了解郵件追蹤
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
郵件追蹤記錄是與執行 Microsoft Exchange Server 2010 且已安裝集線傳輸伺服器角色、信箱伺服器角色或邊際傳輸伺服器角色的電腦往返傳送郵件之所有郵件活動的詳細記錄。已安裝用戶端存取伺服器角色或整合通訊伺服器角色的 Exchange 伺服器不會有郵件追蹤記錄。 您可以使用郵件追蹤記錄進行郵件鑑識、郵件流程分析、報告及疑難排解等工作。
Set-TransportServer 指令程式可用於 Hub Transport Server 或 Edge Transport Server 上的所有郵件追蹤組態工作。 Set-MailboxServer 指令程式可用於 Mailbox Server 上的所有郵件追蹤組態工作。 對於已安裝 Hub Transport server role 和 Mailbox server role 的伺服器,您可以使用 Set-TransportServer 指令程式或 Set-MailboxServer 指令程式。 您可以使用這些指令程式,來進行下列郵件追蹤組態變更:
Enable or disable message tracking: 預設值是啟用。
Specify the location of the message tracking log files
Specify a maximum size for the individual message tracking log files: 預設值是 10 MB。
Specify a maximum size for the directory that contains the message tracking log files:預設值為 1,000 MB。
Specify maximum age for the message tracking log files: 預設為 30 天。
Enable or disable message subject logging in the message tracking logs 預設值為啟用。
附註: |
---|
您也可以使用 Exchange 管理主控台,在集線傳輸伺服器或邊際傳輸伺服器啟用或停用郵件追蹤,以及指定郵件追蹤記錄檔的位置。 |
Exchange 2010 會採用記錄輪替,根據檔案大小和保留天數來限制郵件追蹤記錄。 這有助於控制記錄檔所用的硬碟空間。
郵件追蹤記錄檔的結構
郵件追蹤檔案預設位於 C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking。
郵件追蹤記錄檔目錄記錄檔的命名慣例是依據已安裝的伺服器角色而定。 在 Hub Transport Server 或 Edge Transport Server 上,記錄檔命名為 MSGTRKyyyymmdd-nnnn .log。 在 Mailbox Server,記錄檔則命名為 MSGTRKMyyyymmdd-nnnn.log。 當 Hub Transport server role 和 Mailbox server role 都安裝在同一部伺服器時,會在郵件追蹤記錄檔目錄中建立使用這些不同名稱前置詞的不同記錄檔。
記錄檔名稱中的預留位置代表下列資訊:
預留位置 yyyymmdd 是依 Coordinated Universal Time (UTC) 時間為準的記錄檔建立日期。yyyy = 年、mm = 月,以及 dd = 日。
針對每個郵件追蹤記錄檔名稱前置詞,預留位置 nnnn 是每天都從 1 開始的執行個體號碼。
資訊會寫入每個記錄檔中,直到檔案大小達到每個記錄檔的最大指定值為止。此時會開啟具有遞增之執行個體編號的新記錄檔。 這個程序會在一天當中不斷地重複。 當下列其中一種情況發生時,記錄檔輪替功能就會刪除最舊的記錄檔:
記錄檔達到指定的保留天數上限。
郵件追蹤記錄檔目錄達到指定的大小上限。
重要事項: 會將郵件追蹤記錄檔目錄的大小上限計算為具有相同名稱前置詞之全部記錄檔的大小總和。 不遵守名稱前置詞慣例的其他檔案則不列入總目錄大小的計算中。 重新命名舊的記錄檔或將其他檔案複製到郵件追蹤記錄檔目錄會導致目錄超過其指定的大小上限。 在相同伺服器上安裝 Hub Transport server role 和 Mailbox server role 時,郵件追蹤記錄檔目錄的大小上限將不是指定的大小上限,因為由不同伺服器角色所產生的郵件追蹤記錄檔,會具有不同的名稱前置詞。 當 Hub Transport server role 與 Mailbox server role 安裝於相同的伺服器上時,郵件追蹤記錄檔目錄的大小上限是指定值的兩倍。
郵件追蹤記錄檔是包含逗號分隔值 (CSV) 格式之資料的文字檔。 每個郵件追蹤記錄檔都有包含下列資訊的標頭:
#Software: 建立郵件追蹤記錄檔的軟體名稱。一般來說,這個值為 Microsoft Exchange Server。
#Version: 建立郵件追蹤記錄檔的軟體版本號碼。目前這個值為 14.0.0.0。
#Log-Type: 此欄位的值是郵件追蹤記錄。
#Date: 建立記錄檔的 UTC 日期時間。 以 ISO 8601 日期時間格式表示 UTC 日期時間:yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒的分數,以及另外一個表示 UTC 的方法 Z 代表 Zulu。
#Fields: 在郵件追蹤記錄檔中使用的逗點分隔欄位名稱。 下列是列舉的欄位:
寫入郵件追蹤記錄的資訊
郵件追蹤記錄會在記錄中將每個郵件事件儲存成一行。 表 1 說明用以分類每個郵件事件的事件類型。
表 1 用以分類每個郵件事件的事件類型
事件名稱 | 描述 | ||
---|---|---|---|
BADMAIL |
無法傳遞或退回由「收取」目錄或「重新顯示」目錄所提交的郵件。 |
||
DELIVER |
郵件已傳遞至信箱。 |
||
DEFER |
郵件傳遞延遲。 |
||
DSN |
已產生傳遞狀態通知 (DSN)。 |
||
DUPLICATEDELIVER |
重複的郵件已傳遞給收件者。 如果收件者同時是兩個通訊群組的成員,可能會出現郵件重複情形。 資訊儲存庫會偵測到重複的郵件並加以移除。 |
||
EXPAND |
已展開通訊群組。 |
||
FAIL |
郵件傳遞失敗。 |
||
POISONMESSAGE |
郵件已放入有害訊息佇列中,或是從有害訊息佇列中移除。 |
||
RECEIVE |
已接收郵件並認可到資料庫。 RECEIVE 事件可能是 SMPT 接收 (來源: SMTP),或 STOREDRIVER (來源: STOREDRIVER) 所提交的郵件。 SMTP RECEIVE 可能來自使用 SMTP 提交郵件的任何來源。 例如,可能是 Hub Transport server role、Edge Transport server role、協力廠商郵件傳輸代理程式 (MTA) 或 POP/IMAP 用戶端。 STOREDRIVER RECEIVE 是由 EdgeTransport.exe 程序所記錄,而且是對應至 STOREDRIVER SUBMIT 事件的事件。 STOREDRIVER SUBMIT 是由郵件提交程序所記錄。 如果這兩個伺服器角色皆安裝在於本機上,這些事件可存於相同的伺服器上,否則它們僅可存於不同伺服器上。
|
||
REDIRECT |
在 Active Directory 目錄服務查閱之後,郵件已重新導向至替代收件者。 |
||
RESOLVE |
在 Active Directory 查閱之後,郵件的收件者會解析為不同的電子郵件地址。 |
||
SEND |
郵件是由簡易郵件傳送通訊協定 (SMTP) 傳送至不同的伺服器。 |
||
SUBMIT |
SUBMIT 事件是由執行 Mailbox server role 的 Exchange 2007 電腦上的郵件提交服務所記錄。 當此服務成功地向 Hub Transport Server 通告信箱儲存區種有郵件正在等候提交時,就會記錄 SUBMIT 事件。 SourceContext 內容提供訊息資料庫 (MDB) GUID、信箱 GUID、事件序號、訊息類別、用戶端提交至儲存區的建立時間戳記,以及用戶端類型。用戶端類型可以是使用者 (Outlook 直接 MAPI)、RPCHTTP (Outlook Anywhere)、Outlook Web Access、Exchange Web 服務 (EWS)、Exchange ActiveSync、助理員或傳輸。 由 Mailbox server role 所產生的郵件追蹤記錄檔只包含 SUBMIT 事件。 |
||
TRANSFER |
由於內容轉換、郵件收件者限制或代理程式的緣故,收件者已移至分支的郵件。 |
每一行上所儲存的郵件事件資訊都會依照欄位來安排。 這些欄位均以逗號隔開。 欄位名稱通常具有足夠的描述資訊,可用以判斷其內含的資訊類型。 不過,有些欄位可能空白,或者欄位中儲存的資訊類型可能會依照表 1 中所描述的郵件事件類型而有所不同。表 2 會說明用以分類每個郵件追蹤事件之欄位的一般描述。
表 2 用以分類每個郵件追蹤事件的欄位
欄位名稱 | 描述 |
---|---|
date-time |
以 ISO 8601 格式表示郵件追蹤事件的 UTC 日期時間。此值的格式為 yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒的分數,以及另外一個表示 UTC 的方法 Z 代表 Zulu。 |
client-ip |
提交郵件之郵件伺服器或郵件用戶端的 TCP/IP 位址。 |
client-hostname |
提交郵件之郵件伺服器或郵件用戶端的名稱。 |
server-ip |
來源或目的 Exchange 伺服器的 TCP/IP 位址。 |
server-hostname |
目的伺服器的名稱。 |
source-context |
與來源欄位關聯的額外資訊。 |
connector-id |
來源或目的傳送連接器或接收連接器的名稱。 |
source |
負責郵件追蹤事件的 Exchange 傳輸元件。 此欄位可能的值如下:
|
event-id |
郵件事件類型。 本主題稍早的表 1 中已完整描述這些事件。 可能的值包括 BADMAIL、DEFER、DELIVER、DSN、EXPAND、FAIL、POISONMESSAGE、RECEIVE、REDIRECT、RESOLVE、SEND、SUBMIT 和 TRANSFER。 |
internal-message-id |
由目前處理郵件之 Exchange 2010 伺服器所指派的郵件識別碼。 在參與郵件傳遞之每部 Exchange 2010 伺服器的郵件追蹤記錄中,特定郵件的 internal-message-id 值是不同的。 |
message-id |
在郵件標頭欄位中找到之 |
recipient-address |
郵件收件者的電子郵件地址。 多個電子郵件地址是以分號字元 (;) 隔開。 |
recipient-status |
SEND 事件或 FAIL 事件會填入此欄位。 |
total-bytes |
含附件的郵件大小,以位元組為單位。 |
recipient-count |
郵件中的收件者數目。 |
related-recipient-address |
EXPAND、REDIRECT 及 RESOLVE 事件會使用此欄位,來顯示與郵件關聯的其他收件者電子郵件地址。 |
reference |
此欄位包含特定事件類型的其他資訊: DSN 此參考欄位包含導致 DSN 之郵件的 Internet-Message-Id。 SEND 此參考欄位包含任何傳遞狀態通知 (DSN) 郵件的 Internet-Message-Id。 TRANSFER 此參考欄位包含分支之郵件的 Internet-Message-Id。 至於其他所有類型的事件,參考欄位則為空白。 |
message-subject |
在 |
sender-address |
在 |
return-path |
在郵件信封中由 |
message-info |
此欄位包含 DELIVER 和 SEND 事件的郵件原始日期時間。 原始日期時間是指郵件最初進入 Exchange 組織的時間。此值的格式為 yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、hh = 時、mm = 分、ss = 秒、fff = 秒的分數,以及另外一個表示 UTC 的方法 Z 代表 Zulu。 |
您可以在 Exchange 管理命令介面中使用 Get-MessageTrackingLog 指令程式,或者在 Exchange 管理主控台使用郵件追蹤工具,以特定的郵件準則來搜尋郵件。
郵件追蹤記錄的安全性考量
郵件追蹤記錄中不會儲存郵件內容。 依預設,電子郵件的主旨列會儲存在郵件追蹤記錄中。 為了滿足日益提高的安全性或隱私權需求,您可能想停用郵件主旨記錄。 啟用或停用郵件主旨記錄前,請務必確認您組織中有關公開主旨列資訊的相關原則。
相關資訊
如需相關資訊,請參閱下列主題:
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。