Seguimiento de mensajes

El registro de seguimiento de mensajes es un registro detallado de toda la actividad a medida que el correo fluye a través de la canalización de transporte en servidores de buzones y servidores de transporte perimetral. Puede utilizar los registros de seguimiento de mensajes para el análisis de mensajes, análisis del flujo de correo, elaboración de informes y solución de problemas.

De forma predeterminada, Exchange usa el registro circular para limitar el registro de seguimiento de mensajes en función del tamaño de archivo y la antigüedad de los archivos para ayudar a controlar el espacio en disco duro que usan los archivos de registro. Para configurar el registro de seguimiento de mensajes, consulte Configuración del seguimiento de mensajes.

Búsqueda en el registro de seguimiento de mensajes

Los registros de seguimiento de mensajes contienen grandes cantidades de datos a medida que los mensajes se mueven a través de un servidor de buzón o un servidor de transporte perimetral. A la hora de buscar en los registros de seguimiento de mensajes, tiene opciones:

  • Get-MessageTrackingLog: los administradores pueden usar este cmdlet del Shell de administración de Exchange para buscar información sobre los mensajes en el registro de seguimiento de mensajes mediante una amplia gama de criterios de filtro. Para obtener más información, consulte Buscar en registros seguimiento de mensajes.

  • Informes de entrega para administradores: los administradores pueden usar la pestaña Informes de entrega en el Centro de administración de Exchange o los cmdlets Search-MessageTrackingReport y Get-MessageTrackingReport subyacentes en el Shell de administración de Exchange para buscar en los registros de seguimiento de mensajes información sobre los mensajes enviados o recibidos por un buzón específico de la organización. Para obtener más información, consulte Informes de entrega para administradores.

Estructura de los archivos de registro de seguimiento de mensajes

De forma predeterminada, los archivos de registro de seguimiento de mensajes existen en %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. La carpeta contiene archivos de registro que tienen nombres diferentes, pero todos siguen la convención MSGTRKServiceyyyymmdd-nnnn.logde nomenclatura . Los distintos nombres de archivo de registro se describen en la tabla siguiente.

Nombre de archivo Servidores Descripción
MSGTRK Servidores de buzones y servidores de transporte perimetral Archivos de registro para el servicio de transporte.
MSGTRKMA Servidores de buzones de correo Archivos de registro para las aprobaciones y los rechazos del transporte moderado. Para obtener más información, consulte Administrar la aprobación de mensajes.
MSGTRKMD Servidores de buzones de correo Archivos de registro para los mensajes que el servicio de entrega de transporte de buzones entrega a los buzones.
MSGTRKMS Servidores de buzones de correo Archivos de registro para los mensajes que el servicio de elementos enviados de transporte de buzones envía desde los buzones.

Los demás marcadores de posición de los nombres de archivo de registro representan la siguiente información:

  • yyyymmdd es la fecha UTC (hora universal coordinada) en la que se creó el archivo de registro. aaaa = año, mm = mes y dd = día.

  • nnnn es un número de instancia que comienza en el valor 1 cada día para cada registro.

La información se escribe en el archivo de registro hasta que este alcanza su tamaño máximo. Después, se abre un archivo de registro nuevo con un número de instancia incrementado (el primer archivo de registro es -1; el siguiente, -2, etc.). El registro circular elimina los archivos de registro más antiguos de un servicio cuando se cumple alguna de las condiciones siguientes:

  • Un archivo de registro alcanza la antigüedad máxima.

  • La carpeta de registro de seguimiento de mensajes alcanza su tamaño máximo.

    Notas:

    • El tamaño máximo de la carpeta de registro de seguimiento de mensajes se calcula como el tamaño total de todos los archivos de registro que tienen el mismo prefijo de nombre. Otros archivos que no siguen la convención de prefijo de nombre no se cuentan en el cálculo del tamaño total de la carpeta. Cambiar el nombre de los archivos de registro antiguos o copiar otros archivos en la carpeta de registro de seguimiento de mensajes podría hacer que la carpeta supere su tamaño máximo especificado.

    • En los servidores de buzones de correo, el tamaño máximo de la carpeta de registro de seguimiento de mensajes es tres veces el valor especificado. Aunque los archivos de registro de seguimiento de mensajes los generan los cuatro servicios diferentes y tienen cuatro prefijos de nombre diferentes, la cantidad y frecuencia de los datos escritos en el registro de transporte moderado (MSGTRKMA) es insignificante en comparación con los otros tres registros.

Los archivos de registro de seguimiento de mensajes son archivos de texto que contienen datos en el formato de valores separados por comas (CSV). Cada archivo de registro de seguimiento de mensajes tiene un encabezado con la siguiente información:

  • #Software: el valor es Microsoft Exchange Server.

  • #Version: número de versión del servidor exchange que creó el archivo de registro de seguimiento de mensajes. El valor usa el formato 15.01.nnnn.nnn.

  • #Log-Type: el valor es Message Tracking Log.

  • #Date: fecha y hora UTC en que se creó el archivo de registro. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, donde aaaa = año, mm = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC.

  • #Fields: nombres de campo delimitados por comas que se usan en los archivos de registro de seguimiento de mensajes.

Campos de los archivos de registro de seguimiento de mensajes

El registro de seguimiento de mensajes almacena cada evento de mensaje en una sola línea del registro. La información de evento de mensajes se organiza por campos separados mediante comas. El nombre del campo suele ser lo bastante descriptivo como para determinar el tipo de información que contiene. Sin embargo, algunos campos podrían estar en blanco o el tipo de información del campo podría cambiar en función del tipo de evento de mensaje y del servicio que registró el evento. En la siguiente tabla se detallan de forma genérica los campos que se usan para clasificar cada evento de seguimiento de mensajes.

Nombre del campo Descripción
date-time Fecha y hora UTC del evento de seguimiento de mensajes. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, donde aaaa = año, mm = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC.
client-ip Dirección IPv4 o IPv6 del servidor o el cliente de mensajería que ha enviado el mensaje.
client-hostname Nombre de host o FQDN del servidor o el cliente de mensajería que ha enviado el mensaje.
server-ip Dirección IPv4 o IPv6 del servidor de origen o de destino.
server-hostname Nombre de host o FQDN del servidor de destino.
source-context Información adicional asociada al campo source. Por ejemplo:
CatContentConversion
250 2.0.0 OK;ClientSubmitTime:<UTC>
connector-id Nombre del conector de envío o del conector de recepción que aceptó el mensaje. Por ejemplo, ServerName\ ConnectorName o ConnectorName.
source Componente de transporte de Exchange responsable del evento. Estos valores se describen en la sección Valores de origen del registro de seguimiento de mensajes más adelante en este tema.
event-id El tipo de evento de mensaje. Estos valores se describen en tipos de eventos de la sección registro de seguimiento de mensajes más adelante en este tema.
internal-message-id Identificador de mensaje asignado por el servidor exchange que está procesando actualmente el mensaje.
El identificador de mensaje interno de un mensaje es diferente en el registro de seguimiento de mensajes de todos los servidores exchange implicados en la transmisión del mensaje. Un valor de ejemplo es 73014444033.
message-id Valor del campo de encabezado Message-Id: en el encabezado del mensaje. Si el campo de encabezado Message-Id: no existe o está en blanco, Exchange asigna un valor arbitrario. Este valor es constante mientras dura el mensaje. Para los mensajes creados en Exchange, el valor tiene el formato <GUID@ServerFQDN>, incluidos los corchetes angulares (< >). Por ejemplo, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Otros sistemas de mensajería pueden utilizar sintaxis o valores diferentes.
network-message-id Valor de identificador de mensaje único que persiste en todas las copias del mensaje que se pueden crear debido a la bifurcación o ampliación de los grupos de distribución. Un valor de ejemplo es 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-address Direcciones de correo electrónico de los destinatarios del mensaje. Si hay varias direcciones de correo electrónico, se separan por punto y coma (;).
recipient-status Estado del destinatario de cada destinatario separado por el carácter de punto y coma (;). Los valores del estado se presentan para los destinatarios en el mismo orden que los valores en el campo recipient-address. Entre los valores de estado de ejemplo se incluyen:
To, Cc o Bcc
250 2.1.5 Recipient OK
550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytes Tamaño total del mensaje en bytes, incluidos todos los datos adjuntos.
recipient-count Número total de destinatarios en el mensaje.
related-recipient-address Este campo se usa con eventos EXPAND, REDIRECT y RESOLVE para mostrar otras direcciones de correo electrónico de destinatario asociadas al mensaje.
reference Este campo contiene información extra para tipos de evento específicos. Por ejemplo:
DSN: contiene el vínculo de informe, que es el valor message-id de la notificación de estado de entrega asociada (también conocida como DSN, mensaje de rebote, informe de no entrega o NDR) si se genera un DSN posterior a este evento. Si se trata de un mensaje DSN, el campo Referencia contiene el valor message-id del mensaje original para el que se generó el DSN.
EXPAND: contiene el valor related-recipient-address de los mensajes relacionados.
RECEIVE: puede contener el valor Message-Id del mensaje relacionado si el mensaje lo generaron otros procesos, por ejemplo, el registro en diario o las reglas de bandeja de entrada.
SEND: contiene el valor Internal-Message-Id de los mensajes DSN.
THROTTLE: contiene el motivo por el que se limitó el mensaje.
TRANSFER: contiene el valor Internal-Message-Id del mensaje que se bifurca.
Mensaje generado por reglas de bandeja de entrada: contiene el valor Internal-Message-Id del mensaje entrante que provocó que la regla de bandeja de entrada generara el mensaje saliente.
Mensajes bifurcados: puede contener el valor Internal-Message-Id .
Para otros tipos de eventos, este campo suele estar en blanco.
message-subject Asunto del mensaje en el campo de encabezado Subject:. El seguimiento de los asuntos del mensaje se controla mediante el parámetro MessageTrackingLogSubjectLoggingEnabled en el cmdlet Set-TransportService . De forma predeterminada, el seguimiento de asuntos de mensajes está habilitado.
sender-address La dirección de correo electrónico especificada en el campo Remitente: encabezado o el campo De: encabezado si el campo Remitente: no existe.
return-path Dirección de correo electrónico de devolución especificada por el comando MAIL FROM que envió el mensaje. Aunque este campo nunca está vacío, puede tener el valor de dirección del remitente nulo representado como <>.
message-info Información extra sobre el mensaje. Por ejemplo:
Fecha y hora de origen del mensaje en UTC para los eventos DELIVER y SEND . La fecha y hora de creación hacen referencia al momento en que se especifica el mensaje por primera vez en la organización de Exchange. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: aaaa-mm-ddThh:mm:ss.fffZ, donde aaaa = año, mm = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar UTC.
Errores de autenticación. Por ejemplo, puede ver el valor 11a y el tipo de autenticación que se usó cuando se produjo el error de autenticación.
directionality Dirección del mensaje. Entre los valores de ejemplo se incluyen Incoming, Undefinedy Originating.
tenant-id Este campo no se usa en organizaciones de Exchange locales.
original-client-ip Dirección IPv4 o IPv6 del cliente original.
original-server-ip Dirección IPv4 o IPv6 del servidor original.
custom-data Este campo contiene datos relacionados con tipos de eventos específicos. Por ejemplo, el agente de regla de transporte usa este campo para registrar el GUID de la regla de flujo de correo (también conocida como regla de transporte) o la directiva DLP que actuó en el mensaje. Para obtener más información, vea Ver informes de detección de directivas DLP.
transport-traffic-type En Exchange local, este campo está en blanco o tiene el valor Email.
log-id Identificador único de una fila en el registro de seguimiento de mensajes. Este campo no es importante en las organizaciones locales de Exchange.
schema-version Número de versión del servidor exchange que creó la entrada en el registro de seguimiento de mensajes. El valor usa el formato 15.01.nnnn.nnn.

Tipos de evento en el registro de seguimiento de mensajes

Varios tipos de eventos en el campo event-id se usan para clasificar los eventos de mensaje en el registro de seguimiento de mensajes. Algunos eventos de mensaje solo aparecen en un tipo de archivo de registro de seguimiento de mensajes, mientras que otros aparecen en todos los tipos de archivos de registro de seguimiento de mensajes. En la siguiente tabla se explican los tipos de evento usados para clasificar cada evento de mensaje.

Nombre del evento Descripción
AGENTINFO Los agentes de transporte usan este evento para registrar datos personalizados.
BADMAIL Mensaje enviado por el directorio de recogida o el directorio de reproducción que no se puede entregar o devolver.
CLIENTSUBMISSION Se envió un mensaje desde la Bandeja de salida de un buzón.
DEFER Se ha retrasado la entrega del mensaje.
DELIVER Un mensaje ha llegado a un buzón de correo local.
DELIVERFAIL Un agente intentó entregar el mensaje a una carpeta que no existe en el buzón.
DROP Se quitó un mensaje sin una notificación de estado de entrega (también conocida como DSN, mensaje de rebote, informe de no entrega o NDR). Por ejemplo:
  • Mensajes de solicitud de aprobación de moderación acabados.
  • Mensajes de correo no deseado que se anularon en modo silencioso sin un NDR.
DSN Se ha generado una notificación de estado de entrega (DSN).
DUPLICATEDELIVER Se ha entregado un mensaje duplicado al destinatario. La duplicación puede ocurrir si un destinatario es miembro de varios grupos de distribución anidados. El almacén de información se encarga de detectar y quitar los mensajes duplicados.
DUPLICATEEXPAND Se detectó un destinatario duplicado durante la ampliación del grupo de distribución.
DUPLICATEREDIRECT Un destinatario alternativo para el mensaje ya era un destinatario.
EXPAND Se ha ampliado un grupo de distribución.
FAIL Error al entregar el mensaje. Los orígenes incluyen SMTP, DNS, QUEUE y ROUTING.
HADISCARD Se descartó un mensaje de instantánea después de que la copia principal se entregara al siguiente salto. Para obtener más información, vea Redundancia de sombras en Exchange Server.
HARECEIVE El servidor recibió un mensaje de instantánea en el grupo de disponibilidad de la base de datos local (DAG) o sitio de Active Directory.
HAREDIRECT Se creó un mensaje de instantánea.
HAREDIRECTFAIL No se ha podido crear un mensaje de instantánea. Los detalles se almacenan en el campo source-context.
INITMESSAGECREATED Se envió un mensaje a un destinatario moderado, así que el mensaje se envió al buzón de correo de arbitraje para su aprobación. Para obtener más información, consulte Administrar la aprobación de mensajes.
LOAD Un mensaje se cargó correctamente durante el arranque.
MODERATIONEXPIRE Un moderador de un destinatario moderado nunca aprobó ni rechazó el mensaje, así que expiró. Para obtener más información sobre los destinatarios moderados, consulte Administrar la aprobación de mensajes.
MODERATORAPPROVE Un moderador de un destinatario moderado aprobó el mensaje, así que el mensaje se entregó al destinatario moderado.
MODERATORREJECT Un moderador de un destinatario moderado rechazó el mensaje, así que el mensaje no se entregó al destinatario moderado.
MODERATORSALLNDR Todas las solicitudes de aprobación enviadas a todos los moderadores de un destinatario moderado no se pudieron entregar y dieron lugar a informes de no entrega (también conocidos como NDR o mensajes de devolución).
NOTIFYMAPI Se detectó un mensaje en la bandeja de salida de un buzón del servidor local.
NOTIFYSHADOW Se detectó un mensaje en la bandeja de salida del servidor local, y se debe crear una copia instantánea del mensaje.
POISONMESSAGE Se incluyó o quitó un mensaje de la cola de mensajes dudosos.
PROCESS El mensaje se procesó correctamente.
PROCESSMEETINGMESSAGE El servicio de entrega de transporte de buzones de correo ha procesado un mensaje de reunión.
RECEIVE El componente de recepción SMTP recibió un mensaje del servicio de transporte o de los directorios de recogida o reproducción (origen: SMTP), o se envió un mensaje desde un buzón al servicio de envío de transporte de buzones (origen: STOREDRIVER).
REDIRECT Se redirigió un mensaje a un destinatario alternativo tras una búsqueda de Active Directory.
RESOLVE Los destinatarios de un mensaje se resolvieron para una dirección de correo electrónico distinta tras una búsqueda de Active Directory.
RESUBMIT Un mensaje se reenvió automáticamente desde la red de seguridad. Para obtener más información, vea Red de seguridad en Exchange Server.
RESUBMITDEFER Se aplazó un mensaje reenviado automáticamente desde la red de seguridad.
RESUBMITFAIL Error de un mensaje reenviado automáticamente desde la red de seguridad.
SEND SMTP envió un mensaje entre servicios de transporte.
SUBMIT El servicio de entrega de transporte de buzones de correo transmitió correctamente el mensaje al servicio de transporte. Para los eventos SUBMIT, la propiedad source-context contiene los siguientes detalles:
  • MDB: GUID de base de datos de buzón de correo.
  • Buzón: GUID del buzón de correo.
  • Evento: número de secuencia de eventos.
  • MessageClass: el tipo de mensaje. Por ejemplo, IPM.Note.
  • CreationTime: fecha y hora del envío del mensaje.
  • ClientType: por ejemplo, User, OWAo ActiveSync.
SUBMITDEFER La transmisión de mensajes desde el servicio de entrega de transporte de buzones al servicio de transporte se aplazó.
SUBMITFAIL Error en la transmisión de mensajes desde el servicio de entrega de transporte de buzones al servicio de transporte.
SUPPRESSED La transmisión del mensaje se suprimió.
THROTTLE El mensaje se limitó.
TRANSFER Los destinatarios se han movido a un mensaje bifurcado debido a la conversión del contenido, los límites de destinatarios de mensajes o los agentes. Los orígenes incluyen ROUTING o QUEUE.

Valores de origen en el registro de seguimiento de mensajes

Los valores en el campo source en el registro de seguimiento de mensajes indican el componente que es responsable del evento de seguimiento del mensaje. En la siguiente tabla se describen los valores del campo source.

Valor de origen Descripción
ADMIN El origen del evento fue la intervención humana. Por ejemplo, un administrador usó el Visor de cola para eliminar un mensaje o envió archivos de mensaje mediante el directorio de reproducción.
AGENT El origen del evento fue un agente de transporte.
APPROVAL El origen del evento fue el marco de la aprobación que se usa con los destinatarios moderados. Para obtener más información, consulte Administrar la aprobación de mensajes.
BOOTLOADER El origen del evento consistía en mensajes sin procesar que hay en el servidor durante el arranque. Esto está relacionado con el tipo de evento LOAD.
DNS El origen del evento fue una DNS.
DSN El origen del evento era una notificación de estado de entrega (también conocida como DSN, mensaje de rebote, informe de no entrega o NDR).
GATEWAY El origen del evento fue un conector externo. Para obtener más información, consulte Conectores externos.
MAILBOXRULE El origen del evento fue una regla de la bandeja de entrada. Para obtener más información, consulte Reglas de Bandeja de entrada.
MEETINGMESSAGEPROCESSOR El origen del evento ha sido el procesador de mensajes de reunión, que actualiza los calendarios según las actualizaciones de las reuniones.
ORAR El origen del evento fue un destinatario alternativo solicitado del originador (ORAR). Puede habilitar o deshabilitar la compatibilidad con ORAR en conectores de recepción mediante el parámetro OrarEnabled en los cmdlets New-ReceiveConnector o Set-ReceiveConnector .
PICKUP El origen del evento fue el directorio de recogida. Para obtener más información, vea Directorio de recogida y Directorio de reproducción.
POISONMESSAGE El origen del evento fue el identificador de mensaje dudoso. Para obtener más información sobre los mensajes dudosos y la cola de mensajes dudosos, consulte Colas y mensajes en colas.
PUBLICFOLDER El origen del evento fue una carpeta pública habilitada para correo.
QUEUE El origen del evento fue una cola.
REDUNDANCY El origen del evento fue la redundancia de instantáneas. Para obtener más información, vea Redundancia de sombras en Exchange Server.
RESOLUCIÓN El origen del evento era el componente de resolución de destinatarios del categorizador en el servicio de transporte. Para obtener más información, vea Resolución de destinatarios en Exchange Server.
ROUTING El origen del evento fue el componente de resolución de enrutamiento del categorizador en el servicio de transporte.
SAFETYNET El origen del evento fue la red de seguridad. Para obtener más información, vea Red de seguridad en Exchange Server.
SMTP El mensaje fue enviado por el componente de envío SMTP o el componente de recepción SMTP del servicio de transporte.
STOREDRIVER El origen del evento fue un envío MAPI desde un buzón de correo en el servidor local.

Entradas de ejemplo en el registro de seguimiento de mensajes

Un mensaje sin eventos enviado entre dos usuarios genera varias entradas en el registro de seguimiento de mensajes. Puede ver los resultados usando el cmdlet Get-MessageTrackingLog. Para obtener más información, consulte Buscar en registros seguimiento de mensajes.

Este es un ejemplo de las entradas de registro de seguimiento de mensajes creadas cuando el usuario chris@contoso.com envía correctamente un mensaje de prueba al usuario michelle@contoso.com. Ambos usuarios tienen buzones de correo en el mismo servidor.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Problemas de seguridad del registro de seguimiento de mensajes

No se almacena ningún contenido de mensaje en el registro de seguimiento de mensajes. De manera predeterminada, la línea de asunto de un mensaje de correo electrónico se almacena en el registro de seguimiento de mensajes. Es posible que tenga que deshabilitar el registro de asuntos para cumplir con los requisitos de seguridad o privacidad más elevados. Para obtener instrucciones sobre cómo deshabilitar el registro de asuntos, consulte Configuración del seguimiento de mensajes.