Pesquisar logs de rastreamento de mensagens
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Este tópico descreve como usar o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange para pesquisar os logs de controle de mensagens.
Um log de controle de mensagens é um log detalhado de todas as atividades de mensagens, à medida que transferidas para e de um computador baseado no Microsoft Exchange Server 2010, que possui a função de servidor Transporte de Hub, Caixa de Correio ou Transporte de Borda instalada. Os servidores Exchange com a função de servidor Acesso para Cliente ou de Unificação de Mensagens não têm logs de controle de mensagens. É possível usar logs de controle de mensagens para análise forense de mensagens, para análise de fluxo de mensagens, para criação de relatórios e para solução de problemas.
Você pode usar o cmdlet Get-MessageTrackingLog no Shell de Gerenciamento do Exchange e a ferramenta Controle de Mensagens no Console de Gerenciamento do Exchange para pesquisar entradas nos logs de controle de mensagens, usando critérios específicos.
Antes de começar
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Acompanhamento de mensagens" no tópico Permissões de Transporte.
Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange 2010, consulte Entendendo as Permissões.
Quando você procurar o log de controle de mensagens em um servidor de Transporte de Hub ou em um servidor de caixa de correio, não será possível acessar os logs de controle de mensagens em um servidor de Transporte de Borda. Se desejar pesquisar os logs de controle de mensagens em um servidor de Transporte de Borda, você deverá executar o cmdlet Get-MessageTrackingLog ou a ferramenta Controle de Mensagens diretamente do servidor de Transporte de Borda.
Uma pesquisa dos logs de controle de mensagens depende do serviço de Pesquisa de Log de Transporte do Microsoft Exchange. Se desabilitar ou interromper esse serviço, não será possível pesquisar o log de controle de mensagens. No entanto, interromper este serviço não afeta outros recursos no Exchange.
Importante
Não é possível copiar o log de controle de mensagens de um servidor que está executando o Microsoft Exchange e depois pesquisar usando o cmdlet Get-MessageTrackingLog ou a ferramenta Controle de Mensagens. Além disso, se você salvar um log de controle de mensagens, a alteração no carimbo de data e hora no arquivo de log de controle de mensagens irá interromper a lógica da consulta que o Exchange utiliza para pesquisar os logs.
Critérios de pesquisas de log de controle de mensagens
Embora vários campos de dados estejam disponíveis para cada entrada de log de controle de mensagens, nem todos os campos podem ser usados como filtro de pesquisa. Além disso, o Shell de Gerenciamento do Exchange fornece mais flexibilidade para buscas por conta dos vários filtros de pesquisa que estão disponíveis para usar com o cmdlet Get-MessageTrackingLog.
Filtros de pesquisa comuns usados com o Cmdlet Get-MessageTrackingLog
Os filtros de pesquisa descritos na lista a seguir estão disponíveis para uso com o cmdlet Get-MessageTrackingLog no Shell de Gerenciamento do Exchange:
Dica
Não há suporte para o uso de um filtro de pesquisa que contenha um valor parcial ou vários valores, a não ser que tenha sido especificado de outra forma.
Recipients Esse filtro de pesquisa usa o campo de endereço do destinatário. Você deve digitar o endereço de email completo do destinatário. Valores de vários destinatários podem ser especificados usando vírgulas como delimitadores. Vários destinatários individuais que são incluídos em uma única mensagem são registrados usando uma única entrada do log de controle de mensagens. Os destinatários do grupo de distribuição não expandido são registrados usando o endereço de email SMTP do grupo de distribuição.
Sender Esse filtro de pesquisa usa o campo do remetente. Você deve digitar o endereço de email completo do remetente. Esse campo contém o endereço de email do remetente, especificado no campo de cabeçalho
Sender:
ou no campo de cabeçalhoFrom:
, seSender:
não estiver presente.Server Esse filtro de pesquisa especifica o servidor Exchange que contém os logs de controle de mensagens a serem pesquisados. Você pode descrever o servidor usando um dos seguintes valores:
Nome
Nome de domínio totalmente qualificado (FQDN)
Nome diferenciado (DN)
DN Herdado do Exchange
GUID
EventID Esse filtro de pesquisa usa o campo ID de evento. Na ferramenta Controle de Mensagens, você seleciona o valor do EventID em uma lista suspensa. No cmdlet Get-MessageTrackingLog, você digita o valor de EventID como texto. Entretanto, o valor deve corresponder exatamente a um dos valores possíveis de EventID. EventID é a classificação de eventos atribuída a cada entrada do log de controle de mensagens. Os valores disponíveis são:
BADMAIL
DEFER
DELIVER
notificação de status de entrega
EXPAND
FAIL
POISONMESSAGE
RECEIVE
REDIRECT
RESOLVE
SEND
SUBMIT
TRANSFER
MessageID Esse filtro de pesquisa usa o campo ID da mensagem. MessageID é o valor do campo de cabeçalho
Message-ID:
. Se o campo de cabeçalhoMessage-ID:
não existir ou estiver vazio, um valor arbitrário será atribuído. Esse valor é constante durante o tempo de vida da mensagem.InternalMessageID Esse filtro de pesquisa usa o campo ID da mensagem interna. InternalMessageID é um inteiro identificador de mensagem, atribuído pelo servidor Exchange que está processando a mensagem no momento.
Assunto O parâmetro no cmdlet Get-MessageTrackingLog é chamado de MessageSubject. Esse filtro de pesquisa usa o campo assunto da mensagem. Há suporte para valores parciais. Esse é o assunto da mensagem, especificado no campo de cabeçalho
Subject:
. O rastreamento de assuntos de mensagens é controlado pelo parâmetro MessageTrackingLogSubjectLoggingEnabled no cmdlet Set-TransportServer, nos servidores de Transporte de Hub e de Transporte de Borda e pelo cmdlet Set-MailboxServer nos servidores de Caixa de Correio. Por padrão, o log de assunto das mensagens está habilitado. Você pode desabilitar o log de assunto das mensagens, definindo o valor do parâmetro MessageTrackingLogSubjectLoggingEnabled como$False
.Reference Esse filtro de pesquisa usa o campo de referência. Este campo contém informações adicionais para tipos específicos de eventos. Para um evento DSN, o campo de referência contém a
MessageID:
da mensagem que provocou a DSN. Para um evento SEND, o campo de referência contém aMessageID:
de todas as mensagens de DSN. Para um evento TRANSFER, o campo de referência contém aMessageID:
da mensagem bifurcada.Start Esse filtro de pesquisa usa o campo data e hora para procurar entradas de controle de mensagens iniciadas pela hora e data de término especificadas. Você pode usar apenas esse filtro para recuperar todas as entradas de log de controle de mensagens posteriores à data e hora especificadas ou como um limite inferior, usando o parâmetro End.
End Esse filtro de pesquisa usa o campo data e hora para procurar entradas de controle de mensagens até, mas sem incluir, a hora e data de término especificadas. Você pode usar apenas esse filtro para recuperar todas as entradas de log de controle de mensagens anteriores à data e hora especificadas ou como um limite superior, usando o parâmetro Start.
Dica
O campo data e hora no log de controle de mensagens armazena informações no formato UTC (Tempo Universal Coordenado). Contudo, você deve inserir os critérios de pesquisa de data e hora no formato de data e hora regional do computador que você estiver usando para realizar a pesquisa. As ferramentas de pesquisa do log de controle de mensagens convertem automaticamente a sua consulta de data e hora regional para o formato UTC. Os resultados da pesquisa são convertidos automaticamente do formato UTC para o seu formato de data e hora regional, para fins de exibição. O campo data e hora registra a data e a hora de um determinado evento de controle de mensagens. A data e a hora de origem da mensagem correspondem à data e à hora em que a mensagem é inserida pela primeira vez na organização do Exchange. A data e a hora de origem da mensagem são armazenadas no campo informações da mensagem para todos os eventos ENVIAR e ENTREGAR.
Filtros de pesquisa distintos no Console de Gerenciamento do Exchange e no Shell de Gerenciamento do Exchange
No Shell de Gerenciamento do Exchange, o cmdlet Get-MessageTrackingLog oferece mais controle sobre o número de resultados de pesquisa exibidos, usando o parâmetro ResultSize. Por padrão, uma pesquisa exibe até 1.000 resultados. Contudo, é possível alterar o valor máximo para um número específico. Você também pode exibir todos os resultados, usando o valor Unlimited
. A ferramenta Controle de Mensagens no Console de Gerenciamento do Exchange não dispõe de um método para personalizar o número máximo dos resultados de pesquisa exibidos.
Pesquisando os logs de controle de mensagens no Shell de Gerenciamento do Exchange
A tabela a seguir lista os filtros de pesquisa disponíveis, usando o cmdlet Get-MessageTrackingLog no Shell de Gerenciamento do Exchange.
Filtros de pesquisa disponíveis usando o cmdlet Get-MessageTrackingLog
Filtro de pesquisa | Campo correspondente no log de controle de mensagens |
---|---|
Final |
data-hora |
EventId |
event-id |
InternalMessageId |
internal-message-id |
IdMensagem |
message-id |
MessageSubject |
message-subject |
Destinatários |
recipient-address |
Referência |
referência |
ResultSize |
Nenhuma. Esse parâmetro limita o número de resultados exibidos pela pesquisa. |
Sender |
sender-address |
Iniciar |
data-hora |
Todos os parâmetro disponíveis com o cmdlet Get-MessageTrackingLog são opcionais. Se inserir o cmdlet Get-MessageTrackingLog sem qualquer parâmetro, você visualizará uma exibição das últimas 1.000 entradas do log de controle de mensagens.
Para usar o Shell de Gerenciamento do Exchange para pesquisar os logs de controle de mensagens
Execute o seguinte comando:
Get-MessageTrackingLog <SearchFilters>
Por exemplo, para pesquisar o log de controle de mensagens de todas as entradas em 28/03/2011, das 8:00 às 17:00, para todos os eventos de FALHA enviados por pat@contoso.com, execute o seguinte comando:
Get-MessageTrackingLog -ResultSize Unlimited -Start "3/28/2011 8:00AM" -End "3/28/2011 5:00PM" -EventId "Fail" -Sender "pat@contoso.com"
Controlando a saída de uma pesquisa de log de controle de mensagens realizada no Shell de Gerenciamento do Exchange
Quando você fizer um log de controle de mensagens, usando o cmdlet Get-MessageTrackingLog, nem todos os campos serão exibidos para cada evento de controle de mensagens. A tabela a seguir lista os campos exibidos, por padrão, pelo cmdlet Get-MessageTrackingLog.
Campos exibidos, por padrão, pelo cmdlet Get-MessageTrackingLog
Campo Pesquisa | Campo correspondente no log de controle de mensagens |
---|---|
EventId |
event-id |
Origem |
message-source |
Sender |
sender-address |
Destinatários |
recipient-address |
MessageSubject |
message-subject |
Você pode controlar a saída do cmdlet Get-MessageTrackingLog, usando as opções de saída de comando no Shell de Gerenciamento do Exchange, de acordo com as seguintes diretrizes:
É possível controlar o formato de saída da pesquisa de log de controle de mensagens. Os resultados podem ser exibidos em uma lista ou tabela.
Importante
Mesmo que o formato de tabela seja uma boa escolha para um formato de saída, talvez não seja o melhor. Se o campo exibido na tabela apresentar valores muito extensos, serão truncados para se ajustarem à largura das colunas da tabela. O truncamento também ocorrerá, se você tentar exibir muitos campos ao mesmo tempo. Os valores completos do campo estarão sempre presentes, se você usar o formato de lista. Para visualizar mais colunas, também é possível aumentar a largura da janela do Shell de Gerenciamento do Exchange do valor padrão de 80 caracteres. Ajuste o tamanho da janela do Shell de Gerenciamento do Exchange nas propriedades da janela do Shell de Gerenciamento do Exchange.
Você pode ocultar ou exibir determinados campos retornados por uma pesquisa de log de controle de mensagens. Há suporte para caracteres curinga (*).
É possível enviar os resultados da pesquisa para um arquivo.
Os nomes dos campos exibidos pelos resultados do cmdlet Get-MessageTrackingLog são os mesmos nomes de campo que podem ser usados para filtrar os resultados de pesquisa. Esses nomes de campos diferem um pouco dos nomes dos campos reais armazenados no log de controle de mensagens. A tabela a seguir justapõe os nomes de campo usados no log de controle de mensagens e os nomes de campo usados pelo cmdlet Get-MessageTrackingLog.
Comparando os nomes de campo usados no log de controle de mensagens com os nomes de campo usados pelo cmdlet Get-MessageTrackingLog
Nome de campo usado no log de controle de mensagens | Nome de campo usado para filtrar os resultados do Get-MessageTrackingLog |
---|---|
data-hora |
Timestamp |
client-ip |
ClientIp |
client-hostname |
ClientHostname |
server-ip |
ServerIp |
server-hostname |
ServerHostname |
source-context |
SourceContext |
connector-id |
ConnectorId |
source |
Origem |
event-id |
EventId |
internal-message-id |
InternalMessageId |
message-id |
IdMensagem |
recipient-address |
Destinatários |
recipient-status |
RecipientStatus |
total-bytes |
TotalBytes |
recipient-count |
RecipientCount |
related-recipient-address |
RelatedRecipientAddress |
referência |
Referência |
message-subject |
MessageSubject |
sender-address |
Sender |
return-path |
ReturnPath |
message-info |
MessageInfo |
Para usar o Shell de Gerenciamento do Exchange para controlar a saída de uma pesquisa dos logs de controle de mensagens
Use o seguinte comando:
Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> <FieldNames> <OutputFileOptions>
Por exemplo, para pesquisar os logs de controle de mensagens para os primeiros 1.000 eventos Enviar, exiba os resultados mostrados no formato de lista, os valores de qualquer nome de campo iniciado por "Enviar" ou "Receber", grave os resultados em um novo arquivo com o nome "C:\send search.txt" e execute o comando a seguir:
Get-MessageTrackingLog -EventId "Send" | Format-List Send*,Receive* > "C:\send search.txt"
Pesquisando os logs de controle de mensagens em vários servidores usando o Shell de Gerenciamento do Exchange
Uma propriedade da mensagem que permanece constante enquanto ela percorre a organização do Exchange é o valor do campo de cabeçalho da MessageID:
. Esse valor é denominado InternetMessageId
nos utilitários de visualização de filas e MessageId
nos utilitários de log de controle de mensagens. Depois de determinar o valor da MessageID:
, você pode pesquisar essa mensagem nos logs de controle de mensagens em todos os servidores de Transporte de Hub ou de Caixa de Correio da organização do Exchange.
Para usar o Shell de Gerenciamento do Exchange para pesquisar as entradas do log de controle de mensagens em busca de uma mensagem específica nos servidores de Transporte de Hub e de Caixa de Correio
Use o seguinte comando:
Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "<messageid>" | Select-Object <commaseparatedfieldnames> | Sort-Object -Property <field>
Por exemplo, para pesquisar os logs de controle de mensagens em todos os servidores de Transporte de Hub e de Caixa de Correio para todas as entradas relacionadas com a mensagem que tem uma
MessageID:
deba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com
, para exibir os camposdate-time
,server-hostname
,client-hostname
,source
,event-id
erecipient-address for each entry
, e para classificar os resultados pelos campos dedate-time
, execute o seguinte comando:Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com" | Select-Object Timestamp,ServerHostname,ClientHostname,Source,EventId,Recipients | Sort-Object -Property Timestamp
Para informações detalhadas de sintaxes e de parâmetros, consulte get-MessageTrackingLog.
Para obter mais informações sobre as opções de saída de comando no Shell de Gerenciamento do Exchange, consulte Usando o PowerShell com o Exchange 2010 (Shell de Gerenciamento do Exchange).
Pesquisando os logs de controle de mensagens no Console de Gerenciamento do Exchange
Para usar o Console de Gerenciamento do Exchange para pesquisar o log de controle de mensagens
Inicie o Console de Gerenciamento do Exchange.
Na árvore do console, clique em Caixa de Ferramentas. No painel de resultados, clique em Controle de Mensagens. No painel de ações, clique em Abrir ferramenta.
Efetue logon no Outlook Web App quando solicitado.
Na lista Selecione o que gerenciar, clique em Minha organização e depois clique em Relatório no painel de navegação.
Defina os critérios da pesquisa do log de controle de mensagens, configurando os valores para as opções disponíveis a seguir:
Procurar mensagens Clique em Procurar e selecione a caixa de correio desejada.
Pesquisar por mensagens enviadas para Clique nesta opção se você deseja pesquisar por mensagens enviadas e clique em Selecionar usuários para selecionar um ou mais usuários.
Pesquisar por mensagens recebidas de Como alternativa, clique nesta opção para pesquisar por mensagens recebidas e clique em Selecionar usuário para selecionar um destinatário específico.
Procurar por estas palavras na linha de assunto Inserir o texto com os critérios de pesquisa se você deseja pesquisar por mensagens que contenham um assunto em particular.
Clique em Pesquisar e analise os resultados no painel Resultados de pesquisa.
Para obter mais informações
Para obter mais informações, consulte os tópicos:
Noções Básicas do Rastreamento de Mensagens
Configurar Controle de Mensagens
© 2010 Microsoft Corporation. Todos os direitos reservados.