Protokollprotokollierung in Exchange Server
Die Protokollierung zeichnet die SMTP-Unterhaltungen auf, die im Rahmen der Nachrichtenzustellung zwischen Messagingservern und zwischen Exchange-Diensten in der Transportpipeline stattfinden. Mithilfe der Protokollierung lassen sich Probleme im Nachrichtenfluss diagnostizieren. Die Protokollierung kann SMTP-Unterhaltungen aufzeichnen, die stattfinden:
In Sendeconnectors und Empfangsconnectors im Transport-Dienst auf Postfachservern
In Sendeconnectors und Empfangsconnectors im Transport-Dienst auf Edge-Transport-Servern
In Empfangsconnectors im Front-End-Transport-Dienst auf Postfachservern
Im impliziten, nicht sichtbaren organisationsinternen Sendeconnector im Transport-Dienst auf Postfachservern
Im impliziten, nicht sichtbaren organisationsinternen Sendeconnector im Front-End-Transport-Dienst auf Postfachservern
Im impliziten, nicht sichtbaren organisationsinternen Sendeconnector im Postfachtransport-Übermittlungsdienst auf Postfachservern
Im impliziten, nicht sichtbaren Postfachzustellungs-Empfangsconnector im Postfachtransport-Zustellungsdienst auf Postfachservern
Die Protokollierung ist auf folgenden Connectors standardmäßig aktiviert:
Der Standard-Empfangsconnector mit dem Namen Standard-Front-End-Servername <> im Front-End-Transportdienst auf Postfachservern.
Dem impliziten, nicht sichtbaren Sendeconnector im Front-End-Transport-Dienst auf Postfachservern
Auf allen anderen Connectors ist die Protokollierung standardmäßig deaktiviert. Sie müssen die Protokollierung auf jedem einzelnen Connector separat aktivieren oder deaktivieren. Andere Protokollierungsoptionen werden für alle Empfangsconnectors oder alle Sendeconnectors in den einzelnen Transport-Diensten auf dem Exchange-Server konfiguriert. Alle Empfangsconnectors in einem Transport-Dienst nutzen dieselben Protokolldateien und Protokolloptionen. Diese Dateien und Optionen sind separat von den Protokolldateien und Protokolloptionen für die Sendeconnectors in demselben Transport-Dienst auf dem Exchange-Server.
Standardmäßig verwendet Exchange die Umlaufprotokollierung, um Dateigröße und Dateialter der Protokolle zu begrenzen und so den für die Protokolldateien benötigten Festplattenspeicherplatz zu verringern. Informationen zur Konfiguration der Protokollierung finden Sie unter Konfigurieren der Protokollprotokollierung.
Struktur der Protokolldateien
Standardmäßig befinden sich die Protokolldateien an folgenden Speicherorten:
Front-End-Transportdienst auf Postfachservern:
Empfangsconnectors:
%ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceiveSendeconnectors:
%ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend
Transportdienst auf Postfachservern:
Empfangsconnectors:
%ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpReceiveSendeconnectors:
%ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpSend
Postfachtransportübermittlungsdienst auf Postfachservern (Empfangsconnectors):
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpReceive\DeliveryPostfachtransportübermittlungsdienst auf Postfachservern (Sendeconnectors):
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend\SubmissionHinweis: Die Protokollprotokollierung für Nebeneffektnachrichten, die gesendet werden, nachdem Nachrichten an Postfächer übermittelt wurden, erfolgt in
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend\Delivery. So löst beispielsweise eine an ein Postfach gesendete Nachricht eine Posteingangsregel aus, die die Nachricht an einen anderen Empfänger weiterleitet.Transportdienst auf Edge-Transport-Servern:
Empfangsconnectors:
%ExchangeInstallPath%TransportRoles\Logs\Edge\ProtocolLog\SmtpReceiveSendeconnectors:
%ExchangeInstallPath%TransportRoles\Logs\Edge\ProtocolLog\SmtpSend
Die Benennungskonvention für Protokolldateien gilt SENDyyyymmddhh-nnnn.log für Sendeconnectors und RECVyyyymmddhh-nnnn.log für Empfangsconnectors. Die Platzhalter stehen für die folgenden Informationen:
yyyymmddhh ist das Utc-Datum (Coordinated Universal Time), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, mm = Monat, dd = Tag und hh = Stunde.
nnnn ist eine Instanznummer, die stündlich mit dem Wert 1 beginnt.
In die Protokolldatei werden solange Informationen geschrieben, bis die für die Datei festgelegte maximale Größe erreicht ist. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. (Die erste Protokolldatei ist „-1", die nächste ist „-2" usw.) Durch die Umlaufprotokollierung werden die ältesten Protokolldateien gelöscht, sobald eine der folgenden Bedingungen zutrifft:
Eine Protokolldatei erreicht ihr Höchstalter.
Der Protokollordner erreicht seine maximal zulässige Größe.
Bei den Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Dateiformat enthalten. Jede Protokolldatei enthält eine Kopfzeile mit den folgenden Informationen:
#Software: Der Wert ist
Microsoft Exchange Server.#Version: Versionsnummer des Exchange-Servers, der die Protokolldatei zur Nachrichtenverfolgung erstellt hat. Der -Wert verwendet das Format
15.01.nnnn.nnn.#Log-Type: Der Wert ist entweder
SMTP Receive Protocol LogoderSMTP Send Protocol Log.#Date: UTC-Datum/Uhrzeit der Erstellung der Protokolldatei. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben.
#Fields: Durch Trennzeichen getrennte Feldnamen, die in den Protokollprotokolldateien verwendet werden.
Felder im Protokoll
Im Protokoll wird jedes SMTP-Protokollereignis in einer separaten Zeile gespeichert. Die in den einzelnen Zeilen gespeicherten Informationen sind in durch Trennzeichen (Kommas) getrennten Feldern angeordnet. In der nachfolgenden Tabelle sind die Felder beschrieben, die im Protokoll verwendet werden.
| Feldname | Beschreibung |
|---|---|
| date-time | UTC-Datum und -Uhrzeit des Protokollereignisses. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, mm = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit ist, UTC anzugeben. |
| connector-id | Der DN (Distinguished Name) des Connectors, der dem SMTP-Ereignis zugeordnet ist. |
| session-id | Ein GUID-Wert. Jede SMTP-Sitzung hat einen eindeutigen Wert, wobei jedoch jeweils allen einer SMTP-Sitzung zugeordneten Ereignissen derselbe Wert zugewiesen wird. |
| sequence-number | Ein Zähler, der bei 0 beginnt und für jedes Ereignis innerhalb derselben SMTP-Sitzung erhöht wird. |
| local-endpoint | Der lokale Endpunkt einer SMTP-Sitzung. Dies besteht aus einer IP-Adresse und einer TCP-Portnummer, die als <IP-Adresse>: <Port> formatiert ist. |
| remote-endpoint | Der Remoteendpunkt einer SMTP-Sitzung. Dies besteht aus einer IP-Adresse und einer TCP-Portnummer, die als <IP-Adresse>: <Port> formatiert ist. |
| Ereignis | Ein einzelnes Zeichen, mit dem das Protokollereignis dargestellt wird. Gültige Werte sind:+:Verbinden-:Trennen>:Senden<:Erhalten*:Informationen |
| data | Textinformationen, die dem SMTP-Ereignis zugeordnet werden. |
| context | Zusätzliche Kontextinformationen, die dem SMTP-Ereignis zugeordnet werden können. |
Eine einzelne SMTP-Unterhaltung, die das Senden oder Empfangen einer einzelnen E-Mail-Nachricht umfasst, erzeugt mehrere SMTP-Ereignisse. Jedes Ereignis wird in einer separaten Zeile im Protokoll aufgezeichnet. Auf einem Exchange-Server finden zu jedem beliebigen Zeitpunkt viele verschiedene SMTP-Unterhaltungen statt. Daher findet sich im Protokoll ein Mix aus Einträgen verschiedener SMTP-Unterhaltungen. Anhand der Felder session-id und sequence-number können Sie die Protokolleinträge nach einzelnen SMTP-Unterhaltungen sortieren.