Nachrichtenverfolgung in Exchange

Gilt für: Exchange Server 2013

In Microsoft Exchange Server 2013 ist das Nachrichtenverfolgungsprotokoll ein detaillierter Datensatz aller Nachrichtenaktivitäten, wenn Nachrichten an den und vom Transportdienst auf Postfachservern, Postfächern auf Postfachservern und Edge-Transport-Servern übertragen werden. Sie können Nachrichtenverfolgungsprotokolle für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, die Berichterstellung und die Problembehandlung verwenden.

In Exchange 2013 können Sie mit den Cmdlets Set-TransportService und Set-MailboxServer alle Konfigurationsaufgaben für die Nachrichtenverfolgung ausführen, da sich der Transportdienst und die Postfächer auf dem Exchange 2013-Postfachserver befinden. Mit diesen Cmdlets können die folgenden Konfigurationsänderungen an der Nachrichtenverfolgung vorgenommen werden:

  • Aktiveren und Deaktivieren der Nachrichtenverfolgung. Standardmäßig ist diese aktiviert.
  • Angeben des Speicherorts der Nachrichtenverfolgungs-Protokolldateien.
  • Angeben einer Maximalgröße für die einzelnen Nachrichtenverfolgungs-Protokolldateien. Der Standardwert beträgt 10 MB.
  • Angeben einer Maximalgröße für das Verzeichnis, das die Protokolldateien der Nachrichtenverfolgung enthält. Der Standardwert beträgt 1.000 MB.
  • Angeben des Höchstalters für die Protokolldateien der Nachrichtenverfolgung: Der Standardwert beträgt 30 Tage.
  • Aktivieren und Deaktivieren der Nachrichtenbetreffprotokollierung in den Nachrichtenverfolgungsprotokollen. Standardmäßig ist diese aktiviert.

Hinweis

Sie können auch über die Exchange-Verwaltungskonsole die Nachrichtenverfolgung aktivieren oder deaktivieren und den Speicherort der Protokolldateien der Nachrichtenverfolgung angeben.

Standardmäßig verwendet Exchange die Umlaufprotokollierung, um Größe und Alter der Nachrichtenverfolgungsprotokolle zu begrenzen und somit den von diesen Protokolldateien benötigten Festplattenspeicherplatz zu verringern.

Durchsuchen des Nachrichtenverfolgungsprotokolls

In Nachrichtenverfolgungsprotokollen fallen große Datenmengen an, während sich Nachrichten durch einen Exchange 2013-Postfachserver bewegen. Zur Durchsuchung der Nachrichtenverfolgungsprotokolle haben Sie mehrere Möglichkeiten.

  • Get-MessageTrackingLog: Administratoren können dieses Cmdlet verwenden, um das Nachrichtenverfolgungsprotokoll mithilfe einer Vielzahl von Filterkriterien nach Informationen zu Nachrichten zu durchsuchen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.

  • Übermittlungsberichte für Administratoren: Administratoren können die Registerkarte Übermittlungsberichte im Exchange Admin Center (EAC) oder die zugrunde liegenden Cmdlets Search-MessageTrackingReport und Get-MesageTrackingReport verwenden, um die Nachrichtenverfolgungsprotokolle nach Informationen zu Nachrichten zu durchsuchen, die von einem bestimmten Postfach in der Organisation gesendet oder empfangen werden. Weitere Informationen finden Sie unter Übermittlungsberichte für Administratoren.

Struktur der Protokolldateien der Nachrichtenverfolgung

Standardmäßig befinden Sich die Protokolldateien der Nachrichtenverfolgung in "% ExchangeInstallPath%TransportRoles\Logs\MessageTracking".

Die Benennungskonvention für Protokolldateien im Protokollverzeichnis der Nachrichtenverfolgung ist MSGTRKyyyymmdd-nnnn.log, MSGTRKMAyyyymmdd-nnnn.log, MSGTRKMDyyyymmdd-nnnn.logund MSGTRKMSyyyymmdd-nnnn.log. Die verschiedenen Protokolle werden von den folgenden Diensten verwendet:

  • MSGTRK: Diese Protokolle sind dem Transportdienst zugeordnet.
  • MSGTRKMA: Diese Protokolle sind den Genehmigungen und Ablehnungen zugeordnet, die vom moderierten Transport verwendet werden. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
  • MSGTRKMD: Diese Protokolle sind Nachrichten zugeordnet, die vom Postfachtransportübermittlungsdienst an Postfächer übermittelt werden.
  • MSGTRKMS: Diese Protokolle sind Nachrichten zugeordnet, die vom Postfachtransportübermittlungsdienst von Postfächern gesendet werden.

Die Platzhalter in den Protokolldateinamen stehen für folgende Informationen:

  • Der Platzhalter yyyymmdd ist das Koordinierte Datum der Weltzeit (UTC), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, mm = Monat und dd = Tag.
  • Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert von 1 täglich für jede Nachricht beginnt, die den Protokolldateinamenpräfix der Nachrichtenverfolgung angibt.

In jede Protokolldatei werden Informationen geschrieben, bis die Dateigröße den für jede Protokolldatei angegebenen Maximalwert erreicht. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Bei der Protokolldateirotation werden die ältesten Protokolldateien gelöscht, wenn eine der folgenden Bedingungen zutrifft:

  • Eine Protokolldatei erreicht ihr angegebenes Höchstalter.

  • Das Verzeichnis für Nachrichtenverfolgungsprotokolle erreicht seine festgelegte maximal zulässige Größe.

    Wichtig

    Die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses wird aus der Gesamtgröße aller Protokolldateien berechnet, die dasselbe Namenspräfix haben. Alle weiteren Dateien, die die Namenspräfixkonvention nicht einhalten, werden bei der Berechnung der Gesamtgröße des Verzeichnisses nicht berücksichtigt. Das Umbenennen alter Protokolldateien oder das Kopieren anderer Dateien in das Nachrichtenverfolgungsprotokoll-Verzeichnis kann dazu führen, dass das Verzeichnis seine angegebene Maximalgröße überschreitet.

    Auf Exchange 2013-Postfachservern ist die maximale Größe des Nachrichtenverfolgungsprotokollverzeichnisses dreimal so groß wie der angegebene Wert. Wenngleich die Dateien für die Nachrichtenverfolgungsprotokolle von vier verschiedenen Diensten generiert werden und vier unterschiedliche Namenspräfixe haben, sind Umfang und Häufigkeit, wie der Daten in die MSGTRKMA -Protokolldateien geschrieben werden, im Vergleich zu den anderen drei Protokolldateipräfixen zu vernachlässigen.

Bei den Protokolldateien der Nachrichtenverfolgung handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value, durch Komma getrennte Werte) enthalten. Jede Datei enthält eine Kopfzeile mit den folgenden Informationen:

  • #Software:: Name der Software, die die Protokolldatei zur Nachrichtenverfolgung erstellt hat. In der Regel lautet der Wert "Microsoft Exchange Server".

  • #Version:: Versionsnummer der Software, die die Protokolldatei zur Nachrichtenverfolgung erstellt hat. Der aktuelle Wert lautet 15.0.0.0.

  • #Log-Type:: Protokolltypwert, d. h. Nachrichtenverfolgungsprotokoll.

  • #Date:: Das UTC-Datum und die Uhrzeit der Erstellung der Protokolldatei. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat und dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben.

  • #Fields:: Durch Trennzeichen getrennte Feldnamen, die in den Nachrichtenverfolgungsprotokolldateien verwendet werden.

Felder in den Protokolldateien für die Nachrichtenverfolgung

Im Nachrichtenverfolgungsprotokoll werden die einzelnen Nachrichtenereignisse jeweils in einer einzelnen Zeile gespeichert. Die Nachrichtenereignisinformationen sind in Feldern organisiert, die durch Kommas voneinander getrennt sind. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind möglicherweise jedoch leer, oder der im Feld gespeicherte Informationstyp kann sich auf Grundlage des Nachrichtenereignistyps und des Typs der Nachrichtenverfolgungs-Protokolldatei ändern, in der das Ereignis aufgezeichnet wurde. Allgemeine Beschreibungen der Felder, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in folgenden Tabelle erläutert.

Feldname Beschreibung
date-time Das UTC-Datum und die Uhrzeit des Nachrichtenverfolgungsereignisses. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben.
client-ip Die IPv4- oder IPv6-Adresse des Messagingservers oder -clients, der die Nachricht übermittelt hat.
client-hostname Der Hostname oder FQDN des Messagingservers oder -clients, der die Nachricht übermittelt hat.
server-ip Die IPv4- oder IPv6-Adresse des Exchange-Quell- oder Zielservers.
server-hostname Der Hostname oder FQDN des Zielservers.
source-context Zusätzliche Informationen, die zum Feld source gehören. Beispiel: Transport-Agent-Informationen.
connector-id Der Name des Sendeconnectors oder Empfangsconnectors am Quell- oder Zielstandort. Beispiel: ServerName\ConnectorName oder ConnectorName.
source Die für das Nachrichtenverfolgungsereignis zuständige Exchange-Transportkomponente. Die Werte in diesem Feld werden im Abschnitt Quellwerte im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.
event-id Der Nachrichtenereignistyp. Die Ereignistypen werden im Abschnitt Ereignistypen im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.
internal-message-id Eine Nachrichten-ID, die vom Exchange-Server zugewiesen wurde, der die Nachricht derzeit verarbeitet.

Der Wert internal-message-id einer bestimmten Nachricht ist im Nachrichtenverfolgungsprotokoll jedes Exchange-Servers unterschiedlich, der an der Zustellung der Nachricht beteiligt ist. Ein Beispielwert ist 73014444033.
message-id Der Wert des Kopfzeilenfelds Nachrichten-ID: im Nachrichtenkopf. Wenn das Kopfzeilenfeld Nachrichten-ID: nicht vorhanden oder leer ist, wird ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant. Bei nachrichten, die in Exchange erstellt wurden, hat der Wert das Format <GUID@ServerFQDN>, einschließlich der spitzen Klammern (< >). Beispiel: <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Andere Messagingsysteme können eine andere Syntax oder andere Werte verwenden.
network-message-id Ein eindeutiger Nachrichten-ID-Wert, der über Kopien der Nachricht hinweg beibehalten wird, die aufgrund einer Verteiler- oder Verteilergruppenerweiterung erstellt werden können. Ein Beispielwert ist 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-address Die E-Mail-Adresse des Empfängers der Nachricht. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.
recipient-status Dieses Feld enthält den Empfängerstatus jedes Empfänger getrennt durch ein Semikolon (;). Die Statuswerte werden für die Empfänger in derselben Reihenfolge wie die Werte im Feld recipient-address dargestellt. Beispielstatuswerte sind 250 2.1.5 Recipient OK oder 550 4.4.7 QUEUE.Expired;<ErrorText>.
total-bytes Die Größe der Nachricht, die Anlagen enthält, in Bytes.
recipient-count Die Gesamtzahl der Empfänger in der Nachricht.
related-recipient-address Dieses Feld wird mit Ereignissen vom Typ EXPAND, REDIRECT und RESOLVE verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.
reference Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Beispiel:

DSN: Enthält den Berichtslink, bei dem es sich um den Message-ID-Wert der zugeordneten Übermittlungsstatusbenachrichtigung (DSN) handelt, wenn nach diesem Ereignis ein DSN generiert wird. Wenn es sich um eine Benachrichtigung über den Zustellungsstatus handelt, enthält das Feld Reference den Message-Id -Wert der ursprünglichen Nachricht, für die diese Benachrichtigung über den Zustellungsstatus generiert wurde.

EXPAND: Das Verweisfeld enthält den Wert related-recipient-address der zugehörigen Nachrichten.

RECEIVE: Das Feld Verweis kann den Wert Message-ID der zugehörigen Nachricht enthalten, wenn die Nachricht von anderen Prozessen generiert wurde, z. B. Von Journal- oder Posteingangsregeln.

SEND: Das Feld Verweis enthält den Internal-Message-Id-Wert aller DSN-Nachrichten .

DROSSELUNG: Das Feld Verweis enthält den Grund, warum die Nachricht gedrosselt wurde.

TRANSFER: Das Feld Verweis enthält die Internal-Message-ID der Nachricht, die gezweigt wird.

Für von Poseingangsregeln generierte Nachrichten enthält das Feld Reference den Internal-Message-Id -Wert der eingehenden Nachricht, die bewirkt hat, dass die Posteingangsregel die ausgehende Nachricht generiert hat.

Bei anderen Ereignistypen kann das Feld Reference den Wert Internal-Message-Id für verzweigte Nachrichten enthalten.

Für anderen Ereignistypen ist das Feld Reference zumeist leer.
message-subject Der Betreff der Nachricht im Subject: Kopfzeilenfeld. Die Nachverfolgung von Nachrichtensubjekten wird durch den MessageTrackingLogSubjectLoggingEnabled-Parameter in den Cmdlets Set-TransportService oder Set-MailboxServer gesteuert. Die Nachrichtenbetreffverfolgung ist in der Standardeinstellung aktiviert.
sender-address Die im Sender: Kopfzeilenfeld angegebene E-Mail-Adresse oder das From: Kopfzeilenfeld, falls Sender: nicht vorhanden.
return-path Die rückgabe-E-Mail-Adresse, die von im Nachrichtenumschlag angegeben wird MAIL FROM: . Obwohl dieses Feld nie leer ist, kann der Null-Absenderadressenwert als <>dargestellt werden.
message-info Weitere Informationen zur Nachricht. Beispiel:
  • Die UTC-Datums- und Uhrzeitangabe der Nachrichtenursprung für DELIVER- und SEND-Ereignisse.The message origination UTC date/time for DELIVER and SEND events. Datum/Uhrzeit der Ursprungsangabe ist der Zeitpunkt, zu dem die Nachricht zum ersten Mal in die Exchange-Organisation gelangt ist. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben.
  • Authentifizierungsfehler. Beispielsweise können der Wert 11a und der Typ der Authentifizierung angezeigt werden, die beim Auftreten von Authentifizierungsfehlern verwendet werden.
directionality Die Richtung der Nachricht. Beispielwerte sind Incoming, Undefinedund Originating.
tenant-id Dieses Feld wird in lokalen Exchange 2013-Organisationen nicht verwendet.
original-client-ip Die IPv4- oder IPv6-Adresse des ursprünglichen Clients.
original-server-ip Die IPv4- oder IPv6-Adresse des ursprünglichen Servers.
custom-data Dieses Feld enthält Daten in Bezug auf einen bestimmten Ereignistyp. Beispielsweise nutzt der Transportregel-Agent dieses Feld zum Aufzeichnen der GUID der Transportregel oder DLP-Richtlinie, die auf die Nachricht angewendet wurde. Weitere Informationen zu diesen Werten des Transportregel-Agents finden Sie im Abschnitt "Datenprotokollierung" des Themas Anzeigen von DLP-Richtlinienerkennungsberichten .

Ereignistypen im Nachrichtenverfolgungsprotokoll

Verschiedene Ereignistypen im Feld event-id dienen zum Klassifizieren der Nachrichtenereignisse im Nachrichtenverfolgungsprotokoll. Einige Nachrichtenereignisse werden nur in einem Typ von Protokolldatei für die Nachrichtenverfolgung angezeigt, andere hingegen in allen. Die Ereignistypen, die zum Klassifizieren der einzelnen Nachrichtenereignisse verwendet werden, sind in Tabelle 1 beschrieben.

Ereignisname Beschreibung
AGENTINFO Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren.
BADMAIL Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.
DEFER Die Nachrichtenzustellung wurde verzögert.
DELIVER Eine Nachricht wurde an ein lokales Postfach zugestellt.
DROP Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel:
  • Die Moderation von Genehmigungsanforderungsnachrichten wurde abgeschlossen.
  • Spamnachrichten, die ohne NDR im Hintergrund gelöscht wurden.
DSN Eine Benachrichtigung über den Zustellungsstatus wurde generiert.
DUPLICATEDELIVER Eine doppelte Nachricht wurde an den Empfänger übermittelt. Duplizierung kann auftreten, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.
DUPLICATEEXPAND Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt.
DUPLICATEREDIRECT Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger.
EXPAND Eine Verteilergruppe wurde erweitert.
FAIL Fehler bei der Nachrichtenübermittlung. Zu den Quellen gehören SMTP, DNS, QUEUE und ROUTING.
HADISCARD Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz.
HARECEIVE Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen.
HAREDIRECT Eine Shadow-Nachricht erstellt wurde.
HAREDIRECTFAIL Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert.
INITMESSAGECREATED Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
LOAD Eine Nachricht wurde erfolgreich beim Starten geladen.
MODERATIONEXPIRE Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung.
MODERATORAPPROVE Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde.
MODERATORREJECT Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde.
MODERATORSALLNDR Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten geführt hat.
NOTIFYMAPI Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt.
NOTIFYSHADOW Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden.
POISONMESSAGE Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.
PROCESS Die Nachricht wurde erfolgreich verarbeitet.
PROCESSMEETINGMESSAGE Eine Besprechungsnachricht wurde vom Postfachtransport-Zustellungsdienst verarbeitet.
RECEIVE Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: SMTP), oder eine Nachricht wurde aus einem Postfach an den Postfachtransport-Übermittlungsdienst gesendet (Quelle: STOREDRIVER).
REDIRECT Eine Nachricht wurde nach einer Active Directory-Suche an einen alternativen Empfänger umgeleitet.
RESOLVE Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst.
RESUBMIT Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz.
RESUBMITDEFER Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt.
RESUBMITFAIL Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht.
SEND Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet.
SUBMIT Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details:
  • MDB: Die Postfachdatenbank-GUID.
  • Mailbox: Die Postfach-GUID.
  • Event: Die Ereignissequenznummer.
  • MessageClass: Der Typ der Nachricht. Beispiel: IPM.Note.
  • CreationTime: Datum / Uhrzeit des der Nachrichtenübermittlung.
  • ClientType: Beispiel: User, OWA oder ActiveSync.
SUBMITDEFER Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt.
SUBMITFAIL Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst.
SUPPRESSED Die Nachrichtenübertragung wurde unterdrückt.
THROTTLE Die Nachricht wurde eingeschränkt.
TRANSFER Empfänger wurden aufgrund von Inhaltskonvertierung, Nachrichtenempfängergrenzwerten oder Agents in eine verzweigte Nachricht verschoben. Zu den Quellen gehören ROUTING oder QUEUE.

Quellwerte im Nachrichtenverfolgungsprotokoll

Die Werte im Feld source im Nachrichtenverfolgungsprotokoll geben die Transportkomponente an, die für das Nachrichtenverfolgungsereignis zuständig ist. In der folgenden Tabelle werden die Werte des Felds source beschrieben.

Wert von „source“ Beschreibung
ADMIN Die Ereignisquelle war menschliches Eingreifen. Beispiel: Ein Administrator hat in der Warteschlangenanzeige eine Nachricht gelöscht oder Nachrichtendateien mithilfe des Wiedergabeverzeichnisses übermittelt.
AGENT Die Ereignisquelle war ein Transport-Agent.
APPROVAL Die Ereignisquelle war das Genehmigungssystem, das mit moderierten Empfänger verwendet wird. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
BOOTLOADER Die Ereignisquelle waren nicht verarbeitete Nachrichten, die auf dem Server beim Start vorhanden sind. Dies bezieht sich auf den Ereignistyp LOAD.
DNS Die Ereignisquelle war DNS.
DSN Die Ereignisquelle war eine Benachrichtigung über die Zustellungsstatus. Beispiel: ein Unzustellbarkeitsbericht.
GATEWAY Die Ereignisquelle war ein fremder Connector. Weitere Informationen finden Sie unter Fremde Connectors.
MAILBOXRULE Die Ereignisquelle war eine Posteingangsregel. Weitere Informationen finden Sie unter Posteingangsregeln.
MEETINGMESSAGEPROCESSOR Die Ereignisquelle war die Verarbeitung der Besprechungsnachrichten, die Kalender basierend auf Besprechungsaktualisierungen aktualisiert.
ORAR Die Quelle war ein Originator Requested Alternate Recipient (ORAR, vom Absender angeforderter Alternativempfänger). Sie können die Unterstützung für ORAR für Empfangsconnectors mithilfe des OrarEnabled-Parameters in den Cmdlets New-ReceiveConnector oder Set-ReceiveConnector aktivieren oder deaktivieren.
PICKUP Die Ereignisquelle war das PICKUP-Verzeichnis. Weitere Informationen finden Sie unter PICKUP-Verzeichnis und Wiedergabeverzeichnis.
POISONMESSAGE Die Ereignisquelle war die ID einer nicht verarbeitbaren Nachricht. Weitere Informationen zu nicht verarbeitbaren Nachrichten und zur Warteschlange für nicht verarbeitbare Nachrichten finden Sie unter Warteschlangen
PUBLICFOLDER Die Ereignisquelle war ein E-Mail-aktivierter öffentliche Ordner.
QUEUE Die Ereignisquelle war eine Warteschlange.
REDUNDANCY Die Ereignisquelle war Shadow-Redundanz. Weitere Informationen finden Sie unter Shadow-Redundanz.
ROUTING Die Ereignisquelle war die Routingauflösungskomponente des Kategorisierungsmoduls im Transportdienst.
SAFETYNET Die Ereignisquelle war das Sicherheitsnetz. Weitere Informationen finden Sie unter Sicherheitsnetz.
SMTP Die Nachricht wurde von der SMTP-Sende- oder SMTP-Empfangskomponente des Transportdiensts übermittelt.
STOREDRIVER Die Ereignisquelle war eine MAPI-Übermittlung aus einem Postfach auf dem lokalen Server.

Beispieleinträge im Nachrichtenverfolgungsprotokoll

Eine ereignislose Nachricht, die zwischen zwei Benutzern gesendet wurde, generiert mehrere Einträge im Nachrichtenverfolgungsprotokoll. Sie können die Ergebnisse mit dem Cmdlet Get-MessageTrackingLog überprüfen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.

Dies ist ein verkürztes Beispiel für die Protokolleinträge für die Nachrichtennachverfolgung, die erstellt werden, wenn der Benutzer chris@contoso.com erfolgreich eine Testnachricht an den Benutzer michelle@contoso.comsendet. Beide Benutzer haben Postfächer auf demselben Server.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Sicherheitsüberlegungen zum Nachrichtenverfolgungsprotokoll

Im Nachrichtenverfolgungsprotokoll wird kein Nachrichteninhalt gespeichert. Standardmäßig wird die Betreffzeile einer E-Mail-Nachricht im Nachrichtenverfolgungsprotokoll gespeichert. Möglicherweise möchten Sie die Nachrichtenbetreffprotokollierung jedoch aufgrund von erhöhten Sicherheits- und Datenschutzanforderungen deaktivieren. Überprüfen Sie vor der Aktivierung oder Deaktivierung der Nachrichtenbetreffprotokollierung die Richtlinie Ihrer Organisation zum Anzeigen von Betreffzeileninformationen. Weitere Informationen finden Sie unter Konfigurieren der Nachrichtenverfolgung.