Journalisation du protocole dans Exchange Server
L'enregistrement dans le journal de protocole enregistre les conversations SMTP entre les serveurs de messagerie et entre les services Exchange dans le pipeline de transport dans le cadre de la remise des messages. Vous pouvez utiliser l'enregistrement dans le journal de protocole pour identifier les problèmes de flux de messagerie. Les conversations SMTP qui peuvent être enregistrées par l'enregistrement dans le journal de protocole ont lieu aux emplacements suivants :
Connecteurs d'envoi et connecteurs de réception dans le service de transport sur des serveurs de boîtes aux lettres.
Connecteurs d'envoi et connecteurs de réception dans le service de transport sur des serveurs de transport Edge.
Connecteurs de réception dans le service de transport frontal sur les serveurs de boîtes aux lettres.
Connecteur d'envoi intra-organisationnel implicite et invisible dans le service de transport sur les serveurs de boîtes aux lettres.
Connecteur d'envoi intra-organisationnel implicite et invisible dans le service de transport frontal sur les serveurs de boîtes aux lettres.
Connecteur d'envoi intra-organisationnel implicite et invisible dans le service de dépôt de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres.
Connecteur de réception de remise de boîtes aux lettres implicite et invisible dans le service de remise de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres.
Par défaut, l'enregistrement dans le journal de protocole est activé sur les connecteurs suivants :
Connecteur de réception par défaut nommé Default Frontend <ServerName> dans le service de transport frontal sur les serveurs de boîtes aux lettres.
Le connecteur d'envoi implicite et invisible dans le service de transport frontal sur les serveurs de boîtes aux lettres.
Par défaut, l'enregistrement dans le journal de protocole est désactivé sur tous les autres connecteurs. Vous devez activer ou désactiver l'enregistrement dans le journal de protocole sur chacun des connecteurs. Vous configurez d'autres options d'enregistrement dans le journal de protocole pour tous les connecteurs de réception ou tous les connecteurs d'envoi qui existent dans chaque service de transport individuel sur le serveur Exchange. Tous les connecteurs de réception dans un service de transport partagent les mêmes fichiers journaux de protocole et options de journal de protocole. Ces fichiers et options sont distincts des fichiers journaux de protocole et des options de journal de protocole du connecteur d'envoi dans le même service de transport sur le serveur Exchange.
Par défaut, Exchange utilise l'enregistrement circulaire pour limiter le nombre de journaux de protocole sur la base de la taille et de l'ancienneté du fichier afin de contrôler l'espace disque utilisé par les fichiers journaux. Pour configurer l'enregistrement dans le journal de protocole, voir Configuration de l'enregistrement dans le journal de protocole.
Structure des fichiers journaux de protocole
Par défaut, les fichiers journaux de protocole se trouvent aux emplacements suivants :
Service de transport frontal sur les serveurs de boîtes aux lettres :
Connecteurs de réception :
%ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceiveEnvoyer des connecteurs :
%ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend
Service de transport sur les serveurs de boîtes aux lettres :
Connecteurs de réception :
%ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpReceiveEnvoyer des connecteurs :
%ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpSend
Service de livraison de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres (connecteurs de réception) :
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpReceive\DeliveryService de soumission de transport de boîtes aux lettres sur les serveurs de boîtes aux lettres (connecteurs d’envoi) :
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend\SubmissionRemarque : La journalisation du protocole pour les messages d’effet secondaire envoyés après la remise des messages aux boîtes aux lettres se produit dans
%ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend\Delivery. Par exemple, un message remis dans une boîte aux lettres déclenche une règle de boîte de réception qui redirige le message vers un autre destinataire.Service de transport sur les serveurs de transport Edge :
Connecteurs de réception :
%ExchangeInstallPath%TransportRoles\Logs\Edge\ProtocolLog\SmtpReceiveEnvoyer des connecteurs :
%ExchangeInstallPath%TransportRoles\Logs\Edge\ProtocolLog\SmtpSend
La convention d’affectation de noms pour les fichiers journaux est SENDyyyymmddhh-nnnn.log pour les connecteurs d’envoi et RECVyyyymmddhh-nnnn.log pour les connecteurs de réception. Les espaces réservés correspondent aux informations suivantes :
yyyymmddhh est la date utc (temps universel coordonné) à laquelle le fichier journal a été créé. aaaa = année, mm = mois, jj = jour et hh = heure.
nnnn est un numéro d’instance qui commence à la valeur 1 toutes les heures.
Les informations sont écrites dans le fichier journal jusqu'à ce qu'il atteigne sa taille maximale. Ensuite, un nouveau fichier journal avec un numéro d'instance incrémenté est ouvert (le premier fichier journal est -1, le deuxième est -2, etc.). L'enregistrement circulaire supprime les fichiers journaux les plus anciens lorsqu'une des conditions suivantes est vérifiée :
Un fichier journal a atteint son âge maximal.
Le dossier du journal de protocole a atteint sa taille maximale.
Les fichiers journaux de protocole sont des fichiers texte contenant des données au format CSV (valeurs séparées par une virgule). Chaque fichier journal de protocole comporte un en-tête avec les informations suivantes :
#Software : la valeur est
Microsoft Exchange Server.#Version : numéro de version du serveur Exchange qui a créé le fichier journal de suivi des messages. La valeur utilise le format
15.01.nnnn.nnn.#Log-Type : la valeur est ou
SMTP Receive Protocol LogSMTP Send Protocol Log.#Date : date-heure UTC de création du fichier journal. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-jjThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC.
#Fields : noms de champs délimités par des virgules utilisés dans les fichiers journaux de protocole.
Champs dans le journal de protocole
Le journal de protocole stocke chaque événement de protocole SMTP sur une seule ligne dans le journal. Les informations stockées sur chaque ligne sont organisées par champs et ces champs sont séparés par des virgules. Le tableau suivant décrit les champs utilisés dans le journal de protocole.
| Nom du champ | Description |
|---|---|
| date-time | Date et heure, au format UTC, de l'événement de protocole. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-jjThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC. |
| id de connecteur | Nom unique (DN) du connecteur associé à l'événement SMTP. |
| session-id | Valeur GUID unique pour chaque session SMTP mais identique pour chaque événement associé à la session SMTP. |
| sequence-number | Compteur démarrant à 0 et incrémenté pour chaque événement dans la même session SMTP. |
| local-endpoint | Point de terminaison local d'une session SMTP. Il s’agit d’une adresse IP et d’un numéro de port TCP au <format adresse> IP : <port>. |
| remote-endpoint | Point de terminaison distant d'une session SMTP. Il s’agit d’une adresse IP et d’un numéro de port TCP au <format adresse> IP : <port>. |
| event | Caractère unique représentant l'événement de protocole. Les valeurs valides sont les suivantes :+:Connecter-:Débrancher>:Envoyer<:Recevoir*:Informations |
| data | Informations associées à l'événement SMTP. |
| context | Informations contextuelles supplémentaires pouvant être associées à l'événement SMTP. |
Une conversation SMTP correspondant à l'envoi ou à la réception d'un message électronique génère plusieurs événements SMTP. Chaque événement est enregistré sur une ligne distincte dans le journal de protocole. Un serveur Exchange a de nombreuses conversations SMTP en cours à tout moment. Cela entraîne la création d'entrées de journal de protocole provenant de différentes conversations SMTP mélangées. Vous pouvez utiliser les champs session-id et sequence-number pour trier les entrées de journal de protocole par conversation SMTP.