Durchsuchen von Nachrichtenverfolgungsprotokollen
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2015-03-09
In diesem Thema wird beschrieben, wie die Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell durchsucht werden können.
Ein Nachrichtenverfolgungsprotokoll ist ein ausführliches Protokoll der gesamten Nachrichtenaktivität, wenn Nachrichten an einen und von einem Microsoft Exchange Server 2010-basierten Computer übertragen werden, auf dem die Hub-Transport-Serverrolle, die Postfachserverrolle oder die Edge-Transport-Serverrolle installiert ist. Server mit Exchange, auf denen die Clientzugriffs-Serverrolle oder die Unified Messaging-Serverrolle installiert ist, verfügen nicht über Nachrichtenverfolgungsprotokolle. Sie können Nachrichtenverfolgungsprotokolle für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, Berichterstellung und Problembehandlung verwenden.
Sie können das Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell und das Nachrichtenverfolgungstool in der Toolbox der Exchange-Verwaltungskonsole zum Suchen nach Einträgen in den Nachrichtenverfolgungsprotokollen verwenden, indem Sie bestimmte Suchkriterien verwenden.
Bevor Sie beginnen
Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Nachrichtenverfolgung" im Thema "Transportberechtigungen".
Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2010 erforderlich sind, finden Sie unter Grundlegendes zu Berechtigungen.
Beim Durchsuchen des Nachrichtenverfolgungsprotokolls auf einem Hub-Transport-Server oder Postfachserver können Sie nicht auf die Nachrichtenverfolgungsprotokolle auf einem Edge-Transport-Server zugreifen. Wenn Sie die Nachrichtenverfolgungsprotokolle auf einem Edge-Transport-Server durchsuchen möchten, müssen Sie das Cmdlet Get-MessageTrackingLog oder das Tool Nachrichtenverfolgung direkt auf dem Edge-Transport-Server ausführen.
Ein Suchvorgang in den Nachrichtenverfolgungsprotokollen hängt vom Microsoft Exchange-Transportprotokoll-Suchdienst ab. Wenn Sie diesen Dienst deaktivieren oder anhalten, können die Protokolldateien der Nachrichtenverfolgung nicht durchsucht werden. Das Anhalten dieses Diensts hat jedoch keine Auswirkungen auf andere Funktionen in Exchange.
Wichtig
Die Protokolldateien der Nachrichtenverfolgung können nicht von einem Server mit Microsoft Exchange kopiert und anschließend mithilfe des Cmdlets Get-MessageTrackingLog oder des Nachrichtenverfolgungstools durchsucht werden. Wenn Sie darüber hinaus ein vorhandenes Nachrichtenverfolgungsprotokoll speichern, hebt die Änderung des Datum-/Zeitstempels der Nachrichtenverfolgungs-Protokolldatei die Abfragelogik auf, die von Exchange zum Durchsuchen der Nachrichtenverfolgungsprotokolle verwendet wird.
Kriterien für Nachrichtenverfolgungsprotokoll-Suchvorgänge
Zwar sind eine Vielzahl von Datenfeldern für jeden Eintrag des Nachrichtenverfolgungsprotokolls vorhanden, nicht jedes Feld kann jedoch als Suchfilter verwendet werden. Darüber hinaus bietet die Exchange-Verwaltungsshell durch die Vielzahl von Suchfiltern, die mit dem Cmdlet Get-MessageTrackingLog verwendet werden können, eine größere Flexibilität.
Allgemeine Suchfilter, die mit dem Cmdlet "Get-MessageTrackingLog" verwendet werden
Die in der folgenden Liste aufgeführten Suchfilter können mit dem Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell verwendet werden:
Hinweis
Ein Suchfilter, der einen Teilwert oder mehrere Werte enthält, wird nicht unterstützt (falls nicht anders angegeben).
Recipients Dieser Suchfilter verwendet das recipient-address-Feld. Sie müssen die vollständige E-Mail-Adresse des Empfängers eingeben. Mehrere Empfängerwerte können mithilfe eines Kommas als Trennzeichen angegeben werden. Mehrere einzelne Empfänger, die in einer Nachricht enthalten sind, werden mithilfe eines Eintrags des Nachrichtenverfolgungsprotokolls protokolliert. Nicht erweiterte Empfänger der Verteilergruppe werden mithilfe der SMTP-E-Mail-Adresse der Verteilergruppe protokolliert.
Sender Dieser Suchfilter verwendet das sender-Feld. Sie müssen die vollständige E-Mail-Adresse des Absenders eingeben. Das Absenderfeld enthält die E-Mail-Adresse des Absenders wie im Kopfzeilenfeld
Sender:angegeben oder wie im KopfzeilenfeldFrom:angegeben, wenn die AngabeSender:nicht vorhanden ist.Server Dieser Suchfilter gibt den Server mit Exchange an, auf dem die zu durchsuchenden Nachrichtenverfolgungsprotokolle gespeichert sind. Sie können den Server anhand eines der folgenden Werte beschreiben:
Name
Vollqualifizierter Domänenname (FQDN)
Distinguished Name (DN)
Legacy-Exchange-DN
GUID
EventID Dieser Suchfilter verwendet das event-id-Feld. Im Tool Nachrichtenverfolgung wählen Sie den Wert von EventID in einer Dropdownliste aus. Im Cmdlet Get-MessageTrackingLog geben Sie den Wert von EventID als Text ein. Der Wert muss jedoch exakt einem der für EventID möglichen Werte entsprechen. EventID ist die Ereignisklassifikation, die jedem Eintrag des Nachrichtenverfolgungsprotokolls zugewiesen wird. Folgende Wert sind verfügbar:
BADMAIL
DEFER
DELIVER
DSN
EXPAND
FAIL
POISONMESSAGE
RECEIVE
REDIRECT
RESOLVE
SEND
SUBMIT
TRANSFER
MessageID Dieser Suchfilter verwendet das message-id-Feld. MessageID ist der Wert des Kopfzeilenfelds
Message-ID:. Wenn das KopfzeilenfeldMessage-ID:nicht vorhanden ist, wird ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant.InternalMessageID Dieser Suchfilter verwendet das internal-message-id-Feld. InternalMessageID ist ein ganzzahliger Nachrichtenbezeichner, der vom Servercomputer mit Exchange zugewiesen wird, der die Nachricht aktuell verarbeitet.
Subject Der Name des Parameters im Cmdlet Get-MessageTrackingLog lautet MessageSubject. Dieser Suchfilter verwendet das message-subject-Feld. Teilwerte werden unterstützt. Dies ist der Betreff der Nachricht wie im Kopfzeilenfeld
Subject:angegeben. Die Protokollierung von Nachrichtenbetreffs wird durch den Parameter MessageTrackingLogSubjectLoggingEnabled im Cmdlet Set-TransportServer auf Hub-Transport-Servern und Edge-Transport-Servern bzw. vom Cmdlet Set-MailboxServer auf Postfachservern gesteuert. Standardmäßig ist die Nachrichtenbetreffprotokollierung aktiviert. Sie können die Nachrichtenbetreffprotokollierung deaktivieren, indem Sie den Wert des Parameters MessageTrackingLogSubjectLoggingEnabled auf$Falsefestlegen.Reference Dieser Suchfilter verwendet das reference-Feld. Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Bei einem DSN-Ereignis enthält das reference-Feld die
MessageID:der Nachricht, die die Benachrichtigung über den Übermittlungsstatus verursacht hat. Bei einem SEND-Ereignis enthält das reference-Feld dieMessageID:beliebiger DSN-Nachrichten. Bei einem TRANSFER-Ereignis enthält das reference-Feld dieMessageID:der Nachricht, die verzweigt wird.Start Dieser Suchfilter verwendet das date-time-Feld, um nach Nachrichtenverfolgungseinträgen zu suchen, die mit dem angegebenen Enddatum und der angegebenen Uhrzeit beginnen. Sie können diesen Filter eigenständig zum Abrufen aller Nachrichtenverfolgungseinträge nach dem angegebenen Datum und der Uhrzeit oder als Untergrenze mit dem Parameter End verwenden.
End Dieser Suchfilter verwendet das date-time-Feld, um nach Nachrichtenverfolgungseinträgen bis zum angegebenen Enddatum und der Uhrzeit (jedoch nicht einschließlich) zu suchen. Sie können diesen Filter eigenständig zum Abrufen aller Nachrichtenverfolgungseinträge vor dem angegebenen Datum und der Uhrzeit oder als Obergrenze mit dem Parameter Start verwenden.
Hinweis
Das date-time-Feld im Nachrichtenverfolgungsprotokoll speichert Informationen im UTC-Format (Coordinated Universal Time). Sie sollten die date-time-Suchkriterien jedoch im regionalen Datums- und Uhrzeitformat des Computers eingeben, den Sie zum Durchführen des Suchvorgangs verwenden. Die Suchtools für Nachrichtenverfolgungsprotokolle konvertieren Ihre regionale date-time-Abfrage automatisch in das UTC-Format. Die Suchergebnisse werden für die Anzeige automatisch aus UTC zurück in Ihr regionales date-time-Format konvertiert. Das date-time-Feld zeichnet das Datum und die Uhrzeit eines bestimmten Nachrichtenverfolgungsereignisses auf. date-time der Nachrichtenerstellung ist das Datum und die Uhrzeit des ersten Eingangs der Nachricht in die Exchange-Organisation. date-time der Nachrichtenerstellung werden im Nachrichteninformationsfeld für alle SEND- und DELIVER-Ereignisse gespeichert.
Suchfilter, die in der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell unterschiedlich sind
In der Exchange-Verwaltungsshell bietet das Cmdlet Get-MessageTrackingLog bei Verwendung des Parameters ResultSize eine bessere Steuerung der Anzahl von anzuzeigenden Suchergebnissen. Standardmäßig werden bei einer Suche bis zu 1.000 Ergebnisse angezeigt. Sie können jedoch einen anderen Maximalwert festlegen. Alternativ können Sie den Wert Unlimited verwenden, um sämtliche Ergebnisse anzuzeigen. Das Nachrichtenverfolgungstool in der Exchange-Verwaltungskonsole bietet keine Möglichkeit zur Anpassung des Maximalwerts für die angezeigten Suchergebnisse.
Durchsuchen der Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungsshell
Die folgende Tabelle listet die Suchfilter auf, die bei Verwendung des Cmdlets Get-MessageTrackingLog in der Exchange-Verwaltungsshell verfügbar sind.
Suchfilter, die bei Verwendung des Cmdlets "Get-MessageTrackingLog" verfügbar sind
| Suchfilter | Entsprechendes Feld im Nachrichtenverfolgungsprotokoll |
|---|---|
Ende |
date-time |
EventId |
event-id |
InternalMessageId |
internal-message-id |
MessageId |
Nachrichten-ID |
MessageSubject |
message-subject |
Empfänger |
recipient-address |
Reference |
Referenz |
ResultSize |
Keine Dieser Parameter beschränkt die Anzahl der Ergebnisse, die vom Suchvorgang angezeigt werden. |
Sender |
sender-address |
Start |
date-time |
Alle Parameter, die mit dem Cmdlet Get-MessageTrackingLog verfügbar sind, sind optional. Wenn Sie das Cmdlet Get-MessageTrackingLog ohne Parameter eingeben, werden die letzten 1.000 Einträge des Nachrichtenverfolgungsprotokolls angezeigt.
So verwenden Sie die Exchange-Verwaltungsshell zum Durchsuchen der Nachrichtenverfolgungsprotokolle
Führen Sie den folgenden Befehl aus:
Get-MessageTrackingLog <SearchFilters>Um das Nachrichtenverfolgungsprotokoll z. B. nach allen Einträgen vom 28.03.11 8:00 Uhr bis zum 28.03.11 17:00 Uhr für alle FAIL-Ereignisse zu durchsuchen, die von pat@contoso.com gesendet wurden, führen Sie den folgenden Befehl aus:
Get-MessageTrackingLog -ResultSize Unlimited -Start "3/28/2011 8:00AM" -End "3/28/2011 5:00PM" -EventId "Fail" -Sender "pat@contoso.com"
Steuern der Ausgabe eines Nachrichtenverfolgungsprotokoll-Suchvorgangs, der in der Exchange-Verwaltungsshell ausgeführt wird
Wenn Sie einen Nachrichtenverfolgungsprotokoll-Suchvorgang mithilfe des Cmdlets Get-MessageTrackingLog ausführen, werden nicht alle Felder für jedes Nachrichtenverfolgungsereignis angezeigt. Die folgende Tabelle listet die Felder auf, die vom Cmdlet Get-MessageTrackingLog standardmäßig angezeigt werden.
Felder, die vom Cmdlet "Get-MessageTrackingLog" standardmäßig angezeigt werden
| Suchfeld | Entsprechendes Feld im Nachrichtenverfolgungsprotokoll |
|---|---|
EventId |
event-id |
Quelle |
message-source |
Sender |
sender-address |
Empfänger |
recipient-address |
MessageSubject |
message-subject |
Sie können die Ausgabe des Cmdlets Get-MessageTrackingLog über die Befehlsausgabeoptionen in der Exchange-Verwaltungsshell gemäß den folgenden Richtlinien steuern:
Sie können das Ausgabeformat des Nachrichtenverfolgungsprotokoll-Suchvorgangs steuern. Sie können die Ergebnisse in einer Liste oder in einer Tabelle anzeigen.
Wichtig
Das Tabellenformat scheint eine gute Wahl als Ausgabeformat zu sein, ist aber nicht unbedingt die beste Wahl. Wenn das in der Tabelle angezeigte Feld lange Werte besitzt, werden die Werte abgeschnitten, damit sie in die Spalten der Tabelle passen. Dieser Abschneidevorgang erfolgt ebenfalls, wenn Sie versuchen, zu viele Felder gleichzeitig anzuzeigen. Die vollständigen Feldwerte sind immer vorhanden, wenn Sie das Listenformat verwenden. Zum Anzeigen weiterer Spalten können Sie auch die 80 Zeichen umfassende Standardbreite des Fensters der Exchange-Verwaltungsshell vergrößern. Die Fenstergröße der Exchange-Verwaltungsshell wird in den Eigenschaften des Fensters der Exchange-Verwaltungsshell angepasst.
Sie können bestimmte Felder anzeigen oder ausblenden, die von einem Nachrichtenverfolgungsprotokoll-Suchvorgang zurückgegeben werden. Platzhalterzeichen (*) werden unterstützt.
Sie können die Ergebnisse des Suchvorgangs in eine Datei umleiten.
Die durch die Ergebnisse aus dem Cmdlet Get-MessageTrackingLog angezeigten Feldnamen sind die gleichen Feldnamen, die Sie zum Filtern der Suchergebnisse verwenden können. Diese Feldnamen unterscheiden sich geringfügig von den tatsächlichen Feldnamen, die im Nachrichtenverfolgungsprotokoll gespeichert sind. Die folgende Tabelle stellt die Feldnamen, die im Nachrichtenverfolgungsprotokoll verwendet werden, den Feldnamen gegenüber, die vom Cmdlet Get-MessageTrackingLog verwendet werden.
Vergleich der Feldnamen, die im Nachrichtenverfolgungsprotokoll verwendet werden, mit den Feldnamen, die vom Cmdlet "Get-MessageTrackingLog" verwendet werden
| Verwendeter Feldname im Nachrichtenverfolgungsprotokoll | Zum Filtern der Get-MessageTrackingLog-Ergebnisse verwendeter Feldname |
|---|---|
date-time |
Timestamp |
client-ip |
ClientIp |
client-hostname |
ClientHostname |
server-ip |
ServerIp |
server-hostname |
ServerHostname |
source-context |
SourceContext |
connector-id |
ConnectorId |
source |
Quelle |
event-id |
EventId |
internal-message-id |
InternalMessageId |
Nachrichten-ID |
MessageId |
recipient-address |
Empfänger |
recipient-status |
RecipientStatus |
total-bytes |
TotalBytes |
recipient-count |
RecipientCount |
related-recipient-address |
RelatedRecipientAddress |
Referenz |
Reference |
message-subject |
MessageSubject |
sender-address |
Sender |
return-path |
ReturnPath |
message-info |
MessageInfo |
So verwenden Sie die Exchange-Verwaltungsshell zum Steuern der Ausgabe eines Nachrichtenverfolgungsprotokoll-Suchvorgangs
Verwenden Sie den folgenden Befehl:
Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> <FieldNames> <OutputFileOptions>Um die Nachrichtenverfolgungsprotokolle z. B. nach den ersten 1.000 Send-Ereignissen zu durchsuchen, die gefundenen Ergebnisse im Listenformat anzuzeigen, die Werte aller mit Send oder Receive beginnenden Feldnamen anzuzeigen und die Ergebnisse in eine neue Datei namens C:\send search.txt zu schreiben, führen Sie den folgenden Befehl aus:
Get-MessageTrackingLog -EventId "Send" | Format-List Send*,Receive* > "C:\send search.txt"
Durchsuchen der Nachrichtenverfolgungsprotokolle nach einer Nachricht auf mehreren Servern mithilfe der Exchange-Verwaltungsshell
Eine Eigenschaft von Nachrichten, die beim Übertragen durch die Exchange-Organisation unverändert bleibt, ist der Wert des Kopfzeilenfelds MessageID:. Dieser Wert heißt in Dienstprogrammen zum Anzeigen von Warteschlagen InternetMessageId und in Dienstprogrammen für Nachrichtenverfolgungsprotokolle MessageId. Nachdem Sie den Wert von MessageID: bestimmt haben, können Sie auf allen Hub-Transport- und Postfachservern in der Exchange-Organisation nach der jeweiligen Nachricht suchen.
So verwenden Sie die Exchange-Verwaltungsshell zum Durchsuchen von Einträgen in Nachrichtenverfolgungsprotokollen nach einer bestimmten Nachricht auf allen Hub-Transport- und Postfachservern
Verwenden Sie den folgenden Befehl:
Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "<messageid>" | Select-Object <commaseparatedfieldnames> | Sort-Object -Property <field>Um z. B. die Nachrichtenverfolgungsprotokolle auf allen Hub-Transport- und Postfachservern nach Einträgen im Zusammenhang mit einer Nachricht zu durchsuchen, deren
MessageID:den Wertba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.comhat, um die Felderdate-time,server-hostname,client-hostname,source,event-idundrecipient-address for each entryanzuzeigen und die Ergebnisse nach dem Felddate-timezu sortieren, führen Sie den folgenden Befehl aus:Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com" | Select-Object Timestamp,ServerHostname,ClientHostname,Source,EventId,Recipients | Sort-Object -Property Timestamp
Ausführliche Informationen zu Syntax und Parametern finden Sie unter get-MessageTrackingLog.
Weitere Informationen zu den Befehlsausgabeoptionen in der Exchange-Verwaltungsshell finden Sie unter Verwenden von PowerShell mit Exchange 2010 (Exchange-Verwaltungsshell).
Durchsuchen der Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungskonsole
So verwenden Sie die Exchange-Verwaltungskonsole zum Durchsuchen des Nachrichtenverfolgungsprotokolls
Starten Sie die Exchange-Verwaltungskonsole.
Klicken Sie in der Konsolenstruktur auf Toolbox. Klicken Sie im Ergebnisbereich auf Nachrichtenverfolgung. Klicken Sie im Aktionsbereich auf Tool öffnen.
Melden Sie sich bei Outlook Web App an, wenn Sie dazu aufgefordert werden.
Klicken Sie in der Liste Wählen Sie die zu verwaltenden Elemente aus auf Meine Organisation, und klicken Sie anschließend im Navigationsbereich auf Berichterstellung.
Konfigurieren Sie die Werte für die folgenden verfügbaren Optionen, um die Suchkriterien für Ihre Nachrichtenverfolgungs-Protokollsuche festzulegen:
Zu durchsuchendes Postfach Klicken Sie auf Durchsuchen, und wählen Sie das gewünschte Postfach aus.
Nachrichten suchen an Empfänger Klicken Sie auf diese Option, wenn Sie nach gesendeten Nachrichten suchen möchten. Klicken Sie anschließend auf Benutzer auswählen, um einen oder mehrere Benutzer auszuwählen.
Nachrichten suchen von Absender Alternativ klicken Sie auf diese Option, um nach empfangenen Nachrichten zu suchen. Klicken Sie anschließend auf Benutzer auswählen, um einen bestimmten Empfänger auszuwählen.
Diese Wörter in der Betreffzeile suchen Geben Sie den Suchtext ein, um nach Nachrichten mit einem bestimmten Betreff zu suchen.
Klicken Sie auf Suchen, und betrachten Sie die Ergebnisse im Bereich Suchergebnisse.
Weitere Informationen
Weitere Informationen hierzu finden Sie in den folgenden Themen:
Grundlegendes zur Nachrichtenverfolgung
Konfigurieren der Nachrichtenverfolgung
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.