Durchsuchen von Nachrichtenverfolgungsprotokollen
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2011-10-04
In diesem Thema wird erläutert, wie die Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell durchsucht werden können.
Ein Nachrichtenverfolgungsprotokoll ist ein ausführliches Protokoll aller Nachrichtenaktivitäten, die auftreten, wenn Nachrichten an einen und von einem Computer mit Microsoft Exchange Server 2007 übertragen werden, auf dem die Serverfunktion Hub-Transport, Mailbox oder Edge-Transport installiert ist. Servercomputer mit Exchange, auf denen die Serverfunktion ClientAccess oder UnifiedMessaging installiert ist, haben keine Nachrichtenverfolgungsprotokolle. Sie verwenden Nachrichtenverfolgungsprotokolle für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, Berichterstellung und Problembehandlung.
In der RTM-Version (Release to Manufacturing) von Exchange 2007 und in Exchange 2007 Service Pack 1 (SP1) können Sie das Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell und das Nachrichtenverfolgungstool in der Exchange-Verwaltungskonsole zum Suchen nach Einträgen in den Nachrichtenverfolgungsprotokollen verwenden, indem Sie bestimmte Suchkriterien verwenden.
In Exchange 2007 SP1 können Sie das neue Exchange-Verwaltungsshellskript namens GetMessageTrackingLogE2EwithTime.ps1 zum Suchen nach bestimmten Einträgen in allen Nachrichtenverfolgungsprotokollen auf allen Hub-Transport- und Postfachservern in der Exchange-Organisation verwenden. Dies ist hilfreich, wenn Sie den vollständigen End-to-End-Pfad einer Nachricht verfolgen möchten, während diese die Exchange-Organisation durchläuft.
Bevor Sie beginnen
Damit Sie die nachstehenden Verfahren in der RTM-Version von Exchange 2007 ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:
- Exchange-Serveradministrator-Rolle und lokale Gruppe Administratoren für den Zielserver
Damit Sie die nachstehenden Verfahren in Exchange 2007 SP1 ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:
- Exchange-Administrator mit Leserechten (Rolle)
Um die folgenden Verfahren auf einem Computer ausführen zu können, auf dem die Serverfunktion Edge-Transport unter der RTM-Version von Exchange 2007 oder Exchange 2007 SP1 installiert ist, müssen Sie sich mit einem Konto anmelden, das Mitglied der lokalen Gruppe Administratoren auf dem betreffenden Computer ist.
Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.
Wenn Sie Nachrichtenverfolgungsprotokolle mithilfe des Cmdlets Get-MessageTrackingLog oder des Tools Nachrichtenverfolgung auf einem Server mit der Funktion Hub-Transport oder Mailbox durchsuchen, können Sie nicht auf die Nachrichtenverfolgungsprotokolle auf einem Edge-Transport-Server zugreifen. Wenn Sie die Nachrichtenverfolgungsprotokolle auf einem Edge-Transport-Server durchsuchen möchten, müssen Sie das Cmdlet Get-MessageTrackingLog oder das Tool Nachrichtenverfolgung direkt auf dem Edge-Transport-Server ausführen.
Ein Suchvorgang in den Nachrichtenverfolgungsprotokollen hängt vom Microsoft Exchange-Transportprotokoll-Suchdienst ab. Wenn Sie diesen Dienst deaktivieren oder beenden, verursacht dies keine sichtbaren Probleme auf dem Servercomputer mit Exchange 2007. Sie verlieren nur die Protokollsuchfunktionen.
Sie können keine Nachrichtenverfolgungsprotokolle von einem Server mit Exchange kopieren und anschließend mithilfe des Cmdlets Get-MessageTrackingLog oder des Tools Nachrichtenverfolgung die kopierten Protokolle auf einem anderen Server mit Exchange durchsuchen. Wenn Sie darüber hinaus ein vorhandenes Nachrichtenverfolgungsprotokoll speichern, hebt die Änderung des Datum-/Zeitstempels der Nachrichtenverfolgungs-Protokolldatei die Abfragelogik auf, die zum Durchsuchen der Nachrichtenverfolgungsprotokolle verwendet wird.
Kriterien für Nachrichtenverfolgungsprotokoll-Suchvorgänge
Zwar sind über 20 Datenfelder für jeden Eintrag des Nachrichtenverfolgungsprotokolls vorhanden, nicht jedes Feld kann jedoch als Suchfilter verwendet werden. Die Suchfilter, die in der Exchange-Verwaltungsshell verfügbar sind, stehen auch in der Exchange-Verwaltungskonsole zur Verfügung, da die Exchange-Verwaltungskonsole das Cmdlet Get-MessageTrackingLog zum Durchsuchen der Nachrichtenverfolgungsprotokolle verwendet. Die Exchange-Verwaltungsshell bietet jedoch eine bessere Einflussnahme auf die Suchergebnisse.
Allgemeine Suchfilter, die von der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell verwendet werden
Die in der folgenden Liste beschriebenen Suchfilter sind verfügbar und funktionieren auf die gleiche Weise – unabhängig davon, ob Sie das Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell oder im Nachrichtenverfolgungstool verwenden:
Hinweis
Ein Suchfilter, der einen Teilwert oder mehrere Werte enthält, wird nicht unterstützt (falls nicht anders angegeben).
Recipients Dieser Suchfilter verwendet das recipient-address-Feld. Sie müssen die vollständige E-Mail-Adresse des Empfängers eingeben. Mehrere Empfängerwerte können mithilfe eines Kommas als Trennzeichen angegeben werden. Mehrere einzelne Empfänger, die in einer Nachricht enthalten sind, werden mithilfe eines Eintrags des Nachrichtenverfolgungsprotokolls protokolliert. Nicht erweiterte Empfänger der Verteilergruppe werden mithilfe der SMTP-E-Mail-Adresse der Verteilergruppe protokolliert.
Sender Dieser Suchfilter verwendet das sender-Feld. Sie müssen die vollständige E-Mail-Adresse des Absenders eingeben. Das Absenderfeld enthält die E-Mail-Adresse des Absenders wie im Kopfzeilenfeld
Sender:angegeben oder wie im KopfzeilenfeldFrom:angegeben, wenn die AngabeSender:nicht vorhanden ist.Server Dieser Suchfilter gibt den Server mit Exchange 2007 an, auf dem die zu durchsuchenden Nachrichtenverfolgungsprotokolle gespeichert sind. Sie können den Server anhand eines der folgenden Werte beschreiben:
Name
Vollqualifizierter Domänenname (FQDN)
Distinguished Name (DN)
Legacy-Exchange-DN
GUID
EventID Dieser Suchfilter verwendet das event-id-Feld. Im Tool Nachrichtenverfolgung wählen Sie den Wert von EventID in einer Dropdownliste aus. Im Cmdlet Get-MessageTrackingLog geben Sie den Wert von EventID als Text ein. Der Wert muss jedoch exakt einem der für EventID möglichen Werte entsprechen. EventID ist die Ereignisklassifikation, die jedem Eintrag des Nachrichtenverfolgungsprotokolls zugewiesen wird. Mögliche Werte sind BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT und TRANSFER.
MessageID Dieser Suchfilter verwendet das message-id-Feld. MessageID ist der Wert des Kopfzeilenfelds
Message-ID:. Wenn das KopfzeilenfeldMessage-ID:nicht vorhanden oder leer ist, wird ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant.InternalMessageID Dieser Suchfilter verwendet das internal-message-id-Feld. InternalMessageID ist ein ganzzahliger Nachrichtenbezeichner, der vom Servercomputer mit Exchange 2007 zugewiesen wird, der die Nachricht aktuell verarbeitet.
Subject Der Parameter im Cmdlet Get-MessageTrackingLog heißt MessageSubject. Dieser Suchfilter verwendet das message-subject-Feld. Teilwerte werden unterstützt. Dies ist der Betreff der Nachricht wie im Kopfzeilenfeld
Subject:angegeben. Die Protokollierung von Nachrichtenbetreffs wird durch den Parameter MessageTrackingLogSubjectLoggingEnabled im Cmdlet Set-TransportServer auf Hub-Transport-Server und Edge-Transport-Server bzw. vom Cmdlet Set-MailboxServer auf Postfachservern gesteuert. Standardmäßig ist die Nachrichtenbetreffprotokollierung aktiviert. Sie können die Nachrichtenbetreffprotokollierung deaktivieren, indem Sie den Wert des Parameters MessageTrackingLogSubjectLoggingEnabled auf$Falsefestlegen.Reference Dieser Suchfilter verwendet das reference-Feld. Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Bei einem DSN-Ereignis enthält das reference-Feld die
MessageID:der Nachricht, die die Benachrichtigung über den Übermittlungsstatus verursacht hat. Bei einem SEND-Ereignis enthält das reference-Feld dieMessageID:beliebiger DSN-Nachrichten. Bei einem TRANSFER-Ereignis enthält das reference-Feld dieMessageID:der Nachricht, die verzweigt wird.Start Dieser Suchfilter verwendet das date-time-Feld, um nach Nachrichtenverfolgungseinträgen zu suchen, die mit dem angegebenen Enddatum und der angegebenen Uhrzeit beginnen. Sie können diesen Filter eigenständig zum Abrufen aller Nachrichtenverfolgungseinträge nach dem angegebenen Datum und der Uhrzeit oder als Untergrenze mit dem Parameter End verwenden.
End Dieser Suchfilter verwendet das date-time-Feld, um nach Nachrichtenverfolgungseinträgen bis zum angegebenen Enddatum und der Uhrzeit (jedoch nicht einschließlich) zu suchen. Sie können diesen Filter eigenständig zum Abrufen aller Nachrichtenverfolgungseinträge vor dem angegebenen Datum und der Uhrzeit oder als Obergrenze mit dem Parameter Start verwenden.
Hinweis
Das date-time-Feld im Nachrichtenverfolgungsprotokoll speichert Informationen im UTC-Format (Coordinated Universal Time). Sie sollten die date-time-Suchkriterien jedoch im regionalen Datums- und Uhrzeitformat des Computers eingeben, den Sie zum Durchführen des Suchvorgangs verwenden. Die Suchtools für Nachrichtenverfolgungsprotokolle konvertieren Ihre regionale date-time-Abfrage automatisch in das UTC-Format. Die Suchergebnisse werden für die Anzeige automatisch aus UTC zurück in Ihr regionales date-time-Format konvertiert. Das date-time-Feld zeichnet das Datum und die Uhrzeit eines bestimmten Nachrichtenverfolgungsereignisses auf. date-time der Nachrichtenerstellung ist das Datum und die Uhrzeit des ersten Eingangs der Nachricht in die Exchange-Organisation. date-time der Nachrichtenerstellung werden im Nachrichteninformationsfeld für alle SEND- und DELIVER-Ereignisse gespeichert.
Suchfilter, die in der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell unterschiedlich sind
In der Exchange-Verwaltungsshell bietet das Cmdlet Get-MessageTrackingLog eine größere Kontrolle über die Anzahl der anzuzeigenden Suchergebnisse, indem der Parameter ResultSize verwendet wird. Standardmäßig zeigt ein Suchvorgang bis zu 1.000 Ergebnisse an. Sie können den Maximalwert jedoch auf eine bestimmte Zahl festlegen. Alternativ können Sie alle Ergebnisse mithilfe des Werts von Unlimited anzeigen. Das Nachrichtenverfolgungstool in der Exchange-Verwaltungskonsole besitzt keine Funktion zum Anpassen der maximalen Anzahl anzuzeigender Suchergebnisse.
Durchsuchen der Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungsshell
Die folgende Tabelle listet die Suchfilter auf, die bei Verwendung des Cmdlets Get-MessageTrackingLog in der Exchange-Verwaltungsshell verfügbar sind.
Suchfilter, die bei Verwendung des Cmdlets "Get-MessageTrackingLog" verfügbar sind
| Suchfilter | Entsprechendes Feld im Nachrichtenverfolgungsprotokoll |
|---|---|
End |
date-time |
EventId |
event-id |
InternalMessageId |
internal-message-id |
MessageId |
message-id |
MessageSubject |
message-subject |
Recipients |
recipient-address |
Reference |
reference |
ResultSize |
Keines. Dieser Parameter beschränkt die Anzahl der Ergebnisse, die vom Suchvorgang angezeigt werden. |
Sender |
sender-address |
Start |
date-time |
Alle Parameter, die mit dem Cmdlet Get-MessageTrackingLog verfügbar sind, sind optional. Wenn Sie das Cmdlet Get-MessageTrackingLog ohne Parameter eingeben, werden die letzten 1.000 Einträge des Nachrichtenverfolgungsprotokolls angezeigt.
So verwenden Sie die Exchange-Verwaltungsshell zum Durchsuchen der Nachrichtenverfolgungsprotokolle
Führen Sie den folgenden Befehl aus:
Get-MessageTrackingLog <SearchFilters>Um das Nachrichtenverfolgungsprotokoll z. B. nach allen Einträgen vom 28.07.2006 8:00 Uhr bis zum 28.07.2006 17:00 Uhr für alle FAIL-Ereignisse zu durchsuchen, die von pat@contoso.com gesendet wurden, führen Sie den folgenden Befehl aus:
Get-MessageTrackingLog -ResultSize Unlimited -Start "7/28/2006 8:00AM" -End "7/28/2006 5:00PM" -EventId "Fail" -Sender "pat@contoso.com"
Steuern der Ausgabe eines Nachrichtenverfolgungsprotokoll-Suchvorgangs, der in der Exchange-Verwaltungsshell ausgeführt wird
Wenn Sie einen Nachrichtenverfolgungsprotokoll-Suchvorgang mithilfe des Cmdlets Get-MessageTrackingLog ausführen, werden nicht alle Felder für jedes Nachrichtenverfolgungsereignis angezeigt. Die folgende Tabelle listet die Felder auf, die vom Cmdlet Get-MessageTrackingLog standardmäßig angezeigt werden.
Felder, die vom Cmdlet "Get-MessageTrackingLog" standardmäßig angezeigt werden
| Suchfeld | Entsprechendes Feld im Nachrichtenverfolgungsprotokoll |
|---|---|
EventId |
event-id |
Source |
message-source |
Sender |
sender-address |
Recipients |
recipient-address |
MessageSubject |
message-subject |
Sie können die Ausgabe des Cmdlets Get-MessageTrackingLog mithilfe von Befehlsausgabeoptionen in der Exchange-Verwaltungsshell wie in der folgenden Liste beschrieben steuern:
Sie können das Ausgabeformat des Nachrichtenverfolgungsprotokoll-Suchvorgangs steuern. Sie können die Ergebnisse in einer Liste oder in einer Tabelle anzeigen.
Wichtig
Das Tabellenformat scheint eine gute Wahl als Ausgabeformat zu sein, ist aber nicht unbedingt die beste Wahl. Wenn das in der Tabelle angezeigte Feld lange Werte besitzt, werden die Werte abgeschnitten, damit sie in die Spalten der Tabelle passen. Dieser Abschneidevorgang erfolgt ebenfalls, wenn Sie versuchen, zu viele Felder gleichzeitig anzuzeigen. Die vollständigen Feldwerte sind immer vorhanden, wenn Sie das Listenformat verwenden. Zum Anzeigen weiterer Spalten können Sie auch die 80 Zeichen umfassende Standardbreite des Fensters der Exchange-Verwaltungsshell vergrößern. Dazu ändern Sie entsprechende Einstellung in den Eigenschaften des Fensters der Exchange-Verwaltungsshell.
Sie können bestimmte Felder anzeigen oder ausblenden, die von einem Nachrichtenverfolgungsprotokoll-Suchvorgang zurückgegeben werden. Platzhalterzeichen (*) werden unterstützt.
Sie können die Ergebnisse des Suchvorgangs in eine Datei umleiten.
Die durch die Ergebnisse aus dem Cmdlet Get-MessageTrackingLog angezeigten Feldnamen sind die gleichen Feldnamen, die Sie zum Filtern der Suchergebnisse verwenden können. Diese Feldnamen unterscheiden sich geringfügig von den tatsächlichen Feldnamen, die im Nachrichtenverfolgungsprotokoll gespeichert sind. Die folgende Tabelle stellt die Feldnamen, die im Nachrichtenverfolgungsprotokoll verwendet werden, den Feldnamen gegenüber, die vom Cmdlet Get-MessageTrackingLog verwendet werden.
Vergleich der Feldnamen, die im Nachrichtenverfolgungsprotokoll verwendet werden, mit den Feldnamen, die vom Cmdlet "Get-MessageTrackingLog" verwendet werden
| Verwendeter Feldname im Nachrichtenverfolgungsprotokoll | Zum Filtern der Get-MessageTrackingLog-Ergebnisse verwendeter Feldname |
|---|---|
date-time |
Timestamp |
client-ip |
ClientIp |
client-hostname |
ClientHostname |
server-ip |
ServerIp |
server-hostname |
ServerHostname |
source-context |
SourceContext |
connector-id |
ConnectorId |
Quelle |
Source |
event-id |
EventId |
internal-message-id |
InternalMessageId |
message-id |
MessageId |
recipient-address |
Recipients |
recipient-status |
RecipientStatus |
total-bytes |
TotalBytes |
recipient-count |
RecipientCount |
related-recipient-address |
RelatedRecipientAddress |
reference |
Reference |
message-subject |
MessageSubject |
sender-address |
Sender |
return-path |
ReturnPath |
message-info |
MessageInfo |
So verwenden Sie die Exchange-Verwaltungsshell zum Steuern der Ausgabe eines Nachrichtenverfolgungsprotokoll-Suchvorgangs
Verwenden Sie den folgenden Befehl:
Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> <FieldNames> <OutputFileOptions>Um die Nachrichtenverfolgungsprotokolle z. B. nach den ersten 1.000 Send-Ereignissen zu durchsuchen, die gefundenen Ergebnisse im Listenformat anzuzeigen, die Werte aller mit Send oder Receive beginnenden Feldnamen anzuzeigen und die Ergebnisse in eine neue Datei namens C:\send search.txt zu schreiben, führen Sie den folgenden Befehl aus:
Get-MessageTrackingLog -EventId "Send" | Format-List Send*,Receive* > "C:\send search.txt"
Durchsuchen der Nachrichtenverfolgungsprotokolle nach einer Nachricht auf mehreren Servern mithilfe der Exchange-Verwaltungsshell
Eine Eigenschaft von Nachrichten, die beim Übertragen durch die Exchange-Organisation unverändert bleibt, ist der Wert des Kopfzeilenfelds MessageID:. Dieser Wert heißt in Dienstprogrammen zum Anzeigen von Warteschlagen InternetMessageId und in Dienstprogrammen für Nachrichtenverfolgungsprotokolle MessageId. Nachdem Sie den Wert von MessageID: bestimmt haben, können Sie auf allen Hub-Transport- und Postfachservern in der Exchange-Organisation nach der jeweiligen Nachricht suchen.
So verwenden Sie die Exchange-Verwaltungsshell zum Durchsuchen von Einträgen in Nachrichtenverfolgungsprotokollen nach einer bestimmten Nachricht auf allen Hub-Transport- und Postfachservern
Verwenden Sie den folgenden Befehl:
Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "<messageid>" | Select-Object <commaseparatedfieldnames> | Sort-Object -Property <field>Um z. B. die Nachrichtenverfolgungsprotokolle auf allen Hub-Transport- und Postfachservern nach Einträgen im Zusammenhang mit einer Nachricht zu durchsuchen, deren
MessageID:den Wertba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.comhat, um die Felderdate-time,server-hostname,client-hostname,source,event-idundrecipient-address for each entryanzuzeigen und die Ergebnisse nach dem Felddate-timezu sortieren, führen Sie den folgenden Befehl aus:Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com" | Select-Object Timestamp,ServerHostname,ClientHostname,Source,EventId,Recipients | Sort-Object -Property Timestamp
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MessageTrackingLog.
Weitere Informationen zu den Befehlsausgabeoptionen in der Exchange-Verwaltungsshell finden Sie unter Arbeiten mit Ausgaben von Befehlen.
Durchsuchen der Nachrichtenverfolgungsprotokolle nach einer Nachricht auf mehreren Servern mithilfe eines Exchange-Verwaltungsshellskripts in Exchange 2007 SP1
Wie bereits an früherer Stelle in diesem Thema erwähnt, enthält Exchange 2007 SP1 ein Exchange-Verwaltungsshellskript namens GetMessageTrackingLogE2EwithTime.ps1. Dieses Skript verwendet das Cmdlet Get-MessageTrackingLog zum Durchsuchen der Nachrichtenverfolgungsprotokolle aller Hub-Transport- und Postfachserver in der Exchange-Organisation nach den angegebenen Nachrichtenkriterien. Sie können mit dem Skript auch die Nachrichtenverfolgungsprotokolle einer bestimmten Liste von Hub-Transport- und Postfachservern durchsuchen.
Das Skript verwendet die in der folgenden Tabelle beschriebenen Parameter:
Parameter, die vom Skript "GetMessageTrackingLogE2EwithTime.ps1" verwendet werden
| Parameter | Erforderlich oder optional | Beschreibung |
|---|---|---|
MessageId |
Dieser Parameter ist erforderlich, wenn kein Wert für den Parameter MessageSubject angegeben wird. |
Dieser Parameter sucht nach Einträgen des Nachrichtenverfolgungsprotokolls mit dem angegebenen Kopfzeilenfeld |
MessageSubject |
Dieser Parameter ist erforderlich, wenn kein Wert für den Parameter MessageId angegeben wird. |
Dieser Parameter sucht nach Einträgen des Nachrichtenverfolgungsprotokolls, die die angegebene Textzeichenfolge im Kopfzeilenfeld |
End |
Optional |
Dieser Parameter sucht nach Einträgen des Nachrichtenverfolgungsprotokolls bis zum angegebenen Enddatum und der angegebenen Uhrzeit (jedoch nicht einschließlich). Dabei verwendet er das Format der Ländereinstellungen auf dem Computer, auf dem das Cmdlet ausgeführt wird. Das von Ihnen angegebene Datum wird automatisch in das UTC-Format umgewandelt, das intern von Exchange 2007 zum Speichern von Einträgen in den Nachrichtenverfolgungsprotokollen verwendet wird. |
Sender |
Optional |
Dieser Parameter sucht nach Einträgen des Nachrichtenverfolgungsprotokolls mit der SMTP-E-Mail-Adresse des angegebenen Absenders. Wenn Sie einen Wert für den Parameter Sender angeben und der Absender der Nachricht ein interner Absender ist, der aufgelöst werden kann, startet die Nachrichtenverfolgungs-Protokollsuche auf dem Stamm-Postfachserver des Absenders. |
Server |
Optional |
Dieser Parameter gibt eine durch Kommas getrennte Liste mit den Namen von Hub-Transport- oder Postfachservern an. Dieser Parameter beschränkt die Nachrichtenverfolgungs-Protokollsuche auf die angegebenen Server. |
Start |
Optional |
Dieser Parameter sucht nach Einträgen des Nachrichtenverfolgungsprotokolls ab dem angegebenen Startdatum und der angegebenen Uhrzeit. Dabei verwendet er das Format der Ländereinstellungen auf dem Computer, auf dem das Cmdlet ausgeführt wird. Das von Ihnen angegebene Datum wird automatisch in das UTC-Format umgewandelt, das intern von Exchange 2007 zum Speichern von Einträgen in den Nachrichtenverfolgungsprotokollen verwendet wird. |
Sie müssen die bestimmte Nachricht, nach der Sie suchen, mithilfe des Parameters MessageId oder des Parameters MessageSubject angeben. Wenn Sie keinen Wert für den Parameter Sender oder den Parameter Server angeben, startet die Nachrichtenverfolgungs-Protokollsuche auf dem Hub-Transport-Server oder Postfachserver, auf dem das Skript GetMessageTrackingLogE2EwithTime.ps1 ausgeführt wird.
In der folgenden Tabelle werden die Felder aufgelistet, die in den Ergebnisses des Skripts GetMessageTrackingLogE2EwithTime.ps1 angezeigt werden.
Felder, die in den Ergebnissen des Skripts "GetMessageTrackingLogE2EwithTime.ps1" angezeigt werden
| Angezeigtes Feld | Entsprechendes Feld im Nachrichtenverfolgungsprotokoll |
|---|---|
TimeStamp |
date-time |
EventId |
event-id |
Quelle |
message-source |
Sender |
sender-address |
RecipientCount |
recipient-count |
InternalMessageID |
internal-message-id |
Reference |
Referenz |
SourceContext |
source-context |
Die Ergebnisse des Skripts werden in einer Tabelle angezeigt, wobei die Felder als Spalten angezeigt werden. In jeder Spalte wird der gesamte Wert von jedem Feld angezeigt. Wenn die Felder zu breit sind, werden die verbleibenden Spalten in der Anzeige abgeschnitten. Wie bereits an früherer Stelle in diesem Thema erläutert, können Sie zum Anzeigen weiterer Spalten die 80 Zeichen umfassende Standardbreite des Fensters der Exchange-Verwaltungsshell vergrößern. Dazu ändern Sie entsprechende Einstellung in den Eigenschaften des Fensters der Exchange-Verwaltungsshell.
So verwenden Sie die Exchange-Verwaltungsshell zum Durchsuchen von Einträgen in Nachrichtenverfolgungsprotokollen nach einer bestimmten Nachricht auf allen Hub-Transport- und Postfachservern mithilfe des Skripts "GetMessageTrackingLogE2EwithTime.ps1"
Verwenden Sie den folgenden Befehl:
GetMessageTrackingLogE2EwithTime.ps1 <-MessageId "message id" | -MessageSubject "message subject"> -<Other Optional Parameters>Wenn Sie z. B. die Nachrichtenverfolgungsprotokolle auf allen Hub-Transport- und Postfachservern nach Einträgen durchsuchen möchten, die sich auf eine Nachricht beziehen, die die Textzeichenfolge financial report des Absenders chris@contoso.com, führen Sie den folgenden Befehl aus:
GetMessageTrackingLogE2EwithTime.ps1 -MessageSubject "financial report" -Sender "chris@contoso.com"
Weitere Informationen zu Exchange-Verwaltungsshellskripts finden Sie unter Skripterstellung mit der Exchange-Verwaltungsshell.
Durchsuchen der Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungskonsole
So verwenden Sie die Exchange-Verwaltungskonsole zum Durchsuchen des Nachrichtenverfolgungsprotokolls
Öffnen Sie die Exchange-Verwaltungskonsole.
Klicken Sie in der Konsolenstruktur auf Toolbox. Klicken Sie im Ergebnisbereich auf Nachrichtenverfolgung. Klicken Sie im Aktionsbereich auf Tool öffnen.
Legen Sie im Dialogfeld Nachrichtenverfolgungsparameter die Suchkriterien für die Durchsuchung des Nachrichtenverfolgungsprotokolls fest, indem Sie das Kontrollkästchen neben dem Namen des Suchkriteriums aktivieren und einen Wert dafür eingeben. Um ein Suchkriterium zu entfernen, deaktivieren Sie das Kontrollkästchen neben dem Namen des Suchkriteriums. Standardmäßig sind die folgenden Suchkriterien ausgewählt, für die Werte angegeben sind:
EventID mit dem Wert RECEIVE
Start mit einem Datum-/Uhrzeitwert, an dem das Tool Nachrichtenverfolgung geöffnet wurde
End mit einem Datum-/Uhrzeitwert, an dem das Tool Nachrichtenverfolgung geschlossen wurde
Wenn Sie das Kontrollkästchen Empfänger aktivieren und einen Teilwert in das Feld Empfänger eingeben, können Sie den Rest der E-Mail-Adresse des Empfängers mit Daten auffüllen, indem Sie auf Empfänger auflösen klicken. Dieses Feature funktioniert nur auf Hub-Transport-Servern und Postfachservern, um die Namen von Postfachbenutzern oder E-Mail-aktivierten Kontakten aufzulösen, die in der Exchange 2007-Organisation vorhanden sind.
Wenn Sie das Kontrollkästchen Absender aktivieren und einen Teilwert in das Feld Absender eingeben, können Sie den Rest der E-Mail-Adresse des Absenders mit Daten auffüllen, indem Sie auf Absender auflösen klicken. Dieses Feature funktioniert nur auf Hub-Transport-Servern und Postfachservern, um die Namen von Postfachbenutzern oder E-Mail-aktivierten Kontakten aufzulösen, die in der Exchange 2007-Organisation vorhanden sind.
Sie können das Feld Server auch mit dem Namen des Postfachservers auffüllen, auf dem das Postfach des Absenders gespeichert ist, indem Sie auf Server von Absender klicken. Wenn Sie diesen Servernamen als Speicherkriterium verwenden möchten, denken Sie daran, das Kontrollkästchen Server zu aktivieren.
Hinweis
Während der Eingabe von Suchkriterien wird der entsprechende Befehl Get-MessageTrackingLog im Feld Befehl der Exchange-Verwaltungsshell ausgefüllt.
Klicken Sie auf Weiter, um die Suche auszuführen.
Wenn die Suche im Dialogfeld Ergebnisse der Nachrichtenverfolgung keine Ergebnisse zurückliefert, klicken Sie auf Zurück, um die Suchkriterien im Dialogfeld Nachrichtenverfolgungsparameter zu ändern. Wenn Ihre Suchkriterien einen Syntaxfehler enthalten, wird eine Fehlermeldung angezeigt.
Liefert die Suche Ergebnisse zurück, werden diese im Dialogfeld Ergebnisse der Nachrichtenverfolgung im Tabellenformat angezeigt. In den Zeilen wird jedes Feld für jeden Eintrag im Nachrichtenverfolgungsprotokoll angezeigt. Um die Ergebnisse nach einem Feld zu sortieren, klicken Sie in einer der Spalten auf die Spaltenüberschrift.
Um eine neue Suche zu starten, wählen Sie eine einzelne Zelle oder eine gesamte Zeile in der Ergebnistabelle aus und klicken anschließend auf Weiter. Dadurch kehren Sie zum Dialogfeld Nachrichtenverfolgungsparameter zurück.
Hinweis
Wenn Sie zum Dialogfeld Nachrichtenverfolgungsparameter zurückkehren, werden die Suchkriterien für das Nachrichtenverfolgungsprotokoll im Dialogfeld Nachrichtenverfolgungsparameter mit den Werten im Nachrichtenverfolgungseintrag ausgefüllt, den Sie zuvor ausgewählt haben. Wenngleich alle vorhandenen Suchkriterien ausgefüllt werden, sind standardmäßig nur die folgenden Suchkriterien aktiv: Server, MessageID, Start und End. Der Wert von Start liegt 10 Minuten vor dem Zeitstempel des ausgewählten Eintrags im Nachrichtenverfolgungsprotokoll. Der Wert von End liegt 10 Minuten hinter dem Zeitstempel des ausgewählten Eintrags im Nachrichtenverfolgungsprotokoll.
Wenn Sie eine weitere Suche im Nachrichtenverfolgungsprotokoll durchführen möchten, übernehmen oder ändern Sie die ausgewählten Kriterien und klicken danach auf Weiter.
Um alle Suchkriterien auf die Standardwerte zurückzusetzen, die beim Öffnen des Tools Nachrichtenverfolgung angezeigt werden, klicken Sie auf Den aktuellen Task neu starten.
Um in der Konsolenstruktur zum Tool Nachrichtenverfolgung zurückzukehren, klicken Sie auf Den aktuellen Task neu starten.
Um das Tool Nachrichtenverfolgung zu schließen, klicken Sie auf Schließen.
Weitere Informationen
Weitere Informationen hierzu finden Sie unter den folgenden Themen: