Noções Básicas do Rastreamento de Mensagens
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Um log de controle de mensagens é um log detalhado de toda atividade de mensagens, à medida que as mensagens são transferidas para e de um computador que esteja executando o Microsoft Exchange Server 2010 e com as funções de servidor Transporte de Hub, Caixa de Correio ou Transporte de Borda instaladas. Os servidores Exchange com as funções de servidor Acesso para Cliente ou Unificação de Mensagens instaladas não possuem logs de controle de mensagens. É possível usar os logs de controle de mensagens para análise forense de mensagens, análise de fluxo de mensagens, relatórios e solução de problemas.
Você pode usar o cmdlet Set-TransportServer para todas as tarefas de configuração de controle de mensagens em um servidor de Transporte de Hub ou de Transporte de Borda. Você pode usar o cmdlet Set-MailboxServer para todas as tarefas de configuração de controle de mensagens em um servidor de Caixa de Correio. Para os servidores com as funções de servidor Transporte de Hub e Caixa de Correio instaladas, você pode usar o cmdlet Set-TransportServer ou Set-MailboxServer. Esses cmdlets podem ser usados para realizar as seguintes alterações na configuração de controle de mensagens:
Enable or disable message tracking: O padrão é habilitado.
Specify the location of the message tracking log files
Specify a maximum size for the individual message tracking log files: O padrão é 10 MB.
Specify a maximum size for the directory that contains the message tracking log files: O padrão é 1.000 MB.
Specify maximum age for the message tracking log files: O padrão é 30 dias.
Enable or disable message subject logging in the message tracking logs O padrão é habilitado.
Dica
É possível também utilizar o Console de Gerenciamento do Exchange em um servidor de Transporte de Hub ou de Transporte de Borda para habilitar ou desabilitar o controle de mensagens e especificar o local dos arquivos de log de controle de mensagens.
O Exchange 2010 utiliza a rotação de logs para limitar os logs de controle de mensagens com base no tamanho e idade do arquivo. Isso ajuda a limitar o espaço do disco rígido utilizado pelos arquivos de log.
Estrutura dos arquivos de log de controle de mensagens
Por padrão, os arquivos de log de controle de mensagem estão em C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking.
A convenção de nomenclatura para os arquivos de log no diretório de log de controle de mensagens depende da função de servidor que está instalada. Em um servidor de Transporte de Hub ou de Transporte de Borda, os arquivos de log são chamados MSGTRKaaaammdd-nnnn.log. Em um servidor de Caixa de Correio, os arquivos de log são chamados MSGTRKMaaaammdd-nnnn.log. Quando as funções de servidor Transporte de Hub e Caixa de Correio estão instaladas no mesmo servidor, os arquivos de log separados que usam esses prefixos de nomes diferentes são criados no diretório do log de controle de mensagens.
Os marcadores nos nomes de arquivos de log representam as seguintes informações:
O marcador aaaammdd é a data UTC (tempo universal coordenado) em que o arquivo de log foi criado. aaaa = ano, mm = mês e dd = dia.
O marcador nnnn é um número de instância que começa com o valor 1 diariamente para cada prefixo de nome de arquivo de log de controle de mensagens.
As informações são gravadas em cada arquivo de log até que o tamanho do arquivo atinja o valor máximo especificado para cada arquivo de log. Em seguida, um novo arquivo de log com um número de instância incrementado é aberto. Esse processo se repete ao longo do dia. A funcionalidade de rotação de arquivo de log exclui os arquivos de log mais antigos quando alguma das condições a seguir for verdadeira:
Um arquivo de log atinge sua idade máxima especificada.
O diretório de logs de controle de mensagens atinge seu tamanho máximo especificado.
Importante
O tamanho máximo do diretório de log de controle de mensagens é calculado como o tamanho total de todos os arquivos de log que tenham o mesmo prefixo de nome. Outros arquivos que não seguem a convenção de prefixo de nome não são considerados no cálculo do tamanho total do diretório. Renomear arquivos de log antigos ou copiar outros arquivos no diretório de log de controle de mensagens pode fazer com que o diretório exceda o tamanho máximo especificado. Quando as funções de servidor Transporte de Hub e Caixa de Correio estiverem instaladas no mesmo servidor, o tamanho máximo do diretório de log de controle de mensagens não será o tamanho máximo especificado, pois os arquivos de log de controle de mensagens que são gerados pelas diferentes funções de servidor têm prefixos de nomes diferentes. Quando as funções de servidor Transporte de Hub e Caixa de Correio estiverem instaladas no mesmo servidor, o tamanho máximo do diretório de log de controle de mensagens é duas vezes o valor especificado.
Os arquivos de log de controle de mensagens são arquivos de texto que contêm dados no formato CSV (valor separado por vírgula). Cada arquivo de log de controle de mensagens possui um cabeçalho com as seguintes informações:
#Software: O nome do software que criou o arquivo de log de controle de mensagens. Geralmente, o valor é Microsoft Exchange Server.
#Version: O número da versão do software que criou o arquivo de log de controle de mensagens. Atualmente, o valor é 14.0.0.0.
#Log-Type: O valor deste campo é Log de Controle de Mensagens.
#Date: A data e a hora UTC do momento em que o arquivo de log foi criado. A data e a hora UTC é representada no formato de data e hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, onde aaaa = ano, mm = mês, dd = dia , hh = hora, mm = minutos, ss = segundos, fff = frações de um segundo e Z significa Zulu, que é outra maneira de indicar UTC.
#Fields: Os nomes de campos delimitados por vírgulas que são usados nos arquivos de log de controle de mensagens. Os seguintes campos são listados:
Informações que são gravadas no log de controle de mensagens
O log de controle de mensagens armazena cada evento de mensagem em uma única linha no log. Os tipos de eventos usados para classificar cada evento de mensagem são explicados na Tabela 1.
Tabela 1 Tipos de eventos usados para classificar cada evento de mensagem
Nome do evento | Descrição |
---|---|
BADMAIL |
Uma mensagem enviada pelo Diretório de recebimento ou pelo Diretório de repetição que não pode ser entregue ou devolvida. |
DELIVER |
Uma mensagem foi entregue a uma caixa de correio. |
DEFER |
A entrega da mensagem foi atrasada. |
notificação de status de entrega |
Uma notificação de status de entrega (DSN) foi gerada. |
DUPLICATEDELIVER |
Uma mensagem duplicada foi entregue ao destinatário. A duplicação pode ocorrer se um destinatário é membro de dois grupos de distribuição. As mensagens duplicadas são detectadas e removidas pelo repositório de informações. |
EXPAND |
Um grupo de distribuição foi expandido. |
FAIL |
Falha na entrega da mensagem. |
POISONMESSAGE |
Uma mensagem é colocada na fila de mensagens suspeitas ou removida dessa fila. |
RECEIVE |
Uma mensagem foi recebida e confirmada para o banco de dados. O evento RECEIVE pode ser recebimento SMTP (Origem: SMTP) ou email enviado por STOREDRIVER (Origem: STOREDRIVER). SMTP RECEIVE pode ser de qualquer origem que enviar uma mensagem usando SMTP. Por exemplo, ele pode ser uma função de servidor Transporte de Hub, uma função de servidor Transporte de Borda, um agente de transferência de mensagem de terceiros (MTA) ou um cliente POP/IMAP. STOREDRIVER RECEIVE é registrado em log pelo processo EdgeTransport.exe e é o evento que corresponde a um evento STOREDRIVER SUBMIT. STOREDRIVER SUBMIT é registrado em log pelo processo de Envio de Mensagens. Eles eventos podem estar no mesmo servidor se ambas as funções estiverem instaladas localmente ou em servidores diferentes. Dica O EdgeTransport.exe e o MSExchangeTransport.exe são os arquivos executáveis usados pelo Serviço de Transporte do Microsoft Exchange. Esse serviço é executado em cada servidor de Transporte de Hub ou Transporte de Borda. |
REDIRECT |
Uma mensagem foi redirecionada para um destinatário alternativo, após uma pesquisa do serviço de diretório do Active Directory. |
RESOLVE |
Os destinatários de uma mensagem foram resolvidos para um endereço de email diferente, após uma pesquisa do Active Directory. |
SEND |
Uma mensagem foi enviada pelo SMTP para um servidor diferente. |
SUBMIT |
Um evento SUBMIT é registrado em log pelo serviço de Envio de Mensagens em um computador do Exchange 2007 executando a função de servidor Caixa de Correio. O evento SUBMIT é registrado em log quando o serviço notificar com êxito um servidor de Transporte de Hub que uma mensagem está aguardando envio no repositório de caixa de correio. A propriedade SourceContext fornece a GUID do Banco de Dados de Mensagens (MDB), GUID de Caixa de Correio, número de seqüência do evento, classe Mensagem, carimbo de data/hora de Criação do envio do cliente a ser armazenado e tipo Cliente. O tipo Cliente pode ser Usuário (MAPI direto do Outlook), RPCHTTP (Outlook Anywhere), Outlook Web Access, serviço Web do (EWS) do Exchange, Exchange ActiveSync, Assistentes ou Transporte. Os logs de controle de mensagens que são gerados pela função de servidor Caixa de Correio contêm apenas eventos SUBMIT. |
TRANSFER |
Os destinatários foram movidos para uma mensagem bifurcada devido à conversão do conteúdo, limites de destinatário de mensagem ou agentes. |
As informações do evento da mensagem armazenadas em cada linha são organizadas por campos. Esses campos são separados por vírgulas. Geralmente, o nome do campo é suficientemente descritivo para determinar o tipo de informação que ele contém. Contudo, alguns campos podem estar em branco ou o tipo de informação armazenada no campo pode mudar com base no tipo de evento de mensagem descrito na Tabela 1. As descrições gerais dos campos usados para classificar cada evento de controle de mensagens são explicadas na Tabela 2.
Tabela 2 Campos usados para classificar cada evento de controle de mensagens
Nome do campo | Descrição |
---|---|
data-hora |
A data e a hora UTC do evento de controle de mensagens, representadas no formato ISO 8601. O valor é formatado como aaaa-mm-ddThh:mm:ss.fffZ, onde aaaa = ano, mm = mês, dd = dia, hh = hora, mm = minuto, ss = segundo, fff = frações de um segundo e Z significa Zulu, que é outra maneira de indicar UTC. |
client-ip |
O endereço TCP/IP do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
client-hostname |
O nome do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
server-ip |
O endereço TCP/IP do servidor Exchange de origem ou de destino. |
server-hostname |
O nome do servidor de destino. |
source-context |
Informações extras associadas ao campo de origem. |
connector-id |
O nome do Conector de envio ou do Conector de recebimento de origem ou de destino. |
source |
O componente de transporte do Exchange responsável pelo evento de controle de mensagens. Os valores possíveis para esse campo são:
|
event-id |
O tipo de evento de mensagem. Todos esses eventos estão descritos na Tabela 1, apresentada anteriormente neste tópico. Os valores possíveis são BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT e TRANSFER. |
internal-message-id |
Um identificador de mensagem atribuído pelo servidor Exchange 2010 que está processando atualmente a mensagem. O valor internal-message-id de uma mensagem específica é diferente no log de controle de mensagens de cada um dos servidores Exchange 2010 envolvidos na entrega da mensagem. |
message-id |
O valor do campo |
recipient-address |
Endereços de email dos destinatários da mensagem. Vários endereços de email são separados pelo caractere de ponto-e-vírgula (;). |
recipient-status |
Este campo é preenchido para um evento SEND ou FAIL. |
total-bytes |
O tamanho da mensagem incluindo anexos, em bytes. |
recipient-count |
O número de destinatários existentes na mensagem. |
related-recipient-address |
Este campo é usado com os eventos EXPAND, REDIRECT e RESOLVE para exibir os endereços de email de outros destinatários, associados à mensagem. |
reference |
Este campo contém informações adicionais para os tipos específicos de eventos: DSN O campo Reference contém a Internet-Message-Id da mensagem que provocou a notificação de status de entrega. SEND O campo Reference contém a Internet-Message-Id de quaisquer mensagens de notificação de status de entrega (DSN). TRANSFER O campo Reference contém a Internet-Message-Id da mensagem que está sendo bifurcada. Para todos os outros tipos de eventos, o campo Reference está em branco. |
message-subject |
O assunto da mensagem encontrado no campo do cabeçalho |
sender-address |
O endereço de email especificado no campo do cabeçalho |
return-path |
O endereço de email de retorno especificado por |
message-info |
Esse campo contém a data e a hora de criação da mensagem para os eventos DELIVER e SEND. A data e a hora de criação é o momento em que a mensagem entrou pela primeira vez na organização do Exchange. O valor é formatado como aaaa-mm-ddThh:mm:ss.fffZ, onde aaaa = ano, mm = mês, dd = dia, hh = hora, mm = minuto, ss = segundo, fff = frações de um segundo e Z significa Zulu, que é outra maneira de indicar UTC. |
Você pode usar o cmdlet Get-MessageTrackingLog no Shell de Gerenciamento do Exchange ou a ferramenta Controle de Mensagens no Console de Gerenciamento do Exchange para procurar mensagens usando critérios específicos de mensagens.
Problemas de segurança relacionados ao Log de Controle de Mensagens
Nenhum conteúdo de mensagem é armazenado no log de controle de mensagens. Por padrão, a linha de assunto de uma mensagem de email é armazenada no log de controle de mensagens. Se quiser desabilitar o log de assunto das mensagens para atender aos requisitos de segurança ou privacidade mais rigorosos. Antes de habilitar ou desabilitar o log de assunto das mensagens, verifique qual é a diretiva da sua organização quanto à revelação das informações da linha de assunto.
Para obter mais informações
Para obter mais informações, consulte os seguintes tópicos:
Configurar Controle de Mensagens
Pesquisar logs de rastreamento de mensagens
© 2010 Microsoft Corporation. Todos os direitos reservados.