郵件追蹤
郵件追蹤記錄是郵件流經信箱伺服器和Edge Transport Server上的傳輸管線時,所有活動的詳細記錄。 您可以使用郵件追蹤進行郵件鑑識、郵件流程分析、報告及疑難排解等工作。
根據預設,Exchange 會使用循環記錄,根據檔案大小和檔案存留期來限制訊息追蹤記錄檔,以協助控制記錄檔所使用的硬碟空間。 若要設定訊息追蹤記錄,請參閱 設定訊息追蹤。
搜尋郵件追蹤記錄檔
訊息追蹤記錄包含訊息在信箱伺服器或Edge Transport Server 中移動時的大量數據。 在搜尋訊息追蹤記錄時,您有下列選項:
Get-MessageTrackingLog:系統管理員可以使用此 Exchange 管理命令介面 Cmdlet 來搜尋訊息追蹤記錄檔,以取得使用各種篩選準則的訊息相關信息。 如需詳細資訊,請參閱< 搜尋郵件追蹤記錄檔>。
系統管理員的傳遞報告:系統管理員可以使用 Exchange 系統管理中心的 [傳遞報告] 索引標籤,或 Exchange 管理命令介面中的基礎 搜尋-MessageTrackingReport 和 Get-MessageTrackingReport Cmdlet,搜尋郵件追蹤記錄檔,以取得組織中特定信箱所傳送或接收之郵件的相關信息。 如需詳細資訊,請參閱 系統管理員的傳遞報告。
郵件追蹤記錄檔的結構
根據預設,訊息追蹤記錄檔存在於 中 %ExchangeInstallPath%TransportRoles\Logs\MessageTracking。 資料夾包含名稱不同的記錄檔,但全都遵循命名慣例 MSGTRKServiceyyyyMMdd-nnnn.log。 下表描述不同的記錄檔名稱。
| 檔案名稱 | 伺服器 | 描述 |
|---|---|---|
MSGTRK |
信箱伺服器和 Edge Transport Server | 傳輸服務記錄檔案。 |
MSGTRKMA |
信箱伺服器 | 經管理傳輸中核准和拒絕的記錄檔案。 如需詳細資訊,請參閱<管理郵件核准>。 |
MSGTRKMD |
信箱伺服器 | 信箱傳輸傳遞服務傳遞至信箱的郵件記錄檔案。 |
MSGTRKMS |
信箱伺服器 | 信箱傳輸提交服務從信箱傳送之郵件的記錄檔案。 |
記錄檔名稱中的其他佔位元代表下列資訊:
yyyyMMdd 是建立記錄檔 (UTC) 日期協調的通用時間。 yyyy = year、 MM = month 和 dd = day。
nnnn 是從每個記錄檔每天值 1 開始的實例編號。
資訊會寫入記錄檔,直到檔案達到其大小上限為止。 然後,開啟具有遞增實例編號的新記錄檔, (第一個記錄檔是 -1,下一個記錄檔是 -2,依此類推) 。 當下列任一條件成立時,迴圈記錄會刪除服務最舊的記錄檔:
記錄檔達到其最長存留期。
訊息追蹤記錄檔資料夾達到其大小上限。
附註:
訊息追蹤記錄檔資料夾的大小上限會計算為具有相同名稱前置詞之所有記錄檔的總大小。 未遵循名稱前置詞慣例的其他檔案不會計入總資料夾大小計算中。 重新命名舊的記錄檔或將其他檔案複製到訊息追蹤記錄檔資料夾,可能會導致資料夾超過其指定的大小上限。
在信箱伺服器上,郵件追蹤記錄檔資料夾的大小上限是指定值的三倍。 雖然訊息追蹤記錄檔是由四個不同的服務所產生,而且具有四個不同的名稱前置詞,但與其他三個記錄相較之下,寫入至仲裁傳輸記錄檔 ()
MSGTRKMA的數據量和頻率都不明顯。
郵件追蹤記錄檔是包含逗號分隔值 (CSV) 格式之資料的文字檔。 每個郵件追蹤記錄檔都有包含下列資訊的標頭:
#Software:值為
Microsoft Exchange Server。#Version:建立訊息追蹤記錄檔的 Exchange 伺服器版本號碼。 值會使用 格式
15.01.nnnn.nnn。#Log 類型:值為
Message Tracking Log。#Date:建立記錄檔時的 UTC 日期時間。 UTC 日期時間是以 ISO 8601 日期時間格式表示: yyyy-MM-ddThh:mm:ss.fffZ, 其中 yyyy = year、 MM = month、 dd = day、T 表示時間元件的開頭、 hh = hour、 mm = minute、 ss = second、 fff = 秒的分數,而 Z 表示 Zulu,這是表示 UTC 的另一種方式。
#Fields:訊息追蹤記錄檔中使用的逗號分隔功能變數名稱。
郵件追蹤記錄檔中的欄位
郵件追蹤記錄檔會在記錄中將每個郵件事件儲存成一行。 郵件事件資訊會以欄位來組織,而這些欄位會以逗號分隔。 欄位名稱通常具有足夠的描述資訊,可用以判斷其內含的資訊類型。 不過,某些欄位可能是空白的,或者欄位中的資訊類型可能會根據郵件事件種類和記錄事件的服務而變更。 下表提供將每個郵件追蹤事件進行分類時所使用欄位的一般描述。
| 欄位名稱 | 描述 |
|---|---|
| date-time | 郵件追蹤事件的 UTC 日期時間。 UTC 日期時間是以 ISO 8601 日期時間格式表示: yyyy-MM-ddThh:mm:ss.fffZ, 其中 yyyy = year、 MM = month、 dd = day、T 表示時間元件的開頭、 hh = hour、 mm = minute、 ss = second、 fff = 秒的分數,而 Z 表示 Zulu,這是表示 UTC 的另一種方式。 |
| client-ip | 將郵件提交之郵件伺服器或郵件用戶端的 IPv4 或 IPv6 位址。 |
| client-hostname | 將郵件提交之郵件伺服器或郵件用戶端的主機名稱或 FQDN。 |
| server-ip | 來源或目的地伺服器的 IPv4 或 IPv6 位址。 |
| server-hostname | 目的地伺服器的主機名稱或 FQDN。 |
| source-context | 與 source 欄位相關聯的額外資訊。 例如:CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | 接受訊息的傳送連接器或接收連接器名稱。 例如, ServerName\ ConnectorName 或 ConnectorName。 |
| source | 負責事件的 Exchange 傳輸元件。 本主題稍後的訊息 追蹤記錄一節中的來源值 會說明這些值。 |
| event-id | 郵件事件類型。 本主題稍後的訊息 追蹤記錄一節中的事件類型 會說明這些值。 |
| internal-message-id | 目前正在處理訊息的 Exchange Server 所指派的訊息標識碼。 訊息的 內部訊息識別碼 在涉及訊息傳輸之每個 Exchange 伺服器的訊息追蹤記錄檔中不同。 例如,此值可能為 73014444033。 |
| message-id | 訊息標頭中 Message-Id: 標頭欄位的值。 如果 Message-Id: 標頭欄位不存在或空白,Exchange 會指派任意值。 此值是郵件存留時間的常數。 對於在 Exchange 中建立的訊息,此值的格式 <GUID@ServerFQDN>為 ,包括角括弧 () < > 。 例如,<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>。 其他郵件系統可能會使用不同的語法或值。 |
| network-message-id | 唯一的郵件識別碼值,會持續存在於郵件所有因為複本發送或通訊群組展開等原因而產生的副本上。 例如,此值可能為 1341ac7b13fb42ab4d4408cf7f55890f。 |
| recipient-address | 郵件收件者的電子郵件地址。 多個電子郵件地址會以分號字元 (;) 隔開。 |
| recipient-status | 每個收件者的收件者狀態會以分號字元分隔 (;) 。 收件者狀態值的顯示順序與 recipient-address 欄位中的值順序相同。 範例狀態值包括:To、 Cc 或 Bcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | 訊息的總大小,以位元組為單位,包括所有附件。 |
| recipient-count | 郵件中的收件者總數。 |
| related-recipient-address | 此欄位會與 EXPAND、 REDIRECT 和 RESOLVE 事件搭配使用,以顯示與郵件相關聯的其他收件者電子郵件位址。 |
| reference | 此欄位包含特定事件類型的其他資訊。 例如: DSN:包含報表連結,這是相關聯傳遞狀態通知的 訊 息標識符值, (也稱為 DSN、退回的訊息、未傳遞的報表或 NDR) 如果在此事件之後產生 DSN。 如果這是 DSN 訊息, [參考] 字段會包含產生 DSN 之原始訊息的 Message-Id 值。 EXPAND:包含 相關訊息的相關收件者位址 值。 RECEIVE:如果訊息是由其他進程產生,例如日誌或收件匣規則,則可能包含相關訊息的 Message-Id 值。 SEND:包含任何 DSN 訊息的 Internal-Message-Id 值。 THROTTLE:包含訊息受到節流的原因。 TRANSFER:包含要分岔之訊息的 Internal-Message-Id 值。 收件匣規則產生的訊息:包含導致收件匣規則產生輸出訊息之輸入訊息的 Internal-Message-Id 值。 分支訊息:可能包含 Internal-Message-Id 值。 對於其他類型的事件,此欄位通常為空白。 |
| message-subject | 在 [ 主旨: 標頭] 字段中找到訊息的主旨。 郵件主體的追蹤是由 Set-TransportService Cmdlet 上的 MessageTrackingLogSubjectLoggingEnabled 參數所控制。 預設會啟用郵件主旨追蹤。 |
| sender-address | [寄件者: 標頭] 字段中指定的電子郵件位址,如果 [寄件者:] 欄位不存在,則為 [寄件者: 標頭] 字段。 |
| return-path | 傳回電子郵件位址,由傳送郵件的 MAIL FROM 命令所指定。 雖然此欄位絕對不會是空白,但會以 <> 來表示 Null 寄件者地址值。 |
| message-info | 郵件的其他相關資訊。 例如: 適用於 DELIVER 和 SEND 事件的 UTC 訊息來源日期時間。 原始日期時間是指郵件最初進入 Exchange 組織的時間。 UTC 日期時間是以 ISO 8601 日期時間格式表示: yyyy-MM-ddThh:mm:ss.fffZ, 其中 yyyy = year、 MM = month、 dd = day、T 表示時間元件的開頭、 hh = hour、 mm = minute、 ss = second、 fff = 秒的分數,而 Z 表示 Zulu,這是表示 UTC 的另一種方式。 驗證錯誤。 例如,您可能會看到發生驗證錯誤時所使用的值 11a 和驗證類型。 |
| directionality | 郵件的方向。 範例值包括 Incoming、 Undefined和 Originating。 |
| tenant-id | 此欄位不適用於內部部署 Exchange 組織。 |
| original-client-ip | 原始用戶端的 IPv4 或 IPv6 位址。 |
| original-server-ip | 原始伺服器的 IPv4 或 IPv6 位址。 |
| custom-data | 此欄位包含與特定事件類型相關的數據。 例如,傳輸規則代理程式會使用此字段來記錄郵件流程規則的 GUID (也稱為傳輸規則) 或對郵件採取動作的 DLP 原則。 如需詳細資訊,請 參閱檢視 DLP 原則偵測報告。 |
| transport-traffic-type | 在內部部署 Exchange 中,此欄位為空白或具有值 Email。 |
| log-id | 訊息追蹤記錄中 中數據列的唯一標識符。 此欄位在內部部署 Exchange 組織中並不重要。 |
| schema-version | 在訊息追蹤記錄中建立專案的 Exchange 伺服器版本號碼。 值會使用 格式 15.01.nnnn.nnn。 |
郵件追蹤記錄檔中的事件類型
event-id 欄位中的各種事件類型可用來將郵件追蹤記錄檔中的郵件事件分類。 有些郵件事件只會出現在一種類型的郵件追蹤記錄檔中,有些郵件事件則會出現在所有類型的郵件追蹤記錄檔中。 下表說明用以分類每個郵件事件的事件類型。
| 事件名稱 | 描述 |
|---|---|
| AGENTINFO | 傳輸代理程式會使用此事件來記錄自訂資料。 |
| BADMAIL | 由「收取」目錄或「重新顯示」目錄所提交,但無法傳遞或遭退回的郵件。 |
| CLIENTSUBMISSION | 郵件是從信箱的 [寄件匣] 送出。 |
| DEFER | 郵件傳遞延遲。 |
| DELIVER | 郵件已傳遞至本機信箱。 |
| DELIVERFAIL | 代理程式嘗試將郵件傳遞至信箱中不存在的資料夾。 |
| DROP | 已捨棄郵件,而不需要傳遞狀態通知 (也稱為 DSN、退回的郵件、未傳遞回報或 NDR)。 例如:
|
| DSN | 已產生傳遞狀態通知 (DSN)。 |
| DUPLICATEDELIVER | 重複的郵件已傳遞給收件者。 如果收件者是多個巢狀通訊群組的成員,可能會出現郵件重複情形。 資訊儲存庫會偵測到重複的郵件並加以移除。 |
| DUPLICATEEXPAND | 在通訊群組展開期間,偵測到重複的收件者。 |
| DUPLICATEREDIRECT | 郵件的替代收件者已是收件者。 |
| EXPAND | 已展開通訊群組。 |
| FAIL | 郵件傳遞失敗。 來源包括 SMTP 、 DNS 、 QUEUE 與 ROUTING 。 |
| HADISCARD | 在將主要複本傳遞至下一個躍點之後,已捨棄陰影郵件。 如需詳細資訊,請參閱 Exchange Server 中的陰影備援。 |
| HARECEIVE | 本機資料庫可用性群組 (DAG) 中或 Active Directory 站台中的伺服器接收到陰影郵件。 |
| HAREDIRECT | 已建立陰影郵件。 |
| HAREDIRECTFAIL | 無法建立陰影郵件。 詳細資料會儲存在 source-context 欄位中。 |
| INITMESSAGECREATED | 郵件已傳送給仲裁收件者,因此郵件已傳送至仲裁信箱進行核准。 如需詳細資訊,請參閱<管理郵件核准>。 |
| LOAD | 已在開機時順利載入郵件。 |
| MODERATIONEXPIRE | 仲裁收件者的仲裁者始終未核准或拒絕郵件,因此郵件已過期。 如需仲裁收件者的詳細資訊,請參閱管理郵件核准。 |
| MODERATORAPPROVE | 仲裁收件者的仲裁者已核准郵件,因此郵件已傳遞給仲裁收件者。 |
| MODERATORREJECT | 仲裁收件者的仲裁者已拒絕郵件,因此郵件未傳遞給仲裁收件者。 |
| MODERATORSALLNDR | 傳送給仲裁收件者之所有仲裁者的所有核准要求都無法傳遞,並導致未傳遞報告 (也稱為 NDR 或退回的郵件) 。 |
| NOTIFYMAPI | 在本機伺服器上某個信箱的寄件匣中偵測到郵件。 |
| NOTIFYSHADOW | 在本機伺服器上某個信箱的寄件匣中偵測到郵件,而必須建立郵件的陰影複本。 |
| POISONMESSAGE | 郵件已放入有害郵件佇列中,或是已從有害郵件佇列中移除。 |
| PROCESS | 郵件處理成功。 |
| PROCESSMEETINGMESSAGE | 信箱傳輸傳遞服務所處理的會議郵件。 |
| RECEIVE | 郵件是由傳輸服務的 SMTP 接收元件所接收,或是從來源 (取貨或重新執行目錄接收: SMTP) ,或訊息已從信箱提交至信箱傳輸提交服務, (來源: STOREDRIVER) 。 |
| REDIRECT | 在 Active Directory 查閱之後,郵件已重新導向至替代收件者。 |
| RESOLVE | 在 Active Directory 查閱之後,郵件的收件者已解析為不同的電子郵件地址。 |
| RESUBMIT | 已從 Safety Net 自動重新提交郵件。 如需詳細資訊,請參閱 Exchange Server 中的安全網。 |
| RESUBMITDEFER | 從 Safety Net 重新提交的郵件發生延遲。 |
| RESUBMITFAIL | 從 Safety Net 重新提交的郵件已失敗。 |
| SEND | 傳輸服務之間已以 SMTP 傳送郵件。 |
| SUBMIT | 「信箱傳輸提交」服務已順利將郵件傳送至「傳輸」服務。 就 SUBMIT 事件而言, source-context 內容會包含下列詳細資料:
|
| SUBMITDEFER | 從「信箱傳輸提交」服務到「傳輸」服務的郵件傳送作業發生延遲。 |
| SUBMITFAIL | 從「信箱傳輸提交」服務到「傳輸」服務的郵件傳送作業已失敗。 |
| SUPPRESSED | 已抑制郵件傳輸。 |
| THROTTLE | 已將郵件進行節流。 |
| TRANSFER | 由於內容轉換、郵件收件者限制或代理程式的緣故,收件者已移至分支的郵件。 來源包括 ROUTING 或 QUEUE 。 |
郵件追蹤記錄檔中的來源值
在郵件追蹤記錄檔中, source 欄位的值可指出負責處理郵件追蹤事件的傳輸元件。 下表說明 source 欄位的值。
| 來源值 | 描述 |
|---|---|
| ADMIN | 事件來源為人為干預。 例如,系統管理員使用佇列檢視器刪除郵件,或使用「重新顯示」目錄提交郵件檔案。 |
| AGENT | 事件來源為傳輸代理程式。 |
| APPROVAL | 事件來源為搭配仲裁收件者使用的核准架構。 如需詳細資訊,請參閱<管理郵件核准>。 |
| BOOTLOADER | 事件來源是開機時存在於伺服器上的未處理郵件。 這與 LOAD 事件類型相關。 |
| DNS | 事件來源為 DNS。 |
| DSN | 事件來源是傳遞狀態通知 (也稱為 DSN、退回的訊息、非傳遞報告或 NDR) 。 |
| GATEWAY | 事件來源為外部連接器。 如需詳細資訊,請參閱 外部連接器。 |
| MAILBOXRULE | 事件來源為收件匣規則。 如需詳細資訊,請參閱<收件匣規則>。 |
| MEETINGMESSAGEPROCESSOR | 事件來源是會議郵件處理器,它會根據會議更新來更新行事曆。 |
| ORAR | 事件來源為「發送者要求替代收件者」(ORAR)。 您可以使用 New-ReceiveConnector 或 Set-ReceiveConnector Cmdlet 上的 OrarEnabled 參數,在接收連接器上啟用或停用 ORAR 支援。 |
| PICKUP | The event source was the Pickup directory. 如需詳細資訊,請參閱 Pickup Directory 和 Replay Directory。 |
| POISONMESSAGE | 事件來源為有害郵件識別碼。 如需有害訊息和有害消息佇列的詳細資訊,請參閱 佇列和佇列中的訊息 |
| PUBLICFOLDER | 事件來源為具有郵件功能的公用資料夾。 |
| QUEUE | 事件來源為佇列。 |
| REDUNDANCY | 事件來源為陰影備援。 如需詳細資訊,請參閱 Exchange Server 中的陰影備援。 |
| 解析器 | 事件來源是傳輸服務中分類器的收件者解析元件。 如需詳細資訊,請參閱 Exchange Server 中的收件者解析。 |
| ROUTING | 事件來源為「傳輸」服務中之分類程式的路由解析元件。 |
| SAFETYNET | 事件來源為 Safety Net。 如需詳細資訊,請參閱 Exchange Server 中的安全網。 |
| SMTP | 郵件已由傳輸服務的 SMTP 傳送元件或 SMTP 接收元件所提交。 |
| STOREDRIVER | 事件來源為本機伺服器上某個信箱中的 MAPI 提交。 |
郵件追蹤記錄檔中的範例項目
在兩個使用者之間傳送未引發事件的郵件時,會在郵件追蹤記錄檔中產生數個項目。 您可以使用 Get-MessageTrackingLog Cmdlet 來查看結果。 如需詳細資訊,請參閱< 搜尋郵件追蹤記錄檔>。
這是當使用者成功傳送測試訊息給使用者 chris@contoso.com 時所建立的訊息追蹤記錄專案範例 michelle@contoso.com。 這兩名使用者在同一部伺服器上都有信箱。
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
郵件追蹤記錄的安全性考量
郵件追蹤記錄檔中不會儲存郵件內容。 依預設,郵件追蹤記錄檔中會儲存電子郵件的主旨行。 您可能需要停用主體記錄,以符合更高的安全性或隱私權需求。 如需如何停用主體記錄的指示,請 參閱設定訊息追蹤。