Suivi des messages dans le nouveau centre d’administration Exchange dans Exchange Online
Le suivi des messages dans le nouveau Centre d’administration Exchange (EAC) suit les messages électroniques qui transitent par votre organisation Microsoft 365. Vous pouvez déterminer si le service a reçu, rejeté, différé ou remis un message. Le suivi des messages indique également les actions effectuées sur le message avant qu’il n’atteigne son état final.
Le suivi des messages dans le nouveau CENTRE d’administration Exchange améliore la trace des messages d’origine qui était disponible dans le centre d’administration Exchange classique. Vous pouvez utiliser les informations du suivi des messages pour répondre efficacement aux questions des utilisateurs sur ce qui est arrivé aux messages, résoudre les problèmes de flux de messagerie et valider les modifications de stratégie.
Ce qu'il faut savoir avant de commencer
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
Autorisations Exchange Online : appartenance au groupe de rôles Gestion de l’organisation .
Autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général ou Administrateur Exchange donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Le nombre maximal de messages affichés dans les résultats dépend du type de rapport que vous avez sélectionné. Pour plus d’informations, consultez Résultats de la trace des messages. L’applet de commande Get-HistoricalSearch dans Exchange Online PowerShell retourne tous les messages dans les résultats.
Ouvrir la trace des messages
Dans le nouveau CENTRE d’administration Exchange à l’adresse https://admin.exchange.microsoft.com, accédez à Flux de messagerie>Suivi des messages. Ou, pour accéder directement à la page Suivi des messages, utilisez https://admin.exchange.microsoft.com/#/messagetrace.
Page de suivi des messages
Dans la page Suivi des messages, vous pouvez démarrer une nouvelle trace par défaut en sélectionnant Démarrer une trace.
Dans le menu volant Nouvelle trace de message qui s’ouvre, les sélections par défaut recherchent tous les messages pour tous les expéditeurs et destinataires des deux derniers jours. Vous pouvez également utiliser l’une des requêtes stockées à partir des onglets disponibles (telles qu’elles sont ou comme point de départ pour vos propres requêtes) :
- Requêtes par défaut : requêtes intégrées fournies par Microsoft 365.
- Requêtes personnalisées : requêtes enregistrées par les administrateurs de votre organisation pour une utilisation ultérieure.
- Requêtes enregistrées automatiquement : les 10 dernières requêtes exécutées récemment. Cette liste vous permet de reprendre facilement là où vous vous étiez arrêté.
L’onglet Rapports téléchargeables affiche les demandes de rapport téléchargeables et les rapports eux-mêmes lorsqu’ils sont disponibles en téléchargement.
Options d’une nouvelle trace de message
Les sections suivantes décrivent les paramètres disponibles dans le menu volant Nouvelle trace de message qui s’ouvre lorsque vous sélectionnez Démarrer une trace ou ouvrez une trace existante.
Expéditeurs et destinataires
La valeur par défaut pour Expéditeurs et Destinataires est All, mais vous pouvez entrer des valeurs spécifiques :
- Expéditeurs : cliquez dans la zone et commencez à taper pour entrer ou sélectionner un ou plusieurs expéditeurs de votre organisation.
- Destinataires : cliquez dans la zone et commencez à taper pour entrer ou sélectionner un ou plusieurs destinataires dans votre organisation.
Vous pouvez taper les adresses e-mail des expéditeurs et destinataires externes. Les caractères génériques sont pris en charge (par exemple, *@contoso.com
), mais vous ne pouvez pas utiliser plusieurs caractères génériques dans une seule valeur.
Vous pouvez coller plusieurs listes d’expéditeurs ou de destinataires séparées par des points-virgules (;
), des espaces (\s
), des retours chariot (\r
) ou de nouvelles lignes (\n
).
Intervalle de temps
Dans la section Intervalle de temps , la valeur par défaut est 2 jours, mais vous pouvez spécifier des plages de date/heure allant jusqu’à 90 jours. Lorsque vous utilisez des plages de date/heure, tenez compte des problèmes suivants :
Par défaut, vous sélectionnez l’intervalle de temps en mode Curseur à l’aide d’une chronologie.
L’enregistrement d’une requête en mode Curseur permet d’enregistrer l’intervalle de temps relatif (par exemple, deux jours à partir d’aujourd’hui).
Vous pouvez basculer vers l’affichage d’intervalle de temps personnalisé pour spécifier les valeurs suivantes :
- Fuseau horaire : s’applique à vos entrées de requête et résultats de requête.
- Date de début : date et heure.
- Date de fin : date et heure.
L’enregistrement d’une requête dans l’affichage Intervalle de temps personnalisé enregistre la plage de date/heure absolue (par exemple,
2023-05-06 13:00 to 2023-05-08 18:00
).
Pendant 10 jours ou moins, les résultats sont disponibles instantanément sous la forme d’un rapport de synthèse.
Si vous spécifiez une plage de dates/heures légèrement supérieure à 10 jours :
- Les résultats sont disponibles uniquement sous forme de fichier CSV téléchargeable ( rapport de synthèse amélioré ou rapport étendu).
- Les résultats sont préparés à l’aide des données de trace de message archivées. Le téléchargement du rapport peut prendre plusieurs heures. Selon le nombre d’autres administrateurs qui ont également envoyé des demandes de rapport à la même heure, vous pouvez également remarquer un délai avant le début du traitement d’une demande en file d’attente.
Options de recherche détaillées
Dans la section Options de recherche détaillée , les options suivantes sont disponibles :
État de remise : Les valeurs suivantes sont disponibles :
- Tout : il s’agit de la valeur par défaut.
- Remise : le message a été remis à la destination prévue.
- Développé : un destinataire de groupe de distribution a été développé avant la remise aux membres individuels du groupe.
- Échec : le message n’a pas été remis.
- En attente* : la remise du message est en cours de tentative ou de réatempestion.
- * Mis en quarantaine : le message a été mis en quarantaine (en tant que courrier indésirable, courrier en bloc ou hameçonnage). Pour plus d’informations, consultez Messages électroniques mis en quarantaine dans EOP.
- Filtré comme courrier indésirable* : le message a été identifié comme courrier indésirable et a été rejeté ou bloqué (non mis en quarantaine).
- Obtention de l’état : Le message a récemment été reçu par Microsoft 365, mais aucune autre donnée d’état n’est encore disponible. Vous pouvez vérifier à nouveau en quelques minutes.
* Cette valeur est disponible uniquement dans les recherches de moins de 10 jours. Si vous avez besoin d’interroger des données datant de plus de 10 jours, utilisez l’applet de commande Start-HistoricalSearch dans Exchange Online PowerShell.
Remarque
il peut y avoir un délai de cinq à dix minutes entre les valeurs d’état de remise signalée et réelle et signalée.
ID de message : ID de message Internet (également appelé ID client) qui se trouve dans le champ d’en-tête Message-ID dans l’en-tête du message. Les utilisateurs peuvent vous donner cette valeur pour examiner des messages spécifiques.
Cette valeur est constante pendant toute la durée de vie du message. Pour les messages créés dans Microsoft 365 ou Exchange, la valeur ID de message utilise le format
<GUID@ServerFQDN>
, y compris les crochets inclinés. Par exemple :<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
. D’autres systèmes de messagerie peuvent utiliser une syntaxe ou des valeurs différentes. Cette valeur est censée être unique, mais tous les systèmes de messagerie ne respectent pas strictement cette exigence. Si le champ Message-ID : header n’existe pas ou est vide pour les messages entrants provenant de sources externes, une valeur arbitraire est affectée.Lorsque vous utilisez l’ID de message pour filtrer les résultats, veillez à inclure la chaîne complète, y compris les crochets inclinés.
ID du message réseau : l’ID de message réseau est une valeur d’ID de message unique qui prévaut sur les copies du message qui peuvent être créées en raison de la bifurcation et dans le processus de transport des messages. Sa valeur est dynamique, même pour une copie de l’instance spécifique du message. Par conséquent, chaque version copiée de l’instance aura une valeur d’ID de message réseau différente.
Les différences entre l’ID de message réseau et l’ID de message sont résumées dans le tableau suivant :
ID de message réseau Message ID ID de l’instance spécifique d’un e-mail ID du message électronique Unique et persistant entre les copies du message qui peuvent être créées en raison de la bifurcation du message Constante pour la durée de vie du message Pour plus d’informations sur l’ID de message réseau, consultez les informations suivantes :
- Exchange Server : Journaux de suivi des messages
- Exchange Online : Rapports de suivi des messages améliorés
- Outlook : en-têtes de message
Pour suivre la valeur ID de message réseau et l’utiliser pour suivre des messages spécifiques dans Exchange Online, utilisez l’un des en-têtes de message suivants :
X-MS-Exchange-Organization-Network-Message-Id
X-MS-Office365-Filtering-Correlation-Id
X-MS-Exchange-CrossTenant-Network-Message-Id
Vous pouvez utiliser la valeur ID de message réseau de ces en-têtes pour récupérer des messages spécifiques. Par exemple :
- Messages envoyés par un expéditeur spécifique.
- Messages adressés à un destinataire spécifique.
- Message envoyé au cours d’une période spécifiée.
Vous pouvez également utiliser l’applet de commande Get-MessageTrace dans Exchange Online PowerShell pour suivre la valeur d’ID de message réseau .
L’exemple suivant utilise la valeur ID de message réseau pour rechercher les messages envoyés
john@contoso.com
entre le 13 juin 2024 et le 15 juin 2024 :- Le paramètre MessageTraceID utilise la valeur d’ID de message réseau , qui dans cet exemple est
2bbad36aa4674c7ba82f4b307fff549
. - Les résultats de la commande Get-MessageTrace sont redirigés vers l’applet de commande **Get-MessageTraceDetail. Les résultats vous permettent d’identifier :
- Valeur d’ID de message réseau .
- Messages spécifiques que cette valeur d’ID de message réseau permet de récupérer.
Get-MessageTrace -MessageTraceId 2bbad36aa4674c7ba82f4b307fff549f -SenderAddress john@contoso.com -StartDate 06/13/2024 -EndDate 06/15/2024 | Get-MessageTraceDetail
Direction : sélectionnez l’une des valeurs suivantes :
- Tout : il s’agit de la valeur par défaut.
- Entrant : messages envoyés aux destinataires de votre organisation.
- Sortant : messages envoyés par les utilisateurs de votre organisation.
Adresse IP du client d’origine : adresse IP de l’ordinateur client ou de l’appareil de l’expéditeur de l’e-mail. Vous pouvez utiliser ce filtre pour examiner les ordinateurs piratés qui envoient de grandes quantités de courrier indésirable ou de programmes malveillants. Bien que les messages puissent sembler provenir de plusieurs expéditeurs, il est probable que le même ordinateur génère tous les messages.
Remarque
Les informations d’adresse IP du client sont disponibles uniquement pendant 10 jours et uniquement dans le rapport de synthèse amélioré ou le rapport étendu (fichiers CSV téléchargeables).
Type de rapport
Les types de rapports disponibles sont les suivants :
Rapport de synthèse : disponible si l’intervalle de temps est inférieur à 10 jours et ne nécessite aucune autre option de filtrage. Les résultats sont disponibles presque immédiatement après avoir sélectionné Rechercher. Le rapport retourne jusqu’à 20 000 résultats.
Sélectionnez Rechercher pour démarrer la trace des messages. Vous êtes redirigé vers la page des résultats de recherche de suivi des messages, comme décrit dans la section Sortie du rapport de synthèse .
Les 10 dernières requêtes de rapport résumé sont disponibles sous l’onglet Requêtes enregistrées automatiquement sur la page Suivi des messages.
Rapport de synthèse amélioré : inclut les informations du rapport de synthèse ainsi que d’autres détails (par exemple, la direction et l’adresse IP du client d’origine). Disponible uniquement en tant que fichier CSV téléchargeable. Le rapport retourne jusqu’à 100 000 résultats.
Rapport étendu : inclut les mêmes informations que le rapport de synthèse étendu, ainsi que les détails complets des événements de routage et de message. Disponible uniquement en tant que fichier CSV téléchargeable. Le rapport retourne jusqu’à 1 000 résultats.
Le rapport de synthèse amélioré et le rapport étendu nécessitent une ou plusieurs des options de filtrage suivantes, quel que soit l’intervalle de temps : Expéditeurs, Destinataires ou ID de message.
Le rapport de synthèse amélioré et le rapport étendu sont préparés à l’aide des données de suivi des messages archivés. Le téléchargement du rapport peut prendre plusieurs heures. Selon le nombre d’autres administrateurs qui ont également envoyé des demandes de rapport à la même heure, vous pouvez également remarquer un délai avant le début du traitement d’une demande en file d’attente.
Bien que vous puissiez sélectionner le rapport de synthèse amélioré ou le rapport étendu pour n’importe quelle plage de dates/heures, les dernières 24 heures de données archivées ne sont généralement pas disponibles.
La taille maximale d’un fichier CSV téléchargeable est de 800 Mo. Si un rapport téléchargeable dépasse 800 Mo, vous ne pouvez pas ouvrir le rapport dans Excel ou le Bloc-notes.
Lorsque vous sélectionnez Suivant, vous êtes dirigé vers un menu volant de résumé qui répertorie les options de filtrage sélectionnées, un titre unique (modifiable) pour le rapport et l’adresse e-mail pour recevoir la notification à la fin de la trace des messages (également modifiable et doit se trouver dans l’un des domaines acceptés de votre organisation).
Sélectionnez Préparer le rapport pour envoyer le suivi des messages. Vous pouvez voir l’état du rapport sous l’onglet Rapports téléchargeables . Pour plus d’informations sur les données retournées, consultez les sections Rapports récapitulatives améliorés et Rapports étendus .
Remarque
L’adresse IP du serveur de protection sortante EOP, qui est incluse dans l’enregistrement SPF Microsoft 365, n’est affichée dans aucun type de rapport de suivi de message. Cette condition est par nature, car les rapports de suivi des messages sont générés avant l’intervention du serveur de protection sortant.
Résultats de la trace des messages
Les différents types de rapports retournent différents niveaux d’informations. Les informations disponibles dans les différents rapports sont décrites dans les sections suivantes :
Sortie du rapport de synthèse
Après avoir exécuté la trace des messages, les résultats sont triés par date/heure décroissantes (événements les plus récents en premier).
Le rapport Résumé contient les informations suivantes :
- Date : date et heure auxquelles le message a été reçu par le service, à l’aide du fuseau horaire UTC configuré.
- Expéditeur : adresse e-mail de l’expéditeur (domaine d’alias@).
- Destinataire : adresse e-mail du destinataire. Si le message a plusieurs destinataires, chaque destinataire se trouve sur une ligne distincte. Si le destinataire est un groupe de distribution, un groupe de distribution dynamique ou un groupe de sécurité à extension messagerie, le groupe est le premier destinataire, suivi de chaque membre du groupe sur une ligne distincte.
- Objet : les 256 premiers caractères du champ Objet : du message.
- État : ces valeurs sont décrites dans la section Options de recherche détaillées .
Par défaut, les 250 premiers résultats sont chargés et facilement disponibles. Lorsque vous faites défiler vers le bas, il y a une légère pause lorsque le lot de résultats suivant est chargé, jusqu’à un maximum de 10 000.
Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible.
Sous l’onglet E-mail, vous pouvez réduire l’espacement vertical dans la liste en cliquant sur Modifier l’affichage, puis en sélectionnant Liste compacte.
Utilisez la zone De recherche et une valeur correspondante pour rechercher des entrées spécifiques. Les caractères génériques ne sont pas pris en charge
Pour des filtres plus avancés que vous pouvez également enregistrer et utiliser ultérieurement, sélectionnez Filtrer , puis sélectionnez Nouveau filtre. Dans le menu volant Filtre personnalisé qui s’ouvre, entrez les informations suivantes :
Nommez votre filtre : entrez un nom unique.
Ajoutez une clause de filtre en entrant les informations suivantes :
-
Champ : sélectionnez parmi les valeurs suivantes :
- Sender
- Destinataire
- Sujet
- État
- Opérateur : sélectionner commence par ou est.
- Valeur : entrez la valeur que vous souhaitez rechercher.
Vous pouvez sélectionner Ajouter une nouvelle clause et répéter l’étape précédente autant de fois que nécessaire. Plusieurs clauses utilisent la logique AND (<Clause1> AND <Clause2>...).
Pour supprimer une clause de filtre, sélectionnez Supprimer la clause en regard de l’entrée.
Lorsque vous avez terminé dans le menu volant Filtre personnalisé , sélectionnez Enregistrer. Le nouveau filtre est automatiquement chargé et les résultats filtrés sont affichés sur la page Résultats de recherche de suivi des messages . Ce résultat est identique à la sélection de Filtre , puis à la sélection du filtre existant dans la section Filtres personnalisés de la liste.
Pour décharger un filtre existant et revenir aux informations par défaut affichées dans la page Résultats de recherche de suivi des messages, sélectionnez >Effacer tous les filtres.
-
Champ : sélectionnez parmi les valeurs suivantes :
Sélectionnez Modifier la trace des messages pour modifier les critères de recherche.
Utilisez Exporter les résultats pour exporter les résultats affichés dans un fichier CSV.
Sélectionnez Actualiser pour actualiser les résultats.
Rechercher les enregistrements associés pour ce message
Les enregistrements de messages associés sont des enregistrements qui partagent le même ID de message. N’oubliez pas qu’un seul message envoyé entre deux personnes peut générer plusieurs enregistrements. Le nombre d’enregistrements augmente lorsque le message est affecté par l’expansion du groupe de distribution, le transfert, les règles de flux de courrier (également appelées règles de transport), etc.
Dans la zone vide en regard de la colonne Date , cochez la case ronde qui s’affiche en regard de l’entrée. Les actions suivantes s’affichent dans la page de résultats Suivis des messages :
- Afficher dans l’Explorateur : ouvre le message dans l’Explorateur (Explorateur de menaces) dans les organisations avec Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations, voir À propos de l’Explorateur de menaces et des détections en temps réel dans Microsoft Defender pour Office 365.
- Go Hunting : recherche le message dans l’Explorateur de menaces dans les organisations avec Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations, voir Repérage des menaces dans l’Explorateur de menaces pour Microsoft Defender pour Office 365
- Rechercher des éléments associés : ouvre une nouvelle trace de message pour rechercher les enregistrements associés au message.
Pour plus d’informations sur l’ID de message, consultez la section Options de recherche détaillées .
Détails de la trace des messages
Dans la sortie du rapport de synthèse, vous pouvez afficher les détails d’un message en cliquant n’importe où dans la ligne autre que la case à cocher ronde qui s’affiche en regard de la valeur Date .
Les détails qui s’ouvrent contiennent les informations suivantes qui ne sont pas présentes dans le rapport de synthèse :
Événements de message : après avoir étendu cette section, vous pouvez voir des classifications qui permettent de catégoriser les actions que le service effectue sur les messages. Voici quelques-uns des événements les plus intéressants que vous pouvez rencontrer :
- Réception : le message a été reçu par le service.
- Envoyer : le message a été envoyé par le service.
- Échec : le message n’a pas pu être remis.
- Remise : le message a été remis à une boîte aux lettres.
- Développer : le message a été envoyé à un groupe de distribution qui a été développé.
- Transfert : les destinataires ont été déplacés vers un message bifurqué en raison de la conversion de contenu, des limites de destinataires de message ou des agents.
- Différer : la remise du message a été différée et peut être réattempérée ultérieurement.
- Résolu : le message a été redirigé vers une nouvelle adresse de destinataire en fonction d’une recherche Active Directory. Lorsque cet événement se produit, l’adresse du destinataire d’origine est répertoriée dans une ligne distincte dans la trace du message, ainsi que l’état de remise final du message.
- Règle DLP : le message avait une correspondance de règle DLP.
- Étiquette de confidentialité : Un événement d’étiquetage côté serveur s’est produit. Par exemple, une étiquette a été automatiquement ajoutée à un message qui inclut une action à chiffrer ou a été ajoutée via le client web ou mobile. Cette action est effectuée par le serveur Exchange et est journalisée. Une étiquette ajoutée via Outlook n’est pas incluse dans le champ de l’événement.
Remarques :
- Un message sans incident qui est correctement remis génère plusieurs entrées d’événement dans la trace du message. Pour obtenir une description d’autres événements, consultez Types d’événements dans le journal de suivi des messages. Ce lien est une rubrique Exchange Server (Exchange local).
Informations supplémentaires : Après avoir étendu cette section, vous pouvez afficher les détails suivants :
-
ID du message : cette valeur est décrite dans la section Options de recherche détaillées . Un exemple de valeur d’ID de message est
<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
. - Taille du message : taille du message envoyé, y compris les pièces jointes/images/texte.
- À partir de l’adresse IP : adresse IP de l’ordinateur qui a envoyé le message. Pour les messages sortants envoyés à partir d'Exchange Online, ce champ est vide.
- Vers l’adresse IP : adresse IP à laquelle le service a tenté de remettre le message. Si le message a plusieurs destinataires, ces adresses sont affichées. Pour les messages entrants envoyés à Exchange Online, ce champ est vide.
-
ID du message : cette valeur est décrite dans la section Options de recherche détaillées . Un exemple de valeur d’ID de message est
Rapports récapitulatives améliorés
Un rapport de synthèse amélioré est disponible sous l’onglet Rapports téléchargeables de la page Suivi des messages :
- Les rapports disponibles en téléchargement ont la valeur ÉtatTerminé
- Les rapports qui ne sont pas disponibles en téléchargement ont les valeurs ÉtatNon démarré ou En cours.
Les informations suivantes sont disponibles dans le fichier CSV du rapport de synthèse amélioré :
- *origin_timestamp : date et heure de réception initiale du message par le service, à l’aide du fuseau horaire UTC configuré.
- sender_address : adresse e-mail de l’expéditeur (domained’alias@).
-
Recipient_status : état de la remise du message au destinataire. Si le message a été envoyé à plusieurs destinataires, il affiche tous les destinataires et l’état correspondant pour chacun, au format : < adresse >e-mail##<status>. Voici quelques exemples d’états de destinataire :
- ##Receive, Envoyer signifie que le message a été reçu par le service et a été envoyé à la destination prévue.
- ##Receive, Échec signifie que le message a été reçu par le service, mais que la remise à la destination prévue a échoué.
- ##Receive, Remettre signifie que le message a été reçu par le service et remis à la boîte aux lettres du destinataire.
- message_subject : les 256 premiers caractères du champ Objet du message.
- total_bytes : taille du message en octets, pièces jointes comprises.
-
message_id : cette valeur est décrite dans la section Options de recherche détaillées . Un exemple de valeur message_id est
<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
. -
network_message_id : valeur d’ID de message unique qui est conservée sur toutes les copies du message qui peuvent être créées en raison de la bifurcation ou de l’expansion du groupe de distribution. Un exemple de valeur network_message_id est
1341ac7b13fb42ab4d4408cf7f55890f
. - original_client_ip : adresse IP du serveur SMTP de l’expéditeur.
- directionnalité : indique si le message a été envoyé entrant (vers votre organisation) ou sortant (de votre organisation).
- connector_id : nom du connecteur source ou de destination. Pour plus d’informations sur les connecteurs dans Exchange Online, voir Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.
- *delivery_priority : indique si le message a été envoyé avec une priorité élevée, faible ou normale.
* Ces propriétés sont disponibles uniquement dans un rapport de synthèse amélioré.
Rapports étendus
Un rapport étendu est disponible sous l’onglet Rapports téléchargeables de la page Suivi des messages :
- Les rapports disponibles en téléchargement ont la valeur ÉtatTerminé
- Les rapports qui ne sont pas disponibles en téléchargement ont les valeurs ÉtatNon démarré ou En cours.
Les informations suivantes sont disponibles dans le fichier CSV de rapport amélioré :
client_ip : adresse IP du serveur de messagerie ou du client de messagerie qui a envoyé le message.
client_hostname : nom d’hôte ou nom de domaine complet du serveur de messagerie ou du client de messagerie qui a envoyé le message.
server_ip : adresse IP du serveur source ou de destination.
server_hostname : nom d’hôte ou nom de domaine complet du serveur de destination.
source_context : informations supplémentaires associées au champ source . Par exemple :
Protocol Filter Agent
3489061114359050000
source : composant Exchange Online responsable de l’événement. Par exemple :
AGENT
MAILBOXRULE
SMTP
event_id : cette valeur correspond aux valeurs d’événement Message qui sont expliquées dans Rechercher les enregistrements associés pour ce message.
internal_message_id : identificateur de message attribué par le serveur Exchange Online qui traite actuellement le message.
recipient_address : adresses e-mail des destinataires du message. Les adresses de messagerie multiples sont séparées par des points-virgules (;).
recipient_count : nombre total de destinataires dans le message.
related_recipient_address : présentez des
EXPAND
événements ,REDIRECT
etRESOLVE
pour afficher les adresses e-mail des autres destinataires associées au message.référence : ce champ contient des informations supplémentaires pour des types d’événements spécifiques. Par exemple :
DSN : contient le lien de rapport, qui est la valeur message_id de la notification d’état de remise associée (également appelée DSN, rapport de non-remise, NDR ou message de rebond) si un DSN est généré après cet événement. Si ce message est un message DSN, ce champ contient la valeur message_id du message d’origine pour lequel le DSN a été généré.
EXPAND : contient la valeur related_recipient_address des messages associés.
RECEIVE : peut contenir la valeur message_id du message associé si le message a été généré par d’autres processus (par exemple, règles de boîte de réception).
SEND : contient la valeur internal_message_id de tout message DSN.
TRANSFER : contient la valeur internal_message_id du message qui est dupliqué (par exemple, par conversion de contenu, limites de destinataire du message ou agents).
MAILBOXRULE : contient la valeur internal_message_id du message entrant qui a provoqué la génération du message sortant par la règle de boîte de réception.
Pour les autres types d’événements, ce champ (internal_message_id) est vide.
return_path : adresse e-mail de retour spécifiée par la commande MAIL FROM qui a envoyé le message. Bien que ce champ ne soit jamais vide, la valeur d’adresse de l’expéditeur null peut être représentée sous la forme
<>
.message_info : informations supplémentaires sur le message. Par exemple :
- Date-heure d’origine du message au format UTC pour
DELIVER
les événements etSEND
. La date-heure d’origine est l’heure à laquelle le message est entré pour la première fois dans l’organisation Exchange Online. La date-heure UTC est représentée au format date-heure ISO 8601 :yyyy-MM-ddThh:mm:ss.fffZ
, oùyyyy
= année,MM
= mois,dd
= jour, indique le début du composant d’heure,hh
T
= heure,mm
= minute,ss
= seconde,fff
= fractions de seconde, etZ
signifieZulu
, ce qui est une autre façon de désigner UTC. - Erreurs d'authentification. Par exemple, vous pouvez voir la valeur
11a
et le type d’authentification qui a été utilisé lorsque l’erreur d’authentification s’est produite.
- Date-heure d’origine du message au format UTC pour
tenant_id : valeur GUID qui représente l’organisation Exchange Online (par exemple,
39238e87-b5ab-4ef6-a559-af54c6b07b42
).original_server_ip : adresse IP du serveur d’origine.
custom_data : contient des données relatives à des types d’événements spécifiques. Pour plus d'informations, voir les ressources suivantes :
custom_data valeurs
Le champ custom_data d’un AGENTINFO
événement est utilisé par différents agents Exchange Online pour enregistrer les détails du traitement des messages. Certains des agents les plus intéressants sont décrits dans les sections suivantes.
- Agent de filtrage du courrier indésirable
- Agent de filtrage des programmes malveillants
- Agent de règle de transport
Agent de filtrage du courrier indésirable
Une valeur custom_data qui commence par S:SFA
provient de l’agent de filtre anti-courrier indésirable. Pour plus d’informations, consultez Champs d’en-tête de message X-Forefront-Antispam-Report.
Voici un exemple de valeur custom_data pour un message filtré pour le courrier indésirable :
S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;
Agent de filtrage des programmes malveillants
Une valeur custom_data qui commence par S:AMA
provient de l’agent de filtre de programmes malveillants. Les détails clés sont décrits dans le tableau suivant :
Valeur | Description |
---|---|
AMA=SUM|v=1| ou AMA=EV|v=1 |
Un programme malveillant a été détecté dans le message.
SUM indique que le programme malveillant a pu être détecté par un certain nombre de moteurs.
EV indique que le programme malveillant a été détecté par un moteur spécifique. Lorsqu’un moteur détecte un programme malveillant, les actions suivantes sont déclenchées. |
Action=r |
Le message a été remplacé. |
Action=p |
Le message a été ignoré. |
Action=d |
Le message a été différé. |
Action=s |
Le message a été supprimé. |
Action=st |
Le message a été ignoré. |
Action=sy |
Le message a été ignoré. |
Action=ni |
Le message a été rejeté. |
Action=ne |
Le message a été rejeté. |
Action=b |
Le message a été bloqué. |
Name=<malware> |
Nom du programme malveillant détecté. |
File=<filename> |
Nom du fichier qui contenait le programme malveillant. |
Voici un exemple de valeur custom_data d’un message contenant un programme malveillant :
S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename
Agent de règle de transport
Une valeur custom_data qui commence parS:TRA
provient de l’agent de règle de transport pour les règles de flux de courrier (également appelées règles de transport). Les détails clés sont décrits dans le tableau suivant :
Valeur | Description |
---|---|
ETR|ruleId=<guid> |
ID de la règle qui s'applique. |
St=<datetime> |
Date et heure UTC auxquelles la correspondance de règle s’est produite. |
Action=<ActionDefinition> |
Action appliquée. Pour obtenir la liste des actions disponibles, consultez Actions de règle de flux de courrier dans Exchange Online. |
Mode=<Mode> |
Mode de la règle. Les valeurs valides sont les suivantes :
|
Voici un exemple de valeur custom_data pour un message qui correspond aux conditions d’une règle de flux de messagerie :
S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce