メッセージ追跡の管理
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2011-04-04
メッセージ追跡ログは、ハブ トランスポート サーバーの役割、メールボックス サーバーの役割、またはエッジ トランスポート サーバーの役割がインストールされた Microsoft Exchange Server 2007 を実行するコンピュータがメッセージを送受信する際に記録される、すべてのメッセージ動作の詳細ログです。クライアント アクセス サーバーの役割またはユニファイド メッセージング サーバーの役割がインストールされている Exchange サーバーには、メッセージ追跡ログはありません。メッセージ追跡ログは、メッセージ フォレンシック、メール フローの分析、報告、およびトラブルシューティングに使用されます。
Set-TransportServer コマンドレットは、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーにおけるすべてのメッセージ追跡構成タスクに使用できます。Set-MailboxServer コマンドレットは、メールボックス サーバーにおけるすべてのメッセージ追跡構成タスクに使用できます。ハブ トランスポート サーバーの役割とメールボックス サーバーの役割がインストールされているサーバーには、Set-TransportServer コマンドレットまたは Set-MailboxServer コマンドレットを使用できます。これらのコマンドレットを使用すると、メッセージ追跡に関する以下の構成変更を行えます。
- メッセージ追跡を有効または無効にします。既定では有効になっています。
- メッセージ追跡ログ ファイルの場所を指定します。
- 個々のメッセージ追跡ログ ファイルの最大サイズを指定します。既定値は 10 MB です。
- メッセージ追跡ログ ファイルが格納されるディレクトリの最大サイズを指定します。既定値は 250 MB です。
- メッセージ追跡ログ ファイルの最大保存期間を指定します。既定値は 30 日です。
- メッセージ追跡ログで、メッセージの件名のログ収集を有効または無効にします。既定では有効になっています。
注 : |
---|
Microsoft Exchange Server 2007 Service Pack 1 (SP1) では、ハブ トランスポート サーバーまたはエッジ トランスポート サーバーで Exchange 管理コンソールを使用して、メッセージ追跡を有効または無効にしたり、メッセージ追跡ログ ファイルの場所を指定したりすることもできます。 |
既定では、Exchange 2007 サーバーは循環ログを使用し、ファイル サイズと保存期間の両方に基づいてメッセージ追跡ログを制限します。循環ログは、ログ ファイルに使用されるハード ディスク容量を制御するために役立ちます。
メッセージ追跡ログ ファイルの構造
既定では、メッセージ追跡ログ ファイルは C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking にあります。
メッセージ追跡ログ ディレクトリにあるログ ファイルの名前付け規則は、インストール先のサーバーの役割によって異なります。ハブ トランスポート サーバーまたはエッジ トランスポート サーバーでは、ログ ファイルの名前は MSGTRKyyyymmdd-nnnn.log になります。メールボックス サーバーでは、ログ ファイルの名前は MSGTRKMyyyymmdd-nnnn.log になります。ハブ トランスポート サーバーの役割とメールボックス サーバーの役割が同じサーバーにインストールされている場合は、メッセージ追跡ログ ディレクトリ内に、これらの異なる名前のプレフィックスを使用したログ ファイルがそれぞれ作成されます。
ログ ファイル名に含まれるプレースホルダは以下の情報を表しています。
- プレースホルダ yyyymmdd は、ログ ファイルを作成した世界協定時刻 (UTC) の日付です。ここで、yyyy = 年、mm = 月、dd = 日を表しています。
- プレースホルダ nnnn はインスタンス番号で、メッセージ追跡ログ ファイルの名前のプレフィックスごとに、毎日値 1 から始まります。
ファイル サイズが、ログ ファイルごとに指定されている最大値に達するまで、それぞれのログ ファイルに情報を書き込みます。ファイル サイズが指定された最大値に達したら、インスタンス番号を増やした新しいログ ファイルを開きます。このプロセスを終日繰り返します。循環ログでは、次のいずれかの条件が満たされると、最も古いログ ファイルが削除されます。
- ログ ファイルが指定された最大保存期間に達する。
- メッセージ追跡ログ ディレクトリが指定された最大サイズに達する。
重要 : メッセージ追跡ログ ディレクトリの最大サイズは、名前のプレフィックスが同じログ ファイルの合計サイズとして計算されます。同じプレフィックスの表記規則に従っていない他のファイルは、合計ディレクトリ サイズの計算には含まれません。古いログ ファイルの名前を変更したり、他のファイルをメッセージ追跡ログ ディレクトリにコピーしたりすると、ディレクトリが指定した最大サイズを超える場合があります。ハブ トランスポート サーバーの役割とメールボックス サーバーの役割が同じサーバーにインストールされている場合、メッセージ追跡ログ ディレクトリの最大サイズは、指定された最大サイズではありません。これは、別のサーバーの役割によって生成されるメッセージ追跡ログ ファイルには、これとは異なる名前のプレフィックスが付けられるためです。ハブ トランスポート サーバーの役割とメールボックス サーバーの役割が同じサーバーにインストールされている場合、メッセージ追跡ログ ディレクトリの最大サイズは、指定された値の 2 倍になります。
メッセージ追跡ログ ファイルは、データをコンマ区切り (CSV) 形式で格納するテキスト ファイルです。個々のメッセージ追跡ログ ファイルには、以下の情報を含むヘッダーがあります。
- #Software: メッセージ追跡ログ ファイルを作成したソフトウェアの名前です。通常、この値は Microsoft Exchange Server です。
- #Version: メッセージ追跡ログ ファイルを作成したソフトウェアのバージョン番号です。現在、この値は 8.0.0.0 です。
- #Log-Type: このフィールドの値は、メッセージ追跡ログです。
- #Date: ログ ファイルが作成された UTC の日時です。UTC の日時は次のような ISO 8601 の日時形式で表されます。yyyy-mm-ddThh:mm:ss.fffZ。ここでは yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数であり、Z は UTC の別の呼び方である Zulu を表しています。
- #Fields: メッセージ追跡ログ ファイルで使用されているフィールド名をコンマで区切ったものです。
メッセージ追跡ログに書き込まれる情報
メッセージ追跡ログでは、個々のメッセージ イベントがログの 1 行として格納されます。各メッセージ イベントの分類に使用されるイベントの種類を表 1 に示します。
表 1 各メッセージ イベントの分類に使用されるイベントの種類
イベント名 | 説明 |
---|---|
BADMAIL |
ピックアップ ディレクトリまたは再生ディレクトリによって、配信または返却できないメッセージが発信された。 |
DELIVER |
メッセージがメールボックスに配信された。 |
DEFER |
メッセージの配信の遅延が発生した。 |
DSN |
配信状態通知 (DSN) が生成された。 |
DUPLICATEDELIVER |
重複するメッセージが受信者に配信された。重複は、受信者が 2 つの配布グループのメンバである場合に発生することがあります。重複するメッセージはインフォメーション ストアによって検出され、削除されます。 |
EXPAND |
配布グループが展開された。 |
FAIL |
メッセージの配信が失敗した。 |
POISONMESSAGE |
メッセージが有害メッセージ キューに格納されたか、または有害メッセージ キューから削除された。 |
RECEIVE |
メッセージが受信され、データベースにコミットされた。RECEIVE イベントは、SMTP 受信 (送信元 : SMTP) の場合と、STOREDRIVER によって送信されたメール (送信元 : STOREDRIVER) の場合があります。 SMTP RECEIVE の送信元は、SMTP を使用してメッセージを送信する任意の送信元になります。たとえば、ハブ トランスポート サーバーの役割、エッジ トランスポート サーバーの役割、サード パーティのメッセージ転送エージェント (MTA)、POP/IMAP クライアントなどです。 STOREDRIVER RECEIVE は、エッジ トランスポート プロセスによってログに記録され、STOREDRIVER SUBMIT イベントに対応するイベントです。STOREDRIVER SUBMIT は、メール発信プロセスによってログに記録されます。これらのイベントは、同じサーバーで発生する場合 (両方の役割がローカルにインストールされている場合) と別のサーバーで発生する場合があります。 |
REDIRECT |
Active Directory ディレクトリ サービス参照後に、メッセージが代替受信者にリダイレクトされた。 |
RESOLVE |
Active Directory 参照後に、メッセージの受信者が別の電子メール アドレスに解決された。 |
SEND |
メッセージが SMTP (簡易メール転送プロトコル) によって別のサーバーに送信された。 |
SUBMIT |
SUBMIT イベントは、メールボックス サーバーの役割を実行している Exchange 2007 コンピュータ上のメール発信サービスによってログに記録されます。SUBMIT イベントは、このサービスが、メールボックス ストア内でメッセージが発信待機中であることを、ハブ トランスポート サーバーに通知したときにログに記録されます。 SourceContext プロパティは、メッセージング データベース (MDB) GUID、メールボックス GUID、イベント シーケンス番号、メッセージ クラス、ストアへのクライアント発信の作成タイム スタンプ、およびクライアントの種類を提供します。クライアントの種類は、ユーザー (Outlook ダイレクト MAPI)、RPCHTTP (Outlook Anywhere)、Outlook Web Access、Exchange Web サービス (EWS)、Exchange ActiveSync、アシスタント、またはトランスポートです。メールボックス サーバーの役割によって生成されたメッセージ追跡ログには、SUBMIT イベントのみが含まれます。 |
TRANSFER |
コンテンツ変換、メッセージの受信者制限、またはエージェントが原因で、フォークされているメッセージに受信者が移動された。 |
各行のメッセージ イベント情報は、フィールドごとにまとめられています。これらのフィールドはコンマで区切られています。通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。ただし、フィールドが空白である場合や、表 1 に示されているようにメッセージ イベントの種類によってフィールドに格納されている情報の種類が異なる場合があります。各メッセージ追跡イベントの分類に使用されるフィールドの概要を表 2 に示します。
表 2 各メッセージ追跡イベントの分類に使用されるフィールド
フィールド名 | 説明 |
---|---|
date-time |
メッセージ追跡イベントの UTC 日時で、ISO 8601 形式で表されます。値は yyyy-mm-ddThh:mm:ss.fffZ 形式で記述されます。ここでは yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数であり、Z は UTC の別の呼び方である Zulu を表しています。 |
client-ip |
メッセージを発信したメッセージング サーバーまたはメッセージング クライアントの TCP/IP アドレスです。 |
client-hostname |
メッセージを発信したメッセージング サーバーまたはメッセージング クライアントの名前です。 |
server-ip |
発信元または発信先 Exchange サーバーの TCP/IP アドレスです。 |
server-hostname |
発信先サーバーの名前です。 |
source-context |
source フィールドに関連する追加情報です。 |
connector-id |
発信元または発信先の送信コネクタまたは受信コネクタの名前です。 |
source |
そのメッセージ追跡イベントを担当する Exchange トランスポート コンポーネントです。このフィールドが取り得る値は以下のとおりです。
|
event-id |
メッセージ イベントの種類です。これらのイベントについては、このトピックの表 1 で詳しく説明されています。取り得る値は、BADMAIL、DEFER、DELIVER、DSN、EXPAND、FAIL、POISONMESSAGE、RECEIVE、REDIRECT、RESOLVE、SEND、SUBMIT、および TRANSFER です。 |
internal-message-id |
そのメッセージを現在処理している Exchange 2007 サーバーによって割り当てられたメッセージ ID です。 各メッセージの internal-message-id の値は、そのメッセージの配信に関係するすべての Exchange 2007 サーバーのメッセージ追跡ログで異なります。 |
message-id |
メッセージのヘッダー フィールドにある |
recipient-address |
メッセージの受信者の電子メール アドレスです。複数の電子メール アドレスは、セミコロン (;) で区切られています。 |
recipient-status |
このフィールドは、SEND イベントまたは FAIL イベントの場合に設定されます。 |
total-bytes |
添付ファイルを含むメッセージのサイズを、バイト単位で表します。 |
recipient-count |
メッセージ内の受信者の数です。 |
related-recipient-address |
このフィールドは、EXPAND、REDIRECT、および RESOLVE イベントの場合に、そのメッセージに関連する他の受信者の電子メール アドレスを表示するために使用します。 |
reference |
このフィールドには、イベントの種類に応じた追加情報が含まれます。 DSN reference フィールドには、DSN が発生したメッセージの Internet-Message-Id が含まれます。 SEND reference フィールドには、任意の配信状態通知 (DSN) メッセージの Internet-Message-Id が含まれます。 TRANSFER reference フィールドには、フォークされているメッセージの internal-message-id が含まれます。 イベントが他の種類である場合、reference フィールドは空白です。 |
message-subject |
|
sender-address |
|
return-path |
メッセージ エンベロープの |
message-info |
このフィールドには、DELIVER および SEND イベントの場合のメッセージ発生日時が含まれます。発生日時とは、そのメッセージが Exchange 組織に最初に入ったときです。値は yyyy-mm-ddThh:mm:ss.fffZ 形式で記述されます。ここでは yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒の端数であり、Z は UTC の別の呼び方である Zulu を表しています。 |
特定のメッセージ条件を使用してメッセージを検索するには、Exchange 管理シェルで Get-MessageTrackingLog コマンドレットを使用するか、Exchange 管理コンソールでメッセージ履歴管理ツールを使用します。
メッセージ追跡ログに関するセキュリティ上の考慮事項
メッセージ追跡ログには、メッセージのコンテンツは格納されません。既定では、電子メール メッセージの件名がメッセージ追跡ログに格納されます。セキュリティまたはプライバシーの強化された要件に従うために、メッセージの件名のログ収集を無効にする必要がある場合があります。メッセージの件名のログ収集を有効または無効にする場合は、事前に件名の情報の表示に関する組織のポリシーを確認してください。
詳細情報
詳細については、以下のトピックを参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。