Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2016 2019 Subscription Edition
Журнал отслеживания сообщений — это подробная запись обо всех действиях, когда почта проходит через транспортный конвейер на серверах почтовых ящиков и пограничных транспортных серверах. Вы можете использовать отслеживание сообщений для криминалистической экспертизы сообщений, анализа потока почты, составления отчетов и устранения неполадок.
По умолчанию Exchange использует циклическое ведение журнала, чтобы ограничить журнал отслеживания сообщений в зависимости от размера файла и возраста файла, чтобы управлять местом на жестком диске, используемым файлами журнала. Сведения о настройке журнала отслеживания сообщений см. в разделе Настройка отслеживания сообщений.
Поиск в журнале отслеживания сообщений
Журналы отслеживания сообщений содержат огромные объемы данных при перемещении сообщений через сервер почтовых ящиков или пограничный транспортный сервер. Когда дело доходит до поиска журналов отслеживания сообщений, у вас есть варианты:
Get-MessageTrackingLog. Администраторы могут использовать этот командлет командной консоли Exchange для поиска в журнале отслеживания сообщений на наличие сведений о сообщениях с использованием широкого спектра условий фильтра. Дополнительные сведения см. в разделе Поиск журналов отслеживания сообщений.
Отчеты о доставке для администраторов. Администраторы могут использовать вкладку Отчеты о доставке в Центре администрирования Exchange или базовые командлеты Search-MessageTrackingReport и Get-MessageTrackingReport в командной консоли Exchange, чтобы найти в журналах отслеживания сообщений сведения о сообщениях, отправленных или полученных определенным почтовым ящиком в организации. Дополнительные сведения см. в статье Отчеты о доставке для администраторов.
Структура файлов журналов отслеживания сообщений
По умолчанию файлы журнала отслеживания сообщений существуют в %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. Папка содержит файлы журналов с разными именами, но все они следуют соглашению MSGTRKServiceyyyyMMdd-nnnn.logоб именовании . Различные имена файлов журнала описаны в следующей таблице.
| Имя файла | Серверы | Описание |
|---|---|---|
MSGTRK |
Серверы почтовых ящиков и пограничные транспортные серверы | Файлы журнала для службы транспорта. |
MSGTRKMA |
Серверы почтовых ящиков | Файлы журнала для утверждений и отклонений в модерируемом транспорте. Дополнительные сведения см. в разделе Управление утверждением сообщений. |
MSGTRKMD |
Серверы почтовых ящиков | Файлы журналов для сообщений, доставленных в почтовые ящики службой доставки транспорта почтовых ящиков. |
MSGTRKMS |
Серверы почтовых ящиков | Файлы журналов для сообщений, отправленных из почтовых ящиков службой отправки транспорта почтовых ящиков. |
Другие заполнители в именах файлов журнала представляют следующие сведения:
yyyyMdd — это дата создания файла журнала в формате UTC. гггг = год, ММ = месяц, и дд = день.
nnnn — это номер экземпляра, который начинается со значения 1 каждый день для каждого журнала.
Данные записываются в файл журнала, пока не будет достигнут его максимальный размер. Затем открывается новый файл журнала с увеличенным номером экземпляра (-1 для первого, -2 для второго и т. Циклическое ведение журнала удаляет самые старые файлы журнала для службы при выполнении любого из следующих условий:
достигнут максимальный срок хранения файла журнала;
Папка журнала отслеживания сообщений достигает максимального размера.
Примечания.
Максимальный размер папки журнала отслеживания сообщений вычисляется как общий размер всех файлов журнала с одинаковым префиксом имени. Другие файлы, которые не соответствуют соглашению о префиксе имени, не учитываются при вычислении общего размера папки. Переименование старых файлов журнала или копирование других файлов в папку журнала отслеживания сообщений может привести к превышению указанного максимального размера папки.
На серверах почтовых ящиков максимальный размер папки журнала отслеживания сообщений в три раза больше указанного значения. Хотя файлы журнала отслеживания сообщений создаются четырьмя разными службами и имеют четыре разных префикса имен, объем и частота данных, записываемых в журнал транспорта с модерированием (
MSGTRKMA), незначительно по сравнению с тремя другими журналами.
Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:
#Software: значение равно
Microsoft Exchange Server.#Version: номер версии сервера Exchange Server, создавшего файл журнала отслеживания сообщений. Значение использует формат
15.01.nnnn.nnn.#Log-Type: значение равно
Message Tracking Log.#Date: дата и время создания файла журнала в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-ММ-ддTчч:мм:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
#Fields: имена полей с разделителями-запятыми, используемые в файлах журнала отслеживания сообщений.
Поля в файлах журналов отслеживания сообщений
В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Информация о событиях с сообщениями упорядочена по полям, разделенным запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми, или тип сведений в поле может меняться в зависимости от типа события сообщения и службы, записавшей событие. В следующей таблице приводятся общие описания полей, которые используются для классификации каждого события отслеживания сообщений.
| Имя поля | Описание |
|---|---|
| date-time | Дата и время события отслеживания сообщений в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-ММ-ддTчч:мм:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC. |
| client-ip | Адрес IPv4 или IPv6 сервера или клиента, который отправил сообщение. |
| client-hostname | Имя узла или полное доменное имя сервера или клиента обмена сообщениями , который отправил сообщение. |
| server-ip | IPv4- или IPv6-адрес исходного или целевого сервера. |
| server-hostname | Имя узла или полное доменное имя сервера назначения. |
| source-context | Дополнительная информация, относящаяся к полю источника. Например:CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | Имя соединителя отправки или соединителя получения, которые приняли сообщение. Например, serverName\ ConnectorName или ConnectorName. |
| источник | Транспортный компонент Exchange, отвечающий за событие. Эти значения описаны в разделе Исходные значения в журнале отслеживания сообщений далее в этом разделе. |
| event-id | Тип события. Эти значения описаны в разделе Типы событий в журнале отслеживания сообщений далее в этом разделе. |
| internal-message-id | Идентификатор сообщения, назначенный сервером Exchange Server, который в настоящее время обрабатывает сообщение. Внутренний идентификатор сообщения отличается в журнале отслеживания сообщений каждого сервера Exchange Server, который участвует в передаче сообщения. Пример значения — 73014444033. |
| message-id | Значение поля заголовка Message-Id: в заголовке сообщения. Если поле заголовка Message-Id: не существует или пустое, Exchange присваивает произвольное значение. Это значение не изменяется на протяжении всего времени жизни сообщения. Для сообщений, созданных в Exchange, значение имеет формат <GUID@ServerFQDN>, включая угловые скобки (< >). Например, <[email protected]>. В других системах обмена сообщениями могут использоваться другие значения или синтаксис. |
| network-message-id | Уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. Пример значения — 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Адрес электронной почты получателя сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;). |
| recipient-status | Состояние получателя для каждого получателя, разделенное символом с запятой (;). Значения состояния представляются получателям в таком же порядке, как и значения в поле recipient-address. Примеры значений состояния:To, Cc или Bcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | Общий размер сообщения в байтах, включая все вложения. |
| recipient-count | Общее число получателей в сообщении. |
| related-recipient-address | Это поле используется с событиями EXPAND, REDIRECT и RESOLVE для отображения других адресов электронной почты получателей, связанных с сообщением. |
| reference | В этом поле содержится дополнительная информация о конкретных типах событий. Например: DSN. Содержит ссылку на отчет, которая является значением Message-Id связанного уведомления о состоянии доставки (также известного как DSN, сообщение о отказе, отчет о недоставке или NDR), если DSN создается после этого события. Если это сообщение DSN, поле Reference содержит значение Message-Id исходного сообщения, для чего было создано DSN. EXPAND: содержит значение адреса связанного получателя для связанных сообщений. RECEIVE: может содержать значение Message-Id связанного сообщения, если сообщение было создано другими процессами, например правилами генерации журналов или папки "Входящие". SEND: содержит значение Internal-Message-Id всех сообщений DSN. THROTTLE: содержит причину регулирования сообщения. TRANSFER: содержит значение Internal-Message-Id вилки сообщения. Сообщение, созданное правилами папки "Входящие". Содержит значение Internal-Message-Id входящего сообщения, которое привело к созданию исходящего сообщения правилом папки "Входящие". Вилки сообщений: может содержать значение Internal-Message-Id . Для других типов событий это поле обычно пустое. |
| message-subject | Тема сообщения указывается в поле заголовка Subject:. Отслеживание тем сообщений управляется параметром MessageTrackingLogSubjectLoggingEnabled командлета Set-TransportService . По умолчанию отслеживание тем сообщений включено. |
| sender-address | Адрес электронной почты, указанный в поле заголовка Sender: или Поле заголовка From: , если поле Sender: не существует. |
| return-path | Возвращаемый адрес электронной почты, указанный командой MAIL FROM , отправляющей сообщение. Хотя это поле никогда не является пустым, оно может иметь значение null отправителя, представленное как <>. |
| message-info | Дополнительные сведения о сообщении. Например: Дата и время возникновения сообщения в формате UTC для событий DELIVER и SEND . Это дата и время первоначального поступления сообщения в организацию Exchange. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-ММ-ддTчч:мм:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC. Ошибки проверки подлинности. Например, вы можете увидеть значение 11a и тип проверки подлинности, которые использовались при возникновении ошибки проверки подлинности. |
| directionality | Направление сообщения. Примеры значений: Incoming, Undefinedи Originating. |
| tenant-id | Это поле не используется в локальных организациях Exchange. |
| original-client-ip | Адрес IPv4 или IPv6 исходного клиента. |
| original-server-ip | Адрес IPv4 или IPv6 исходного сервера. |
| custom-data | Это поле содержит данные, связанные с определенными типами событий. Например, агент правил транспорта использует это поле для записи GUID правила потока обработки почты (также известного как правило транспорта) или политики защиты от потери данных, которая действовала в сообщении. Дополнительные сведения см. в разделе Просмотр отчетов об обнаружении политики защиты от потери данных. |
| transport-traffic-type | В локальной среде Exchange это поле пустое или имеет значение Email. |
| log-id | Уникальный идентификатор строки в журнале отслеживания сообщений. Это поле не важно в локальных организациях Exchange. |
| версия схемы | Номер версии сервера Exchange Server, создавшего запись в журнале отслеживания сообщений. Значение использует формат 15.01.nnnn.nnn. |
Типы событий в журнале отслеживания сообщений
Различные типы событий в поле event-id используются для классификации событий, связанных с сообщениями, в журнале отслеживания сообщений. Некоторые события, связанные с сообщениями, отображаются только в одном типе файлов журнала отслеживания сообщений, а некоторые во всех типах файлов. Типы событий, используемые для классификации каждого события, приведены в следующей таблице.
| Имя события | Описание |
|---|---|
| AGENTINFO | Это событие используется агентами транспорта для журналирования пользовательских данных. |
| BADMAIL | Сообщение отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено. |
| CLIENTSUBMISSION | Сообщение отправлено из папки "Исходящие" почтового ящика. |
| DEFER | Доставка сообщения отложена. |
| DELIVER | Сообщение было доставлено в локальный почтовый ящик. |
| DELIVERFAIL | Агент пытался доставить сообщение в папку, которая не существует в почтовом ящике. |
| DROP | Сообщение было отклонено без уведомления о доставке (также называемого сообщением возврата или отчетом о недоставке). Например:
|
| DSN | Создано уведомление о доставке. |
| DUPLICATEDELIVER | Сообщение было доставлено получателю повторно. Повторная доставка сообщений может происходить в том случае, если получатель входит в несколько вложенных групп рассылки. Банк данных обнаруживает и удаляет дубликаты сообщений. |
| DUPLICATEEXPAND | При расширении группы рассылки обнаружен повторяющийся получатель. |
| DUPLICATEREDIRECT | Альтернативный получатель сообщения уже являлся получателем. |
| EXPAND | Была расширена группа рассылки. |
| FAIL | Не удается доставить сообщение. Источники: SMTP, DNS, QUEUE и ROUTING. |
| HADISCARD | Теневое сообщение было отвергнуто, после того как основная копия была доставлена на следующий узел. Дополнительные сведения см. в разделе Теневая избыточность в Exchange Server. |
| HARECEIVE | Теневое сообщение было получено сервером в локальной группе обеспечения доступности баз данных или на сайте Active Directory. |
| HAREDIRECT | Создано теневое сообщение. |
| HAREDIRECTFAIL | Не удалось создать теневое сообщение. Сведения сохранены в поле source-context. |
| INITMESSAGECREATED | Сообщение отправлено контролируемому получателю, поэтому оно отправлено в почтовый ящик вынесения решения для утверждения. Дополнительные сведения см. в разделе Управление утверждением сообщений. |
| LOAD | Сообщение успешно загружено при загрузке. |
| MODERATIONEXPIRE | Модератор контролируемого получателя не утвердил и не отклонил сообщение, поэтому для него истек срок ожидания. Дополнительные сведения о получателях с модерированием см. в разделе Управление утверждением сообщений. |
| MODERATORAPPROVE | Модератор контролируемого получателя утвердил сообщение, поэтому оно было доставлено контролируемому получателю. |
| MODERATORREJECT | Модератор контролируемого получателя отклонил сообщение, поэтому оно не было доставлено контролируемому получателю. |
| MODERATORSALLNDR | Все запросы на утверждение, отправленные всем модераторам модерированного получателя, были недоступны и привели к отчетам о недоставке (также известных как недоставка или отказ сообщений). |
| NOTIFYMAPI | Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере. |
| NOTIFYSHADOW | Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере, и необходимо создать теневую копию сообщения. |
| POISONMESSAGE | Сообщение помещено в очередь сообщений о сбое или удалено из нее. |
| PROCESS | Сообщение успешно обработано. |
| PROCESSMEETINGMESSAGE | Сообщение о собрании обработано службой транспортной доставки почтовых ящиков. |
| RECEIVE | Сообщение было получено компонентом получения SMTP службы транспорта или из каталогов Pickup или Replay (источник: SMTP), либо сообщение было отправлено из почтового ящика в службу отправки транспорта почтовых ящиков (источник: STOREDRIVER). |
| REDIRECT | Сообщение перенаправлено другому получателю в результате поиска в Active Directory. |
| RESOLVE | В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты. |
| RESUBMIT | Сообщение было автоматически повторно отправлено из сети безопасности. Дополнительные сведения см. в разделе Safety Net в Exchange Server. |
| RESUBMITDEFER | Сообщение, повторно отправленное из сети безопасности, было отложено. |
| RESUBMITFAIL | Сообщение, повторно отправленное из сети безопасности, не удалось отправить. |
| SEND | Сообщение было отправлено протоколом SMTP между службами транспорта. |
| SUBMIT | Служба отправки почтовых ящиков успешно передала сообщение службе транспорта. Для событий SUBMIT свойство source-context содержит следующие данные:
|
| SUBMITDEFER | Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта была отложена. |
| SUBMITFAIL | Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта не была выполнена. |
| SUPPRESSED | Передача сообщения была отменена. |
| THROTTLE | Сообщение было отрегулировано. |
| TRANSFER | В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением. Источники: ROUTING или QUEUE. |
Значения источника в журнале отслеживания сообщений
Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.
| Значение источника | Описание |
|---|---|
| ADMIN | Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения. |
| AGENT | Источником события был агент транспорта. |
| APPROVAL | Источником события была платформа утверждения, используемая для контролируемых получателей. Дополнительные сведения см. в разделе Управление утверждением сообщений. |
| BOOTLOADER | Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD. |
| DNS | Источником события было DNS. |
| DSN | Источником события было уведомление о состоянии доставки (также известное как DSN, сообщение о отказе, отчет о недоставке или NDR). |
| GATEWAY | Источником события был внешний соединитель. Подробнее см. в разделе Foreign Connectors. |
| MAILBOXRULE | Источником события было правило для папки "Входящие". Дополнительные сведения см. в разделе Правила папки "Входящие". |
| MEETINGMESSAGEPROCESSOR | Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания. |
| ORAR | Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR в соединителях получения с помощью параметра OrarEnabled в командлетах New-ReceiveConnector или Set-ReceiveConnector . |
| PICKUP | Источником события был каталог раскладки. Подробнее см. в разделе Pickup Directory and Replay Directory. |
| POISONMESSAGE | Источником события был идентификатор сообщения о сбое. Дополнительные сведения о подозрительных сообщениях и очереди подозрительных сообщений см. в разделе Очереди и сообщения в очередях. |
| PUBLICFOLDER | Источником события была общедоступная папка, поддерживающая почту. |
| QUEUE | Источником события была очередь. |
| REDUNDANCY | Источником события было избыточное теневое копирование. Дополнительные сведения см. в разделе Теневая избыточность в Exchange Server. |
| РАСПОЗНАВАТЕЛЯ | Источником события был компонент разрешения получателей классификатора в транспортной службе. Дополнительные сведения см. в разделе Разрешение получателей в Exchange Server. |
| ROUTING | Источником события был компонент разрешения маршрутизации классификатора в службе транспорта. |
| SAFETYNET | Источником события была сеть безопасности. Дополнительные сведения см. в разделе Safety Net в Exchange Server. |
| SMTP | Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта. |
| STOREDRIVER | Источником события была MAPI-отправка из почтового ящика на локальном сервере. |
Примеры записей в журнале отслеживания сообщений
Не вызвавшее событий сообщение, отправленное между двумя пользователями, создает несколько записей в журнале отслеживания сообщений. Результаты можно просмотреть с помощью командлета Get-MessageTrackingLog. Дополнительные сведения см. в разделе Поиск журналов отслеживания сообщений.
Это пример записей журнала отслеживания сообщений, созданных, когда пользователь [email protected] успешно отправляет пользователю тестовое сообщение [email protected]. У обоих пользователей есть почтовые ящики на одном и том же сервере.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER [email protected] {[email protected]} test
SUBMIT STOREDRIVER [email protected] {[email protected]} test
HAREDIRECT SMTP [email protected] {[email protected]} test
RECEIVE SMTP [email protected] {[email protected]} test
AGENTINFO AGENT [email protected] {[email protected]} test
SEND SMTP [email protected] {[email protected]} test
DELIVER STOREDRIVER [email protected] {[email protected]} test
Журнал отслеживания сообщений и вопросы безопасности
В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. В соответствии с повышенными требованиями к безопасности или конфиденциальности может потребоваться отключить ведение журнала субъектов. Инструкции по отключению ведения журнала тем см. в разделе Настройка отслеживания сообщений.