Freigeben über

Grundlegendes zur Nachrichtenverfolgung

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2015-03-09

Bei einem Nachrichtenverfolgungsprotokoll handelt es sich um ein detailliertes Protokoll aller Nachrichtenaktivitäten, die bei der Übertragung zu und von einem Computer auftreten, auf dem Microsoft Exchange Server 2010 ausgeführt wird und die Hub-Transport-, Postfach- oder Edge-Transport-Serverrolle installiert ist. Exchange-Server, auf denen die Clientzugriffs- oder Unified Messaging-Serverrolle installiert ist, enthalten keine Nachrichtenverfolgungsprotokolle. Nachrichtenverfolgungsprotokolle können für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, Berichterstellung und Problembehandlung verwendet werden.

Mithilfe des Cmdlets Set-TransportServer können Sie alle Konfigurationsaufgaben der Nachrichtenverfolgung auf einem Hub-Transport- oder Edge-Transport-Server durchführen. Mithilfe des Cmdlets Set-MailboxServer können Sie alle Konfigurationsaufgaben der Nachrichtenverfolgung auf einem Postfachserver durchführen. Für Server, auf denen sowohl die Serverrolle Hub-Transport als auch die Serverrolle Mailbox installiert ist, können Sie das Cmdlet Set-TransportServer oder Set-MailboxServer verwenden. Mit diesen Cmdlets können die folgenden Konfigurationsänderungen an der Nachrichtenverfolgung vorgenommen werden:

  • Enable or disable message tracking: Standardmäßig ist diese aktiviert.

  • Specify the location of the message tracking log files

  • Specify a maximum size for the individual message tracking log files: Der Standardwert beträgt 10 MB.

  • Specify a maximum size for the directory that contains the message tracking log files: Der Standardwert beträgt 1.000 MB.

  • Specify maximum age for the message tracking log files: Der Standardwert beträgt 30 Tage.

  • Enable or disable message subject logging in the message tracking logs: Standardmäßig ist diese aktiviert.

Hinweis

Sie können auch die Exchange-Verwaltungskonsole auf einem Hub-Transport- oder Edge-Transport-Server verwenden, um die Nachrichtenverfolgung zu aktivieren oder zu deaktivieren sowie um den Speicherort für die Protokolldateien der Nachrichtenverfolgung anzugeben.

Exchange 2010 verwendet die Protokollrotation, um die Protokolle der Nachrichtenverfolgung nach Dateigröße und Alter zu beschränken. Hierdurch kann der von den Protokolldateien verwendete Festplattenspeicher begrenzt werden.

Struktur der Nachrichtenverfolgungs-Protokolldateien

Die Protokolldateien der Nachrichtenverfolgung werden standardmäßig im Verzeichnis C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking gespeichert.

Die Namenskonvention für Protokolldateien im Nachrichtenverfolgungsprotokoll-Verzeichnis ist von der installierten Serverrolle abhängig. Auf einem Hub-Transport- oder einem Edge-Transport-Server werden die Protokolldateien MSGTRKyyyymmdd-nnnn.log benannt. Auf einem Postfachserver werden die Protokolldateien MSGTRKMyyyymmdd-nnnn.log benannt. Wenn die Serverrollen Hub-Transport und Mailbox auf demselben Server installiert sind, werden im Nachrichtenverfolgungsprotokoll-Verzeichnis gesonderte Protokolldateien erstellt, die diese unterschiedlichen Namenspräfixe verwenden.

Die Platzhalter in den Protokolldateinamen stehen für folgende Informationen:

  • Bei dem Platzhalter yyyymmdd handelt es sich um das UTC-Datum (Coordinated Universal Time), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, mm = Monat und dd = Tag.

  • Der Platzhalter nnnn ist eine Instanznummer, die täglich mit dem Wert 1 für jedes Namenspräfix der Nachrichtenverfolgungsprotokoll-Datei beginnt.

In jede Protokolldatei werden Informationen geschrieben, bis die Dateigröße den für jede Protokolldatei angegebenen Maximalwert erreicht. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Bei der Protokolldateirotation werden die ältesten Protokolldateien gelöscht, wenn eine der folgenden Bedingungen zutrifft:

  • Eine Protokolldatei erreicht ihr angegebenes Höchstalter.

  • Das Verzeichnis für Nachrichtenverfolgungsprotokolle erreicht seine festgelegte maximal zulässige Größe.

    Wichtig

    Die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses wird aus der Gesamtgröße aller Protokolldateien berechnet, die dasselbe Namenspräfix haben. Alle weiteren Dateien, die die Namenspräfixkonvention nicht einhalten, werden bei der Berechnung der Gesamtgröße des Verzeichnisses nicht berücksichtigt. Das Umbenennen alter Protokolldateien oder das Kopieren anderer Dateien in das Nachrichtenverfolgungsprotokoll-Verzeichnis kann dazu führen, dass das Verzeichnis seine angegebene Maximalgröße überschreitet. Wenn die Serverrollen Hub-Transport und Mailbox auf demselben Server installiert sind, entspricht die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses nicht der angegebenen Maximalgröße, weil die Nachrichtenverfolgungsprotokoll-Dateien, die von den unterschiedlichen Serverrollen generiert werden, verschiedene Namenspräfixe haben. Wenn die Serverrollen Hub-Transport und Mailbox auf demselben Server installiert sind, entspricht die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses dem Zweifachen des angegebenen Werts.

Bei den Protokolldateien der Nachrichtenverfolgung handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value, durch Komma getrennte Werte) enthalten. Jede Datei enthält eine Kopfzeile mit den folgenden Informationen:

  • #Software:   Der Name der Software, mit der die Nachrichtenverfolgungs-Protokolldatei erstellt wurde. In der Regel lautet der Wert Microsoft Exchange Server.

  • #Version:   Die Versionsnummer der Software, mit der die Nachrichtenverfolgungs-Protokolldatei erstellt wurde. Der aktuelle Wert lautet 14.0.0.0.

  • #Log-Type:   In diesem Feld ist als Wert das Nachrichtenverfolgungsprotokoll angegeben.

  • #Date:   Datum und Uhrzeit (UTC) der Erstellung der Protokolldatei. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

  • #Fields:   Kommagetrennte Feldnamen, die in den Nachrichtenverfolgungs-Protokolldateien verwendet werden. Die folgenden Felder sind verfügbar:

In ein Nachrichtenverfolgungsprotokoll geschriebene Informationen

Im Nachrichtenverfolgungsprotokoll werden die einzelnen Nachrichtenereignisse jeweils in einer einzelnen Zeile gespeichert. Die Ereignistypen, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in Tabelle 1 erläutert.

Tabelle 1   Ereignistypen zur Klassifizierung einzelner Nachrichtenereignisse

Ereignisname Beschreibung

BADMAIL

Vom PICKUP-Verzeichnis oder dem Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.

DELIVER

Eine Nachricht wurde an ein Postfach zugestellt.

DEFER

Die Nachrichtenzustellung wurde verzögert.

DSN

Eine Benachrichtigung über den Übermittlungsstatus wurde generiert.

DUPLICATEDELIVER

Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied bei zwei Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.

EXPAND

Eine Verteilergruppe wurde erweitert.

FAIL

Bei der Nachrichtenzustellung ist ein Fehler aufgetreten.

POISONMESSAGE

Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.

RECEIVE

Eine Nachricht wurde empfangen und an die Datenbank übergeben. Das RECEIVE-Ereignis kann SMTP RECEIVE (Quelle: SMTP) oder per E-Mail durch STOREDRIVER (Quelle: STOREDRIVER) übermittelt sein.

SMTP RECEIVE kann aus einer beliebigen Quelle stammen, die eine Nachricht mithilfe von SMTP übermittelt. Es kann sich z. B. um eine Serverrolle Hub-Transport, eine Serverrolle Edge-Transport, einen MTA (Message Transfer Agent) eines Drittanbieters oder einen POP/IMAP-Client handeln.

STOREDRIVER RECEIVE wird vom Prozess EdgeTransport.exe protokolliert und ist das Ereignis, das einem STOREDRIVER SUBMIT-Ereignis entspricht. STOREDRIVER SUBMIT wird vom Nachrichtenübermittlungsprozess protokolliert. Diese Ereignisse können sich auf demselben Server befinden, wenn beide Serverrollen lokal installiert sind, oder auf verschiedenen Servern vorliegen.

Hinweis

EdgeTransport.exe und MSExchangeTransport.exe sind die Programmdateien, die vom Microsoft Exchange-Transportdienst verwendet werden. Dieser Dienst wird auf jedem Hub-Transport-Server oder Edge-Transport-Server ausgeführt.

REDIRECT

Eine Nachricht wurde nach einem Lookupvorgang des Active Directory-Verzeichnisdiensts an einen alternativen Empfänger umgeleitet.

RESOLVE

Die Empfänger einer Nachricht wurden nach einem Active Directory-Lookupvorgang in verschiedene E-Mail-Adressen aufgelöst.

SEND

Eine Nachricht wurde über SMTP (Simple Mail Transfer Protocol) an einen anderen Server gesendet.

SUBMIT

Ein SUBMIT-Ereignis wird vom Nachrichtenübermittlungsdienst auf einem Computer mit Exchange 2007 protokolliert, der die Serverrolle Mailbox ausführt. Das SUBMIT-Ereignis wird protokolliert, wenn der Dienst einen Hub-Transport-Server erfolgreich benachrichtigt hat, dass eine Nachricht im Postfachspeicher auf ihre Übermittlung wartet.

Die Eigenschaft SourceContext stellt die MDB-GUID (Messagingdatenbank), die Postfach-GUID, die Ereignissequenznummer, die Nachrichtenklasse, den Erstellungszeitstempel der Clientübermittlung an den Informationsspeicher und den Clienttyp zur Verfügung. Der Clienttyp kann "Benutzer" (direktes Outlook-MAPI), "RPCHTTP" (Outlook Anywhere), "Outlook Web Access", "Exchange Web Services (EWS)", "Exchange ActiveSync", "Assistenten" oder "Transport" sein. Die Nachrichtenverfolgungsprotokolle, die von der Serverrolle Mailbox generiert werden, enthalten nur SUBMIT-Ereignisse.

TRANSFER

Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben.

Die in den einzelnen Zeilen gespeicherten Nachrichtenereignisdaten sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind möglicherweise jedoch leer, oder der im Feld gespeicherte Informationstyp kann sich auf Grundlage des Nachrichtenereignistyps wie in Tabelle 1 beschrieben ändern. Allgemeine Beschreibungen der Felder, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in Tabelle 2 erläutert.

Tabelle 2   Felder zur Klassifizierung einzelner Nachrichtenverfolgungsereignisse

Feld Beschreibung

date-time

Datum/Uhrzeit des Nachrichtenverfolgungsereignisses im UTC-Format, das im ISO-8601-Format dargestellt wird. Der Wert wird formatiert als yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

client-ip

Die TCP/IP-Adresse des Messagingservers oder -clients, der die Nachricht übermittelt hat.

client-hostname

Der Name des Messagingservers oder -clients, der die Nachricht übermittelt hat.

server-ip

Die TCP/IP-Adresse des Exchange-Quellservers oder -Zielservers.

server-hostname

Der Name des Zielservers.

source-context

Zusätzliche Informationen, die zum Quellfeld gehören.

connector-id

Der Name des Sendeconnectors oder Empfangsconnectors am Quell- oder Zielstandort.

source

Die für das Nachrichtenverfolgungsereignis zuständige Exchange-Transportkomponente. Die möglichen Werte für dieses Feld lauten wie folgt:

  • ADMIN für die Übermittlung durch das Wiedergabeverzeichnis

  • AGENT

  • DSN

  • GATEWAY für die Übermittlung durch fremde Connectors

  • PICKUP

  • ROUTING

  • SMTP

  • STOREDRIVER für MAPI-Übermittlung

event-id

Der Nachrichtenereignistyp. Diese Ereignisse werden in Tabelle 1 weiter oben in diesem Thema ausführlich beschrieben. Mögliche Werte sind BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT und TRANSFER.

internal-message-id

Eine Nachrichten-ID, die von dem Exchange 2010-Server zugewiesen wird, der die Nachricht aktuell verarbeitet.

Der Wert internal-message-id einer bestimmten Nachricht lautet im Nachrichtenverfolgungsprotokoll jedes Exchange 2010-Servers, der an der Zustellung der Nachricht beteiligt ist, unterschiedlich.

Nachrichten-ID

Der Wert des Felds Message-Id:, das sich in den Kopfzeilenfeldern einer Nachricht befindet. Wenn das Kopfzeilenfeld Message-Id: nicht vorhanden ist, wird ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant.

recipient-address

Die E-Mail-Adressen der Nachrichtenempfänger. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.

recipient-status

In diesem Feld wird ein SEND- oder FAIL-Ereignis angegeben.

total-bytes

Die Größe der Nachricht, die Anlagen enthält, in Bytes.

recipient-count

Die Gesamtzahl der Empfänger in der Nachricht.

related-recipient-address

Dieses Feld wird mit EXPAND-, REDIRECT- und RESOLVE-Ereignissen verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.

reference

Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen:

DSN   Das Feld reference enthält den Wert Internet-Message-Id der Nachricht, die die Benachrichtigung über den Übermittlungsstatus verursacht hat.

SEND   Das Feld reference enthält den Wert Internet-Message-Id einer Benachrichtigung über den Übermittlungsstatus.

TRANSFER   Das Feld reference enthält den Wert Internet-Message-Id der Nachricht, die verzweigt wird.

Für alle anderen Ereignistypen ist das Feld reference leer.

message-subject

Der Nachrichtenbetreff aus dem Kopfzeilenfeld Subject:. Die Nachrichtenbetreffverfolgung wird durch den Parameter MessageTrackingLogSubjectLoggingEnabled im Cmdlet Set-TransportServer für Hub-Transport-Server und Edge-Transport-Server bzw. im Cmdlet Set-MailboxServer für Postfachserver gesteuert. Die Nachrichtenbetreffverfolgung ist in der Standardeinstellung aktiviert. Die Nachrichtenbetreffverfolgung kann deaktiviert werden, indem der Wert des Parameters MessageTrackingLogSubjectLoggingEnabled auf $false gesetzt wird.

sender-address

Die E-Mail-Adresse, die im Kopfzeilenfeld Sender: oder From: angegeben ist (falls Sender: nicht vorhanden ist).

return-path

Die E-Mail-Adresse des Absenders, die unter MAIL FROM: im Nachrichtenumschlag angegeben ist. Zwar ist dieses Feld niemals leer, es kann jedoch den Absenderadresswert Null enthalten, der durch <> dargestellt wird.

message-info

Dieses Feld enthält Datum und Uhrzeit der Nachrichtenerstellung für DELIVER- und SEND-Ereignisse. Hierbei handelt es sich um den Zeitpunkt, zu dem die Nachricht erstmals in die Exchange-Organisation eintritt. Der Wert wird formatiert als yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

Mit dem Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell oder dem Nachrichtenverfolgungstool in der Exchange-Verwaltungskonsole können Sie anhand bestimmter Nachrichtenkriterien nach Nachrichten suchen.

Sicherheitsüberlegungen zum Nachrichtenverfolgungsprotokoll

Im Nachrichtenverfolgungsprotokoll wird kein Nachrichteninhalt gespeichert. Standardmäßig wird die Betreffzeile einer E-Mail-Nachricht im Nachrichtenverfolgungsprotokoll gespeichert. Möglicherweise möchten Sie die Nachrichtenbetreffprotokollierung jedoch aufgrund von erhöhten Sicherheits- und Datenschutzanforderungen deaktivieren. Überprüfen Sie vor der Aktivierung oder Deaktivierung der Nachrichtenbetreffprotokollierung die Richtlinie Ihrer Organisation zum Anzeigen von Betreffzeileninformationen.

Weitere Informationen

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Konfigurieren der Nachrichtenverfolgung

Durchsuchen von Nachrichtenverfolgungsprotokollen

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.