Verwalten der Nachrichtenverfolgung

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2011-04-04

Bei einem Nachrichtenverfolgungsprotokoll handelt es sich um ein detailliertes Protokoll aller Nachrichtenaktivitäten, die bei der Übertragung zu und von einem Computer auftreten, auf dem Microsoft Exchange Server 2007 ausgeführt wird und die Serverfunktion Hub-Transport, Mailbox oder Edge-Transport installiert ist. Exchange-Server, auf denen die Serverfunktion ClientAccess oder UnifiedMessaging installiert ist, besitzen keine Nachrichtenverfolgungsprotokolle. Nachrichtenverfolgungsprotokolle können für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, Berichterstellung und Problembehandlung verwendet werden.

Mithilfe des Cmdlets Set-TransportServer können Sie alle Konfigurationsaufgaben der Nachrichtenverfolgung auf einem Hub-Transport- oder Edge-Transport-Server durchführen. Mithilfe des Cmdlets Set-MailboxServer können Sie alle Konfigurationsaufgaben der Nachrichtenverfolgung auf einem Postfachserver durchführen. Für Server, auf denen sowohl die Serverfunktion Hub-Transport als auch die Serverfunktion Mailbox installiert ist, können Sie das Cmdlet Set-TransportServer oder Set-MailboxServer verwenden. Mit diesen Cmdlets können die folgenden Konfigurationsänderungen an der Nachrichtenverfolgung vorgenommen werden:

  • Aktiveren und Deaktivieren der Nachrichtenverfolgung. Standardmäßig ist diese aktiviert.

  • Angeben des Speicherorts der Nachrichtenverfolgungs-Protokolldateien.

  • Angeben einer Maximalgröße für die einzelnen Nachrichtenverfolgungs-Protokolldateien. Der Standardwert beträgt 10 MB.

  • Angeben einer Maximalgröße für das Verzeichnis, das die Nachrichtenverfolgungs-Protokolldateien enthält. Der Standardwert beträgt 250 MB.

  • Angeben des Höchstalters für die Nachrichtenverfolgungs-Protokolldateien. Der Standardwert beträgt 30 Tage.

  • Aktivieren und Deaktivieren der Nachrichtenbetreffprotokollierung in den Nachrichtenverfolgungsprotokollen. Standardmäßig ist diese aktiviert.

Hinweis

In Microsoft Exchange Server 2007 Service Pack 1 (SP1) können Sie auch die Exchange-Verwaltungskonsole auf einem Hub-Transport- oder Edge-Transport-Server verwenden, um die Nachrichtenverfolgung zu aktivieren oder zu deaktivieren sowie um den Speicherort der Nachrichtenverfolgungs-Protokolldateien anzugeben.

Standardmäßig verwendet der Exchange 2007-Server die Umlaufprotokollierung, um Nachrichtenverfolgungsprotokolle sowohl nach Dateigröße als auch nach Alter zu begrenzen. Durch die Umlaufprotokollierung kann der von den Protokolldateien verwendete Festplattenspeicher kontrolliert werden.

Struktur der Nachrichtenverfolgungs-Protokolldateien

Die Nachrichtenverfolgungsprotokolle werden standardmäßig im Verzeichnis C:\Programme\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking gespeichert.

Die Namenskonvention für Protokolldateien im Nachrichtenverfolgungsprotokoll-Verzeichnis ist von der installierten Serverfunktion abhängig. Auf einem Hub-Transport- oder einem Edge-Transport-Server werden die Protokolldateien MSGTRKyyyymmdd-nnnn.log benannt. Auf einem Postfachserver werden die Protokolldateien MSGTRKMyyyymmdd-nnnn.log benannt. Wenn die Serverfunktionen Hub-Transport und Mailbox auf demselben Server installiert sind, werden im Nachrichtenverfolgungsprotokoll-Verzeichnis gesonderte Protokolldateien erstellt, die diese unterschiedlichen Namenspräfixe verwenden.

Die Platzhalter in den Protokolldateinamen stehen für folgende Informationen:

  • Bei dem Platzhalter yyyymmdd handelt es sich um das UTC-Datum (Coordinated Universal Time), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, mm = Monat und dd = Tag.

  • Der Platzhalter nnnn ist eine Instanznummer, die täglich mit dem Wert 1 für jedes Namenspräfix der Nachrichtenverfolgungsprotokoll-Datei beginnt.

In jede Protokolldatei werden Informationen geschrieben, bis die Dateigröße den für jede Protokolldatei angegebenen Maximalwert erreicht. Dann wird eine neue Datei mit der nächsthöheren Instanznummer geöffnet. Dieser Vorgang wird während des ganzen Tags wiederholt. Bei der Umlaufprotokollierung werden die ältesten Protokolldateien gelöscht, wenn eine der folgenden Bedingungen zutrifft:

  • Eine Protokolldatei erreicht ihr angegebenes Höchstalter.

  • Das Verzeichnis für Nachrichtenverfolgungsprotokolle erreicht seine festgelegte maximal zulässige Größe.

    Wichtig

    Die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses wird aus der Gesamtgröße aller Protokolldateien berechnet, die dasselbe Namenspräfix haben. Alle weiteren Dateien, die die Namenspräfixkonvention nicht einhalten, werden bei der Berechnung der Gesamtgröße des Verzeichnisses nicht berücksichtigt. Das Umbenennen alter Protokolldateien oder das Kopieren anderer Dateien in das Nachrichtenverfolgungsprotokoll-Verzeichnis kann dazu führen, dass das Verzeichnis seine angegebene Maximalgröße überschreitet. Wenn die Serverfunktionen Hub-Transport und Mailbox auf demselben Server installiert sind, entspricht die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses nicht der angegebenen Maximalgröße, weil die Nachrichtenverfolgungsprotokoll-Dateien, die von den unterschiedlichen Serverfunktionen generiert werden, verschiedene Namenspräfixe haben. Wenn die Serverfunktionen Hub-Transport und Mailbox auf demselben Server installiert sind, entspricht die Maximalgröße des Nachrichtenverfolgungsprotokoll-Verzeichnisses dem Zweifachen des angegebenen Werts.

Bei den Nachrichtenverfolgungs-Protokolldateien handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value) enthalten. Jede Datei enthält eine Kopfzeile mit den folgenden Informationen:

  • #Software:   Der Name der Software, mit der die Nachrichtenverfolgungs-Protokolldatei erstellt wurde. In der Regel lautet der Wert Microsoft Exchange Server.

  • #Version:   Die Versionsnummer der Software, mit der die Nachrichtenverfolgungs-Protokolldatei erstellt wurde. Der aktuelle Wert lautet 8.0.0.0.

  • #Log-Type:   In diesem Feld ist als Wert das Nachrichtenverfolgungsprotokoll angegeben.

  • #Date:   Datum und Uhrzeit (UTC) der Erstellung der Protokolldatei. Datum und Uhrzeit (UTC) werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, mit yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

  • #Fields:   Kommagetrennte Feldnamen, die in den Nachrichtenverfolgungs-Protokolldateien verwendet werden.

In ein Nachrichtenverfolgungsprotokoll geschriebene Informationen

Im Nachrichtenverfolgungsprotokoll werden die einzelnen Nachrichtenereignisse jeweils in einer einzelnen Zeile gespeichert. Die Ereignistypen, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in Tabelle 1 erläutert.

Tabelle 1   Ereignistypen zur Klassifizierung einzelner Nachrichtenereignisse

Ereignisname Beschreibung

BADMAIL

Vom PICKUP-Verzeichnis oder dem Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.

DELIVER

Eine Nachricht wurde an ein Postfach zugestellt.

DEFER

Die Nachrichtenzustellung wurde verzögert.

DSN

Eine Benachrichtigung über den Übermittlungsstatus wurde generiert.

DUPLICATEDELIVER

Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied bei zwei Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.

EXPAND

Eine Verteilergruppe wurde erweitert.

FAIL

Bei der Nachrichtenzustellung ist ein Fehler aufgetreten.

POISONMESSAGE

Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.

RECEIVE

Eine Nachricht wurde empfangen und an die Datenbank übergeben. Das RECEIVE-Ereignis kann SMTP RECEIVE (Quelle: SMTP) oder per E-Mail durch STOREDRIVER (Quelle: STOREDRIVER) übermittelt sein.

SMTP RECEIVE kann aus einer beliebigen Quelle stammen, die eine Nachricht mithilfe von SMTP übermittelt. Es kann sich z. B. um eine Serverfunktion Hub-Transport, eine Serverfunktion Edge-Transport, einen MTA (Message Transfer Agent) eines Drittanbieters oder einen POP/IMAP-Client handeln.

STOREDRIVER RECEIVE wird vom Edge-Transport-Prozess protokolliert und ist das Ereignis, das einem STOREDRIVER SUBMIT-Ereignis entspricht. STOREDRIVER SUBMIT wird vom Nachrichtenübermittlungsprozess protokolliert. Diese Prozesse können auf dem gleichen Server ausgeführt werden, wenn beide Serverfunktionen lokal oder auf verschiedenen Servern installiert sind.

REDIRECT

Eine Nachricht wurde nach einem Lookupvorgang des Active Directory-Verzeichnisdiensts an einen alternativen Empfänger umgeleitet.

RESOLVE

Die Empfänger einer Nachricht wurden nach einem Active Directory-Lookupvorgang in verschiedene E-Mail-Adressen aufgelöst.

SEND

Eine Nachricht wurde über SMTP (Simple Mail Transfer Protocol) an einen anderen Server gesendet.

SUBMIT

Ein SUBMIT-Ereignis wird vom Nachrichtenübermittlungsdienst auf einem Computer mit Exchange 2007 protokolliert, der die Serverfunktion Mailbox ausführt. Das SUBMIT-Ereignis wird protokolliert, wenn der Dienst einen Hub-Transport-Server erfolgreich benachrichtigt hat, dass eine Nachricht im Postfachspeicher auf ihre Übermittlung wartet.

Die Eigenschaft SourceContext stellt die MDB-GUID (Messagingdatenbank), die Postfach-GUID, die Ereignissequenznummer, die Nachrichtenklasse, den Erstellungszeitstempel der Clientübermittlung an den Informationsspeicher und den Clienttyp zur Verfügung. Der Clienttyp kann "Benutzer" (direktes Outlook-MAPI), "RPCHTTP" (Outlook Anywhere), "Outlook Web Access", "Exchange Web Services (EWS)", "Exchange ActiveSync", "Assistenten" oder "Transport" sein. Die Nachrichtenverfolgungsprotokolle, die von der Serverfunktion Mailbox generiert werden, enthalten nur SUBMIT-Ereignisse.

TRANSFER

Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben.

Die in den einzelnen Zeilen gespeicherten Nachrichtenereignisdaten sind nach Feldern angeordnet. Diese Felder sind durch Kommas getrennt. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder sind möglicherweise jedoch leer, oder der im Feld gespeicherte Informationstyp kann sich auf Grundlage des Nachrichtenereignistyps wie in Tabelle 1 beschrieben ändern. Allgemeine Beschreibungen der Felder, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in Tabelle 2 erläutert.

Tabelle 2   Felder zur Klassifizierung einzelner Nachrichtenverfolgungsereignisse

Feld Beschreibung

date-time

Datum/Uhrzeit des Nachrichtenverfolgungsereignisses im UTC-Format, das im ISO-8601-Format dargestellt wird. Der Wert wird formatiert als yyyy-mm-ddThh:mm:ss.fffZ, mit yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

client-ip

Die TCP/IP-Adresse des Messagingservers oder -clients, der die Nachricht übermittelt hat.

client-hostname

Der Name des Messagingservers oder -clients, der die Nachricht übermittelt hat.

server-ip

Die TCP/IP-Adresse des Exchange-Quellservers oder -Zielservers.

server-hostname

Der Name des Zielservers.

source-context

Zusätzliche Informationen, die zum Quellfeld gehören.

connector-id

Der Name des Sendeconnectors oder Empfangsconnectors am Quell- oder Zielstandort.

source

Die für das Nachrichtenverfolgungsereignis zuständige Exchange-Transportkomponente. Die möglichen Werte für dieses Feld lauten wie folgt:

  • ADMIN für die Übermittlung durch das Wiedergabeverzeichnis

  • AGENT

  • DSN

  • GATEWAY für die Übermittlung durch fremde Connectors

  • PICKUP

  • ROUTING

  • SMTP

  • STOREDRIVER für MAPI-Übermittlung

event-id

Der Nachrichtenereignistyp. Diese Ereignisse werden in Tabelle 1 weiter oben in diesem Thema ausführlich beschrieben. Mögliche Werte sind BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT und TRANSFER.

internal-message-id

Eine Nachrichten-ID, die von dem Exchange 2007-Server zugewiesen wird, der die Nachricht aktuell verarbeitet.

Der Wert internal-message-id einer bestimmten Nachricht ist im Nachrichtenverfolgungsprotokoll jedes Servercomputers mit Exchange 2007, der an der Zustellung der Nachricht beteiligt ist, unterschiedlich.

Nachrichten-ID

Der Wert des Felds Message-Id:, das sich in den Kopfzeilenfeldern einer Nachricht befindet. Wenn das Kopfzeilenfeld Message-Id: nicht vorhanden ist, wird ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant.

recipient-address

Die E-Mail-Adressen der Nachrichtenempfänger. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.

recipient-status

In diesem Feld wird ein SEND- oder FAIL-Ereignis angegeben.

total-bytes

Die Größe der Nachricht, die Anlagen enthält, in Bytes.

recipient-count

Die Gesamtzahl der Empfänger in der Nachricht.

related-recipient-address

Dieses Feld wird mit EXPAND-, REDIRECT- und RESOLVE-Ereignissen verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.

reference

Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen:

DSN   Das Feld reference enthält den Wert Internet-Message-Id der Nachricht, die die Benachrichtigung über den Übermittlungsstatus verursacht hat.

SEND   Das Feld reference enthält den Wert Internet-Message-Id einer Benachrichtigung über den Übermittlungsstatus.

TRANSFER   Das Feld reference enthält den Wert Internet-Message-Id der Nachricht, die verzweigt wird.

Für alle anderen Ereignistypen ist das Feld reference leer.

message-subject

Der Nachrichtenbetreff aus dem Kopfzeilenfeld Subject:. Die Nachrichtenbetreffverfolgung wird durch den Parameter MessageTrackingLogSubjectLoggingEnabled im Cmdlet Set-TransportServer (Hub-Transport-Server und Edge-Transport-Server) oder im Cmdlet Set-MailboxServer (Postfachserver) gesteuert. Die Nachrichtenbetreffverfolgung ist in der Standardeinstellung aktiviert. Die Nachrichtenbetreffverfolgung kann deaktiviert werden, indem der Parameter MessageTrackingLogSubjectLoggingEnabled auf $false gesetzt wird.

sender-address

Die E-Mail-Adresse, die im Kopfzeilenfeld Sender: oder From: angegeben ist (falls Sender: nicht vorhanden ist).

return-path

Die E-Mail-Adresse des Absenders, die unter MAIL FROM: im Nachrichtenumschlag angegeben ist. Zwar ist dieses Feld niemals leer, es kann jedoch den Absenderadresswert Null enthalten, der durch <> dargestellt wird.

message-info

Dieses Feld enthält Datum und Uhrzeit der Nachrichtenerstellung für DELIVER- und SEND-Ereignisse. Hierbei handelt es sich um den Zeitpunkt, zu dem die Nachricht erstmals in die Exchange-Organisation eintritt. Der Wert wird formatiert als yyyy-mm-ddThh:mm:ss.fffZ, mit yyyy = Jahr, mm = Monat, dd = Tag, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z = Zulu (eine weitere Möglichkeit zur Angabe von UTC).

Mit dem Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell oder dem Nachrichtenverfolgungstool in der Exchange-Verwaltungskonsole können Sie anhand bestimmter Nachrichtenkriterien nach Nachrichten suchen.

Sicherheitsüberlegungen zum Nachrichtenverfolgungsprotokoll

Im Nachrichtenverfolgungsprotokoll wird kein Nachrichteninhalt gespeichert. Standardmäßig wird die Betreffzeile einer E-Mail-Nachricht im Nachrichtenverfolgungsprotokoll gespeichert. Möglicherweise möchten Sie die Nachrichtenbetreffprotokollierung jedoch aufgrund von erhöhten Sicherheits- und Datenschutzanforderungen deaktivieren. Überprüfen Sie vor der Aktivierung oder Deaktivierung der Nachrichtenbetreffprotokollierung die Richtlinie Ihrer Organisation zum Anzeigen von Betreffzeileninformationen.

Weitere Informationen

Weitere Informationen hierzu finden Sie unter den folgenden Themen: