Exchange Server中的连接日志记录
连接日志记录记录用于在 Exchange 服务器上传输消息的出站连接活动。 在 Exchange Server 中,以下服务传输消息,因此它们具有连接日志:
邮箱服务器和边缘传输服务器上的传输服务。
邮箱服务器上的前端传输服务。
邮箱服务器上的邮箱传输提交服务。
邮箱服务器上的邮箱传输传递服务。
有关这些传输服务以及它们可以传输邮件的位置的详细信息,请参阅 邮件流和传输管道。
连接日志记录不会跟踪单个消息的传输。 相反,它跟踪通过连接传输的消息的数量和大小、目标的 DNS 解析信息以及与连接相关的信息性消息。
默认情况下,连接日志记录处于启用状态,Exchange 使用循环日志记录根据大小和期限限制连接日志文件,以帮助控制使用的硬盘空间。 若要配置连接日志记录,请参阅在 Exchange Server 中配置连接日志记录。
注意:如果对从头到尾整个 SMTP 协议对话的详细记录感兴趣,请参阅 协议日志记录。
连接日志文件的结构
默认情况下,连接日志文件存在于以下位置:
邮箱服务器:
传输服务:
%ExchangeInstallPath%TransportRoles\Logs\Hub\Connectivity前端传输服务:
%ExchangeInstallPath%TransportRoles\Logs\FrontEnd\Connectivity邮箱传输传递服务:
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\Connectivity\Delivery邮箱传输提交服务:
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\Connectivity\Submission
边缘传输服务器
连接日志文件的命名约定是 CONNECTLOGyyymmdd-nnnn.log。 占位符代表下列信息:
yyyyMdd 是创建日志文件时协调世界时 (UTC) 。 yyyy = year,MM = month,dd = day。
nnnn 是一个实例编号,从每天的值 1 开始。
系统向日志文件写入信息,直至文件大小达到其最大值。 然后打开具有递增实例编号的新日志文件(第一个日志文件是 -1,下一个是 -2,依此类推)。 当满足以下任一条件时,循环日志记录会删除最早的日志文件:
日志文件达到最长期限。
连接日志文件夹达到其最大大小。
连接日志文件是包含逗号分隔值文件中数据的文本文件, (CSV) 格式。 每个连接日志文件都有一个标头,其中包含以下信息:
#Software:值为
Microsoft Exchange Server。#Version:值为
15.0.0.0。#Log 类型:值为
Transport Connectivity Log。#Date:创建日志文件时的 UTC 日期时间。 UTC 日期时间以 ISO 8601 日期时间格式表示: yyyy-MM-ddThh:mm:ss.fffZ, 其中 yyyy = year, MM = month, dd = day, T 指示时间分量开头, hh = 小时, mm = 分钟, ss = second, fff = 分数秒,Z 表示 Zulu,这是表示 UTC 的另一种方法。
#Fields:连接日志文件中使用的逗号分隔字段名称。 下一部分将介绍这些值。
连接日志文件中的字段
连接日志记录将每个出站连接事件存储在日志中的单行上。 每行上的信息按字段组织,这些字段用逗号分隔。 下表描述了用于对每个传出连接事件进行分类的字段。
| 字段名 | 说明 |
|---|---|
| date-time | 连接事件的 UTC 日期/时间。 UTC 日期时间以 ISO 8601 日期时间格式表示: yyyy-MM-ddThh:mm:ss.fffZ, 其中 yyyy = year, MM = month, dd = day, T 指示时间分量开头, hh = 小时, mm = 分钟, ss = second, fff = 分数秒,Z 表示 Zulu,这是表示 UTC 的另一种方法。 |
| Session | GUID 值。 与会话关联的每个事件的值都相同,但每个会话的值都不同。 |
| 源 | 以下值之一:
|
| 目的地 | 下面是一些值示例,你将在此处看到:
|
| 方向 | 表示连接的开始、中间或结束的单个字符。 你将在此处看到的值是:
|
| description | 与连接事件关联的文本信息。 例如:
|
传输服务同时连接到多个目标并将消息传输到多个目标。 日志文件中来自不同连接事件的条目交错 (它们通常不会作为一个不间断的连接事件系列) 组合在一起。 但是,可以使用字段 (连接的唯一 会话 字段值,) 从头到尾组织和排列每个单独连接的日志条目。