메시지 추적 이해
적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3
마지막으로 수정된 항목: 2015-03-09
메시지 추적 로그는 Microsoft Exchange Server 2010을 실행 중이며 허브 전송 서버 역할, 사서함 서버 역할 또는 Edge 전송 서버 역할이 설치된 컴퓨터 간에 전송되는 모든 메시지 작업에 대한 상세한 로그입니다. 클라이언트 액세스 서버 역할 또는 통합 메시징 서버 역할이 설치된 Exchange 서버에는 메시지 추적 로그가 없습니다. 메시지 확인, 메일 흐름 분석, 보고 및 문제 해결에 메시지 추적 로그를 사용할 수 있습니다.
Set-TransportServer cmdlet는 허브 전송 서버 또는 Edge 전송 서버의 모든 메시지 추적 구성 작업에 사용할 수 있습니다. Set-MailboxServer cmdlet는 사서함 서버의 모든 메시지 추적 구성 작업에 사용할 수 있습니다. 허브 전송 서버 역할과 사서함 서버 역할이 설치된 서버에서는 Set-TransportServer cmdlet 또는 Set-MailboxServer cmdlet를 사용할 수 있습니다. 이러한 여러 cmdlet를 사용하여 다음 메시지 추적 구성을 변경할 수 있습니다.
Enable or disable message tracking: 기본적으로 사용하도록 설정되어 있습니다.
Specify the location of the message tracking log files
Specify a maximum size for the individual message tracking log files: 기본값은 10MB입니다.
Specify a maximum size for the directory that contains the message tracking log files: 기본값은 1,000 MB입니다.
Specify maximum age for the message tracking log files: 기본값은 30일입니다.
Enable or disable message subject logging in the message tracking logs: 기본적으로 사용하도록 설정되어 있습니다.
참고
허브 전송 서버 또는 Edge 전송 서버의 Exchange 관리 콘솔을 사용하여 메시지 추적을 사용하거나 사용하지 않도록 설정하고 메시지 추적 로그 파일의 위치를 지정할 수도 있습니다.
Exchange 2010에서는 로그 순환을 사용하여 파일 크기와 보존 기간에 따라 메시지 추적 로그를 제한합니다. 그러면 로그 파일에 사용되는 하드 디스크 공간을 제한할 수 있습니다.
메시지 추적 로그 파일의 구조
기본적으로 메시지 추적 로그 파일은 C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking에 있습니다.
메시지 추적 로그 디렉터리에 있는 로그 파일의 명명 규칙은 설치된 서버 역할에 따라 달라집니다. 허브 전송 서버 또는 Edge 전송 서버에서는 로그 파일의 이름이 MSGTRKyyyymmdd-nnnn.log로 지정되고, 사서함 서버에서는 로그 파일의 이름이 MSGTRKMyyyymmdd-nnnn.log로 지정됩니다. 허브 전송 서버 역할과 사서함 서버 역할이 같은 서버에 설치되어 있으면 이러한 다른 이름의 접두사를 사용하는 별도의 로그 파일이 메시지 추적 로그 디렉터리에 만들어집니다.
로그 파일 이름의 자리 표시자는 다음 정보를 나타냅니다.
자리 표시자 yyyymmdd는 로그 파일이 만들어진 UTC(Coordinated Universal Time) 날짜입니다. 여기서 yyyy는 년, mm은 월, dd는 일을 표시합니다.
자리 표시자 nnnn은 각 메시지 추적 로그 파일 이름 접두사에 대해 매일 값 1에서 시작하는 인스턴스 번호입니다.
파일 크기가 각 로그 파일에 대해 지정된 최대값에 도달할 때까지 각 로그 파일에 정보가 기록됩니다. 그런 다음 인스턴스 번호가 증가된 상태로 새 로그 파일이 열립니다. 이 프로세스는 하루 종일 반복됩니다. 로그 파일 순환 기능은 다음 조건 중 하나가 만족될 때 가장 오래된 로그 파일을 삭제합니다.
로그 파일이 지정된 최대 보존 기간에 도달합니다.
메시지 추적 로그 디렉터리가 지정된 최대 크기에 도달합니다.
중요
메시지 추적 로그 디렉터리의 최대 크기는 이름 접두사가 같은 모든 로그 파일의 전체 크기로 계산됩니다. 이름 접두사 규칙을 따르지 않는 다른 파일은 전체 디렉터리 크기를 계산할 때 합산되지 않습니다. 이전 로그 파일의 이름을 바꾸거나 다른 파일을 메시지 추적 로그 디렉터리로 복사하면 디렉터리의 지정된 최대 크기를 초과할 수 있습니다. 허브 전송 서버 역할과 사서함 서버 역할이 같은 서버에 설치되어 있으면 서로 다른 서버 역할에서 생성되는 메시지 추적 로그 파일마다 이름 접두사가 다르기 때문에 메시지 추적 로그 디렉터리의 최대 크기가 지정된 최대 크기와 다릅니다. 허브 전송 서버 역할과 사서함 서버 역할이 같은 서버에 설치되어 있으면 메시지 추적 로그 디렉터리의 최대 크기는 지정된 값의 두 배입니다.
메시지 추적 로그 파일은 CSV(쉼표로 분리된 값) 형식의 데이터가 포함되어 있는 텍스트 파일입니다. 각 메시지 추적 로그 파일에는 다음과 같은 정보가 포함된 헤더가 있습니다.
#Software: 해당 메시지 추적 로그 파일을 만든 소프트웨어의 이름입니다. 일반적으로 값은 Microsoft Exchange Server입니다.
#Version: 해당 메시지 추적 로그 파일을 만든 소프트웨어의 버전 번호입니다. 현재 값은 14.0.0.0입니다.
#Log-Type: 이 필드 값은 메시지 추적 로그입니다.
#Date: 로그 파일이 만들어진 UTC 날짜-시간입니다. UTC 날짜-시간은 다음과 같은 ISO 8601 날짜-시간 형식으로 표시됩니다. yyyy-mm-ddThh:mm:ss.fffZ에서 yyyy는 연도, mm은 월, dd는 일, hh는 시, mm은 분, ss는 초, fff는 밀리초이며, Z는 UTC를 표시하는 또 하나의 방식인 Zulu를 의미합니다.
#Fields: 메시지 추적 로그 파일에서 사용되는 쉼표로 분리된 필드 이름입니다. 다음 필드가 나열됩니다.
메시지 추적 로그에 기록되는 정보
메시지 추적 로그는 로그의 한 줄에 각 메시지 이벤트를 저장합니다. 각 메시지 이벤트를 분류하는 데 사용되는 이벤트 유형은 표 1에 설명되어 있습니다.
표 1 각 메시지 이벤트를 분류하는 데 사용되는 이벤트 유형
| 이벤트 이름 | 설명 |
|---|---|
BADMAIL |
메시지가 배달하거나 반환할 수 없는 Pickup 디렉터리나 Replay 디렉터리에서 전송되었습니다. |
DELIVER |
메시지가 사서함으로 배달되었습니다. |
DEFER |
메시지 배달이 지연되었습니다. |
DSN |
DSN(배달 상태 알림)이 생성되었습니다. |
DUPLICATEDELIVER |
받는 사람에게 중복 메시지가 배달되었습니다. 받는 사람이 두 메일 그룹의 구성원이면 메시지가 중복될 수 있습니다. 정보 저장소에서 중복 메시지를 찾아 제거합니다. |
EXPAND |
메일 그룹이 확장되었습니다. |
FAIL |
메시지를 배달하지 못했습니다. |
POISONMESSAGE |
메시지가 포이즌 메시지 큐에 있거나 포이즌 메시지 큐에서 제거되었습니다. |
RECEIVE |
메시지를 받았거나 데이터베이스로 커밋했습니다. RECEIVE 이벤트는 SMTP 수신(원본: SMTP)또는 STOREDRIVER(원본: STOREDRIVER)에서 전송하는 메일일 수 있습니다. SMTP RECEIVE는 SMTP를 사용하여 메시지를 전송하는 모든 원본일 수 있습니다. 예를 들어 이 원본은 허브 전송 서버 역할, Edge 전송 서버 역할, 타사 MTA(메시지 전송 에이전트) 또는 POP/IMAP 클라이언트일 수 있습니다. STOREDRIVER RECEIVE는 EdgeTransport.exe 프로세스에 의해 기록되며 STOREDRIVER SUBMIT 이벤트에 해당하는 이벤트입니다. STOREDRIVER SUBMIT은 메일 전송 프로세스에 의해 기록됩니다. 두 서버 역할이 로컬로 설치되는 경우 이 두 이벤트가 같은 서버에 있을 수 있습니다. 그렇지 않은 경우 다른 서버에 있을 수 있습니다. 참고 EdgeTransport.exe와 MSExchangeTransport.exe는 Microsoft Exchange 전송 서비스에 사용되는 실행 파일입니다. 이 서비스는 모든 허브 전송 서버 또는 Edge 전송 서버에서 실행됩니다. |
REDIRECT |
메시지가 Active Directory 디렉터리 서비스 조회 후에 다른 받는 사람에게 리디렉션되었습니다. |
RESOLVE |
메시지 받는 사람을 Active Directory 조회 후에 다른 전자 메일 주소로 확인했습니다. |
SEND |
SMTP(Simple Mail Transfer Protocol)에서 다른 서버로 메시지를 보냈습니다. |
SUBMIT |
SUBMIT 이벤트는 사서함 서버 역할을 실행하는 Exchange 2007 컴퓨터에서 메일 전송 서비스에 의해 기록됩니다. 메시지가 사서함 저장소에서 전송을 기다리고 있음을 서비스가 허브 전송 서버에 알리면 SUBMIT 이벤트가 기록됩니다. SourceContext 속성은 MDB(메시징 데이터베이스) GUID, 사서함 GUID, 이벤트 시퀀스 번호, 메시지 클래스, 저장소에 대한 클라이언트 전송의 작성 타임스탬프 및 클라이언트 유형을 제공합니다. 클라이언트 유형은 User(Outlook 직접 MAPI), RPCHTTPI(외부에서 Outlook 사용), Outlook Web Access, EWS(Exchange Web Services), Exchange ActiveSync, Assistants 또는 Transport일 수 있습니다. 사서함 서버 역할에서 생성된 메시지 추적 로그에는 SUBMIT 이벤트만 포함되어 있습니다. |
TRANSFER |
콘텐츠 변환, 메시지 받는 사람 수 제한 또는 에이전트로 인해 받는 사람이 분기된 메시지로 이동되었습니다. |
각 줄에 저장된 메시지 이벤트 정보는 필드로 구성되고 이러한 필드는 쉼표로 분리됩니다. 필드 이름은 일반적으로 필드에 포함된 정보 유형을 판단할 수 있는 설명 형식입니다. 그러나 필드 중 일부가 비어 있거나 필드에 저장된 정보 유형이 표 1에 설명되어 있는 메시지 이벤트 유형에 따라 바뀔 수 있습니다. 각 메시지 추적 이벤트를 분류하는 데 사용되는 필드에 대한 일반적인 설명은 표 2에 나와 있습니다.
표 2 각 메시지 추적 이벤트를 분류하는 데 사용되는 필드
| 필드 이름 | 설명 |
|---|---|
date-time |
메시지 추적 이벤트의 UTC 날짜-시간이며 ISO 8601 형식으로 표시됩니다. 값은 yyyy-mm-ddThh:mm:ss.fffZ 형식입니다. 여기서 yyyy는 연도, mm은 월, dd는 일, hh는 시, mm은 분, ss는 초, fff는 밀리초이며, Z는 UTC를 표시하는 또 하나의 방식인 Zulu를 의미합니다. |
client-ip |
해당 메시지를 전송한 메시징 서버 또는 메시징 클라이언트의 TCP/IP 주소입니다. |
client-hostname |
해당 메시지를 전송한 메시징 서버 또는 메시징 클라이언트의 이름입니다. |
server-ip |
원본 또는 대상 Exchange 서버의 TCP/IP 주소입니다. |
server-hostname |
대상 서버의 이름입니다. |
source-context |
원본 필드와 관련된 추가 정보입니다. |
connector-id |
원본 또는 대상 송신 커넥터나 수신 커넥터의 이름입니다. |
source |
해당 메시지 추적 이벤트를 담당하는 Exchange 전송 구성 요소입니다. 이 필드에 사용할 수 있는 값은 다음과 같습니다.
|
event-id |
메시지 이벤트 유형입니다. 이러한 이벤트는 이 항목의 앞부분에 있는 표 1에 자세히 설명되어 있습니다. 가능한 값은 BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT 및 TRANSFER입니다. |
internal-message-id |
현재 메시지를 처리 중인 Exchange 2010 서버에서 할당한 메시지 식별자입니다. 특정 메시지의 internal-message-id 값은 해당 메시지의 배달과 관련된 모든 Exchange 2010 서버의 메시지 추적 로그에서 서로 다릅니다. |
message-id |
|
recipient-address |
메시지 받는 사람의 전자 메일 주소입니다. 전자 메일 주소가 여러 개인 경우 세미콜론(;)으로 구분합니다. |
recipient-status |
이 필드는 SEND 이벤트 또는 FAIL 이벤트에 대해 채워집니다. |
total-bytes |
첨부 파일이 포함된 메시지의 크기(바이트)입니다. |
recipient-count |
메시지를 받는 사람의 수입니다. |
related-recipient-address |
이 필드에 EXPAND, REDIRECT 및 RESOLVE 이벤트를 함께 사용하여 메시지와 관련된 다른 받는 사람의 전자 메일 주소를 표시합니다. |
reference |
이 필드에는 특정 유형의 이벤트에 대한 추가 정보가 포함됩니다. DSN 참조 필드에는 DSN을 유발한 메시지의 Internet-Message-Id가 포함됩니다. SEND 참조 필드에는 DSN(배달 상태 알림) 메시지의 Internet-Message-Id가 포함됩니다. TRANSFER 참조 필드에는 분기 중인 메시지의 Internal-Message-Id가 포함됩니다. 그 밖의 다른 모든 유형의 이벤트는 참조 필드가 비어 있습니다. |
message-subject |
메시지 제목은 |
sender-address |
|
return-path |
|
message-info |
이 필드에는 DELIVER 및 SEND 이벤트에 대한 메시지 발생 날짜-시간이 포함됩니다. 발생 날짜-시간은 메시지가 Exchange 조직에 처음 들어간 시간입니다. 값은 yyyy-mm-ddThh:mm:ss.fffZ 형식입니다. 여기서 yyyy는 연도, mm은 월, dd는 일, hh는 시, mm은 분, ss는 초, fff는 밀리초이며, Z는 UTC를 표시하는 또 하나의 방식인 Zulu를 의미합니다. |
Get-MessageTrackingLog cmdlet(Exchange 관리 셸) 또는 메시지 추적 도구(Exchange 관리 콘솔)를 사용하면 특정 메시지 조건을 사용하여 메시지를 검색할 수 있습니다.
메시지 추적 로그에 대한 보안 문제
메시지 내용은 메시지 추적 로그에 저장되지 않습니다. 기본적으로 전자 메일 메시지의 제목 줄은 메시지 추적 로그에 저장됩니다. 날로 증가하는 보안이나 프라이버시 요구 사항을 충족하기 위해 메시지 제목 로깅을 사용하지 않을 수 있습니다. 메시지 제목 로깅을 사용하거나 사용하지 않도록 설정하려면 먼저 제목 줄 정보의 공개에 대해 조직의 정책을 확인해야 합니다.
자세한 내용
자세한 내용은 다음 항목을 참조하십시오.
© 2010 Microsoft Corporation. 모든 권리 보유.