения о том, что сообщение было получено службой, о том, что оно было доставлено или, наоборот, не удалось доставить сообщение нужному получателю и т. д. Ниже приведены примеры событий, которые могут быть отображены в списке.Event This field briefly informs you of what happened, for example if the message was received by the service, if it was delivered or failed to be delivered to the intended recipient, and so on. The following are examples of events that may be listed:

    • Принято. Сообщение принято службой.RECEIVE The message was received by the service.

    • Отправлено. Сообщение отправлено службой.SEND The message was sent by the service.

    • Не доставлено. Не удалось доставить сообщение.FAIL The message failed to be delivered.

    • Доставлено. Сообщение доставлено в почтовый ящик.DELIVER The message was delivered to a mailbox.

    • Расширено. Сообщение отправлено в группу рассылки, которая была расширена.EXPAND The message was sent to a distribution group that was expanded.

    • Передается. Из-за преобразования содержимого, ограничений, накладываемых на получателей сообщения, или агентов получатели были перемещены в раздвоенное сообщение.TRANSFER Recipients were moved to a bifurcated message because of content conversion, message recipient limits, or agents.

    • Отложено. Доставка сообщения была отложена. Позже можно повторить попытку доставить сообщение.DEFER The message delivery was postponed and may be re-attempted later.

    • УСТРАНЕНО. Сообщение перенаправлено по новому адресу получателя на основании поиска в Active Directory. В этом случае исходный адрес получателя указывается в отдельной строке трассировки сообщений вместе с итоговым состоянием доставки сообщения.RESOLVED The message was redirected to a new recipient address based on an Active Directory look up. When this happens, the original recipient address is listed in a separate row in the message trace along with the final delivery status for the message.

      Совет

      Могут появляться дополнительные события. Подробнее о них читайте в разделе "Типы событий в журнале отслеживания сообщений" статьи Message Tracking.Additional events may appear; for more information about these, see the "Event types in the message tracking log" section in Message Tracking.

  • Действие. В этом поле отображаются сведения о действии, которое было выполнено в том случае, если сообщение было отфильтровано из-за того, что в нем была обнаружена вредоносная программа, из-за того, что оно было распознано как нежелательная почта, или из-за того, что оно соответствовало какому-либо заданному правилу. Например, в этом поле будут сведения об удалении сообщения или отправке его в карантин.Action This field shows the action that was performed if the message was filtered due to a malware or spam detection or a rule match. For example, it will let you know if the message was deleted or if it was sent to the quarantine.

  • Подробности. В этом поле содержатся подробные сведения о том, что произошло. Например, в этом поле могут содержаться сведения о том, какому правилу транспорта соответствовало сообщение и какие действия были выполнены над сообщением в результате этого. Кроме того, в этом поле могут содержаться сведения о вредоносных программах, обнаруженных во вложении, или о том, почему сообщение было распознано как нежелательная почта. Если сообщение было успешно доставлено, в этом поле будут сведения об IP-адресе, по которому оно было доставлено.Detail This field provides detailed information that elaborates on what happened. For example, it may inform you which specific transport rule was matched, and what happened to the message as a result of that match. It can also inform you which specific malware was detected in which specific attachment, or why a message was detected as spam. If the message was successfully delivered, it can tell you the IP address to which it was delivered.

Просмотр результатов трассировки для сообщений старше 7 днейView message trace results for messages that are more than 7 days old

Совет

Сведения о результатах трассировки сообщений, которым менее 7 дней см. в разделе Просмотр результатов трассировки для сообщений не старше 7 дней.For information about viewing message trace results for messages that are less than 7 days old, see View message trace results for messages that are less than 7 days old.

Если запускается трассировка сообщений старше 7 дней, по нажатии кнопки Поиск должно появиться уведомление о том, что сообщение было успешно отправлено, а по завершении трассировки на указанный адрес электронной почты будет отправлено соответствующее уведомление. Если трассировка выполнена, и данные, соответствующие критериям поиска, успешно получены, это уведомление будет содержать сведения о трассировке и ссылку на загружаемый CSV-файл. Если данные, соответствующие критериям поиска, не найдены, вам будет предложено создать новый запрос с другими критериями для получения действительных результатов.If you run a message trace for items that are greater than 7 days old, when you click Search a message should appear letting you know that the message was successfully submitted, and that an email notification will be sent to the supplied email address when the trace has completed. (If the message trace is processed and data that matches your search criteria is successfully retrieved, this notification message will include information about the trace and a link to the downloadable .CSV file. If no data was found that matched the search criteria you specified, you'll be asked to submit a new request with changed criteria in order to obtain valid results.)

В Центре администрирования Exchange можно выбрать элемент Просмотреть ожидающие и завершенные трассировки, чтобы просмотреть список трассировок для сообщений старше 7 дней. В появившемся пользовательском интерфейсе список трассировок будет отсортирован по дате и времени их передачи, начиная с самых последних. Помимо названия (заголовка) отчета, даты и времени отправки трассировки, а также количества сообщений, в отчете выводятся следующие значения состояния.In the EAC, you can click View pending or completed traces in order to view a list of traces that were run for items that are greater than 7 days old. In the resulting UI, the list of traces is sorted based on the date and time that they were submitted, with the most recent submissions appearing first. In addition to the report title, the date and time the trace was submitted, and the number of messages in the report, the following status values are listed:

  • Не запущено. Трассировка была отправлена, но еще не выполняется. На этом этапе имеется возможность отмены трассировки.Not started The trace was submitted but is not yet running. At this point, you have the option to cancel the trace.

  • Отменено. Трассировка была отправлена, но отменена.Cancelled The trace was submitted but was cancelled.

  • Выполняется. Трассировка запущена. Отменить трассировку и загрузку результатов невозможно.In progress The trace is running and you cannot cancel the trace or download the results.

  • Завершено. Трассировка завершена. Чтобы получить результаты в виде CSV-файла, нужно выбрать элемент Загрузить отчет. Учтите, что если количество сообщений, полученных в результате трассировки, превышает 5000, будут выводиться только первые 5000 сообщений. Если количество сообщений, полученных в результате трассировки, превышает 3000, и вы запросили подробный отчет, будут выводиться только первые 3000 сообщений. Если не получены все необходимые результаты, рекомендуется разбить поиск на несколько отчетов.Completed The trace has completed and you can click Download this report to retrieve the results in a .CSV file. Note that if your message trace results exceed 5000 messages for a summary report, it will be truncated to the first 5000 messages. If your message trace results exceed 3000 messages for a detailed report, it will be truncated to the first 3000 messages. If you do not see all the results that you need, we recommend that break your search out into multiple queries.

При выборе особых критериев трассировки сообщений дополнительные сведения появляются в правой области. В зависимости от указанных вами критериев поиска сведения могут содержать информацию о диапазоне дат трассировки, отправителе и предусмотренных получателях сообщения.When you select a specific message trace, additional information appears in the right pane. Depending on what search criteria you specified, this may include details such as the date range for which the trace was run, and the sender and intended recipients of the message.

Примечание

Трассировки, включающие данные старше 7 дней, автоматически удаляются из Центра администрирования Exchange (EAC) через 10 дней. Удалить их вручную невозможно.Message traces containing data that is more than 7 days old are automatically deleted in the EAC after 10 days. They can't be manually deleted.

Просмотр сведений о конкретном сообщении старше 7 днейView report details about a specific message that is more than 7 days old

Если вы загружаете и просматриваете отчет о трассировке сообщений из пользовательского интерфейса Просмотреть ожидающие и завершенные трассировки в Центре администрирования Exchange или из уведомления по электронной почте, его содержимое зависит от того, был ли выбран параметр Включить в отчет сведения о событиях и маршрутизации.When you download and view a message trace report, either from the View pending or completed traces UI in the EAC or from a notification email, its contents depend on whether you have selected the Include message events and routing details with report option.

Важно!

Для просмотра загруженного отчета о трассировке сообщение, необходимо, чтобы вашей группе ролей была назначена роль RBAC "Получатели с правом просмотра". По умолчанию эта роль назначена группам ролей: "Управление соответствием требованиям", "Служба технической поддержки", "Управление санацией", "Управление организацией", "Управление организацией с правами только на просмотр".In order to view the downloaded message trace report, you must have the "View-Only Recipients" RBAC role assigned to your role group. By default, the following role groups have this role assigned: Compliance Management, Help Desk, Hygiene Management, Organization Management, View-Only Organization Management.

Просмотр отчета о трассировке сообщений без сведений о маршрутизацииViewing a message trace report without routing details

Если при запуске трассировки сообщений сведения о маршрутизации не были включены, в CSV-файле, который можно открыть с помощью таких приложений, как Microsoft Excel, будет содержаться следующая информация.If you didn't include routing details when running the message trace, the following information is included in the .CSV file, which you can open in an application such as Microsoft Excel:

  • origin_timestamp. Дата и время в формате UTC, когда служба получила сообщение (согласно настройкам часового пояса).origin_timestamp The date and time at which the message was received by the service, using the configured UTC time zone.

  • sender_address. Адрес электронной почты отправителя в следующей форме: псевдоним @ домен .sender_address The email address of the sender in the form alias @ domain .

  • Recipient_status. Состояние доставки сообщения получателю. Если сообщение было отправлено нескольким получателям, будут показаны все получатели и соответствующий статус для каждого из них. Сведения отображаются в следующем формате: < адрес электронной почты >##< состояние >. Например, статусRecipient_status The status of the delivery of the message to the recipient. If the message was sent to multiple recipients, it will show all the recipients and the corresponding status against each, in the format: < email address >##< status >. For example, a status of:

    • ##Receive, Send означает, что сообщение получено службой и отправлено в место назначения.##Receive, Send means that the message was received by the service and sent to the intended destination.

    • ##Receive, Fail означает, что сообщение получено службой, но не отправлено в место назначения.##Receive, Fail means that the message was received by the service but failed to be delivered to the intended destination.

    • ##Receive, Deliver означает, что сообщение получено службой и доставлено в почтовый ящик получателя.##Receive, Deliver means that the message was received by the service and delivered to the recipient's mailbox.

  • message_subject. Текст в строке темы сообщения. При необходимости эта строка усекается до первых 256 знаков.message_subject The subject line text of the message. If necessary, this is truncated to the first 256 characters.

  • total_bytes. Размер сообщения, включая вложения, в байтах.total_bytes The size of the message, including attachments, in bytes.

  • message_id. Это идентификатор сообщения Интернета (также называемый кодом клиента), найденный в заголовке сообщения с маркером "Message-ID:". Он может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Пример. < 08f1e0f6806a47b4ac103961109ae6ef @ сервер . домен >.message_id This is the Internet message ID (also known as the Client ID) found in the header of the message with the "Message-ID:" token. The form of this varies depending on the sending mail system. The following is an example: < 08f1e0f6806a47b4ac103961109ae6ef @ server . domain >.

    Этот идентификатор должен быть уникальным. Однако он зависит от почтовой системы, отправившей сообщение и создавшей его, и не все почтовые системы, отправляющие сообщения, ведут себя одинаково. Поэтому существует вероятность, что при запросе сведений с использованием одного кода сообщения могут быть получены результаты для нескольких сообщений.This ID should be unique, however, it is dependent on the sending mail system for generation and not all sending mail systems behave the same way. As a result, there is a possibility that you may get results for multiple messages when querying upon a single Message ID.

    Эти результаты возвращаются в виде выходных данных, так что записи трассировки и рассматриваемые сообщения могут быть связаны.This is given as output so that trace entries and the messages in question can be co-related.

  • network_message_id. Это уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. В примере он имеет значение 1341ac7b13fb42ab4d4408cf7f55890f.network_message_id This is a unique message ID value that persists across copies of the message that may be created due to bifurcation or distribution group expansion. An example value is 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip. IP-адрес клиента отправителя.original_client_ip The IP address of the sender's client.

  • directionality. Это поле указывает, было ли сообщение входящим (1) или исходящим (2) из вашей организации.directionality This field denotes whether the message was sent inbound (1) to your organization, or whether it was sent outbound (2) from your organization.

  • connector_id. Имя исходного или конечного соединителя отправки или приема. Например, Имя_сервера \ Имя_соединителя или Имя_соединителя .connector_id The name of the source or destination Send connector or Receive connector. For example, ServerName \ ConnectorName or ConnectorName .

  • delivery_priority. Указывает, было ли сообщение отправлено с высоким, низким или обычным приоритетом.delivery_priority Denotes whether the message was sent with High, Low, or Normal priority.

Просмотр отчета о трассировке сообщений со сведениями о маршрутизацииView a message trace report with routing details

Если при запуске трассировки сообщений сведения о маршрутизации были включены, в CSV-файле, который можно открыть с помощью таких приложений, как Microsoft Excel, будет содержаться вся информация из журналов отслеживания сообщений. Некоторые значения из этого отчета описаны в предыдущем разделе. Другие значения, которые могут быть полезны для целей исследования, описаны в разделе "Поля файлов журналов отслеживания сообщений" статьи Message Tracking.If you included routing details when running the message trace, all information from the message tracking logs is included in the .CSV file, which you can open in an application such as Microsoft Excel. Some of the values included in this report are described in the prior section, while other values that may be useful for investigative purposes are described in the "Fields in the message tracking log files" section in the Message Tracking topic.

Поле custom_dataThe custom_data field

Кроме того, в поле custom_data могут содержаться значения, указанные для службы фильтрации. Поле custom_data в событии AGENTINFO используется разными агентами для записи в журнал сведений об обработке ими сообщения. Ниже описаны некоторые из агентов, связанных с защитой данных сообщения.Additionally, the custom_data field may contain values that are specific to the filtering service. The custom_data field in an AGENTINFO event is used by a variety of different agents to log details from the agent's processing of the message. Some of the message data protection related agents are described below.

Агент фильтра нежелательной почты (S:SFA)Spam Filter Agent (S:SFA)

Строка, которая начинается с "S:SFA" — это запись агента фильтра нежелательной почты. Она предоставляет следующие ключевые сведения.A string beginning with S:SFA is an entry from the spam filter agent and provides the following key details:

Сведения журналаLog Information
ОписаниеDescription
SFV = NSPMSFV=NSPM
Сообщение помечено как не являющееся нежелательным и отправлено указанным получателям.The message was marked as non-spam and was sent to the intended recipients.
SFV = SPMSFV=SPM
Сообщение помечено фильтром содержимого как нежелательное.The message was marked as spam by the content filter.
SFV = BLKSFV=BLK
Фильтрация была пропущена, а сообщение было заблокировано, так как оно исходило от заблокированного отправителя.Filtering was skipped and the message was blocked because it originated from a blocked sender.
SFV = SKSSFV=SKS
Сообщение помечено как нежелательное до обработки фильтром содержимого. Это применяется к сообщениям, в которых сообщение сопоставлено с правилом транспорта автоматически помечать его как нежелательное и обходить любую дополнительную фильтрацию.The message was marked as spam prior to being processed by the content filter. This includes messages where the message matched a Transport rule to automatically mark it as spam and bypass all additional filtering.
SCL = < число >SCL= < number >
Дополнительные сведения о различных значения вероятности нежелательной почты и их значение Уровня вероятности нежелательной почтысм.For more information about the different SCL values and what they mean, see Spam Confidence Levels.
PCL= < номер >PCL= < number >
Значение уровня вероятности фишинга (PCL) сообщения. Они могут обрабатываться так же, как вероятность нежелательной почты значения, приведенной в Уровень вероятности нежелательной почты.The Phishing Confidence Level (PCL) value of the message. These can be interpreted the same way as the SCL values documented in Spam Confidence Levels.
DI = SBDI=SB
Отправитель сообщения заблокирован.The sender of the message was blocked.
DI = SQDI=SQ
Сообщение перемещено в карантин.The message was quarantined.
DI = SDDI=SD
Сообщение удалено.The message was deleted.
DI = SJDI=SJ
Сообщение отправлено в папку нежелательной почты получателя.The message was sent to the recipient's Junk Email folder.
DI = SNDI=SN
Сообщение перенаправлено через пул доставки высокого риска. Дополнительные сведения см в пул с более высокой риск поставки для исходящих сообщений.The message was routed through the higher risk delivery pool. For more information, see Higher risk delivery pool for Outbound Messages.
DI = SODI=SO
Сообщение перенаправлено через пул обычной исходящей доставки.The message was routed through the normal outbound delivery pool.
SFS=[a]SFS=[a] SFS=[b]SFS=[b]
IPV = CALIPV=CAL
Сообщение пропущено через фильтр нежелательной почты, поскольку IP-адрес указан в списке разрешенных IP-адресов в фильтре подключений.The message was allowed through the spam filters because the IP address was specified in an IP Allow list in the connection filter.
H = [helostring]H=[helostring]
Строка HELO или EHLO почтового сервера, который подключается.The HELO or EHLO string of the connecting mail server.
PTR = [ReverseDNS]PTR=[ReverseDNS]
Запись PTR отправляющего IP-адреса, называемая также обратным DNS-адресом.The PTR record of the sending IP address, also known as the reverse DNS address.

Если сообщение отфильтровано фильтром нежелательной почты, пример записи будет выглядеть следующим образом:When a message is filtered for spam, a sample custom_data entry would look similar to the following:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Агент фильтра вредоносных программ (S:AMA)Malware Filter Agent (S:AMA)

Строка, которая начинается с "S:AMA" — это запись агента фильтра вредоносных программ. Она предоставляет следующие ключевые сведения.A string beginning with S:AMA is an entry from the anti-malware agent and provides the following key details:

Сведения журналаLog Information
ОписаниеDescription
AMA = SUMAMA=SUM v = 1v=1
Action = rAction=r
Сообщение заменено.The message was replaced.
Action = pAction=p
Сообщение не проходило фильтрацию.The message was bypassed.
Action = dAction=d
Сообщение отложено.The message was deferred.
Action = sAction=s
Сообщение удалено.The message was deleted.
Action = stAction=st
Сообщение не проходило фильтрацию.The message was bypassed.
Action = syAction=sy
Сообщение не проходило фильтрацию.The message was bypassed.
Action = niAction=ni
Сообщение отклонено.The message was rejected.
Action = neAction=ne
Сообщение отклонено.The message was rejected.
Action = bAction=b
Сообщение заблокировано.The message was blocked.
Name = < вредоносная_программа >Name=< malware >
Имя обнаруженной вредоносной программы.The name of the malware that was detected.
File = < имя_файла >File=< filename >
Имя файла, содержащего вредоносные программы.The name of the file that contained the malware.

Если сообщение содержит вредоносное программное обеспечение, пример записи custom_data будет выглядеть следующим образом:When a message contains malware, a sample custom_data entry would look similar to the following:

S: ama = сумм | v = 1 | action = b | ошибка = | сстановить = 1; S:AMA=EV|Engine=M|v=1|SIG=1.155.974.0|Name=DOS/Test_File|File=filename; S: ama = высокой Надежности | engine = A | v = 1 | подпись = 201307282038 | имя = Test_File | файла = имя файлаS:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

Агент правил транспорта (S:TRA)Transport Rule Agent (S:TRA)

Строка, которая начинается с "S:TRA", — это запись агента правил транспорта. Она предоставляет следующие ключевые сведения.A string beginning with S:TRA is an entry from the transport rule agent and provides the following key details:

Сведения журналаLog Information
ОписаниеDescription
ETRETR ruleId = [guid]ruleId=[guid]
St = [дата_время]St=[datetime]
Дата и время (в формате UTC) выполнения правила.The date and time (in UTC) when the rule match occurred.
Действие = [ActionDefinition]Action=[ActionDefinition]
Действие, которая была применена. Список доступных действий в разделе поток обработки почты действия правил в Exchange Online.The action that was applied. For a list of available actions, see Mail flow rule actions in Exchange Online.
Mode = EnforceMode=Enforce
Режим правила. Возможные значения: The mode of the rule. Possible values are:
Enforce: все действия правила используются принудительно.Enforce: All actions on the rule will be enforced.
Test with Policy Tips: все действия правила отправляются, но другие принудительные действия не применяются.Test with Policy Tips: Any Policy Tip actions will be sent, but other enforcement actions will not be acted on.
Test without Policy Tips: действия перечисляются в файле журнала, но отправители не получают никаких уведомлений; принудительные действия не применяются.Test without Policy Tips: Actions will be listed in a log file, but senders will not be notified in any way, and enforcement actions will not be acted on.

Если сообщение выполняет транспортное правило, пример записи custom_data будет выглядеть следующим образом:When a message matches a transport rule, a sample custom_data entry would look similar to the following:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=EnforceS:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Дополнительные сведенияFor more information

В Вопросы и ответы по трассировке сообщений представлены вопросы об обмене сообщениями, которые могут возникнуть у пользователей, а также возможные ответы на них. В статье также описывается использование средства трассировки сообщений для получения нужных ответов и устранения определенных проблем с доставкой почты.Message Trace FAQ presents messaging questions that a user may have, along with possible answers. It also describes how to use the message trace tool in order to get those answers and troubleshoot specific mail delivery issues.

В разделе Можно ли запустить трассировку сообщений через удаленную консоль Windows PowerShell, а не пользовательский интерфейс? представлены сведения об удаленных командлетах Оболочка Windows PowerShell, с помощью которых можно запустить трассировку сообщений.Can I run a message trace via remote Windows PowerShell rather than the user interface? gives information about the remote Windows PowerShell cmdlets that you can use to run a message trace.