Поделиться через


Отслеживание сообщений в Exchange

Область применения: Exchange Server 2013 г.

В Microsoft Exchange Server 2013 журнал отслеживания сообщений содержит подробные сведения о всей активности сообщений при их передаче на транспортную службу и с нее на серверы почтовых ящиков, в почтовые ящики на этих серверах и на пограничные транспортные серверы. Журналы отслеживания сообщений можно использовать для изучения сообщений, анализа потока почты, создания отчетов и устранения неполадок.

В Exchange 2013 можно использовать командлеты Set-TransportService и Set-MailboxServer для всех задач отслеживания конфигурации, поскольку на сервере почтовых ящиков Exchange 2013 расположена служба транспорта и почтовые ящики. Любой из этих командлетов можно использовать для внесения следующих изменений в настройку отслеживания сообщений.

  • Включение и отключение отслеживания сообщений. По умолчанию регистрация включена.
  • Выбор расположения файлов журналов отслеживания сообщений.
  • Задание максимального размера отдельных файлов журналов отслеживания сообщений. Значение по умолчанию — 10 МБ.
  • Задание максимального размера каталога, который содержит файлы журналов отслеживания сообщений. Значение по умолчанию — 1 000 MB.
  • Задание максимального времени хранения файлов журналов отслеживания сообщений. Значение по умолчанию — 30 дней.
  • Включение и отключение регистрации темы сообщений в журналах отслеживания сообщений. По умолчанию регистрация включена.

Примечание.

Включать и отключать отслеживание сообщений, а также указывать расположение файлов журнала отслеживания сообщений можно также в Центре администрирования Exchange.

По умолчанию для ограничения пространства на диске, где хранятся журналы отслеживания сообщений, сервер Exchange использует циклическое ведение журнала, чтобы ограничивать размер этих журналов, исходя из размера файлов и срока их хранения.

Поиск в журнале отслеживания сообщений

Журналы отслеживания сообщений содержат большое количество данных, собранных при перемещении сообщений через сервер почтовых ящиков Exchange 2013. При поиске в журналах отслеживания сообщений можно использовать несколько разных параметров.

  • Get-MessageTrackingLog. Администраторы могут использовать этот командлет для поиска сведений о сообщениях в журнале отслеживания сообщений с помощью широкого спектра условий фильтра. Дополнительные сведения см. в разделе журналы отслеживания сообщений Поиск.

  • Отчеты о доставке для администраторов. Администраторы могут использовать вкладку Отчеты о доставке в Центре администрирования Exchange (EAC) или базовые командлеты Поиск-MessageTrackingReport и Get-MesageTrackingReport для поиска в журналах отслеживания сообщений на наличие сведений о сообщениях, отправленных или полученных определенным почтовым ящиком в организации. Дополнительные сведения см. в статье Отчеты о доставке для администраторов.

Структура файлов журналов отслеживания сообщений

По умолчанию файлы журнала отслеживания сообщений сохраняются в каталоге %ExchangeInstallPath%TransportRoles\Logs\MessageTracking.

Соглашение об именовании файлов журнала в каталоге журнала отслеживания сообщений: MSGTRKyyyyMMdd-nnnn.log, MSGTRKMAyyyyMMdd-nnnn.log, MSGTRKMDyyyyMMdd-nnnn.logи MSGTRKMSyyyyMMdd-nnnn.log. Различные журналы используются следующими службами.

  • MSGTRK: эти журналы связаны со службой транспорта.
  • MSGTRKMA: эти журналы связаны с утверждениями и отклонениями, используемыми модерируемым транспортом. Дополнительные сведения см. в разделе Управление утверждением сообщений.
  • MSGTRKMD: эти журналы связаны с сообщениями, доставляемыми в почтовые ящики службой доставки транспорта почтовых ящиков.
  • MSGTRKMS. Эти журналы связаны с сообщениями, отправляемыми из почтовых ящиков службой отправки транспорта почтовых ящиков.

Прототипы в именах файлов журналов означают следующее:

  • Заполнитель yyyMDd — это дата создания файла журнала в формате UTC. гггг = год, ММ = месяц, и дд = день.
  • Заполнитель nnnn — это номер экземпляра, который начинается со значения 1 ежедневно для каждого префикса имени файла журнала отслеживания сообщений.

Данные будут записываться в каждый файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения. После этого будет открыт новый файл журнала со следующим порядковым номером. Эта процедура повторяется в течение дня. Функциональная возможность циклического ведения журналов удаляет наиболее старые файлы журнала при выполнении одного из следующих условий:

  • файл журнала достиг максимального установленного срока хранения;

  • каталог журналов отслеживания сообщений достиг максимального размера.

    Важно!

    Максимальный размер каталога журналов отслеживания сообщений равен общему размеру всех файлов журнала, которые имеют одинаковый префикс имен. При расчете общего размера каталога не учитываются другие файлы, которые не соответствуют соглашению о префиксе имен. Переименование старых файлов журнала или копирование других файлов в каталог журналов отслеживания сообщений может привести к превышению заданного максимального размера каталога.

    На серверах почтовых ящиков Exchange 2013 максимальный размер каталога журнала отслеживания сообщений в три раза больше указанного значения. Несмотря на то что файлы журнала отслеживания сообщений, создаваемые четырьмя различными службами, имеют четыре различных префикса имен, количество и частота данных, записываемых в файлы журнала MSGTRKMA, являются незначительными по сравнению с тремя другими префиксами.

Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:

  • #Software:: имя программного обеспечения, создавшего файл журнала отслеживания сообщений. Как правило, значением является: Microsoft Exchange Server.

  • #Version:: номер версии программного обеспечения, создавшего файл журнала отслеживания сообщений. Текущее значение — 15.0.0.0.

  • #Log-Type:: значение типа журнала, которое является журналом отслеживания сообщений.

  • #Date:: дата и время создания файла журнала в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ, где гггг = год, ММ = месяц, а dd = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.

  • #Fields:: имена полей с разделителями-запятыми, используемые в файлах журнала отслеживания сообщений.

Поля в файлах журналов отслеживания сообщений

В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Информация о событиях с сообщениями упорядочена по полям, разделенным запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут оставаться пустыми и может изменяться тип информации, которая хранится в поле, в зависимости от типа события с сообщением и типа файла журнала отслеживания сообщений, где было записано событие. В следующей таблице приводятся общие описания полей, которые используются для классификации каждого события отслеживания сообщений.

Имя поля Описание
date-time Дата и время события отслеживания сообщений в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
client-ip Адрес IPv4 или IPv6 сервера или клиента, который отправил сообщение.
client-hostname Имя узла или полное доменное имя сервера или клиента обмена сообщениями , который отправил сообщение.
server-ip Адрес IPv4 или IPv6 исходного сервера или сервера назначения Exchange.
server-hostname Имя узла или полное доменное имя сервера назначения.
source-context Дополнительная информация, относящаяся к полю источника. Например, информация об агенте транспорта.
connector-id The name of the source or destination Send connector or Receive connector. Например, serverName\ConnectorName или ConnectorName.
источник Компонент транспорта Exchange, отвечающий за событие, связанное с отслеживанием сообщений. Значения, которые содержатся в этом поле, описаны в разделе Значения источника в журнале отслеживания сообщений далее.
event-id Тип события. Типы событий описаны в разделеТипы событий в журнале отслеживания сообщений далее.
internal-message-id Идентификатор сообщения, назначенный сервером Exchange, который выполняет текущую обработку сообщения.

В журнале отслеживания сообщений на каждом из серверов Exchange, которые участвуют в передаче сообщения, для каждого отдельного сообщения будет указываться свое значение internal-message-id. Пример значения — 73014444033.
message-id Значение поля заголовка Message-Id: в заголовке сообщения. Если поле заголовка Message-Id: не существует или пусто, назначается произвольное значение. Это значение не изменяется на протяжении всего времени жизни сообщения. Для сообщений, созданных в Exchange, значение имеет формат <GUID@ServerFQDN>, включая угловые скобки (< >). Например, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. В других системах обмена сообщениями могут использоваться другие значения или синтаксис.
network-message-id Уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. Пример значения — 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-address Адрес электронной почты получателя сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;).
recipient-status Это поле содержит состояния каждого получателя, разделенные символом точки с запятой (;). Значения состояния представляются получателям в таком же порядке, как и значения в поле recipient-address. Примеры значений состояния: 250 2.1.5 Recipient OK или 550 4.4.7 QUEUE.Expired;<ErrorText>.
total-bytes Размер сообщения с учетом вложений (в байтах).
recipient-count Количество получателей сообщения.
related-recipient-address В этом поле для событий EXPAND, REDIRECT и RESOLVE выводятся другие адреса получателей, связанные с сообщением.
reference В этом поле содержится дополнительная информация о конкретных типах событий. Например:

DSN: содержит ссылку на отчет, которая является значением Message-Id связанного уведомления о состоянии доставки (DSN), если DSN создается после этого события. Если это сообщение DSN, в поле Reference содержится значение Message-Id исходного сообщения, для которого был создан DNS.

EXPAND: поле Ссылка содержит значение связанного адреса получателя для связанных сообщений.

RECEIVE: поле Reference может содержать значение Message-Id связанного сообщения, если сообщение было создано другими процессами, например правилами ведения журнала или папки "Входящие".

SEND: поле Reference содержит значение Internal-Message-Id всех сообщений DSN.

THROTTLE: поле "Ссылка" содержит причину регулирования сообщения.

TRANSFER: поле "Ссылка" содержит внутренний идентификатор сообщения, для которого создается вилка.

Для сообщений, созданных правилами для папки "Входящие", поле Справка содержит значение Internal-Message-Id входящего сообщения, из-за которого правило для папки "Входящие" создало исходящее сообщение.

Для других типов событий поле Справка может содержать значение Internal-Message-Id для разветвленных сообщений.

Для остальных типов событий поле Справка не заполняется.
message-subject Тема сообщения, найденная в поле заголовка Subject: . Отслеживание субъектов сообщений управляется параметром MessageTrackingLogSubjectLoggingEnabled в командлетах Set-TransportService или Set-MailboxServer . По умолчанию отслеживание тем сообщений включено.
sender-address Адрес электронной почты, указанный Sender: в поле заголовка, или поле заголовка From: , если Sender: оно отсутствует.
return-path Возвращаемый адрес электронной почты, MAIL FROM: указанный в конверте сообщения. Хотя это поле никогда не является пустым, оно может иметь значение null отправителя, представленное как <>.
message-info Дополнительные сведения о сообщении. Например:
  • Дата и время поступления сообщения в формате UTC для событий DELIVER и SEND. Это дата и время первоначального поступления сообщения в организацию Exchange. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ, где гггг = год, ММ = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
  • Ошибки проверки подлинности. Например, вы можете увидеть значение 11a и тип проверки подлинности, используемые при возникновении ошибок проверки подлинности.
directionality Направление сообщения. Примеры значений: Incoming, Undefinedи Originating.
tenant-id Это поле не используется в локальных организациях Exchange 2013.
original-client-ip Адрес IPv4 или IPv6 исходного клиента.
original-server-ip Адрес IPv4 или IPv6 исходного сервера.
custom-data Это поле содержит данные, связанные с определенными типами событий. Например, агент правил транспорта использует это поле для записи GUID правила транспорта или политики DLP, которая применялась к сообщению. Дополнительные сведения об этих значениях агента правил транспорта см. в разделе "Ведение журнала данных" раздела Просмотр отчетов об обнаружении политики защиты от потери данных .

Типы событий в журнале отслеживания сообщений

Различные типы событий в поле event-id используются для классификации событий, связанных с сообщениями, в журнале отслеживания сообщений. Некоторые события, связанные с сообщениями, отображаются только в одном типе файлов журнала отслеживания сообщений, а некоторые — во всех типах файлов. Типы событий, используемые для классификации каждого события, приведены в следующей таблице.

Имя события Описание
AGENTINFO Это событие используется агентами транспорта для журналирования пользовательских данных.
BADMAIL Сообщение отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено.
DEFER Доставка сообщения отложена.
DELIVER Сообщение было доставлено в локальный почтовый ящик.
DROP Сообщение было отклонено без уведомления о доставке (также называемого сообщением возврата или отчетом о недоставке). Например:
  • сообщения о выполненных запросах для утверждения;
  • нежелательные сообщения, удаленные автоматически без отчета о недоставке.
DSN Создано уведомление о доставке.
DUPLICATEDELIVER Сообщение было доставлено получателю повторно. Повторная доставка сообщений может происходить в том случае, если получатель входит в несколько вложенных групп рассылки. Банк данных обнаруживает и удаляет дубликаты сообщений.
DUPLICATEEXPAND При расширении группы рассылки обнаружен повторяющийся получатель.
DUPLICATEREDIRECT Альтернативный получатель сообщения уже являлся получателем.
EXPAND Была расширена группа рассылки.
FAIL Не удается доставить сообщение. Источники: SMTP, DNS, QUEUE и ROUTING.
HADISCARD Теневое сообщение было отвергнуто, после того как основная копия была доставлена на следующий узел. Дополнительные сведения см. в разделе Теневая избыточность.
HARECEIVE Теневое сообщение было получено сервером в локальной группе обеспечения доступности баз данных или на сайте Active Directory.
HAREDIRECT Создано теневое сообщение.
HAREDIRECTFAIL Не удалось создать теневое сообщение. Сведения сохранены в поле source-context.
INITMESSAGECREATED Сообщение отправлено контролируемому получателю, поэтому оно отправлено в почтовый ящик вынесения решения для утверждения. Дополнительные сведения см. в разделе Управление утверждением сообщений.
LOAD Сообщение успешно загружено при загрузке.
MODERATIONEXPIRE Модератор контролируемого получателя не утвердил и не отклонил сообщение, поэтому для него истек срок ожидания. Дополнительные сведения о получателях с модерированием см. в разделе Управление утверждением сообщений.
MODERATORAPPROVE Модератор контролируемого получателя утвердил сообщение, поэтому оно было доставлено контролируемому получателю.
MODERATORREJECT Модератор контролируемого получателя отклонил сообщение, поэтому оно не было доставлено контролируемому получателю.
MODERATORSALLNDR Все запросы утверждения, отправленные всем модераторам контролируемого получателя, не могли быть доставлены и привели к отправке отчетов о недоставке.
NOTIFYMAPI Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере.
NOTIFYSHADOW Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере, и необходимо создать теневую копию сообщения.
POISONMESSAGE Сообщение помещено в очередь сообщений о сбое или удалено из нее.
PROCESS Сообщение успешно обработано.
PROCESSMEETINGMESSAGE Сообщение о собрании обработано службой транспортной доставки почтовых ящиков.
RECEIVE Сообщение было получено компонентом получения SMTP службы транспорта или из каталогов Pickup или Replay (источник: SMTP), либо сообщение было отправлено из почтового ящика в службу отправки транспорта почтовых ящиков (источник: STOREDRIVER).
REDIRECT Сообщение перенаправлено другому получателю в результате поиска в Active Directory.
RESOLVE В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты.
RESUBMIT Сообщение было автоматически повторно отправлено из сети безопасности. Дополнительные сведения см. в разделе Система безопасности.
RESUBMITDEFER Сообщение, повторно отправленное из сети безопасности, было отложено.
RESUBMITFAIL Сообщение, повторно отправленное из сети безопасности, не удалось отправить.
SEND Сообщение было отправлено протоколом SMTP между службами транспорта.
SUBMIT Служба отправки почтовых ящиков успешно передала сообщение службе транспорта. Для событий SUBMIT свойство source-context содержит следующие данные:
  • MDB: GUID базы данных почтовых ящиков.
  • Mailbox: GUID почтового ящика.
  • Event: порядковый номер события.
  • MessageClass: тип сообщения. Например, IPM.Note.
  • CreationTime: дата отправки сообщения.
  • ClientType: например, User, OWA или ActiveSync.
SUBMITDEFER Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта была отложена.
SUBMITFAIL Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта не была выполнена.
SUPPRESSED Передача сообщения была отменена.
THROTTLE Сообщение было отрегулировано.
TRANSFER В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением. Источники: ROUTING или QUEUE.

Значения источника в журнале отслеживания сообщений

Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.

Значение источника Описание
ADMIN Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения.
AGENT Источником события был агент транспорта.
APPROVAL Источником события была платформа утверждения, используемая для контролируемых получателей. Дополнительные сведения см. в разделе Управление утверждением сообщений.
BOOTLOADER Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD.
DNS Источником события было DNS.
DSN Источником события было уведомление о доставке (DSN). Например, отчет о недоставке (NDR).
GATEWAY Источником события был внешний соединитель. Дополнительные сведения см. в разделе Внешние соединители.
MAILBOXRULE Источником события было правило для папки "Входящие". Дополнительные сведения см. в разделе Правила папки "Входящие".
MEETINGMESSAGEPROCESSOR Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания.
ORAR Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR в соединителях получения с помощью параметра OrarEnabled в командлетах New-ReceiveConnector или Set-ReceiveConnector .
PICKUP Источником события был каталог раскладки. Дополнительные сведения см. в разделах Каталог Pickup и Каталог воспроизведения.
POISONMESSAGE Источником события был идентификатор сообщения о сбое. Дополнительные сведения о сообщениях о сбое и очереди сообщений о сбое см. в разделе Queues
PUBLICFOLDER Источником события была общедоступная папка, поддерживающая почту.
QUEUE Источником события была очередь.
REDUNDANCY Источником события было избыточное теневое копирование. Дополнительные сведения см. в разделе Теневая избыточность.
ROUTING Источником события был компонент разрешения маршрутизации классификатора в службе транспорта.
SAFETYNET Источником события была сеть безопасности. Дополнительные сведения см. в разделе Система безопасности.
SMTP Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта.
STOREDRIVER Источником события была MAPI-отправка из почтового ящика на локальном сервере.

Примеры записей в журнале отслеживания сообщений

Не вызвавшее событий сообщение, отправленное между двумя пользователями, создает несколько записей в журнале отслеживания сообщений. Результаты можно просмотреть с помощью командлета Get-MessageTrackingLog. Дополнительные сведения см. в разделе журналы отслеживания сообщений Поиск.

Это сокращенный пример записей журнала отслеживания сообщений, созданных при успешной отправке пользователем chris@contoso.com тестового сообщения пользователю michelle@contoso.com. У обоих пользователей есть почтовые ящики на одном и том же сервере.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Журнал отслеживания сообщений и вопросы безопасности

В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. Для повышения безопасности и конфиденциальности функцию регистрации темы сообщения в журнале можно отключить. Прежде чем включить или отключить регистрацию тем сообщения в журнале, ознакомьтесь с политикой организации относительно раскрытия сведений в строке «Тема». Дополнительные сведения см. в разделе Настройка отслеживания сообщений.