Поделиться через

Отслеживание сообщений

  • Статья

Журнал отслеживания сообщений — это подробная запись обо всех действиях, когда почта проходит через транспортный конвейер на серверах почтовых ящиков и пограничных транспортных серверах. Вы можете использовать отслеживание сообщений для криминалистической экспертизы сообщений, анализа потока почты, составления отчетов и устранения неполадок.

По умолчанию Exchange использует циклическое ведение журнала, чтобы ограничить журнал отслеживания сообщений в зависимости от размера файла и возраста файла, чтобы управлять местом на жестком диске, используемым файлами журнала. Сведения о настройке журнала отслеживания сообщений см. в разделе Настройка отслеживания сообщений.

Поиск в журнале отслеживания сообщений

Журналы отслеживания сообщений содержат огромные объемы данных при перемещении сообщений через сервер почтовых ящиков или пограничный транспортный сервер. Когда дело доходит до поиска журналов отслеживания сообщений, у вас есть варианты:

  • Get-MessageTrackingLog. Администраторы могут использовать этот командлет командной консоли Exchange для поиска в журнале отслеживания сообщений на наличие сведений о сообщениях с использованием широкого спектра условий фильтра. Дополнительные сведения см. в разделе журналы отслеживания сообщений Поиск.

  • Отчеты о доставке для администраторов. Администраторы могут использовать вкладку Отчеты о доставке в Центре администрирования Exchange или базовые командлеты Поиск-MessageTrackingReport и Get-MessageTrackingReport в командной консоли Exchange, чтобы найти в журналах отслеживания сообщений сведения о сообщениях, отправленных или полученных определенным почтовым ящиком в организации. Дополнительные сведения см. в статье Отчеты о доставке для администраторов.

Структура файлов журналов отслеживания сообщений

По умолчанию файлы журнала отслеживания сообщений существуют в %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. Папка содержит файлы журналов с разными именами, но все они следуют соглашению MSGTRKServiceyyyyMMdd-nnnn.logоб именовании . Различные имена файлов журнала описаны в следующей таблице.

Имя файла Серверы Описание
MSGTRK Серверы почтовых ящиков и пограничные транспортные серверы Файлы журнала для службы транспорта.
MSGTRKMA Серверы почтовых ящиков Файлы журнала для утверждений и отклонений в модерируемом транспорте. Дополнительные сведения см. в разделе Управление утверждением сообщений.
MSGTRKMD Серверы почтовых ящиков Файлы журналов для сообщений, доставленных в почтовые ящики службой доставки транспорта почтовых ящиков.
MSGTRKMS Серверы почтовых ящиков Файлы журналов для сообщений, отправленных из почтовых ящиков службой отправки транспорта почтовых ящиков.

Другие заполнители в именах файлов журнала представляют следующие сведения:

  • yyyyMdd — это дата создания файла журнала в формате UTC. гггг = год, ММ = месяц, и дд = день.

  • nnnn — это номер экземпляра, который начинается со значения 1 каждый день для каждого журнала.

Данные записываются в файл журнала, пока не будет достигнут его максимальный размер. Затем открывается новый файл журнала с увеличенным номером экземпляра (-1 для первого, -2 для второго и т. Циклическое ведение журнала удаляет самые старые файлы журнала для службы при выполнении любого из следующих условий:

  • достигнут максимальный срок хранения файла журнала;

  • Папка журнала отслеживания сообщений достигает максимального размера.

    Примечания.

    • Максимальный размер папки журнала отслеживания сообщений вычисляется как общий размер всех файлов журнала с одинаковым префиксом имени. Другие файлы, которые не соответствуют соглашению о префиксе имени, не учитываются при вычислении общего размера папки. Переименование старых файлов журнала или копирование других файлов в папку журнала отслеживания сообщений может привести к превышению указанного максимального размера папки.

    • На серверах почтовых ящиков максимальный размер папки журнала отслеживания сообщений в три раза больше указанного значения. Хотя файлы журнала отслеживания сообщений создаются четырьмя разными службами и имеют четыре разных префикса имен, объем и частота данных, записываемых в журнал транспорта с модерированием (MSGTRKMA), незначительно по сравнению с тремя другими журналами.

Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:

  • #Software: значение равно Microsoft Exchange Server.

  • #Version: номер версии сервера Exchange Server, создавшего файл журнала отслеживания сообщений. Значение использует формат 15.01.nnnn.nnn.

  • #Log-Type: значение равно Message Tracking Log.

  • #Date: дата и время создания файла журнала в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-ММ-ддTчч:мм:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.

  • #Fields: имена полей с разделителями-запятыми, используемые в файлах журнала отслеживания сообщений.

Поля в файлах журналов отслеживания сообщений

В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Информация о событиях с сообщениями упорядочена по полям, разделенным запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми, или тип сведений в поле может меняться в зависимости от типа события сообщения и службы, записавшей событие. В следующей таблице приводятся общие описания полей, которые используются для классификации каждого события отслеживания сообщений.

Имя поля Описание
date-time Дата и время события отслеживания сообщений в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-ММ-ддTчч:мм:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
client-ip Адрес IPv4 или IPv6 сервера или клиента, который отправил сообщение.
client-hostname Имя узла или полное доменное имя сервера или клиента обмена сообщениями , который отправил сообщение.
server-ip IPv4- или IPv6-адрес исходного или целевого сервера.
server-hostname Имя узла или полное доменное имя сервера назначения.
source-context Дополнительная информация, относящаяся к полю источника. Например:
CatContentConversion
250 2.0.0 OK;ClientSubmitTime:<UTC>
connector-id Имя соединителя отправки или соединителя получения, которые приняли сообщение. Например, serverName\ ConnectorName или ConnectorName.
источник Транспортный компонент Exchange, отвечающий за событие. Эти значения описаны в разделе Исходные значения в журнале отслеживания сообщений далее в этом разделе.
event-id Тип события. Эти значения описаны в разделе Типы событий в журнале отслеживания сообщений далее в этом разделе.
internal-message-id Идентификатор сообщения, назначенный сервером Exchange Server, который в настоящее время обрабатывает сообщение.
Внутренний идентификатор сообщения отличается в журнале отслеживания сообщений каждого сервера Exchange Server, который участвует в передаче сообщения. Пример значения — 73014444033.
message-id Значение поля заголовка Message-Id: в заголовке сообщения. Если поле заголовка Message-Id: не существует или пустое, Exchange присваивает произвольное значение. Это значение не изменяется на протяжении всего времени жизни сообщения. Для сообщений, созданных в Exchange, значение имеет формат <GUID@ServerFQDN>, включая угловые скобки (< >). Например, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. В других системах обмена сообщениями могут использоваться другие значения или синтаксис.
network-message-id Уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. Пример значения — 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-address Адрес электронной почты получателя сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;).
recipient-status Состояние получателя для каждого получателя, разделенное символом с запятой (;). Значения состояния представляются получателям в таком же порядке, как и значения в поле recipient-address. Примеры значений состояния:
To, Cc или Bcc
250 2.1.5 Recipient OK
550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytes Общий размер сообщения в байтах, включая все вложения.
recipient-count Общее число получателей в сообщении.
related-recipient-address Это поле используется с событиями EXPAND, REDIRECT и RESOLVE для отображения других адресов электронной почты получателей, связанных с сообщением.
reference В этом поле содержится дополнительная информация о конкретных типах событий. Например:
DSN. Содержит ссылку на отчет, которая является значением Message-Id связанного уведомления о состоянии доставки (также известного как DSN, сообщение о отказе, отчет о недоставке или NDR), если DSN создается после этого события. Если это сообщение DSN, поле Reference содержит значение Message-Id исходного сообщения, для чего было создано DSN.
EXPAND: содержит значение адреса связанного получателя для связанных сообщений.
RECEIVE: может содержать значение Message-Id связанного сообщения, если сообщение было создано другими процессами, например правилами генерации журналов или папки "Входящие".
SEND: содержит значение Internal-Message-Id всех сообщений DSN.
THROTTLE: содержит причину регулирования сообщения.
TRANSFER: содержит значение Internal-Message-Id вилки сообщения.
Сообщение, созданное правилами папки "Входящие". Содержит значение Internal-Message-Id входящего сообщения, которое привело к созданию исходящего сообщения правилом папки "Входящие".
Вилки сообщений: может содержать значение Internal-Message-Id .
Для других типов событий это поле обычно пустое.
message-subject Тема сообщения указывается в поле заголовка Subject:. Отслеживание тем сообщений управляется параметром MessageTrackingLogSubjectLoggingEnabled командлета Set-TransportService . По умолчанию отслеживание тем сообщений включено.
sender-address Адрес электронной почты, указанный в поле заголовка Sender: или Поле заголовка From: , если поле Sender: не существует.
return-path Возвращаемый адрес электронной почты, указанный командой MAIL FROM , отправляющей сообщение. Хотя это поле никогда не является пустым, оно может иметь значение null отправителя, представленное как <>.
message-info Дополнительные сведения о сообщении. Например:
Дата и время возникновения сообщения в формате UTC для событий DELIVER и SEND . Это дата и время первоначального поступления сообщения в организацию Exchange. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-ММ-ддTчч:мм:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
Ошибки проверки подлинности. Например, вы можете увидеть значение 11a и тип проверки подлинности, которые использовались при возникновении ошибки проверки подлинности.
directionality Направление сообщения. Примеры значений: Incoming, Undefinedи Originating.
tenant-id Это поле не используется в локальных организациях Exchange.
original-client-ip Адрес IPv4 или IPv6 исходного клиента.
original-server-ip Адрес IPv4 или IPv6 исходного сервера.
custom-data Это поле содержит данные, связанные с определенными типами событий. Например, агент правил транспорта использует это поле для записи GUID правила потока обработки почты (также известного как правило транспорта) или политики защиты от потери данных, которая действовала в сообщении. Дополнительные сведения см. в разделе Просмотр отчетов об обнаружении политики защиты от потери данных.
transport-traffic-type В локальной среде Exchange это поле пустое или имеет значение Email.
log-id Уникальный идентификатор строки в журнале отслеживания сообщений. Это поле не важно в локальных организациях Exchange.
версия схемы Номер версии сервера Exchange Server, создавшего запись в журнале отслеживания сообщений. Значение использует формат 15.01.nnnn.nnn.

Типы событий в журнале отслеживания сообщений

Различные типы событий в поле event-id используются для классификации событий, связанных с сообщениями, в журнале отслеживания сообщений. Некоторые события, связанные с сообщениями, отображаются только в одном типе файлов журнала отслеживания сообщений, а некоторые — во всех типах файлов. Типы событий, используемые для классификации каждого события, приведены в следующей таблице.

Имя события Описание
AGENTINFO Это событие используется агентами транспорта для журналирования пользовательских данных.
BADMAIL Сообщение отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено.
CLIENTSUBMISSION Сообщение отправлено из папки "Исходящие" почтового ящика.
DEFER Доставка сообщения отложена.
DELIVER Сообщение было доставлено в локальный почтовый ящик.
DELIVERFAIL Агент пытался доставить сообщение в папку, которая не существует в почтовом ящике.
DROP Сообщение было отклонено без уведомления о доставке (также называемого сообщением возврата или отчетом о недоставке). Например:
  • сообщения о выполненных запросах для утверждения;
  • нежелательные сообщения, удаленные автоматически без отчета о недоставке.
DSN Создано уведомление о доставке.
DUPLICATEDELIVER Сообщение было доставлено получателю повторно. Повторная доставка сообщений может происходить в том случае, если получатель входит в несколько вложенных групп рассылки. Банк данных обнаруживает и удаляет дубликаты сообщений.
DUPLICATEEXPAND При расширении группы рассылки обнаружен повторяющийся получатель.
DUPLICATEREDIRECT Альтернативный получатель сообщения уже являлся получателем.
EXPAND Была расширена группа рассылки.
FAIL Не удается доставить сообщение. Источники: SMTP, DNS, QUEUE и ROUTING.
HADISCARD Теневое сообщение было отвергнуто, после того как основная копия была доставлена на следующий узел. Дополнительные сведения см. в разделе Теневая избыточность в Exchange Server.
HARECEIVE Теневое сообщение было получено сервером в локальной группе обеспечения доступности баз данных или на сайте Active Directory.
HAREDIRECT Создано теневое сообщение.
HAREDIRECTFAIL Не удалось создать теневое сообщение. Сведения сохранены в поле source-context.
INITMESSAGECREATED Сообщение отправлено контролируемому получателю, поэтому оно отправлено в почтовый ящик вынесения решения для утверждения. Дополнительные сведения см. в разделе Управление утверждением сообщений.
LOAD Сообщение успешно загружено при загрузке.
MODERATIONEXPIRE Модератор контролируемого получателя не утвердил и не отклонил сообщение, поэтому для него истек срок ожидания. Дополнительные сведения о получателях с модерированием см. в разделе Управление утверждением сообщений.
MODERATORAPPROVE Модератор контролируемого получателя утвердил сообщение, поэтому оно было доставлено контролируемому получателю.
MODERATORREJECT Модератор контролируемого получателя отклонил сообщение, поэтому оно не было доставлено контролируемому получателю.
MODERATORSALLNDR Все запросы на утверждение, отправленные всем модераторам модерированного получателя, были недоступны и привели к отчетам о недоставке (также известных как недоставка или отказ сообщений).
NOTIFYMAPI Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере.
NOTIFYSHADOW Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере, и необходимо создать теневую копию сообщения.
POISONMESSAGE Сообщение помещено в очередь сообщений о сбое или удалено из нее.
PROCESS Сообщение успешно обработано.
PROCESSMEETINGMESSAGE Сообщение о собрании обработано службой транспортной доставки почтовых ящиков.
RECEIVE Сообщение было получено компонентом получения SMTP службы транспорта или из каталогов Pickup или Replay (источник: SMTP), либо сообщение было отправлено из почтового ящика в службу отправки транспорта почтовых ящиков (источник: STOREDRIVER).
REDIRECT Сообщение перенаправлено другому получателю в результате поиска в Active Directory.
RESOLVE В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты.
RESUBMIT Сообщение было автоматически повторно отправлено из сети безопасности. Дополнительные сведения см. в разделе Safety Net в Exchange Server.
RESUBMITDEFER Сообщение, повторно отправленное из сети безопасности, было отложено.
RESUBMITFAIL Сообщение, повторно отправленное из сети безопасности, не удалось отправить.
SEND Сообщение было отправлено протоколом SMTP между службами транспорта.
SUBMIT Служба отправки почтовых ящиков успешно передала сообщение службе транспорта. Для событий SUBMIT свойство source-context содержит следующие данные:
  • MDB: GUID базы данных почтовых ящиков.
  • Mailbox: GUID почтового ящика.
  • Event: порядковый номер события.
  • MessageClass: тип сообщения. Например, IPM.Note.
  • CreationTime: дата отправки сообщения.
  • ClientType: например, User, OWAили ActiveSync.
SUBMITDEFER Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта была отложена.
SUBMITFAIL Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта не была выполнена.
SUPPRESSED Передача сообщения была отменена.
THROTTLE Сообщение было отрегулировано.
TRANSFER В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением. Источники: ROUTING или QUEUE.

Значения источника в журнале отслеживания сообщений

Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.

Значение источника Описание
ADMIN Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения.
AGENT Источником события был агент транспорта.
APPROVAL Источником события была платформа утверждения, используемая для контролируемых получателей. Дополнительные сведения см. в разделе Управление утверждением сообщений.
BOOTLOADER Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD.
DNS Источником события было DNS.
DSN Источником события было уведомление о состоянии доставки (также известное как DSN, сообщение о отказе, отчет о недоставке или NDR).
GATEWAY Источником события был внешний соединитель. Подробнее см. в разделе Foreign Connectors.
MAILBOXRULE Источником события было правило для папки "Входящие". Дополнительные сведения см. в разделе Правила папки "Входящие".
MEETINGMESSAGEPROCESSOR Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания.
ORAR Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR в соединителях получения с помощью параметра OrarEnabled в командлетах New-ReceiveConnector или Set-ReceiveConnector .
PICKUP Источником события был каталог раскладки. Подробнее см. в разделе Pickup Directory and Replay Directory.
POISONMESSAGE Источником события был идентификатор сообщения о сбое. Дополнительные сведения о подозрительных сообщениях и очереди подозрительных сообщений см. в разделе Очереди и сообщения в очередях.
PUBLICFOLDER Источником события была общедоступная папка, поддерживающая почту.
QUEUE Источником события была очередь.
REDUNDANCY Источником события было избыточное теневое копирование. Дополнительные сведения см. в разделе Теневая избыточность в Exchange Server.
РАСПОЗНАВАТЕЛЯ Источником события был компонент разрешения получателей классификатора в транспортной службе. Дополнительные сведения см. в разделе Разрешение получателей в Exchange Server.
ROUTING Источником события был компонент разрешения маршрутизации классификатора в службе транспорта.
SAFETYNET Источником события была сеть безопасности. Дополнительные сведения см. в разделе Safety Net в Exchange Server.
SMTP Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта.
STOREDRIVER Источником события была MAPI-отправка из почтового ящика на локальном сервере.

Примеры записей в журнале отслеживания сообщений

Не вызвавшее событий сообщение, отправленное между двумя пользователями, создает несколько записей в журнале отслеживания сообщений. Результаты можно просмотреть с помощью командлета Get-MessageTrackingLog. Дополнительные сведения см. в разделе журналы отслеживания сообщений Поиск.

Это пример записей журнала отслеживания сообщений, созданных, когда пользователь chris@contoso.com успешно отправляет пользователю тестовое сообщение michelle@contoso.com. У обоих пользователей есть почтовые ящики на одном и том же сервере.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Журнал отслеживания сообщений и вопросы безопасности

В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. В соответствии с повышенными требованиями к безопасности или конфиденциальности может потребоваться отключить ведение журнала субъектов. Инструкции по отключению ведения журнала тем см. в разделе Настройка отслеживания сообщений.