Seguimiento de mensajes
El registro de seguimiento de mensajes es un registro detallado de toda la actividad a medida que el correo fluye a través de la canalización de transporte en servidores de buzones y servidores de transporte perimetral. Puede utilizar los registros de seguimiento de mensajes para el análisis de mensajes, análisis del flujo de correo, elaboración de informes y solución de problemas.
De forma predeterminada, Exchange usa el registro circular para limitar el registro de seguimiento de mensajes en función del tamaño de archivo y la antigüedad de los archivos para ayudar a controlar el espacio en disco duro que usan los archivos de registro. Para configurar el registro de seguimiento de mensajes, consulte Configuración del seguimiento de mensajes.
Búsqueda en el registro de seguimiento de mensajes
Los registros de seguimiento de mensajes contienen grandes cantidades de datos a medida que los mensajes se mueven a través de un servidor de buzón o un servidor de transporte perimetral. A la hora de buscar en los registros de seguimiento de mensajes, tiene opciones:
Get-MessageTrackingLog: los administradores pueden usar este cmdlet del Shell de administración de Exchange para buscar información sobre los mensajes en el registro de seguimiento de mensajes mediante una amplia gama de criterios de filtro. Para obtener más información, consulte Buscar en registros seguimiento de mensajes.
Informes de entrega para administradores: los administradores pueden usar la pestaña Informes de entrega en el Centro de administración de Exchange o los cmdlets subyacentes Búsqueda-MessageTrackingReport y Get-MessageTrackingReport en el Shell de administración de Exchange para buscar en los registros de seguimiento de mensajes información sobre los mensajes enviados o recibidos por un buzón específico de la organización. Para obtener más información, consulte Informes de entrega para administradores.
Estructura de los archivos de registro de seguimiento de mensajes
De forma predeterminada, los archivos de registro de seguimiento de mensajes existen en %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. La carpeta contiene archivos de registro que tienen nombres diferentes, pero todos siguen la convención MSGTRKServiceyyyyMMdd-nnnn.logde nomenclatura . Los distintos nombres de archivo de registro se describen en la tabla siguiente.
| Nombre de archivo | Servidores | Descripción |
|---|---|---|
MSGTRK |
Servidores de buzones y servidores de transporte perimetral | Archivos de registro para el servicio de transporte. |
MSGTRKMA |
Servidores de buzones de correo | Archivos de registro para las aprobaciones y los rechazos del transporte moderado. Para obtener más información, consulte Administrar la aprobación de mensajes. |
MSGTRKMD |
Servidores de buzones de correo | Archivos de registro para los mensajes que el servicio de entrega de transporte de buzones entrega a los buzones. |
MSGTRKMS |
Servidores de buzones de correo | Archivos de registro para los mensajes que el servicio de elementos enviados de transporte de buzones envía desde los buzones. |
Los demás marcadores de posición de los nombres de archivo de registro representan la siguiente información:
yyyyMMDd es la fecha de hora universal coordinada (UTC) en la que se creó el archivo de registro. aaaa = año, MM = mes y dd = día.
nnnn es un número de instancia que comienza en el valor 1 cada día para cada registro.
La información se escribe en el archivo de registro hasta que este alcanza su tamaño máximo. Después, se abre un archivo de registro nuevo con un número de instancia incrementado (el primer archivo de registro es -1; el siguiente, -2, etc.). El registro circular elimina los archivos de registro más antiguos de un servicio cuando se cumple alguna de las condiciones siguientes:
Un archivo de registro alcanza la antigüedad máxima.
La carpeta de registro de seguimiento de mensajes alcanza su tamaño máximo.
Notas:
El tamaño máximo de la carpeta de registro de seguimiento de mensajes se calcula como el tamaño total de todos los archivos de registro que tienen el mismo prefijo de nombre. Otros archivos que no siguen la convención de prefijo de nombre no se cuentan en el cálculo del tamaño total de la carpeta. Cambiar el nombre de los archivos de registro antiguos o copiar otros archivos en la carpeta de registro de seguimiento de mensajes podría hacer que la carpeta supere su tamaño máximo especificado.
En los servidores de buzones de correo, el tamaño máximo de la carpeta de registro de seguimiento de mensajes es tres veces el valor especificado. Aunque los archivos de registro de seguimiento de mensajes los generan los cuatro servicios diferentes y tienen cuatro prefijos de nombre diferentes, la cantidad y frecuencia de los datos escritos en el registro de transporte moderado (
MSGTRKMA) es insignificante en comparación con los otros tres registros.
Los archivos de registro de seguimiento de mensajes son archivos de texto que contienen datos en el formato de valores separados por comas (CSV). Cada archivo de registro de seguimiento de mensajes tiene un encabezado con la siguiente información:
#Software: el valor es
Microsoft Exchange Server.#Version: número de versión del servidor exchange que creó el archivo de registro de seguimiento de mensajes. El valor usa el formato
15.01.nnnn.nnn.#Log-Type: el valor es
Message Tracking Log.#Date: fecha y hora UTC en que se creó el archivo de registro. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, donde aaaa = año, MM = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC.
#Fields: nombres de campo delimitados por comas que se usan en los archivos de registro de seguimiento de mensajes.
Campos de los archivos de registro de seguimiento de mensajes
El registro de seguimiento de mensajes almacena cada evento de mensaje en una sola línea del registro. La información de evento de mensajes se organiza por campos separados mediante comas. El nombre del campo suele ser lo bastante descriptivo como para determinar el tipo de información que contiene. Sin embargo, algunos campos podrían estar en blanco o el tipo de información del campo podría cambiar en función del tipo de evento de mensaje y del servicio que registró el evento. En la siguiente tabla se detallan de forma genérica los campos que se usan para clasificar cada evento de seguimiento de mensajes.
| Nombre del campo | Descripción |
|---|---|
| date-time | Fecha y hora UTC del evento de seguimiento de mensajes. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, donde aaaa = año, MM = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC. |
| client-ip | Dirección IPv4 o IPv6 del servidor o el cliente de mensajería que ha enviado el mensaje. |
| client-hostname | Nombre de host o FQDN del servidor o el cliente de mensajería que ha enviado el mensaje. |
| server-ip | Dirección IPv4 o IPv6 del servidor de origen o de destino. |
| server-hostname | Nombre de host o FQDN del servidor de destino. |
| source-context | Información adicional asociada al campo source. Por ejemplo:CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | Nombre del conector de envío o del conector de recepción que aceptó el mensaje. Por ejemplo, ServerName\ ConnectorName o ConnectorName. |
| source | Componente de transporte de Exchange responsable del evento. Estos valores se describen en la sección Valores de origen del registro de seguimiento de mensajes más adelante en este tema. |
| event-id | El tipo de evento de mensaje. Estos valores se describen en tipos de eventos de la sección registro de seguimiento de mensajes más adelante en este tema. |
| internal-message-id | Identificador de mensaje asignado por el servidor exchange que está procesando el mensaje. El identificador de mensaje interno de un mensaje es diferente en el registro de seguimiento de mensajes de cada servidor de Exchange implicado en la transmisión del mensaje. Un valor de ejemplo es 73014444033. |
| message-id | Valor del campo de encabezado Message-Id: en el encabezado del mensaje. Si el campo de encabezado Message-Id: no existe o está en blanco, Exchange asigna un valor arbitrario. Este valor es constante mientras dura el mensaje. Para los mensajes creados en Exchange, el valor tiene el formato <GUID@ServerFQDN>, incluidos los corchetes angulares (< >). Por ejemplo, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Otros sistemas de mensajería pueden utilizar sintaxis o valores diferentes. |
| network-message-id | Valor de identificador de mensaje único que persiste en todas las copias del mensaje que se pueden crear debido a la bifurcación o ampliación de los grupos de distribución. Un valor de ejemplo es 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Direcciones de correo electrónico de los destinatarios del mensaje. Si hay varias direcciones de correo electrónico, se separan por punto y coma (;). |
| recipient-status | Estado del destinatario de cada destinatario separado por el carácter de punto y coma (;). Los valores del estado se presentan para los destinatarios en el mismo orden que los valores en el campo recipient-address. Entre los valores de estado de ejemplo se incluyen:To, Cc o Bcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | Tamaño total del mensaje en bytes, incluidos todos los datos adjuntos. |
| recipient-count | Número total de destinatarios en el mensaje. |
| related-recipient-address | Este campo se usa con eventos EXPAND, REDIRECT y RESOLVE para mostrar otras direcciones de correo electrónico de destinatario asociadas al mensaje. |
| reference | Este campo contiene información extra para tipos de evento específicos. Por ejemplo: DSN: contiene el vínculo del informe, que es el valor message-id de la notificación de estado de entrega asociada (también conocida como DSN, mensaje de rebote, informe de no entrega o NDR) si se genera un DSN posterior a este evento. Si se trata de un mensaje DSN, el campo Referencia contiene el valor message-id del mensaje original para el que se generó el DSN. EXPAND: contiene el valor related-recipient-address de los mensajes relacionados. RECEIVE: puede contener el valor Message-Id del mensaje relacionado si el mensaje lo generaron otros procesos, por ejemplo, el registro en diario o las reglas de bandeja de entrada. SEND: contiene el valor Internal-Message-Id de los mensajes DSN. THROTTLE: contiene el motivo por el que se limitó el mensaje. TRANSFER: contiene el valor Internal-Message-Id del mensaje que se bifurca. Mensaje generado por reglas de bandeja de entrada: contiene el valor Internal-Message-Id del mensaje entrante que provocó que la regla de bandeja de entrada generara el mensaje saliente. Mensajes bifurcados: puede contener el valor Internal-Message-Id . Para otros tipos de eventos, este campo suele estar en blanco. |
| message-subject | Asunto del mensaje en el campo de encabezado Subject:. El seguimiento de los asuntos del mensaje se controla mediante el parámetro MessageTrackingLogSubjectLoggingEnabled en el cmdlet Set-TransportService . De forma predeterminada, el seguimiento de asuntos de mensajes está habilitado. |
| sender-address | La dirección de correo electrónico especificada en el campo Remitente: encabezado o el campo De: encabezado si el campo Remitente: no existe. |
| return-path | Dirección de correo electrónico de devolución especificada por el comando MAIL FROM que envió el mensaje. Aunque este campo nunca está vacío, puede tener el valor de dirección del remitente nulo representado como <>. |
| message-info | Información extra sobre el mensaje. Por ejemplo: Fecha y hora de origen del mensaje en UTC para los eventos DELIVER y SEND . La fecha y hora de creación hacen referencia al momento en que se especifica el mensaje por primera vez en la organización de Exchange. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, donde aaaa = año, MM = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC. Errores de autenticación. Por ejemplo, puede ver el valor 11a y el tipo de autenticación que se usó cuando se produjo el error de autenticación. |
| directionality | Dirección del mensaje. Entre los valores de ejemplo se incluyen Incoming, Undefinedy Originating. |
| tenant-id | Este campo no se usa en organizaciones de Exchange locales. |
| original-client-ip | Dirección IPv4 o IPv6 del cliente original. |
| original-server-ip | Dirección IPv4 o IPv6 del servidor original. |
| custom-data | Este campo contiene datos relacionados con tipos de eventos específicos. Por ejemplo, el agente de regla de transporte usa este campo para registrar el GUID de la regla de flujo de correo (también conocida como regla de transporte) o la directiva DLP que actuó en el mensaje. Para obtener más información, vea Ver informes de detección de directivas DLP. |
| transport-traffic-type | En Exchange local, este campo está en blanco o tiene el valor Email. |
| log-id | Identificador único de una fila en el registro de seguimiento de mensajes. Este campo no es importante en las organizaciones locales de Exchange. |
| schema-version | Número de versión del servidor exchange que creó la entrada en el registro de seguimiento de mensajes. El valor usa el formato 15.01.nnnn.nnn. |
Tipos de evento en el registro de seguimiento de mensajes
Varios tipos de eventos en el campo event-id se usan para clasificar los eventos de mensaje en el registro de seguimiento de mensajes. Algunos eventos de mensaje solo aparecen en un tipo de archivo de registro de seguimiento de mensajes, mientras que otros aparecen en todos los tipos de archivos de registro de seguimiento de mensajes. En la siguiente tabla se explican los tipos de evento usados para clasificar cada evento de mensaje.
| Nombre del evento | Descripción |
|---|---|
| AGENTINFO | Los agentes de transporte usan este evento para registrar datos personalizados. |
| BADMAIL | Mensaje enviado por el directorio de recogida o el directorio de reproducción que no se puede entregar o devolver. |
| CLIENTSUBMISSION | Se envió un mensaje desde la Bandeja de salida de un buzón. |
| DEFER | Se ha retrasado la entrega del mensaje. |
| DELIVER | Un mensaje ha llegado a un buzón de correo local. |
| DELIVERFAIL | Un agente intentó entregar el mensaje a una carpeta que no existe en el buzón. |
| DROP | Se quitó un mensaje sin una notificación de estado de entrega (también conocida como DSN, mensaje de rebote, informe de no entrega o NDR). Por ejemplo:
|
| DSN | Se ha generado una notificación de estado de entrega (DSN). |
| DUPLICATEDELIVER | Se ha entregado un mensaje duplicado al destinatario. La duplicación puede ocurrir si un destinatario es miembro de varios grupos de distribución anidados. El almacén de información se encarga de detectar y quitar los mensajes duplicados. |
| DUPLICATEEXPAND | Se detectó un destinatario duplicado durante la ampliación del grupo de distribución. |
| DUPLICATEREDIRECT | Un destinatario alternativo para el mensaje ya era un destinatario. |
| EXPAND | Se ha ampliado un grupo de distribución. |
| FAIL | Error al entregar el mensaje. Los orígenes incluyen SMTP, DNS, QUEUE y ROUTING. |
| HADISCARD | Se descartó un mensaje de instantánea después de que la copia principal se entregara al siguiente salto. Para obtener más información, vea Redundancia de sombras en Exchange Server. |
| HARECEIVE | El servidor recibió un mensaje de instantánea en el grupo de disponibilidad de la base de datos local (DAG) o sitio de Active Directory. |
| HAREDIRECT | Se creó un mensaje de instantánea. |
| HAREDIRECTFAIL | No se ha podido crear un mensaje de instantánea. Los detalles se almacenan en el campo source-context. |
| INITMESSAGECREATED | Se envió un mensaje a un destinatario moderado, así que el mensaje se envió al buzón de correo de arbitraje para su aprobación. Para obtener más información, consulte Administrar la aprobación de mensajes. |
| LOAD | Un mensaje se cargó correctamente durante el arranque. |
| MODERATIONEXPIRE | Un moderador de un destinatario moderado nunca aprobó ni rechazó el mensaje, así que expiró. Para obtener más información sobre los destinatarios moderados, consulte Administrar la aprobación de mensajes. |
| MODERATORAPPROVE | Un moderador de un destinatario moderado aprobó el mensaje, así que el mensaje se entregó al destinatario moderado. |
| MODERATORREJECT | Un moderador de un destinatario moderado rechazó el mensaje, así que el mensaje no se entregó al destinatario moderado. |
| MODERATORSALLNDR | Todas las solicitudes de aprobación enviadas a todos los moderadores de un destinatario moderado no se pudieron entregar y dieron lugar a informes de no entrega (también conocidos como NDR o mensajes de devolución). |
| NOTIFYMAPI | Se detectó un mensaje en la bandeja de salida de un buzón del servidor local. |
| NOTIFYSHADOW | Se detectó un mensaje en la bandeja de salida del servidor local, y se debe crear una copia instantánea del mensaje. |
| POISONMESSAGE | Se incluyó o quitó un mensaje de la cola de mensajes dudosos. |
| PROCESS | El mensaje se procesó correctamente. |
| PROCESSMEETINGMESSAGE | El servicio de entrega de transporte de buzones de correo ha procesado un mensaje de reunión. |
| RECEIVE | El componente de recepción SMTP recibió un mensaje del servicio de transporte o de los directorios de recogida o reproducción (origen: SMTP), o se envió un mensaje desde un buzón al servicio de envío de transporte de buzones (origen: STOREDRIVER). |
| REDIRECT | Se redirigió un mensaje a un destinatario alternativo tras una búsqueda de Active Directory. |
| RESOLVE | Los destinatarios de un mensaje se resolvieron para una dirección de correo electrónico distinta tras una búsqueda de Active Directory. |
| RESUBMIT | Un mensaje se reenvió automáticamente desde la red de seguridad. Para obtener más información, vea Red de seguridad en Exchange Server. |
| RESUBMITDEFER | Se aplazó un mensaje reenviado automáticamente desde la red de seguridad. |
| RESUBMITFAIL | Error de un mensaje reenviado automáticamente desde la red de seguridad. |
| SEND | SMTP envió un mensaje entre servicios de transporte. |
| SUBMIT | El servicio de entrega de transporte de buzones de correo transmitió correctamente el mensaje al servicio de transporte. Para los eventos SUBMIT, la propiedad source-context contiene los siguientes detalles:
|
| SUBMITDEFER | La transmisión de mensajes desde el servicio de entrega de transporte de buzones al servicio de transporte se aplazó. |
| SUBMITFAIL | Error en la transmisión de mensajes desde el servicio de entrega de transporte de buzones al servicio de transporte. |
| SUPPRESSED | La transmisión del mensaje se suprimió. |
| THROTTLE | El mensaje se limitó. |
| TRANSFER | Los destinatarios se han movido a un mensaje bifurcado debido a la conversión del contenido, los límites de destinatarios de mensajes o los agentes. Los orígenes incluyen ROUTING o QUEUE. |
Valores de origen en el registro de seguimiento de mensajes
Los valores en el campo source en el registro de seguimiento de mensajes indican el componente que es responsable del evento de seguimiento del mensaje. En la siguiente tabla se describen los valores del campo source.
| Valor de origen | Description |
|---|---|
| ADMIN | El origen del evento fue la intervención humana. Por ejemplo, un administrador usó el Visor de cola para eliminar un mensaje o envió archivos de mensaje mediante el directorio de reproducción. |
| AGENT | El origen del evento fue un agente de transporte. |
| APPROVAL | El origen del evento fue el marco de la aprobación que se usa con los destinatarios moderados. Para obtener más información, consulte Administrar la aprobación de mensajes. |
| BOOTLOADER | El origen del evento consistía en mensajes sin procesar que hay en el servidor durante el arranque. Esto está relacionado con el tipo de evento LOAD. |
| DNS | El origen del evento fue una DNS. |
| DSN | El origen del evento era una notificación de estado de entrega (también conocida como DSN, mensaje de rebote, informe de no entrega o NDR). |
| GATEWAY | El origen del evento fue un conector externo. Para obtener más información, consulte Conectores externos. |
| MAILBOXRULE | El origen del evento fue una regla de la bandeja de entrada. Para obtener más información, consulte Reglas de Bandeja de entrada. |
| MEETINGMESSAGEPROCESSOR | El origen del evento ha sido el procesador de mensajes de reunión, que actualiza los calendarios según las actualizaciones de las reuniones. |
| ORAR | El origen del evento fue un destinatario alternativo solicitado del originador (ORAR). Puede habilitar o deshabilitar la compatibilidad con ORAR en conectores de recepción mediante el parámetro OrarEnabled en los cmdlets New-ReceiveConnector o Set-ReceiveConnector . |
| PICKUP | El origen del evento fue el directorio de recogida. Para obtener más información, vea Directorio de recogida y Directorio de reproducción. |
| POISONMESSAGE | El origen del evento fue el identificador de mensaje dudoso. Para obtener más información sobre los mensajes dudosos y la cola de mensajes dudosos, consulte Colas y mensajes en colas. |
| PUBLICFOLDER | El origen del evento fue una carpeta pública habilitada para correo. |
| QUEUE | El origen del evento fue una cola. |
| REDUNDANCY | El origen del evento fue la redundancia de instantáneas. Para obtener más información, vea Redundancia de sombras en Exchange Server. |
| RESOLUCIÓN | El origen del evento era el componente de resolución de destinatarios del categorizador en el servicio de transporte. Para obtener más información, vea Resolución de destinatarios en Exchange Server. |
| ROUTING | El origen del evento fue el componente de resolución de enrutamiento del categorizador en el servicio de transporte. |
| SAFETYNET | El origen del evento fue la red de seguridad. Para obtener más información, vea Red de seguridad en Exchange Server. |
| SMTP | El mensaje fue enviado por el componente de envío SMTP o el componente de recepción SMTP del servicio de transporte. |
| STOREDRIVER | El origen del evento fue un envío MAPI desde un buzón de correo en el servidor local. |
Entradas de ejemplo en el registro de seguimiento de mensajes
Un mensaje sin eventos enviado entre dos usuarios genera varias entradas en el registro de seguimiento de mensajes. Puede ver los resultados usando el cmdlet Get-MessageTrackingLog. Para obtener más información, consulte Buscar en registros seguimiento de mensajes.
Este es un ejemplo de las entradas del registro de seguimiento de mensajes creadas cuando el usuario chris@contoso.com envía correctamente un mensaje de prueba al usuario michelle@contoso.com. Ambos usuarios tienen buzones de correo en el mismo servidor.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problemas de seguridad del registro de seguimiento de mensajes
No se almacena ningún contenido de mensaje en el registro de seguimiento de mensajes. De manera predeterminada, la línea de asunto de un mensaje de correo electrónico se almacena en el registro de seguimiento de mensajes. Es posible que tenga que deshabilitar el registro de asuntos para cumplir con los requisitos de seguridad o privacidad más elevados. Para obtener instrucciones sobre cómo deshabilitar el registro de asuntos, consulte Configuración del seguimiento de mensajes.