Exchange Server 2007 进程跟踪日志工具

上一次修改主题： 2010-04-05

作为一名 Microsoft Exchange Server 2007 管理员，您可能会遇到需要解析、监视和分析邮件跟踪日志的情况。这些情况包括：

• 事务日志或数据库的增长

• 服务器收到许多未经请求的商业电子邮件（也称为垃圾邮件）

• 循环邮件

• 传输队列备份

• 服务器性能低下

在这种情况下，您可能需要查看和分析 Exchange 邮件跟踪日志。以下因素或其组合可能导致很难甚至无法对邮件跟踪日志进行手动分析：

• 字段过多

• 邮件跟踪日志中数据量较大

• 邮件跟踪日志文件较大

此外，如果必须查看来自多个服务器的邮件跟踪日志文件，则该任务会变得更加复杂。

进程跟踪日志工具通过自动解析和分析邮件跟踪日志，然后生成用于报告的 .xls 或 .txt 输出文件，简化了邮件跟踪日志的查看过程。此工具提供了有关监视、管理和故障排除的有用数据。它还提供了有关所有已传递邮件的端到端传递延迟分布、所有已处理邮件的服务器延迟分布和所有单个传递的服务器延迟分布的重要信息。

要点：
进程跟踪日志工具脚本是由 Microsoft 的首席程序主管 Todd Luttinen 开发的。但此工具不是 Microsoft 官方工具。因此，建议您在生产环境中运行此工具之前，首先查看该脚本。

若要下载进程跟踪日志工具 (Processtrackinglog.vbs)，请参阅 Exchange Server 工作组博客文章 Processtrackinglog.vbs script（英文网页）

若要运行此工具，请使用以下脚本：

cscript ProcessTrackingLog.vbs <LogFilePath> <NumFiles> <hub|edge|all> [ <mm/dd/yyyy> | today | yesterday ]

注意：
此语法假定在目录路径中存在“HUB”或“GWY”。如果目录路径中都未显示这些条目，则在该命令行中指定“all”。

以下命令行示例提供了进程跟踪日志工具的使用方案。

cscript ProcessTrackingLog.vbs "D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking\MSGTRK20070804-1.LOG" 1 all

cscript \data\scripts\ProcessTrackingLog.vbs "D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking" 1 all

cscript \data\scripts\ProcessTrackingLog.vbs "D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking" 0 all

cscript \data\scripts\ProcessTrackingLog.vbs "D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking" 0 all

cscript \data\scripts\ProcessTrackingLog.vbs "D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking" 3 all

cscript \data\scripts\ProcessTrackingLog.vbs "D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking" 0 all yesterday

cscript \data\scripts\ProcessTrackingLog.vbs "D:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking" 0 all 10/29/2007

来自进程跟踪日志工具的结果存储在 c:\temp\msgtrack\output 目录中。如果您将 Winzip 命令行工具安装在驱动器 C 的默认路径中，则进程跟踪日志工具会自动将结果存档到压缩 (.zip) 文件中。

以下部分介绍进程跟踪日志工具生成的每个输出文件及示例数据的解释。

MTDsnFailureResults.csv 文件包括所有失败原因的详细信息。

注意：
并非所有传送失败都会生成未送达报告。

该文件包括**“时间戳”、ServerName、“故障原因”、ReturnPath 和收件人等字段。MTDsnFailureResults.csv 包括 NDR 原因代码、收件人以及其他信息。如果要排除特定的 NDR 代码或特定收件人问题，则可以使用 Microsoft Office Excel 中的筛选功能，以获取有关特定服务器或组织的统计数据。若要在 Excel 中执行此操作，请单击“数据”菜单上的“筛选”**。此数据可以为您提供有关传送问题的信息。

例如，您可能要对“550 5.2.2 STOREDRV.Deliver：mailbox full”NDR 原因代码进行故障排除。调查过程中，您可能需要知道服务器上实际有多少个用户的邮箱已满。

注意：
MTSummaryResults.txt 文件中有一节按“唯一 FAIL 收件人状态代码”和“FAIL 事件来源”字段汇总了 NDR 原因代码。

对于帮助排除特定服务器上或组织中发生的重复邮件传送问题，MTDuplicateDeliveryResults.csv 文件非常有用。

MTNextHopResults.csv 文件包括邮件数以及通过 SMTP 和 StoreDriver 组件发送到每个下一跃点服务器的平均邮件大小。该文件包括基于以下字段的统计信息：

• 客户端名称、来源

• 服务器

• MsgCount、AvgMsgBytes

• MsgCountServerSLAMet

• PercentServerSLAMet

• MsgCountDeliverSLAMet

• PercentDeliverSLAMet

此文件是用于数据分析的最重要的三个文件之一。您可以使用基于此文件的透视表分析服务器通信的目标。此外，还可以将多个服务器组合为基于 MTNextHopResults.csv 文件的透视表，以获取整体通信的分析。最好根据以下三个字段分析数据：

• StoreDriver

• IntraOrg SMTP

• 外部 SMTP 传送

MTExpandResults.csv 文件包括通讯组 SMTP 地址、每个通讯组扩展操作的收件人数和执行的通讯组扩展数。

在下表显示的示例结果中，MTExpandResults.csv 文件显示 DL100@contoso.com 通讯组具有 49,426 个收件人。该通讯组扩展了 21 倍，平均扩展延迟为 3,045 秒（50.75 分钟）。此延迟时长可能会导致服务器性能问题。您可以使用此输出文件帮助排除可能会遇到的服务器性能问题。

注意：
平均扩展延迟以秒为单位进行计算。

若要获取数据的图形视图，请使用 Microsoft Excel 将此数据绘制为图表。

MTLogStatistics.csv 文件包括处理的每个日志文件的大量统计信息。该文件包含以下字段：

• LogFilePath

• ServerName

• iLogFileEventCount

• Events/MsgId

• LogDateTimeStart

• LogDateTimeEnd

• LogDuration(Min)

• iAvgStoreDriverReceiveRatePerMin

• iAvgSmtpReceiveRatePerMin

• iAvgStoreDriverDeliverRatePerMin

• iAvgSmtpSendRatePerMin

• iAvgDsnFailRatePerMin

• iAvgFailRatePerMin

• iServerLatencyTotalCount

• iPercentServerLatencySLAMet

• iPercentServerLatencyRecipientsCounted

• iDeliveryLatencyTotalCount

• iPercentDeliveryLatencySLAMet

您可以使用这些值验证以延迟 SLA 度量计算的邮件百分比。

注意：
邮件跟踪不包括指示每个已处理邮件最终处理的事件。而是大部分邮件跟踪事件与发送状态通知抑制有关。当将邮件发送到启用了 DSN 抑制的通讯组时会出现这种情况。

“满足 SLA 的百分比”数字最为重要，因为它们指示低于服务器默认值（30 秒）和传送默认值（90 秒）的邮件百分比。这些值为默认级别，可进行修改以获取相应的百分比。

服务器延迟和传送延迟 SLA 目标在脚本中将定义为变量。默认值分别为 30 秒和 90 秒。服务器延迟表示从邮件提交供传输的时间点到传送或中继邮件的时间点之间的延迟。对于服务器延迟计算，每一组收件人传送将会分别计数。传递延迟表示基于组织提交时间和最终传送事件时间戳之间差异的端到端延迟。

注意：
邮件的最终处理可能是将邮件的拆分副本传送到收件人。因此，最终处理不一定会表现为邮件传送或邮件中继。

注意：
“组织提交时间”定义为邮件进入邮件头防火墙（林中的第一个传输服务器）中邮件传输的时间。

例如，MTLogStatistics.csv 文件中的 iAvgStoreDriverReceiveRatePerMin 和 iAvgSmtpReceiveRatePerMin 组合指示传输组件接收邮件的平均速率。

注意：
仅当不存在通过分拣目录或重播目录的邮件提交时此计算才有效。

iAvgStoreDriverDeliverRatePerMin 和 iAvgSmtpSendRatePerMin 组合指定传输组件的平均传送速率。假定此速率没有到投递目录的传送。

通过比较这两个组合，可以指出传输组件是否在有效地处理邮件，或者传输或其从属组件之一是否为性能瓶颈。要确定此状态，可能需要检查影响结果的其他因素。例如，可能需要调整计算才能将 iAvgDsnFailRatePerMin 值纳入考虑范围之中。

MTDeliveryLatencyExceptions.csv 文件包括 MinDeliveryLatency 和 MaxDeliveryLatency 字段。这些字段包含延迟度量（以秒为单位）。这些字段用于量度针对特定邮件发生的传送。仅当只传送一个邮件时这些度量才有效。您可以使用此信息来帮助确定邮件传送过程中的下一跃点是否是造成收件人子集延迟的原因。

MTMbxFullRecipResults.csv 文件包含“邮箱已满”事件的结果。此文件包括已满邮箱的 SMTP 地址和 NDR 计数。

下表显示了此文件的一些示例输出。在此输出中，User2 的已满邮箱产生了 4,283 个 NDR。

您可以使用此信息通知用户删除其邮箱中的邮件。这可以降低服务器开销。

MTReceiveResults.csv 文件包括邮件数以及使用 SMTP 或 StoreDriver 组件提交邮件的每个主机的平均邮件大小。该 .csv 文件包含以下字段：

• ServerName

• Client IP

• MsgCount

此文件帮助显示中心角色的 StoreDriver 接收结果。下表包含 MTReceiveResults.csv 文件的示例输出。该输出指示 IP 地址 192.168.0.190 向名为 GCS1E2K7 的服务器提交了大量的邮件 (349,230)。

这种类型的邮件数需要进一步的调查。它可能表示存在垃圾邮件问题。例如，服务器可能有一个接收连接器未正确配置，因此垃圾邮件量增加。

MTTopRecipientResults.csv 文件包括 SMTP 地址、邮箱服务器名称和主要收件人接收到的邮件。主要收件人是指那些接收邮件数多于平均邮件数的收件人。下表包含 MTTopRecipientResults.csv 文件的示例输出。在此输出中，User1245@contoso.com 较为引人注目。

您可以使用电子表格程序（如 Excel）中的图表功能获取主要邮件收件人的图形视图。

MTTopSendersbyDeliverResults.csv 文件包括 SMTP 地址及主要邮件发件人发送的邮件数。主要发件人是指那些发送邮件数多于平均邮件数的发件人。这包括来自组织外部发件人的邮件。下表包含 MTTopSendersbyDeliverResults.csv 文件的示例输出。在此输出中，User1176@contoso.com 较为引人注目。

MTTopSendersbySubmitResults.csv 文件包括 SMTP 地址、邮箱服务器名称和主要发件人发送的邮件。主要发件人是指发送邮件数多于平均数的用户。此文件仅包括使用 StoreDriver（而不是 SMTP）从邮箱提交的邮件。下表包含 MTTopSendersbySubmitResults.csv 文件的示例输出。在此输出中，User2389@contoso.com 较为引人注目。

MTEventTimeDistribution.csv 文件显示按小时计算的事件分发数。此文件可帮助提供一种绘制事件时间图的手段。这可以帮助确定提交邮件的源和邮件目标。下表包含此文件的示例输出。

MTMessageSizeDistribution.csv 文件基于邮件大小显示邮件分布。该分布可以根据邮件数、占邮件总数的百分比和小于当前邮件大小的邮件百分比进行细分。这可以帮助确定组织中邮件大小的分布范围。下表包含此文件的示例输出。

MTRecipientNotFoundResults.csv 文件包含有关在全局地址列表 (GAL) 或 Active Directory 目录服务中找不到的收件人的统计信息。下表包含此文件的示例输出。在此输出中，User1001 的较高计数可能表示此用户不再与组织关联。

MTDomainExpiredResults.csv 包含可能有助于排除 DSN 故障的条目。例如，因为拼写错误而出现 DSN 故障或目标服务器的不可用时间超过两天（默认的过期超时间隔）的情况下，这些条目可以帮助排除故障。下表包含此文件的示例输出。

仅当大小超过 iMaxMessageSizeThresholdKB 值的邮件存在跟踪日志事件时才会生成 MTMessageSizeExceptions.csv 输出文件。默认阈值为 64MB。如果没有这种跟踪日志事件，则不会生成该文件。

MTRunTimeLog.log 文件是进程跟踪日志工具的日志文件。此文件包含 Processtrackinglog.vbs 脚本的运行时日志。

MTMailSubmissionDistribution.csv 文件包含提交的分布情况（按 MessageClass 和 ClientType 分类）。通过此文件可以分析 SUBMIT 事件 SourceContext 字段，以便按 ClientType 和 MessageClass 确定提交的分布情况。此文件依赖于邮箱角色跟踪日志。

在分析邮箱角色跟踪日志时，您可以使用此文件帮助确定客户端类型的分布。

MTSummaryResults.txt 文件包括处理的所有日志文件的汇总统计信息。此文件包含许多项目。一些较重要的项目如下所示：

• Total Events processed

• Total Message Id's Processed

• Total Messages received

• Total Messages sent

• Total Messages delivered

• Total Messages delivered (duplicate)

• Total Resolve

• Total Transfer

• Total Expand

• Total Fail

• Total Fail with NDR

• Total Fail (valid Return Path)

• Total Fail (Recipient)

• Avg Fail Events/Min

• Max Fail Events/Min

• Max DSN(Fail) Events/Min

• Total DSN Generated

• Total DSN Badmail

• Total DSN

• Total DSN Delivered from CORP

• Total Null Reverse Path Delivered

• Total Null Reverse Path Delivered from Internal

• Total Null Reverse Path Delivered from External

• Total Defer

• Total Poison

• Total SMTP Receive

• Total StoreDriver Receive

• Total SMTP Send

• Total StoreDriver Deliver

• Total Expand

• End-To-End Delivery Latency Distribution for all Messages Delivered

• Server Latency Distribution for all Messages Processed

• Server Latency Distribution for all Messages Processed

• Unique Encapsulated Addresses

• Unique DSN Source Context

• Unique Defer Source Context

• Unique StoreDriver Sender Domains

• Transfer Source Context

• FAIL Event Sources

• Unique FAIL Recipient Status codes

以下示例摘录自 MTSummaryResults.txt 文件。此示例展示了收集的某些信息。