共用方式為

Exchange 中的訊息追蹤

  • 發行項

適用於:Exchange Server 2013

在 Microsoft Exchange Server 2013 中,郵件追蹤記錄檔會在信箱伺服器上的傳輸服務、信箱伺服器上的信箱和邊緣傳輸伺服器上傳入及傳出郵件時詳細記錄所有的郵件活動。 您可以使用郵件追蹤記錄檔進行郵件鑑識、郵件流程分析、報告及疑難排解等工作。

在 Exchange 2013 中,因為 Exchange 2013 信箱伺服器含有傳輸服務與信箱,所以您可以使用 Set-TransportService Cmdlet 或 Set-MailboxServer Cmdlet 進行所有的郵件追蹤組態工作。 您可以使用其中一項 Cmdlet,進行下列郵件追蹤組態變更:

  • 啟用或停用郵件追蹤。 預設值是啟用。
  • 指定郵件追蹤記錄檔的位置。
  • 指定個別郵件追蹤記錄檔的大小上限。 預設值是 10 MB。
  • 指定含有郵件追蹤記錄檔之目錄的大小上限:預設值為 1000 MB。
  • 指定郵件追蹤記錄檔的保留天數上限:預設為 30 天。
  • 啟用或停用郵件追蹤記錄檔中的郵件主旨記錄。 預設值是啟用。

注意事項

您也可以使用 Exchange 系統管理中心 (EAC) 來啟用或停用郵件追蹤,以及指定郵件追蹤記錄檔的位置。

Exchange 預設會根據檔案大小及檔案保留天數,使用循環記錄來限制郵件追蹤記錄檔,以助控制郵件追蹤記錄檔所使用的硬碟空間。

搜尋郵件追蹤記錄檔

隨著郵件在 Exchange 2013 信箱伺服器中移動,郵件追蹤記錄檔會包含大量資料。 若要搜尋郵件追蹤記錄檔,您有不同的選項可以使用。

  • Get-MessageTrackingLog:系統管理員可以使用此 Cmdlet 來搜尋訊息追蹤記錄檔,以取得使用各種篩選準則的訊息相關信息。 如需詳細資訊,請參閱< 搜尋郵件追蹤記錄檔>。

  • 系統管理員的傳遞報告:系統管理員可以使用 Exchange 系統管理中心內的 [傳遞報告] 索引標籤, (EAC) 或基礎 搜尋-MessageTrackingReportGet-MesageTrackingReport Cmdlet 來搜尋郵件追蹤記錄檔,以取得組織中特定信箱所傳送或接收之郵件的相關信息。 如需詳細資訊,請參閱< 系統管理員的傳遞回報>。

郵件追蹤記錄檔的結構

郵件追蹤記錄檔預設位於 %ExchangeInstallPath%TransportRoles\Logs\MessageTracking。

訊息追蹤記錄目錄中記錄檔的命名慣例是 MSGTRKyyyyMMdd-nnnn.logMSGTRKMAyyyyMMdd-nnnn.logMSGTRKMDyyyyMMdd-nnnn.logMSGTRKMSyyyyMMdd-nnnn.log。 不同的記錄檔分別供下列服務使用:

  • MSGTRK:這些記錄會與傳輸服務相關聯。
  • MSGTRKMA:這些記錄與仲裁傳輸所使用的核准和拒絕相關聯。 如需詳細資訊,請參閱<管理郵件核准>。
  • MSGTRKMD:這些記錄與信箱傳輸傳遞服務傳遞至信箱的訊息相關聯。
  • MSGTRKMS:這些記錄與信箱傳輸提交服務從信箱傳送的訊息相關聯。

記錄檔名稱中的預留位置代表下列資訊:

  • 佔位元 yyyyMMdd 是 UTC) 建立記錄檔之日期 (一致的通用時間。 yyyy = year、 MM = month 和 dd = day。
  • 占位元 nnnn 是實例編號,從每個訊息追蹤記錄檔名稱前置詞的每日值 1 開始。

資訊會寫入每個記錄檔中,直到檔案大小達到每個記錄檔的最大指定值為止。 此時會開啟具有遞增之執行個體編號的新記錄檔。 這個程序會在一天當中不斷地重複。 當下列其中一種情況發生時,記錄檔輪替功能就會刪除最舊的記錄檔:

  • 記錄檔達到指定的保留天數上限。

  • 郵件追蹤記錄檔目錄達到指定的大小上限。

    重要事項

    郵件追蹤記錄檔目錄的大小上限,是以擁有相同名稱前置詞之所有記錄檔的總大小來計算。 其他不遵循名稱前置詞慣例的檔案,並不會納入總目錄大小的計算。 將舊的記錄檔重新命名或將其他檔案複製到郵件追蹤記錄檔目錄中,可能會導致該目錄超過其指定的大小上限。

    在 Exchange 2013 信箱伺服器上,郵件追蹤記錄目錄的大小上限是指定值的三倍。 雖然由這四種不同的服務所產生的郵件追蹤記錄檔有四種不同的名稱前置詞,但寫入至 MSGTRKMA 的資料數量與頻率,相較於其他三種記錄檔前置詞而言顯得微不足道。

郵件追蹤記錄檔是包含逗號分隔值 (CSV) 格式之資料的文字檔。 每個郵件追蹤記錄檔都有包含下列資訊的標頭:

  • #Software::建立訊息追蹤記錄檔的軟體名稱。 一般情況下,這個值是 Microsoft Exchange Server。

  • #Version:: 建立訊息追蹤記錄檔的軟體版本號碼。 目前這個值為 15.0.0.0。

  • #Log-Type::記錄類型值,也就是訊息追蹤記錄檔。

  • #Date::建立記錄檔時的 UTC 日期時間。 UTC 日期時間會以 ISO 8601 日期時間格式表示: yyyy-MM-ddThh:mm:ss.fffZ、 其中 yyyy = year, MM = month, and dd = day, T 表示時間元件的開頭, hh = hour, mm = minute, ss = second, fff = fractions of a second, and Z 表示 Zulu,這是表示 UTC 的另一種方式。

  • #Fields::訊息追蹤記錄檔中使用的逗號分隔功能變數名稱。

郵件追蹤記錄檔中的欄位

郵件追蹤記錄檔會在記錄中將每個郵件事件儲存成一行。 郵件事件資訊會以欄位來組織,而這些欄位會以逗號分隔。 欄位名稱通常具有足夠的描述資訊,可用以判斷其內含的資訊類型。 但有些欄位可能會空白,或者,儲存在欄位中的資訊類型,可能會根據郵件事件類型以及記錄了該事件的郵件追蹤記錄檔的類型而變更。 下表提供將每個郵件追蹤事件進行分類時所使用欄位的一般描述。

欄位名稱 描述
date-time 郵件追蹤事件的 UTC 日期時間。 UTC 日期時間會以 ISO 8601 日期時間格式表示: yyyy-MM-ddThh:mm:ss.fffZ、 其中 yyyy = year、 MM = month、 dd = day、T 表示時間元件的開頭、 hh = hour、 mm = minute、 ss = second、 fff = 秒的分數,而 Z 表示 Zulu,這是表示 UTC 的另一種方式。
client-ip 將郵件提交之郵件伺服器或郵件用戶端的 IPv4 或 IPv6 位址。
client-hostname 將郵件提交之郵件伺服器或郵件用戶端的主機名稱或 FQDN。
server-ip 來源或目的地 Exchange 伺服器的 IPv4 或 IPv6 位址。
server-hostname 目的地伺服器的主機名稱或 FQDN。
source-context source 欄位相關聯的額外資訊。 例如,傳輸代理程式資訊。
connector-id 來源或目的地「傳送」連接器或「接收」連接器的名稱。 例如, ServerName\ConnectorNameConnectorName
source 負責處理郵件追蹤事件的 Exchange 傳輸元件。 此欄位中的值將在本主題稍後的郵件追蹤記錄檔中的來源值一節中說明。
event-id 郵件事件類型。 事件類型將在本主題稍後的郵件追蹤記錄檔中的事件類型一節中說明。
internal-message-id 由目前處理郵件的 Exchange 伺服器所指派的郵件識別碼。

在參與郵件傳輸的每部 Exchange 伺服器的郵件追蹤記錄檔中,特定郵件的 internal-message-id 值是不同的。 例如,此值可能為 73014444033
message-id 郵件標頭中 Message-Id: 標頭欄位的值。 如果 Message-Id: 標頭欄位不存在或空白,則會指派任意值。 此值是郵件存留時間的常數。 對於在 Exchange 中建立的訊息,此值的格式 <GUID@ServerFQDN>為 ,包括角括弧 () < > 。 例如,<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>。 其他郵件系統可能會使用不同的語法或值。
network-message-id 唯一的郵件識別碼值,會持續存在於郵件所有因為複本發送或通訊群組展開等原因而產生的副本上。 例如,此值可能為 1341ac7b13fb42ab4d4408cf7f55890f
recipient-address 郵件收件者的電子郵件地址。 多個電子郵件地址會以分號字元 (;) 隔開。
recipient-status 此欄位包含每個收件者的收件者狀態,並以分號字元 (;) 隔開。 收件者狀態值的顯示順序與 recipient-address 欄位中的值順序相同。 範例狀態值包括 250 2.1.5 Recipient OK550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytes 含附件的郵件大小,以位元組為單位。
recipient-count 郵件中的收件者數目。
related-recipient-address EXPANDREDIRECTRESOLVE 事件會使用此欄位,顯示與郵件相關聯的其他收件者電子郵件地址。
reference 此欄位包含特定事件類型的其他資訊。 例如:

DSN:包含報告連結,如果在此事件之後產生 DSN,則為 DSN (DSN) 相關聯傳遞狀態通知的 Message-Id 值。 如果這是 DSN 郵件,則 Reference 欄位會包含此 DNS 所針對之原始郵件的 Message-Id 值。

EXPAND:[參考] 字段包含 相關訊息的相關收件者位址 值。

RECEIVE:如果訊息是由其他進程產生,例如日誌或收件匣規則,[參考] 欄位可能會包含相關訊息的 Message-Id 值。

SEND:[參考] 字段包含任何 DSN 訊息的 Internal-Message-Id 值。

THROTTLE:[參考] 字段包含訊息受到節流的原因。

TRANSFER:[參考] 字段包含正在分岔之訊息的 Internal-Message-Id。

對於由收件匣規則產生的郵件,[ Reference ] 欄位包含當初導致收件匣規則產生輸出郵件的輸入郵件的 Internal-Message-Id 值。

對於其他類型的事件,[ Reference ] 欄位可能會包含遭分支之郵件的 Internal-Message-Id 值。

對於其他類型的事件,[ Reference ] 欄位通常為空白。
message-subject 在標頭欄位中 Subject: 找到訊息的主旨。 郵件主體的追蹤是由 Set-TransportServiceSet-MailboxServer Cmdlet 中的 MessageTrackingLogSubjectLoggingEnabled 參數所控制。 預設會啟用郵件主旨追蹤。
sender-address 標頭欄位中Sender:指定的電子郵件位址,如果 Sender: 不存在則From:為標頭欄位。
return-path 郵件信封中所 MAIL FROM: 指定的傳回電子郵件位址。 雖然此欄位絕對不會是空白,但會以 <> 來表示 Null 寄件者地址值。
message-info 郵件的其他相關資訊。 例如:
  • DELIVERSEND 事件的郵件原始 UTC 日期時間。 原始日期時間是指郵件最初進入 Exchange 組織的時間。 UTC 日期時間會以 ISO 8601 日期時間格式表示: yyyy-MM-ddThh:mm:ss.fffZ、 其中 yyyy = year、 MM = month、 dd = day、T 表示時間元件的開頭、 hh = hour、 mm = minute、 ss = second、 fff = 秒的分數,而 Z 表示 Zulu,這是表示 UTC 的另一種方式。
  • 驗證錯誤。 例如,您可能會看到發生驗證錯誤時所使用的值 11a 和驗證類型。
directionality 郵件的方向。 範例值包括 IncomingUndefinedOriginating
tenant-id 內部部署 Exchange 2013 組織中不會使用此欄位。
original-client-ip 原始用戶端的 IPv4 或 IPv6 位址。
original-server-ip 原始伺服器的 IPv4 或 IPv6 位址。
custom-data 此欄位包含特定事件類型的相關資料。 例如,「傳輸規則」代理程式會使用此欄位,針對對郵件執行了動作的傳輸規則或 DLP 原則,記錄其 GUID。 如需這些傳輸規則代理程式值的詳細資訊,請參 閱檢視 DLP 原則偵測報告 主題中的一節。

郵件追蹤記錄檔中的事件類型

event-id 欄位中的各種事件類型可用來將郵件追蹤記錄檔中的郵件事件分類。 有些郵件事件只會出現在一種類型的郵件追蹤記錄檔中,有些郵件事件則會出現在所有類型的郵件追蹤記錄檔中。 下表說明用以分類每個郵件事件的事件類型。

事件名稱 描述
AGENTINFO 傳輸代理程式會使用此事件來記錄自訂資料。
BADMAIL 由「收取」目錄或「重新顯示」目錄所提交,但無法傳遞或遭退回的郵件。
DEFER 郵件傳遞延遲。
DELIVER 郵件已傳遞至本機信箱。
DROP 已捨棄郵件,而不需要傳遞狀態通知 (也稱為 DSN、退回的郵件、未傳遞回報或 NDR)。 例如:
  • 已完成的仲裁核准要求郵件。
  • 以無訊息方式捨棄的垃圾郵件 (沒有 NDR)。
DSN 已產生傳遞狀態通知 (DSN)。
DUPLICATEDELIVER 重複的郵件已傳遞給收件者。 如果收件者是多個巢狀通訊群組的成員,可能會出現郵件重複情形。 資訊儲存庫會偵測到重複的郵件並加以移除。
DUPLICATEEXPAND 在通訊群組展開期間,偵測到重複的收件者。
DUPLICATEREDIRECT 郵件的替代收件者已是收件者。
EXPAND 已展開通訊群組。
FAIL 郵件傳遞失敗。 來源包括 SMTPDNSQUEUEROUTING
HADISCARD 在將主要複本傳遞至下一個躍點之後,已捨棄陰影郵件。 如需詳細資訊,請參閱<陰影備援>。
HARECEIVE 本機資料庫可用性群組 (DAG) 中或 Active Directory 站台中的伺服器接收到陰影郵件。
HAREDIRECT 已建立陰影郵件。
HAREDIRECTFAIL 無法建立陰影郵件。 詳細資料會儲存在 source-context 欄位中。
INITMESSAGECREATED 郵件已傳送給仲裁收件者,因此郵件已傳送至仲裁信箱進行核准。 如需詳細資訊,請參閱<管理郵件核准>。
LOAD 已在開機時順利載入郵件。
MODERATIONEXPIRE 仲裁收件者的仲裁者始終未核准或拒絕郵件,因此郵件已過期。 如需仲裁收件者的詳細資訊,請參閱管理郵件核准
MODERATORAPPROVE 仲裁收件者的仲裁者已核准郵件,因此郵件已傳遞給仲裁收件者。
MODERATORREJECT 仲裁收件者的仲裁者已拒絕郵件,因此郵件未傳遞給仲裁收件者。
MODERATORSALLNDR 對某個仲裁收件者的所有仲裁者傳送的所有核准要求皆無法傳遞,並且產生未傳遞回報 (NDR)。
NOTIFYMAPI 在本機伺服器上某個信箱的寄件匣中偵測到郵件。
NOTIFYSHADOW 在本機伺服器上某個信箱的寄件匣中偵測到郵件,而必須建立郵件的陰影複本。
POISONMESSAGE 郵件已放入有害郵件佇列中,或是已從有害郵件佇列中移除。
PROCESS 郵件處理成功。
PROCESSMEETINGMESSAGE 信箱傳輸傳遞服務所處理的會議郵件。
RECEIVE 郵件是由傳輸服務的 SMTP 接收元件所接收,或是從來源 (取貨或重新執行目錄接收: SMTP) ,或訊息已從信箱提交至信箱傳輸提交服務, (來源: STOREDRIVER) 。
REDIRECT 在 Active Directory 查閱之後,郵件已重新導向至替代收件者。
RESOLVE 在 Active Directory 查閱之後,郵件的收件者已解析為不同的電子郵件地址。
RESUBMIT 已從 Safety Net 自動重新提交郵件。 如需詳細資訊,請參閱 <安全網>。
RESUBMITDEFER 從 Safety Net 重新提交的郵件發生延遲。
RESUBMITFAIL 從 Safety Net 重新提交的郵件已失敗。
SEND 傳輸服務之間已以 SMTP 傳送郵件。
SUBMIT 「信箱傳輸提交」服務已順利將郵件傳送至「傳輸」服務。 就 SUBMIT 事件而言, source-context 內容會包含下列詳細資料:
  • MDB:信箱資料庫 GUID。
  • 信箱:信箱 GUID。
  • 事件:事件序號。
  • MessageClass:訊息的類型。 例如,IPM.Note
  • CreationTime:訊息提交的日期時間。
  • ClientType:例如 、 UserOWAActiveSync
SUBMITDEFER 從「信箱傳輸提交」服務到「傳輸」服務的郵件傳送作業發生延遲。
SUBMITFAIL 從「信箱傳輸提交」服務到「傳輸」服務的郵件傳送作業已失敗。
SUPPRESSED 已抑制郵件傳輸。
THROTTLE 已將郵件進行節流。
TRANSFER 由於內容轉換、郵件收件者限制或代理程式的緣故,收件者已移至分支的郵件。 來源包括 ROUTINGQUEUE

郵件追蹤記錄檔中的來源值

在郵件追蹤記錄檔中, source 欄位的值可指出負責處理郵件追蹤事件的傳輸元件。 下表說明 source 欄位的值。

來源值 描述
ADMIN 事件來源為人為干預。 例如,系統管理員使用佇列檢視器刪除郵件,或使用「重新顯示」目錄提交郵件檔案。
AGENT 事件來源為傳輸代理程式。
APPROVAL 事件來源為搭配仲裁收件者使用的核准架構。 如需詳細資訊,請參閱<管理郵件核准>。
BOOTLOADER 事件來源是開機時存在於伺服器上的未處理郵件。 這與 LOAD 事件類型相關。
DNS 事件來源為 DNS。
DSN 事件來源為傳遞狀態通知 (DSN)。 例如未傳遞回報 (NDR)。
GATEWAY 事件來源為外部連接器。 如需詳細資訊,請參閱<外部連接器>。
MAILBOXRULE 事件來源為收件匣規則。 如需詳細資訊,請參閱<收件匣規則>。
MEETINGMESSAGEPROCESSOR 事件來源是會議郵件處理器,它會根據會議更新來更新行事曆。
ORAR 事件來源為「發送者要求替代收件者」(ORAR)。 您可以使用 New-ReceiveConnector 或 Set-ReceiveConnector Cmdlet 上的 OrarEnabled 參數,在接收連接上啟用或停用 ORAR 支援。
PICKUP The event source was the Pickup directory. For more information, see Pickup directory and Replay directory.
POISONMESSAGE 事件來源為有害郵件識別碼。 如需有害郵件與有害郵件佇列的詳細資訊,請參閱佇列
PUBLICFOLDER 事件來源為具有郵件功能的公用資料夾。
QUEUE 事件來源為佇列。
REDUNDANCY 事件來源為陰影備援。 如需詳細資訊,請參閱<陰影備援>。
ROUTING 事件來源為「傳輸」服務中之分類程式的路由解析元件。
SAFETYNET 事件來源為 Safety Net。 如需詳細資訊,請參閱<安全網>。
SMTP 郵件已由傳輸服務的 SMTP 傳送元件或 SMTP 接收元件所提交。
STOREDRIVER 事件來源為本機伺服器上某個信箱中的 MAPI 提交。

郵件追蹤記錄檔中的範例項目

在兩個使用者之間傳送未引發事件的郵件時,會在郵件追蹤記錄檔中產生數個項目。 您可以使用 Get-MessageTrackingLog Cmdlet 來查看結果。 如需詳細資訊,請參閱< 搜尋郵件追蹤記錄檔>。

這是當使用者成功傳送測試訊息給使用者 chris@contoso.com 時所建立之訊息追蹤記錄專案的壓縮範例 michelle@contoso.com。 這兩名使用者在同一部伺服器上都有信箱。

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

郵件追蹤記錄的安全性考量

郵件追蹤記錄檔中不會儲存郵件內容。 依預設,郵件追蹤記錄檔中會儲存電子郵件的主旨行。 為了滿足日益提高的安全性或隱私權需求,您可能想停用郵件主旨記錄。 啟用或停用郵件主旨記錄前,請務必確認您組織中有關公開主旨列資訊的相關原則。 如需詳細資訊,請參閱<設定郵件追蹤>。