Protokollierung

  • Artikel

Gilt für: Exchange Server 2013

Die Protokollprotokollierung zeichnet die SMTP-Unterhaltungen auf, die zwischen Messagingservern im Rahmen der Nachrichtenübermittlung stattfinden. Diese SMTP-Unterhaltungen finden auf Sendeconnectors und Empfangsconnectors statt, die im Front-End-Transportdienst auf Clientzugriffsservern, im Transportdienst auf Postfachservern und im Postfachtransportdienst auf Postfachservern vorhanden sind. Mithilfe der Protokollierung lassen sich Probleme im Nachrichtenfluss diagnostizieren.

Standardmäßig ist die Protokollprotokollierung für alle Sendeconnectors und Empfangsconnectors deaktiviert. Die Protokollprotokollierung ist für jeden einzelnen Connector aktiviert oder deaktiviert. Andere Protokollprotokollierungsoptionen werden für alle Empfangsconnectors oder alle Sendeconnectors festgelegt, die in jedem einzelnen Transportdienst auf dem Server vorhanden sind. Alle Empfangsconnectors in einem Transportdienst verwenden dieselben Protokollprotokolldateien und Protokolloptionen. Diese Protokollprotokolldateien und Protokolloptionen sind getrennt von den Optionen Protokolldateien des Sendeconnectorprotokolls und Protokollprotokolls im Transportdienst auf demselben Server.

Die folgenden Optionen sind für die Protokollprotokolle aller Sendeconnectors oder aller Empfangsconnectors in jedem Transportdienst auf dem Exchange-Server verfügbar:

  • Geben Sie den Speicherort des Sendeconnectors oder der Protokolldateien des Empfangsconnectors an.
  • Geben Sie eine maximale Größe für die Protokolldateien des Sendeconnectors oder des Empfangsconnectors an. Die Standardgröße ist 10 Megabyte (10 MB).
  • Geben Sie eine maximale Größe für das Verzeichnis an, das die Protokolldateien des Sendeconnectors oder des Empfangsconnectors enthält. Die Standardgröße ist 250 MB.
  • Geben Sie ein maximales Alter für die Protokolldateien des Sendeconnectors oder empfangsconnectors an. Das Standardalter ist 30 Tage.

Exchange verwendet standardmäßig die Zirkelprotokollierung, um die Protokollprotokolle basierend auf der Dateigröße und dem Dateialter zu begrenzen, um den von den Protokolldateien verwendeten Festplattenspeicher zu steuern.

Ein spezieller Sendeconnector namens der organisationsinternen Sendeconnector ist im Transportdienst auf jedem Postfachserver und im Front-End-Transportdienst auf jedem Clientzugriffsserver vorhanden. Dieser Connector wird implizit erstellt, unsichtbar und erfordert keine Verwaltung. Der organisationsinterne Sendeconnector wird von den folgenden Transportdiensten verwendet:

  • Transport-Service auf Postfachservern
    • Leitet Nachrichten an den Transportdienst und den Postfachtransportdienst auf anderen Exchange 2013-Postfachservern in der Organisation weiter.
    • Leitet Nachrichten an andere Exchange 2007- oder Exchange 2010 Hub-Transport-Server in der Organisation weiter.
    • Leitet Nachrichten an Edge-Transport-Server im Umkreisnetzwerk weiter.
  • Front-End-Transportdienst auf Clientzugriffsservern: Leitet Nachrichten an den Transportdienst auf Exchange 2013-Postfachservern in der Organisation weiter.

Ein entsprechender Sendeconnector mit dem Namen Postfachübermittlungs-Sendeconnector ist im Postfachtransportdienst auf jedem Postfachserver vorhanden. Dieser Connector wird auch implizit erstellt, unsichtbar und erfordert keine Verwaltung. Der Postfachübermittlungs-Sendeconnector wird zum Weiterleiten von Nachrichten an den Transportdienst und den Postfachtransportdienst auf anderen Postfachservern in der Organisation verwendet.

Standardmäßig ist die Protokollprotokollierung für den Send-Connector für die Postfachübermittlung ebenfalls deaktiviert. Sie können die Protokollprotokollierung für den Send-Connector für die Postfachübermittlung aktivieren oder deaktivieren, indem Sie den Parameter MailboxDeliveryConnectorProtocolLoggingLevel im Cmdlet Set-MailboxTransportService verwenden. Wenn Sie die Protokollprotokollierung für den Sendeconnector für die Postfachübermittlung aktivieren, erfolgt die Protokollierung in den Protokollen des Sendeconnectors für den Postfachtransportdienst auf dem Postfachserver.

Struktur der Protokolldateien

Standardmäßig befinden sich die Protokolldateien an folgenden Speicherorten:

  • Protokolldateien des Empfangens des Connectorprotokolls für den Transportdienst auf Postfachservern: %ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive

  • Protokolldateien des Empfangens des Connectorprotokolls für den Postfachtransportdienst auf Postfachservern: %ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpReceive

  • Protokolldateien des Empfangsconnectors für den Front-End-Transportdienst auf Clientzugriffsservern: %ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive

  • Senden von Connectorprotokollprotokolldateien für den Transportdienst auf Postfachservern: %ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpSend

  • Senden von Connectorprotokolldateien für den Postfachtransportdienst auf Postfachservern: %ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend

  • Senden von Connectorprotokollprotokolldateien für den Front-End-Transportdienst auf Clientzugriffsservern: %ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend

Die Namenskonvention für Protokolldateien in jedem Protokollverzeichnis lautet Prefixyyyyymmdd-nnnn.log. Die Platzhalter stehen für die folgenden Informationen:

  • Der Platzhalter Präfix ist SEND für Sendeconnectors oder RECV für Empfangsconnectors.
  • Der Platzhalter yyyymmdd ist das Utc-Datum (Coordinated Universal Time), an dem die Protokolldatei erstellt wurde. Der Platzhalter yyyy = year, mm = month und dd = day.
  • Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.

Informationen werden in die Protokolldatei geschrieben, bis die Dateigröße ihren angegebenen Maximalwert erreicht und eine neue Protokolldatei mit einer inkrementierten Instanznummer geöffnet wird. Dieser Vorgang wird während des ganzen Tags wiederholt. Die zirkuläre Protokollierung löscht die ältesten Protokolldateien, wenn das Protokollprotokollverzeichnis seine maximale angegebene Größe erreicht oder wenn eine Protokolldatei ihr maximales angegebenes Alter erreicht.

Bei den Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Dateiformat enthalten. Jede Protokolldatei enthält eine Kopfzeile mit den folgenden Informationen:

  • #Software: Name der Software, die die Protokollprotokolldatei erstellt hat. In der Regel lautet der Wert "Microsoft Exchange Server".

  • #Version: Versionsnummer der Software, die die Protokollprotokolldatei erstellt hat. Der aktuelle Wert lautet 15.0.0.0.

  • #Log-Type: Protokolltypwert dieses Felds, der entweder SMTP-Empfangsprotokoll oder SMTP-Sendeprotokoll ist.

  • #Date: UTC-Datum/Uhrzeit der Erstellung der Protokolldatei. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben.

  • #Fields: Durch Trennzeichen getrennte Feldnamen, die in den Protokolldateien des Protokolls verwendet werden.

In das Protokoll geschriebene Informationen

Das Protokollprotokoll speichert jedes SMTP-Protokollereignis in einer einzelnen Zeile im Protokollprotokoll. Die in den einzelnen Zeilen gespeicherten Informationen sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. In der folgenden Tabelle werden die Felder beschrieben, die zum Klassifizieren der einzelnen Protokolle verwendet werden.

Felder, die zum Klassifizieren einzelner Protokollereignisse verwendet werden

Feld Beschreibung
date-time UTC-Datum und -Uhrzeit des Protokollereignisses. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben.
connector-id Distinguished Name (DN) des Connectors, der dem SMTP-Ereignis zugeordnet ist.
session-id GUID, die für jede SMTP-Sitzung eindeutig ist, aber für jedes Ereignis, das dieser SMTP-Sitzung zugeordnet ist, identisch ist.
sequence-number Ein Zähler, der bei 0 beginnt und für jedes Ereignis innerhalb derselben SMTP-Sitzung erhöht wird.
local-endpoint Der lokale Endpunkt einer SMTP-Sitzung. Diese besteht aus einer IP-Adresse und einer TCP-Portnummer, die als <IP-Adresse>:<Port> formatiert ist.
remote-endpoint Der Remoteendpunkt einer SMTP-Sitzung. Diese besteht aus einer IP-Adresse und einer TCP-Portnummer, die als <IP-Adresse>:<Port> formatiert ist.
Ereignis Ein einzelnes Zeichen, mit dem das Protokollereignis dargestellt wird. Die möglichen Werte für das Ereignis lauten wie folgt:
  • +:Verbinden
  • -:Trennen
  • >:Senden
  • <:Erhalten
  • *:Informationen
data Textinformationen, die dem SMTP-Ereignis zugeordnet werden.
context Zusätzliche Kontextinformationen, die dem SMTP-Ereignis zugeordnet werden können.

Eine einzelne SMTP-Konversation, die das Senden oder Empfangen einer einzelnen E-Mail-Nachricht darstellt, generiert mehrere SMTP-Ereignisse. Diese SMTP-Ereignisse führen dazu, dass mehrere Zeilen in das Protokollprotokoll geschrieben werden. Mehrere SMTP-Unterhaltungen, die das Senden oder Empfangen mehrerer E-Mail-Nachrichten darstellen, können gleichzeitig stattfinden. Dadurch werden Protokollprotokolleinträge aus verschiedenen SMTP-Unterhaltungen erstellt, die zwischeneinander eingestreut sind. Sie können die Felder session-id und sequence-number verwenden, um die Protokollprotokolleinträge nach SMTP-Konversation zu sortieren.