Nachrichtenverfolgung in Exchange

Artikel
04.04.2023

Gilt für: Exchange Server 2013

In Microsoft Exchange Server 2013 ist das Nachrichtenverfolgungsprotokoll ein detaillierter Datensatz aller Nachrichtenaktivitäten, wenn Nachrichten an den und vom Transportdienst auf Postfachservern, Postfächern auf Postfachservern und Edge-Transport-Servern übertragen werden. Sie können Nachrichtenverfolgungsprotokolle für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, die Berichterstellung und die Problembehandlung verwenden.

In Exchange 2013 können Sie mit den Cmdlets Set-TransportService und Set-MailboxServer alle Konfigurationsaufgaben für die Nachrichtenverfolgung ausführen, da sich der Transportdienst und die Postfächer auf dem Exchange 2013-Postfachserver befinden. Mit diesen Cmdlets können die folgenden Konfigurationsänderungen an der Nachrichtenverfolgung vorgenommen werden:

Aktiveren und Deaktivieren der Nachrichtenverfolgung. Standardmäßig ist diese aktiviert.
Angeben des Speicherorts der Nachrichtenverfolgungs-Protokolldateien.
Angeben einer Maximalgröße für die einzelnen Nachrichtenverfolgungs-Protokolldateien. Der Standardwert beträgt 10 MB.
Angeben einer Maximalgröße für das Verzeichnis, das die Protokolldateien der Nachrichtenverfolgung enthält. Der Standardwert beträgt 1.000 MB.
Angeben des Höchstalters für die Protokolldateien der Nachrichtenverfolgung: Der Standardwert beträgt 30 Tage.
Aktivieren und Deaktivieren der Nachrichtenbetreffprotokollierung in den Nachrichtenverfolgungsprotokollen. Standardmäßig ist diese aktiviert.

Hinweis

Sie können auch über die Exchange-Verwaltungskonsole die Nachrichtenverfolgung aktivieren oder deaktivieren und den Speicherort der Protokolldateien der Nachrichtenverfolgung angeben.

Standardmäßig verwendet Exchange die Umlaufprotokollierung, um Größe und Alter der Nachrichtenverfolgungsprotokolle zu begrenzen und somit den von diesen Protokolldateien benötigten Festplattenspeicherplatz zu verringern.

Durchsuchen des Nachrichtenverfolgungsprotokolls

In Nachrichtenverfolgungsprotokollen fallen große Datenmengen an, während sich Nachrichten durch einen Exchange 2013-Postfachserver bewegen. Zur Durchsuchung der Nachrichtenverfolgungsprotokolle haben Sie mehrere Möglichkeiten.

Get-MessageTrackingLog: Administratoren können dieses Cmdlet verwenden, um das Nachrichtenverfolgungsprotokoll mithilfe einer Vielzahl von Filterkriterien nach Informationen zu Nachrichten zu durchsuchen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.
Übermittlungsberichte für Administratoren: Administratoren können die Registerkarte Übermittlungsberichte im Exchange Admin Center (EAC) oder die zugrunde liegenden Cmdlets Search-MessageTrackingReport und Get-MesageTrackingReport verwenden, um die Nachrichtenverfolgungsprotokolle nach Informationen zu Nachrichten zu durchsuchen, die von einem bestimmten Postfach im organization gesendet oder empfangen werden. Weitere Informationen finden Sie unter Übermittlungsberichte für Administratoren.

Struktur der Protokolldateien der Nachrichtenverfolgung

Standardmäßig befinden Sich die Protokolldateien der Nachrichtenverfolgung in "% ExchangeInstallPath%TransportRoles\Logs\MessageTracking".

Die Benennungskonvention für Protokolldateien im Protokollverzeichnis der Nachrichtenverfolgung ist MSGTRKyyyyMMdd-nnnn.log, MSGTRKMAyyyyMMdd-nnnn.log, MSGTRKMDyyyyMMdd-nnnn.logund MSGTRKMSyyyyMMdd-nnnn.log. Die verschiedenen Protokolle werden von den folgenden Diensten verwendet:

MSGTRK: Diese Protokolle sind dem Transportdienst zugeordnet.
MSGTRKMA: Diese Protokolle sind den Genehmigungen und Ablehnungen zugeordnet, die vom moderierten Transport verwendet werden. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
MSGTRKMD: Diese Protokolle sind Nachrichten zugeordnet, die vom Postfachtransportübermittlungsdienst an Postfächer übermittelt werden.
MSGTRKMS: Diese Protokolle sind Nachrichten zugeordnet, die vom Postfachtransportübermittlungsdienst von Postfächern gesendet werden.

Die Platzhalter in den Protokolldateinamen stehen für folgende Informationen:

Der Platzhalter yyyyMMdd ist das KOORDINIERTE UTC-Datum (Koordinierte Weltzeit), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, MM = Monat und TT = Tag.
Der Platzhalter nnnn ist eine instance Zahl, die mit dem Wert 1 täglich für jede Nachricht beginnt, die den Protokolldateinamen präfix verfolgt.

In jede Protokolldatei werden Informationen geschrieben, bis die Dateigröße den für jede Protokolldatei angegebenen Maximalwert erreicht. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Bei der Protokolldateirotation werden die ältesten Protokolldateien gelöscht, wenn eine der folgenden Bedingungen zutrifft:

Eine Protokolldatei erreicht ihr angegebenes Höchstalter.
Das Verzeichnis für Nachrichtenverfolgungsprotokolle erreicht seine festgelegte maximal zulässige Größe.

Wichtig

Die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses wird aus der Gesamtgröße aller Protokolldateien berechnet, die dasselbe Namenspräfix haben. Alle weiteren Dateien, die die Namenspräfixkonvention nicht einhalten, werden bei der Berechnung der Gesamtgröße des Verzeichnisses nicht berücksichtigt. Das Umbenennen alter Protokolldateien oder das Kopieren anderer Dateien in das Nachrichtenverfolgungsprotokoll-Verzeichnis kann dazu führen, dass das Verzeichnis seine angegebene Maximalgröße überschreitet.

Auf Exchange 2013-Postfachservern ist die maximale Größe des Nachrichtenverfolgungsprotokollverzeichnisses dreimal so groß wie der angegebene Wert. Wenngleich die Dateien für die Nachrichtenverfolgungsprotokolle von vier verschiedenen Diensten generiert werden und vier unterschiedliche Namenspräfixe haben, sind Umfang und Häufigkeit, wie der Daten in die MSGTRKMA -Protokolldateien geschrieben werden, im Vergleich zu den anderen drei Protokolldateipräfixen zu vernachlässigen.

Bei den Protokolldateien der Nachrichtenverfolgung handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value, durch Komma getrennte Werte) enthalten. Jede Datei enthält eine Kopfzeile mit den folgenden Informationen:

#Software:: Name der Software, die die Protokolldatei zur Nachrichtenverfolgung erstellt hat. In der Regel lautet der Wert "Microsoft Exchange Server".
#Version:: Versionsnummer der Software, die die Protokolldatei zur Nachrichtenverfolgung erstellt hat. Der aktuelle Wert lautet 15.0.0.0.
#Log-Type:: Protokolltypwert, d. h. Nachrichtenverfolgungsprotokoll.
#Date:: Das UTC-Datum und die Uhrzeit der Erstellung der Protokolldatei. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-MM-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, MM = Monat und dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit zum Bezeichnen von UTC ist.
#Fields:: Durch Trennzeichen getrennte Feldnamen, die in den Nachrichtenverfolgungsprotokolldateien verwendet werden.

Felder in den Protokolldateien für die Nachrichtenverfolgung

Im Nachrichtenverfolgungsprotokoll werden die einzelnen Nachrichtenereignisse jeweils in einer einzelnen Zeile gespeichert. Die Nachrichtenereignisinformationen sind in Feldern organisiert, die durch Kommas voneinander getrennt sind. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind möglicherweise jedoch leer, oder der im Feld gespeicherte Informationstyp kann sich auf Grundlage des Nachrichtenereignistyps und des Typs der Nachrichtenverfolgungs-Protokolldatei ändern, in der das Ereignis aufgezeichnet wurde. Allgemeine Beschreibungen der Felder, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in folgenden Tabelle erläutert.

Feldname	Beschreibung
date-time	Das UTC-Datum und die Uhrzeit des Nachrichtenverfolgungsereignisses. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-MM-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, MM = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit zum Bezeichnen von UTC ist.
client-ip	Die IPv4- oder IPv6-Adresse des Messagingservers oder -clients, der die Nachricht übermittelt hat.
client-hostname	Der Hostname oder FQDN des Messagingservers oder -clients, der die Nachricht übermittelt hat.
server-ip	Die IPv4- oder IPv6-Adresse des Exchange-Quell- oder Zielservers.
server-hostname	Der Hostname oder FQDN des Zielservers.
source-context	Zusätzliche Informationen, die zum Feld source gehören. Beispiel: Transport-Agent-Informationen.
connector-id	Der Name des Sendeconnectors oder Empfangsconnectors am Quell- oder Zielstandort. Beispiel: ServerName\ConnectorName oder ConnectorName.
source	Die für das Nachrichtenverfolgungsereignis zuständige Exchange-Transportkomponente. Die Werte in diesem Feld werden im Abschnitt Quellwerte im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.
event-id	Der Nachrichtenereignistyp. Die Ereignistypen werden im Abschnitt Ereignistypen im Nachrichtenverfolgungsprotokoll weiter unten in diesem Thema beschrieben.
internal-message-id	Eine Nachrichten-ID, die vom Exchange-Server zugewiesen wurde, der die Nachricht derzeit verarbeitet. Der Wert internal-message-id einer bestimmten Nachricht ist im Nachrichtenverfolgungsprotokoll jedes Exchange-Servers unterschiedlich, der an der Zustellung der Nachricht beteiligt ist. Ein Beispielwert ist `73014444033`.
message-id	Der Wert des Kopfzeilenfelds Nachrichten-ID: im Nachrichtenkopf. Wenn das Kopfzeilenfeld Nachrichten-ID: nicht vorhanden oder leer ist, wird ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant. Bei nachrichten, die in Exchange erstellt wurden, hat der Wert das Format `<GUID@ServerFQDN>`, einschließlich der spitzen Klammern (`< >`). Beispiel: `<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>`. Andere Messagingsysteme können eine andere Syntax oder andere Werte verwenden.
network-message-id	Ein eindeutiger Nachrichten-ID-Wert, der über Kopien der Nachricht hinweg beibehalten wird, die aufgrund einer Verteiler- oder Verteilergruppenerweiterung erstellt werden können. Ein Beispielwert ist `1341ac7b13fb42ab4d4408cf7f55890f`.
recipient-address	Die E-Mail-Adresse des Empfängers der Nachricht. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.
recipient-status	Dieses Feld enthält den Empfängerstatus jedes Empfänger getrennt durch ein Semikolon (;). Die Statuswerte werden für die Empfänger in derselben Reihenfolge wie die Werte im Feld recipient-address dargestellt. Beispiele status Werte sind `250 2.1.5 Recipient OK` oder `550 4.4.7 QUEUE.Expired;<ErrorText>`.
total-bytes	Die Größe der Nachricht, die Anlagen enthält, in Bytes.
recipient-count	Die Gesamtzahl der Empfänger in der Nachricht.
related-recipient-address	Dieses Feld wird mit Ereignissen vom Typ EXPAND, REDIRECT und RESOLVE verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.
reference	Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Zum Beispiel: DSN: Enthält den Berichtslink, bei dem es sich um den Nachrichten-ID-Wert des zugeordneten Übermittlungs-status Notification (DSN) handelt, wenn nach diesem Ereignis ein DSN generiert wird. Wenn es sich um eine Benachrichtigung über den Zustellungsstatus handelt, enthält das Feld Reference den Message-Id -Wert der ursprünglichen Nachricht, für die diese Benachrichtigung über den Zustellungsstatus generiert wurde. EXPAND: Das Verweisfeld enthält den Wert related-recipient-address der zugehörigen Nachrichten. RECEIVE: Das Feld Verweis kann den Wert Message-ID der zugehörigen Nachricht enthalten, wenn die Nachricht von anderen Prozessen generiert wurde, z. B. Von Journal- oder Posteingangsregeln. SEND: Das Feld Verweis enthält den Internal-Message-Id-Wert aller DSN-Nachrichten . DROSSELUNG: Das Feld Verweis enthält den Grund, warum die Nachricht gedrosselt wurde. TRANSFER: Das Feld Verweis enthält die Internal-Message-ID der Nachricht, die gezweigt wird. Für von Poseingangsregeln generierte Nachrichten enthält das Feld Reference den Internal-Message-Id -Wert der eingehenden Nachricht, die bewirkt hat, dass die Posteingangsregel die ausgehende Nachricht generiert hat. Bei anderen Ereignistypen kann das Feld Reference den Wert Internal-Message-Id für verzweigte Nachrichten enthalten. Für anderen Ereignistypen ist das Feld Reference zumeist leer.
message-subject	Der Betreff der Nachricht im `Subject:` Kopfzeilenfeld. Die Nachverfolgung von Nachrichtensubjekten wird durch den MessageTrackingLogSubjectLoggingEnabled-Parameter in den Cmdlets Set-TransportService oder Set-MailboxServer gesteuert. Die Nachrichtenbetreffverfolgung ist in der Standardeinstellung aktiviert.
sender-address	Die im `Sender:` Kopfzeilenfeld angegebene E-Mail-Adresse oder das `From:` Kopfzeilenfeld, wenn `Sender:` nicht vorhanden ist.
return-path	Die rückgabe-E-Mail-Adresse, die von im Nachrichtenumschlag angegeben wird `MAIL FROM:` . Obwohl dieses Feld nie leer ist, kann der Null-Absenderadressenwert als `<>`dargestellt werden.
message-info	Weitere Informationen zur Nachricht. Beispiel: Die UTC-Datums- und Uhrzeitangabe der Nachrichtenursprung für DELIVER - und SEND-Ereignisse . Datum/Uhrzeit der Ursprungsangabe ist der Zeitpunkt, zu dem die Nachricht zum ersten Mal in den Exchange-organization gelangt ist. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-MM-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, MM = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit zum Bezeichnen von UTC ist. Authentifizierungsfehler. Beispielsweise können der Wert `11a` und der Typ der Authentifizierung angezeigt werden, der verwendet wird, wenn Authentifizierungsfehler auftreten.
directionality	Die Richtung der Nachricht. Beispielwerte sind `Incoming`, `Undefined`und `Originating`.
tenant-id	Dieses Feld wird in lokalen Exchange 2013-Organisationen nicht verwendet.
original-client-ip	Die IPv4- oder IPv6-Adresse des ursprünglichen Clients.
original-server-ip	Die IPv4- oder IPv6-Adresse des ursprünglichen Servers.
custom-data	Dieses Feld enthält Daten in Bezug auf einen bestimmten Ereignistyp. Beispielsweise nutzt der Transportregel-Agent dieses Feld zum Aufzeichnen der GUID der Transportregel oder DLP-Richtlinie, die auf die Nachricht angewendet wurde. Weitere Informationen zu diesen Werten des Transportregel-Agents finden Sie im Abschnitt "Datenprotokollierung" des Themas Anzeigen von DLP-Richtlinienerkennungsberichten .

Ereignistypen im Nachrichtenverfolgungsprotokoll

Verschiedene Ereignistypen im Feld event-id dienen zum Klassifizieren der Nachrichtenereignisse im Nachrichtenverfolgungsprotokoll. Einige Nachrichtenereignisse werden nur in einem Typ von Protokolldatei für die Nachrichtenverfolgung angezeigt, andere hingegen in allen. Die Ereignistypen, die zum Klassifizieren der einzelnen Nachrichtenereignisse verwendet werden, sind in Tabelle 1 beschrieben.

Ereignisname	Beschreibung
AGENTINFO	Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren.
BADMAIL	Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.
DEFER	Die Nachrichtenzustellung wurde verzögert.
DELIVER	Eine Nachricht wurde an ein lokales Postfach zugestellt.
DROP	Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel: Die Moderation von Genehmigungsanforderungsnachrichten wurde abgeschlossen. Spamnachrichten, die ohne NDR im Hintergrund gelöscht wurden.
DSN	Eine Benachrichtigung über den Zustellungsstatus wurde generiert.
DUPLICATEDELIVER	Eine doppelte Nachricht wurde an den Empfänger übermittelt. Duplizierung kann auftreten, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.
DUPLICATEEXPAND	Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt.
DUPLICATEREDIRECT	Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger.
EXPAND	Eine Verteilergruppe wurde erweitert.
FAIL	Fehler bei der Nachrichtenübermittlung. Zu den Quellen gehören SMTP, DNS, QUEUE und ROUTING.
HADISCARD	Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz.
HARECEIVE	Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen.
HAREDIRECT	Eine Shadow-Nachricht erstellt wurde.
HAREDIRECTFAIL	Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert.
INITMESSAGECREATED	Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
LOAD	Eine Nachricht wurde erfolgreich beim Starten geladen.
MODERATIONEXPIRE	Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung.
MODERATORAPPROVE	Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde.
MODERATORREJECT	Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde.
MODERATORSALLNDR	Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten geführt hat.
NOTIFYMAPI	Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt.
NOTIFYSHADOW	Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden.
POISONMESSAGE	Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.
PROCESS	Die Nachricht wurde erfolgreich verarbeitet.
PROCESSMEETINGMESSAGE	Eine Besprechungsnachricht wurde vom Postfachtransport-Zustellungsdienst verarbeitet.
RECEIVE	Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: `SMTP`), oder eine Nachricht wurde aus einem Postfach an den Postfachtransport-Übermittlungsdienst gesendet (Quelle: `STOREDRIVER`).
REDIRECT	Eine Nachricht wurde nach einer Active Directory-Suche an einen alternativen Empfänger umgeleitet.
RESOLVE	Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst.
RESUBMIT	Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz.
RESUBMITDEFER	Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt.
RESUBMITFAIL	Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht.
SEND	Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet.
SUBMIT	Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details: MDB: Die Postfachdatenbank-GUID. Mailbox: Die Postfach-GUID. Event: Die Ereignissequenznummer. MessageClass: Der Typ der Nachricht. Beispiel: `IPM.Note`. CreationTime: Datum / Uhrzeit des der Nachrichtenübermittlung. ClientType: Beispiel: `User`, `OWA` oder `ActiveSync`.
SUBMITDEFER	Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt.
SUBMITFAIL	Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst.
SUPPRESSED	Die Nachrichtenübertragung wurde unterdrückt.
THROTTLE	Die Nachricht wurde eingeschränkt.
TRANSFER	Empfänger wurden aufgrund von Inhaltskonvertierung, Nachrichtenempfängergrenzwerten oder Agents in eine verzweigte Nachricht verschoben. Zu den Quellen gehören ROUTING oder QUEUE.

Quellwerte im Nachrichtenverfolgungsprotokoll

Die Werte im Feld source im Nachrichtenverfolgungsprotokoll geben die Transportkomponente an, die für das Nachrichtenverfolgungsereignis zuständig ist. In der folgenden Tabelle werden die Werte des Felds source beschrieben.

Wert von „source“	Beschreibung
ADMIN	Die Ereignisquelle war menschliches Eingreifen. Beispiel: Ein Administrator hat in der Warteschlangenanzeige eine Nachricht gelöscht oder Nachrichtendateien mithilfe des Wiedergabeverzeichnisses übermittelt.
AGENT	Die Ereignisquelle war ein Transport-Agent.
APPROVAL	Die Ereignisquelle war das Genehmigungssystem, das mit moderierten Empfänger verwendet wird. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
BOOTLOADER	Die Ereignisquelle waren nicht verarbeitete Nachrichten, die auf dem Server beim Start vorhanden sind. Dies bezieht sich auf den Ereignistyp LOAD.
DNS	Die Ereignisquelle war DNS.
DSN	Die Ereignisquelle war eine Benachrichtigung über die Zustellungsstatus. Beispiel: ein Unzustellbarkeitsbericht.
GATEWAY	Die Ereignisquelle war ein fremder Connector. Weitere Informationen finden Sie unter Fremde Connectors.
MAILBOXRULE	Die Ereignisquelle war eine Posteingangsregel. Weitere Informationen finden Sie unter Posteingangsregeln.
MEETINGMESSAGEPROCESSOR	Die Ereignisquelle war die Verarbeitung der Besprechungsnachrichten, die Kalender basierend auf Besprechungsaktualisierungen aktualisiert.
ORAR	Die Quelle war ein Originator Requested Alternate Recipient (ORAR, vom Absender angeforderter Alternativempfänger). Sie können die Unterstützung für ORAR für Empfangsconnectors mithilfe des OrarEnabled-Parameters in den Cmdlets New-ReceiveConnector oder Set-ReceiveConnector aktivieren oder deaktivieren.
PICKUP	Die Ereignisquelle war das PICKUP-Verzeichnis. Weitere Informationen finden Sie unter PICKUP-Verzeichnis und Wiedergabeverzeichnis.
POISONMESSAGE	Die Ereignisquelle war die ID einer nicht verarbeitbaren Nachricht. Weitere Informationen zu nicht verarbeitbaren Nachrichten und zur Warteschlange für nicht verarbeitbare Nachrichten finden Sie unter Warteschlangen
PUBLICFOLDER	Die Ereignisquelle war ein E-Mail-aktivierter öffentliche Ordner.
QUEUE	Die Ereignisquelle war eine Warteschlange.
REDUNDANCY	Die Ereignisquelle war Shadow-Redundanz. Weitere Informationen finden Sie unter Shadow-Redundanz.
ROUTING	Die Ereignisquelle war die Routingauflösungskomponente des Kategorisierungsmoduls im Transportdienst.
SAFETYNET	Die Ereignisquelle war das Sicherheitsnetz. Weitere Informationen finden Sie unter Sicherheitsnetz.
SMTP	Die Nachricht wurde von der SMTP-Sende- oder SMTP-Empfangskomponente des Transportdiensts übermittelt.
STOREDRIVER	Die Ereignisquelle war eine MAPI-Übermittlung aus einem Postfach auf dem lokalen Server.

Beispieleinträge im Nachrichtenverfolgungsprotokoll

Eine ereignislose Nachricht, die zwischen zwei Benutzern gesendet wurde, generiert mehrere Einträge im Nachrichtenverfolgungsprotokoll. Sie können die Ergebnisse mit dem Cmdlet Get-MessageTrackingLog überprüfen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.

Dies ist ein verkürztes Beispiel für die Protokolleinträge für die Nachrichtennachverfolgung, die erstellt werden, wenn der Benutzer chris@contoso.com erfolgreich eine Testnachricht an den Benutzer michelle@contoso.comsendet. Beide Benutzer haben Postfächer auf demselben Server.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Sicherheitsüberlegungen zum Nachrichtenverfolgungsprotokoll

Im Nachrichtenverfolgungsprotokoll wird kein Nachrichteninhalt gespeichert. Standardmäßig wird die Betreffzeile einer E-Mail-Nachricht im Nachrichtenverfolgungsprotokoll gespeichert. Möglicherweise möchten Sie die Nachrichtenbetreffprotokollierung jedoch aufgrund von erhöhten Sicherheits- und Datenschutzanforderungen deaktivieren. Überprüfen Sie vor der Aktivierung oder Deaktivierung der Nachrichtenbetreffprotokollierung die Richtlinie Ihrer Organisation zum Anzeigen von Betreffzeileninformationen. Weitere Informationen finden Sie unter Konfigurieren der Nachrichtenverfolgung.

Zusätzliche Ressourcen

Dokumentation

Durchsuchen von Nachrichtenverfolgungsprotokollen

Administratoren erfahren, wie Sie das Nachrichtenverfolgungsprotokoll in Exchange 2016 und Exchange 2019 mithilfe des Cmdlets Get-MessageTrackingLog in Exchange PowerShell durchsuchen.
Übermittlungsberichte für Administratoren: Exchange 2013-Hilfe

Informationen zu Übermittlungsberichten für Administratoren in Exchange Server
Nachverfolgen von Nachrichten mit Übermittlungsberichten: Exchange 2013-Hilfe

Verfahren für Übermittlungsberichte in Exchange 2013.
Nachrichtenverfolgung

Zu: Erfahren Sie mehr über die Nachrichtenverfolgung und das Nachrichtenverfolgungsprotokoll in Exchange Server 2016 und Exchange Server 2019.
Transportprotokolle: Exchange 2013-Hilfe

Eine Beschreibung der Transportprotokolle in Exchange 2013.
Durchsuchen von Nachrichtenverfolgungsprotokollen: Exchange 2013-Hilfe

Durchsuchen von Nachrichtenverfolgungsprotokollen in Microsoft Exchange Server
Transportprotokolle in Exchange Server

Zusammenfassung: Erfahren Sie mehr über die Transportprotokollierung in Exchange Server 2016 und Exchange Server 2019 sowie über die Protokoll- und Informationsarten, die protokolliert werden.
Konnektivitätsprotokollierung in Exchange Server

Zusammenfassung: Erfahren Sie mehr über die Konnektivitätsprotokollierung und darüber, wie ausgehende Verbindungsaktivitäten zum Übertragen von Nachrichten in Exchange Server 2016 oder Exchange Server 2019 aufgezeichnet werden.

Training

Modul

Verwalten und Überwachen von Windows Server-Ereignisprotokollen - Training

Erfahren Sie, inwiefern die Ereignisanzeige einen praktischen und zugänglichen Ort zum Beobachten eintretender Ereignisse bietet. Greifen Sie schnell und bequem auf Ereignisinformationen zu. Lernen Sie die Daten im Ereignisprotokoll zu interpretieren.

The future is yours

Freigeben über