Seguimiento de mensajes en Exchange
Se aplica a: Exchange Server 2013
En Microsoft Exchange Server 2013, el registro de seguimiento de mensajes es un registro detallado de toda la actividad de mensajes cuando estos se transfieren desde y hacia el servicio de transporte en los servidores de buzones de correo, los buzones de correo en los servidores de buzones de correo y en los servidores de transporte perimetral. Puede utilizar los registros de seguimiento de mensajes para análisis de mensajes, análisis del flujo de correo, elaboración de informes y solución de problemas.
En Exchange 2013, puede usar el cmdlet Set-TransportService o el cmdlet Set-MailboxServer para todas las tareas de configuración de seguimiento de mensajes, ya que el servidor de buzones de correo de Exchange 2013 almacena el servicio de transporte y los buzones de correo. Puede usar uno de estos cmdlets para realizar los siguientes cambios en la configuración del seguimiento de mensajes:
- Habilitar o deshabilitar el seguimiento de mensajes. El valor predeterminado es habilitado.
- Especificar la ubicación de los archivos de registro de seguimiento de mensajes.
- Especificar el tamaño máximo para los archivos de registro de seguimiento de mensajes individuales. El valor predeterminado es 10 MB.
- Especificar el tamaño máximo del directorio que contiene los archivos de registro de seguimiento de mensajes: El valor predeterminado es 1.000 MB.
- Especificar la antigüedad máxima de los archivos de registro de seguimiento de mensajes: El valor predeterminado es 30 días.
- Habilitar o deshabilitar el registro de asuntos de mensajes en los registros de seguimiento de mensajes. El valor predeterminado es habilitado.
Nota:
También puede usar el Centro de administración de Exchange (EAC) para habilitar o deshabilitar el seguimiento de mensajes y para especificar la ubicación de los archivos de registro de seguimiento de mensajes.
Exchange usa de forma predeterminada un registro circular para limitar los registros de seguimiento de mensajes según el tamaño de archivo y la antigüedad del mismo, lo que ayuda a controlar el espacio de disco duro usado por los archivos de registro de seguimiento de mensajes.
Búsqueda en el registro de seguimiento de mensajes
Los registros de seguimiento de mensajes contienen grandes cantidades de datos a medida que los mensajes de mueven por un servidor de buzones de correo de Exchange 2013. Cuando se trata de buscar los registros de seguimiento de mensajes, tiene varias opciones.
Get-MessageTrackingLog: los administradores pueden usar este cmdlet para buscar información sobre los mensajes en el registro de seguimiento de mensajes mediante una amplia gama de criterios de filtro. Para obtener más información, consulte Buscar en registros seguimiento de mensajes.
Informes de entrega para administradores: los administradores pueden usar la pestaña Informes de entrega en el Centro de administración de Exchange (EAC) o los cmdlets subyacentes Búsqueda-MessageTrackingReport y Get-MesageTrackingReport para buscar en los registros de seguimiento de mensajes información sobre los mensajes enviados o recibidos por un buzón específico de la organización. Para obtener más información, vea Informes de entrega para administradores.
Estructura de los archivos de registro de seguimiento de mensajes
Los archivos de registro de seguimiento de mensajes se encuentran de forma predeterminada en %ExchangeInstallPath%TransportRoles\Logs\MessageTracking.
La convención de nomenclatura de los archivos de registro en el directorio de registro de seguimiento de mensajes es MSGTRKyyyyMMdd-nnnn.log
, MSGTRKMAyyyyMMdd-nnnn.log
, MSGTRKMDyyyyMMdd-nnnn.log
y MSGTRKMSyyyyMMdd-nnnn.log
. Los siguientes servicios hacen uso de los diferentes registros:
- MSGTRK: Estos registros están asociados al servicio de transporte.
- MSGTRKMA: Estos registros están asociados a las aprobaciones y rechazos utilizados por el transporte moderado. Para obtener más información, consulte Administrar la aprobación de mensajes.
- MSGTRKMD: Estos registros están asociados a los mensajes entregados a los buzones por el servicio de entrega de transporte de buzones.
- MSGTRKMS: Estos registros están asociados a mensajes enviados desde buzones por el servicio de envío de transporte de buzones.
Los marcadores de los nombres de archivos de registro representan la siguiente información:
- El marcador de posición yyyyMMMdd es la fecha de hora universal coordinada (UTC) en la que se creó el archivo de registro. aaaa = año, MM = mes y dd = día.
- El marcador de posición nnnn es un número de instancia que comienza en el valor de 1 diario para cada prefijo de nombre de archivo de registro de seguimiento de mensajes.
La información se escribe en cada archivo de registro hasta que el tamaño del archivo alcanza el valor máximo especificado para cada uno de dichos archivos. A continuación, se abre un archivo de registro nuevo con un número de instancia incrementado. Este proceso se repite durante el día. La funcionalidad de rotación de archivos de registro elimina los archivos de registro más antiguos si se cumple alguna de las siguientes condiciones:
Un archivo de registro alcanza la antigüedad máxima especificada.
El directorio de registro de seguimiento de mensajes alcanza el tamaño máximo especificado.
Importante
El tamaño máximo del directorio de registros de seguimiento de mensajes se calcula como el tamaño total de todos los archivos de registro que tengan el mismo prefijo de nombre. Otros archivos que no sigan la convención de prefijos de nombre no se cuentan en el cálculo total del tamaño del directorio. El cambio de nombre de archivos de registro antiguos y la copia de otros archivos en el directorio de registros de seguimiento de mensajes podría hacer que se superara su tamaño máximo especificado.
En los servidores de buzones de Exchange 2013, el tamaño máximo del directorio de registro de seguimiento de mensajes es tres veces el valor especificado. Aunque los archivos del registro de seguimiento de mensajes generados por los cuatro servicios diferentes tienen cuatro prefijos de nombre distintos, la cantidad y la frecuencia de los datos escritos en los archivos de registros MSGTRKMA es insignificante en comparación con los otros prefijos de archivos de registro.
Los archivos de registro de seguimiento de mensajes son archivos de texto que contienen datos en el formato de valores separados por comas (CSV). Cada archivo de registro de seguimiento de mensajes tiene un encabezado con la siguiente información:
#Software:: nombre del software que creó el archivo de registro de seguimiento de mensajes. Normalmente, el valor es Microsoft Exchange Server.
#Version:: número de versión del software que creó el archivo de registro de seguimiento de mensajes. Actualmente, el valor es 15.0.0.0.
#Log-Type:: valor de tipo de registro, que es Registro de seguimiento de mensajes.
#Date:: fecha y hora UTC en que se creó el archivo de registro. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, donde aaaa = año, MM = mes y dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra forma de indicar UTC.
#Fields:: nombres de campo delimitados por comas que se usan en los archivos de registro de seguimiento de mensajes.
Campos de los archivos de registro de seguimiento de mensajes
El registro de seguimiento de mensajes almacena cada evento de mensaje en una sola línea del registro. La información de evento de mensajes se organiza por campos separados mediante comas. El nombre del campo suele ser lo bastante descriptivo como para determinar el tipo de información que contiene. Sin embargo, puede que algunos campos estén en blanco, o que el tipo de información almacenada en los campos cambie según el tipo de evento de mensaje y el tipo de archivo de registro de seguimiento de mensaje donde se haya registrado el evento. En la siguiente tabla se detallan de forma genérica los campos que se usan para clasificar cada evento de seguimiento de mensajes.
Nombre del campo | Description |
---|---|
date-time | Fecha y hora UTC del evento de seguimiento de mensajes. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, donde aaaa = año, MM = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC. |
client-ip | Dirección IPv4 o IPv6 del servidor o el cliente de mensajería que ha enviado el mensaje. |
client-hostname | Nombre de host o FQDN del servidor o el cliente de mensajería que ha enviado el mensaje. |
server-ip | Dirección IPv4 o IPv6 del servidor Exchange de origen o destino. |
server-hostname | Nombre de host o FQDN del servidor de destino. |
source-context | Información adicional asociada al campo source. Por ejemplo, información del agente de transporte. |
connector-id | Nombre del conector de envío o el conector de recepción de origen o destino. Por ejemplo, ServerName\ConnectorName o ConnectorName. |
source | Componente del transporte de Exchange que se ocupa del evento de seguimiento de mensajes. Los valores de este campo se describen en la sección Valores de origen en el registro de seguimiento de mensajes, más adelante en este tema. |
event-id | El tipo de evento de mensaje. Los tipos de evento se describen en la sección Tipos de evento en el registro de seguimiento de mensajes, más adelante en este tema. |
internal-message-id | Identificador de mensaje asignado por el servidor Exchange que procesa el mensaje actualmente. El valor de mensaje específico de internal-message-id es diferente en el registro de seguimiento de mensajes de cada servidor Exchange implicado en la transmisión del mensaje. Un valor de ejemplo es 73014444033 . |
message-id | Valor del campo de encabezado de Message-Id: que hay en el encabezado del mensaje. Si el campo de encabezado Message-Id: no existe o está en blanco, se asigna un valor arbitrario. Este valor es constante mientras dura el mensaje. Para los mensajes creados en Exchange, el valor tiene el formato <GUID@ServerFQDN> , incluidos los corchetes angulares (< > ). Por ejemplo, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com> . Otros sistemas de mensajería pueden utilizar sintaxis o valores diferentes. |
network-message-id | Valor de identificador de mensaje único que persiste en todas las copias del mensaje que se pueden crear debido a la bifurcación o ampliación de los grupos de distribución. Un valor de ejemplo es 1341ac7b13fb42ab4d4408cf7f55890f . |
recipient-address | Direcciones de correo electrónico de los destinatarios del mensaje. Si hay varias direcciones de correo electrónico, se separan por punto y coma (;). |
recipient-status | Este campo contiene el estado del destinatario de cada destinatario separado por punto y coma (;). Los valores del estado se presentan para los destinatarios en el mismo orden que los valores en el campo recipient-address. Los valores de estado de ejemplo son 250 2.1.5 Recipient OK o 550 4.4.7 QUEUE.Expired;<ErrorText> . |
total-bytes | El tamaño del mensaje que incluye datos adjuntos en bytes. |
recipient-count | Número de destinatarios del mensaje. |
related-recipient-address | Este campo se usa con los eventos EXPAND, REDIRECT y RESOLVE para mostrar otras direcciones de correo electrónico de destinatarios asociadas al mensaje. |
reference | Este campo contiene información extra para tipos de evento específicos. Por ejemplo: DSN: contiene el vínculo de informe, que es el valor message-id de la notificación de estado de entrega (DSN) asociada si se genera un DSN posterior a este evento. Si es un mensaje DSN, el campo Reference contiene el valor Message-Id del mensaje original para el que se generó este DNS. EXPAND: el campo Referencia contiene el valor related-recipient-address de los mensajes relacionados. RECEIVE: El campo Referencia puede contener el valor Message-Id del mensaje relacionado si el mensaje lo generaron otros procesos, por ejemplo, el registro en diario o las reglas de bandeja de entrada. SEND: el campo Referencia contiene el valor Internal-Message-Id de los mensajes DSN. THROTTLE: el campo Referencia contiene el motivo por el que se limitó el mensaje. TRANSFER: el campo Referencia contiene el identificador de mensaje interno del mensaje que se va a bifurcar. En los mensajes generados por las reglas de buzón, el campo Reference contiene el valor Internal-Message-Id del mensaje entrante que hizo que la regla de buzón generara el mensaje saliente. Para otros tipos de evento, el campo Reference puede contener el valor Internal-Message-Id de los mensajes bifurcados. Para el resto de los tipos de eventos, el campo Reference normalmente está en blanco. |
message-subject | El asunto del mensaje se encuentra en el campo de Subject: encabezado. El seguimiento de los asuntos del mensaje se controla mediante el parámetro MessageTrackingLogSubjectLoggingEnabled en los cmdlets Set-TransportService o Set-MailboxServer . De forma predeterminada, el seguimiento de asuntos de mensajes está habilitado. |
sender-address | La dirección de correo electrónico especificada en el campo de Sender: encabezado o el campo de From: encabezado si Sender: no está presente. |
return-path | Dirección de correo electrónico de devolución especificada por MAIL FROM: en el sobre del mensaje. Aunque este campo nunca está vacío, puede tener el valor de dirección del remitente nulo representado como <> . |
message-info | Información extra sobre el mensaje. Por ejemplo:
|
directionality | Dirección del mensaje. Entre los valores de ejemplo se incluyen Incoming , Undefined y Originating . |
tenant-id | Este campo no se usa en las organizaciones de Exchange 2013 locales. |
original-client-ip | Dirección IPv4 o IPv6 del cliente original. |
original-server-ip | Dirección IPv4 o IPv6 del servidor original. |
custom-data | Este campo contiene datos relacionados con un tipo de evento específico. Por ejemplo, el agente de reglas de transporte usa este campo para registrar el GUID de la regla de transporte o la directiva DLP que actuó en dicho mensaje. Para obtener más información sobre estos valores de agente de regla de transporte, vea la sección "Registro de datos" en el tema Ver informes de detección de directivas DLP . |
Tipos de evento en el registro de seguimiento de mensajes
Varios tipos de eventos en el campo event-id se usan para clasificar los eventos de mensaje en el registro de seguimiento de mensajes. Algunos eventos de mensaje solo aparecen en un tipo de archivo de registro de seguimiento de mensajes, mientras que otros aparecen en todos los tipos de archivos de registro de seguimiento de mensajes. En la siguiente tabla se explican los tipos de evento usados para clasificar cada evento de mensaje.
Nombre del evento | Descripción |
---|---|
AGENTINFO | Los agentes de transporte usan este evento para registrar datos personalizados. |
BADMAIL | Mensaje enviado por el directorio de recogida o el directorio de reproducción que no se puede entregar o devolver. |
DEFER | Se ha retrasado la entrega del mensaje. |
DELIVER | Un mensaje ha llegado a un buzón de correo local. |
DROP | Se quitó un mensaje sin una notificación de estado de entrega (también conocida como DSN, mensaje de rebote, informe de no entrega o NDR). Por ejemplo:
|
DSN | Se ha generado una notificación de estado de entrega (DSN). |
DUPLICATEDELIVER | Se ha entregado un mensaje duplicado al destinatario. La duplicación puede ocurrir si un destinatario es miembro de varios grupos de distribución anidados. El almacén de información se encarga de detectar y quitar los mensajes duplicados. |
DUPLICATEEXPAND | Se detectó un destinatario duplicado durante la ampliación del grupo de distribución. |
DUPLICATEREDIRECT | Un destinatario alternativo para el mensaje ya era un destinatario. |
EXPAND | Se ha ampliado un grupo de distribución. |
FAIL | Error al entregar el mensaje. Los orígenes incluyen SMTP, DNS, QUEUE y ROUTING. |
HADISCARD | Se descartó un mensaje de instantánea después de que la copia principal se entregara al siguiente salto. Para obtener más información, consulte Redundancia de instantánea. |
HARECEIVE | El servidor recibió un mensaje de instantánea en el grupo de disponibilidad de la base de datos local (DAG) o sitio de Active Directory. |
HAREDIRECT | Se creó un mensaje de instantánea. |
HAREDIRECTFAIL | No se ha podido crear un mensaje de instantánea. Los detalles se almacenan en el campo source-context. |
INITMESSAGECREATED | Se envió un mensaje a un destinatario moderado, así que el mensaje se envió al buzón de correo de arbitraje para su aprobación. Para obtener más información, consulte Administrar la aprobación de mensajes. |
LOAD | Un mensaje se cargó correctamente durante el arranque. |
MODERATIONEXPIRE | Un moderador de un destinatario moderado nunca aprobó ni rechazó el mensaje, así que expiró. Para obtener más información sobre los destinatarios moderados, consulte Administrar la aprobación de mensajes. |
MODERATORAPPROVE | Un moderador de un destinatario moderado aprobó el mensaje, así que el mensaje se entregó al destinatario moderado. |
MODERATORREJECT | Un moderador de un destinatario moderado rechazó el mensaje, así que el mensaje no se entregó al destinatario moderado. |
MODERATORSALLNDR | No se pudo entregar ninguna de las solicitudes de aprobación enviadas a todos los moderadores de un destinatario moderado, lo que resultó en informes de no entrega (NDR). |
NOTIFYMAPI | Se detectó un mensaje en la bandeja de salida de un buzón del servidor local. |
NOTIFYSHADOW | Se detectó un mensaje en la bandeja de salida del servidor local, y se debe crear una copia instantánea del mensaje. |
POISONMESSAGE | Se incluyó o quitó un mensaje de la cola de mensajes dudosos. |
PROCESS | El mensaje se procesó correctamente. |
PROCESSMEETINGMESSAGE | El servicio de entrega de transporte de buzones de correo ha procesado un mensaje de reunión. |
RECEIVE | El componente de recepción SMTP recibió un mensaje del servicio de transporte o de los directorios de recogida o reproducción (origen: SMTP ), o se envió un mensaje desde un buzón al servicio de envío de transporte de buzones (origen: STOREDRIVER ). |
REDIRECT | Se redirigió un mensaje a un destinatario alternativo tras una búsqueda de Active Directory. |
RESOLVE | Los destinatarios de un mensaje se resolvieron para una dirección de correo electrónico distinta tras una búsqueda de Active Directory. |
RESUBMIT | Un mensaje se reenvió automáticamente desde la red de seguridad. Para obtener más información, consulte Red de seguridad. |
RESUBMITDEFER | Se aplazó un mensaje reenviado automáticamente desde la red de seguridad. |
RESUBMITFAIL | Error de un mensaje reenviado automáticamente desde la red de seguridad. |
SEND | SMTP envió un mensaje entre servicios de transporte. |
SUBMIT | El servicio de entrega de transporte de buzones de correo transmitió correctamente el mensaje al servicio de transporte. Para los eventos SUBMIT, la propiedad source-context contiene los siguientes detalles:
|
SUBMITDEFER | La transmisión de mensajes desde el servicio de entrega de transporte de buzones al servicio de transporte se aplazó. |
SUBMITFAIL | Error en la transmisión de mensajes desde el servicio de entrega de transporte de buzones al servicio de transporte. |
SUPPRESSED | La transmisión del mensaje se suprimió. |
THROTTLE | El mensaje se limitó. |
TRANSFER | Los destinatarios se han movido a un mensaje bifurcado debido a la conversión del contenido, los límites de destinatarios de mensajes o los agentes. Los orígenes incluyen ROUTING o QUEUE. |
Valores de origen en el registro de seguimiento de mensajes
Los valores en el campo source en el registro de seguimiento de mensajes indican el componente que es responsable del evento de seguimiento del mensaje. En la siguiente tabla se describen los valores del campo source.
Valor de origen | Description |
---|---|
ADMIN | El origen del evento fue la intervención humana. Por ejemplo, un administrador usó el Visor de cola para eliminar un mensaje o envió archivos de mensaje mediante el directorio de reproducción. |
AGENT | El origen del evento fue un agente de transporte. |
APPROVAL | El origen del evento fue el marco de la aprobación que se usa con los destinatarios moderados. Para obtener más información, consulte Administrar la aprobación de mensajes. |
BOOTLOADER | El origen del evento consistía en mensajes sin procesar que hay en el servidor durante el arranque. Esto está relacionado con el tipo de evento LOAD. |
DNS | El origen del evento fue una DNS. |
DSN | El origen del evento fue una notificación de estado de entrega (DSN). Por ejemplo, un informe de no entrega (NDR). |
GATEWAY | El origen del evento fue un conector externo. Para obtener más información, consulte Conectores externos. |
MAILBOXRULE | El origen del evento fue una regla de la bandeja de entrada. Para obtener más información, consulte Reglas de Bandeja de entrada. |
MEETINGMESSAGEPROCESSOR | El origen del evento ha sido el procesador de mensajes de reunión, que actualiza los calendarios según las actualizaciones de las reuniones. |
ORAR | El origen del evento fue un destinatario alternativo solicitado del originador (ORAR). Puede habilitar o deshabilitar la compatibilidad con ORAR en conectores de recepción mediante el parámetro OrarEnabled en los cmdlets New-ReceiveConnector o Set-ReceiveConnector . |
PICKUP | El origen del evento fue el directorio de recogida. Para obtener más información, consulte Directorio de recogida y directorio de reproducción. |
POISONMESSAGE | El origen del evento fue el identificador de mensaje dudoso. Para obtener más información sobre la cola de mensajes dudosos, consulte Colas |
PUBLICFOLDER | El origen del evento fue una carpeta pública habilitada para correo. |
QUEUE | El origen del evento fue una cola. |
REDUNDANCY | El origen del evento fue la redundancia de instantáneas. Para obtener más información, consulte Redundancia de instantánea. |
ROUTING | El origen del evento fue el componente de resolución de enrutamiento del categorizador en el servicio de transporte. |
SAFETYNET | El origen del evento fue la red de seguridad. Para obtener más información, consulte Red de seguridad. |
SMTP | El mensaje fue enviado por el componente de envío SMTP o el componente de recepción SMTP del servicio de transporte. |
STOREDRIVER | El origen del evento fue un envío MAPI desde un buzón de correo en el servidor local. |
Entradas de ejemplo en el registro de seguimiento de mensajes
Un mensaje sin eventos enviado entre dos usuarios genera varias entradas en el registro de seguimiento de mensajes. Puede ver los resultados usando el cmdlet Get-MessageTrackingLog. Para obtener más información, consulte Buscar en registros seguimiento de mensajes.
Este es un ejemplo condensado de las entradas de registro de seguimiento de mensajes creadas cuando el usuario chris@contoso.com envía correctamente un mensaje de prueba al usuario michelle@contoso.com. Ambos usuarios tienen buzones de correo en el mismo servidor.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problemas de seguridad del registro de seguimiento de mensajes
No se almacena ningún contenido de mensaje en el registro de seguimiento de mensajes. De manera predeterminada, la línea de asunto de un mensaje de correo electrónico se almacena en el registro de seguimiento de mensajes. Puede que desee deshabilitar el registro de asuntos de mensajes para cumplir con los requisitos de aumento de la seguridad o la privacidad. Para habilitar o deshabilitar el registro de asuntos de mensajes, compruebe la directiva de la organización sobre la revelación de información de las líneas de asunto. Para obtener más información, consulte Configurar el seguimiento de mensajes.