Suivi des messages
Le journal de suivi des messages est un enregistrement détaillé de toutes les activités au fur et à mesure que le courrier transite par le pipeline de transport sur les serveurs de boîtes aux lettres et les serveurs de transport Edge. Vous pouvez utiliser le suivi des messages pour l’investigation des messages, l’analyse du flux de messagerie, la création de rapports et la résolution des problèmes.
Par défaut, Exchange utilise la journalisation circulaire pour limiter le journal de suivi des messages en fonction de la taille du fichier et de l’âge des fichiers afin de contrôler l’espace disque dur utilisé par les fichiers journaux. Pour configurer le journal de suivi des messages, consultez Configurer le suivi des messages.
Recherche dans le journal de suivi des messages
Les journaux de suivi des messages contiennent de grandes quantités de données à mesure que les messages transitent par un serveur de boîtes aux lettres ou un serveur de transport Edge. Quand il s’agit de rechercher dans les journaux de suivi des messages, vous avez les options suivantes :
Get-MessageTrackingLog : les administrateurs peuvent utiliser cette applet de commande Exchange Management Shell pour rechercher dans le journal de suivi des messages des informations sur les messages à l’aide d’un large éventail de critères de filtre. Pour plus d'informations, consultez la rubrique Recherche des journaux de suivi des messages.
Rapports de remise pour les administrateurs : les administrateurs peuvent utiliser l’onglet Rapports de remise dans le Centre d’administration Exchange ou les applets de commande Search-MessageTrackingReport et Get-MessageTrackingReport sous-jacentes dans Exchange Management Shell pour rechercher dans les journaux de suivi des messages des informations sur les messages envoyés ou reçus par une boîte aux lettres spécifique de l’organisation. Pour plus d’informations, consultez Rapports de remise pour les administrateurs.
Structure des fichiers journaux de suivi des messages
Par défaut, les fichiers journaux de suivi des messages existent dans %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. Le dossier contient des fichiers journaux qui ont des noms différents, mais ils suivent tous la convention MSGTRKServiceyyyymmdd-nnnn.logde nommage . Les différents noms de fichiers journaux sont décrits dans le tableau suivant.
| Nom de fichier | Serveurs | Description |
|---|---|---|
MSGTRK |
Serveurs de boîtes aux lettres et serveurs de transport Edge | Fichiers journaux pour le service de transport. |
MSGTRKMA |
Serveurs de boîtes aux lettres | Fichiers journaux pour les approbations et les rejets dans le transport modéré. Pour plus d'informations, consultez la rubrique Gérer l'approbation des messages. |
MSGTRKMD |
Serveurs de boîtes aux lettres | Fichiers journaux associés aux messages remis aux boîtes aux lettres par le service de remise de transport de boîte aux lettres. |
MSGTRKMS |
Serveurs de boîtes aux lettres | Fichiers journaux associés aux messages envoyés à partir de boîtes aux lettres par le service de dépôt de transport de boîte aux lettres. |
Les autres espaces réservés dans les noms de fichiers journaux représentent les informations suivantes :
yyyymmdd est la date au format UTC (temps universel coordonné) à laquelle le fichier journal a été créé. aaaa = année, mm = mois et jj = jour.
nnnn est un numéro d’instance qui commence à la valeur 1 tous les jours pour chaque journal.
Les informations sont écrites dans le fichier journal jusqu'à ce qu'il atteigne sa taille maximale. Ensuite, un nouveau fichier journal avec un numéro d'instance incrémenté est ouvert (le premier fichier journal est -1, le deuxième est -2, etc.). La journalisation circulaire supprime les fichiers journaux les plus anciens pour un service lorsque l’une des conditions suivantes est remplie :
Un fichier journal a atteint son âge maximal.
Le dossier du journal de suivi des messages atteint sa taille maximale.
Remarques :
La taille maximale du dossier du journal de suivi des messages est calculée comme la taille totale de tous les fichiers journaux qui ont le même préfixe de nom. Les autres fichiers qui ne respectent pas la convention de préfixe de nom ne sont pas comptabilisés dans le calcul de la taille totale du dossier. Le changement de nom des anciens fichiers journaux ou la copie d’autres fichiers dans le dossier du journal de suivi des messages peut entraîner le dépassement de la taille maximale spécifiée.
Sur les serveurs de boîtes aux lettres, la taille maximale du dossier du journal de suivi des messages est trois fois supérieure à la valeur spécifiée. Bien que les fichiers journaux de suivi des messages soient générés par les quatre services différents et aient quatre préfixes de nom différents, la quantité et la fréquence des données écrites dans le journal de transport modéré (
MSGTRKMA) sont négligeables par rapport aux trois autres journaux.
Les fichiers journaux de suivi des messages sont des fichiers texte contenant des données au format CSV (valeurs séparées par des virgules). Chaque fichier journal de suivi des messages comporte un en-tête avec les informations suivantes :
#Software : la valeur est
Microsoft Exchange Server.#Version : numéro de version du serveur Exchange qui a créé le fichier journal de suivi des messages. La valeur utilise le format
15.01.nnnn.nnn.#Log-Type : la valeur est
Message Tracking Log.#Date : date-heure UTC à laquelle le fichier journal a été créé. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-jjThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC.
#Fields : noms de champs délimités par des virgules utilisés dans les fichiers journaux de suivi des messages.
Champs des fichiers journaux de suivi des messages
Le journal de suivi des messages indique chaque événement de message sur une seule ligne dans le journal. Les informations d'événement de message sont organisées par champs, ces derniers étant séparés par des virgules. Le nom du champ est généralement suffisamment descriptif pour déterminer le type d'informations qu'il contient. Toutefois, certains champs peuvent être vides ou le type d’informations dans le champ peut changer en fonction du type d’événement du message et du service qui a enregistré l’événement. Le tableau suivant présente des descriptions générales des champs utilisés pour classifier chaque événement de suivi de message.
| Nom de champ | Description |
|---|---|
| date-time | Date et heure UTC de l'événement de suivi de message. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-jjThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC. |
| client-ip | Adresse IPv4 ou IPv6 du serveur de messagerie ou du client de messagerie ayant déposé le message. |
| client-hostname | Nom d'hôte ou nom de domaine complet (FQDN) du serveur de messagerie ou du client de messagerie ayant déposé le message. |
| server-ip | Adresse IPv4 ou IPv6 du serveur source ou de destination. |
| server-hostname | Nom d'hôte ou nom de domaine complet (FQDN) du serveur de destination. |
| source-context | Informations supplémentaires associées au champ source. Par exemple :CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | Nom du connecteur d’envoi ou du connecteur de réception qui a accepté le message. Par exemple, ServerName\ ConnectorName ou ConnectorName. |
| source | Composant de transport Exchange responsable de l’événement. Ces valeurs sont décrites dans la section Valeurs sources du journal de suivi des messages plus loin dans cette rubrique. |
| event-id | Type de l'événement de message. Ces valeurs sont décrites dans la section Types d’événements du journal de suivi des messages plus loin dans cette rubrique. |
| internal-message-id | Identificateur de message attribué par le serveur Exchange qui traite actuellement le message. L’id de message interne d’un message est différent dans le journal de suivi des messages de chaque serveur Exchange impliqué dans la transmission du message. Un exemple de valeur est 73014444033. |
| message-id | Valeur du champ Message-Id: header dans l’en-tête du message. Si le champ Message-Id: header n’existe pas ou est vide, Exchange affecte une valeur arbitraire. Cette valeur est constante pendant toute la durée de vie du message. Pour les messages créés dans Exchange, la valeur est au format <GUID@ServerFQDN>, y compris les crochets angulaires (< >). Par exemple : <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. D'autres systèmes de messagerie peuvent utiliser une syntaxe et des valeurs différentes. |
| network-message-id | Valeur unique d'ID de message qui persiste dans les copies du message éventuellement créées suite à une bifurcation ou à une expansion du groupe de distribution. Un exemple de valeur est 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Adresse de messagerie des destinataires du message. Les adresses de messagerie multiples sont séparées par des points-virgules (;). |
| recipient-status | État du destinataire pour chaque destinataire séparé par le point-virgule (;). Les valeurs d'état des destinataires sont présentées dans le même ordre que les valeurs du champ recipient-address. Voici quelques exemples de valeurs d’état :To, Cc ou Bcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | Taille totale du message en octets, y compris toutes les pièces jointes. |
| recipient-count | Nombre total de destinataires dans le message. |
| related-recipient-address | Ce champ est utilisé avec les événements EXPAND, REDIRECT et RESOLVE pour afficher d’autres adresses e-mail de destinataire associées au message. |
| reference | Ce champ contient des informations supplémentaires pour des types d'événements spécifiques. Par exemple : DSN : contient le lien de rapport, qui est la valeur Message-ID de la notification d’état de remise associée (également appelée DSN, message de rebond, rapport de non-remise ou remise de remise) si un DSN est généré après cet événement. S’il s’agit d’un message DSN, le champ Référence contient la valeur Message-ID du message d’origine pour lequel le DSN a été généré. EXPAND : contient la valeur related-recipient-address des messages associés. RECEIVE : peut contenir la valeur Id de message du message associé si le message a été généré par d’autres processus, par exemple, des règles de journalisation ou de boîte de réception. SEND : contient la valeur Internal-Message-Id de tous les messages DSN. THROTTLE : contient la raison pour laquelle le message a été limité. TRANSFER : contient la valeur Internal-Message-Id du message qui est dupliqué. Message généré par les règles de boîte de réception : contient la valeur Internal-Message-Id du message entrant qui a provoqué la génération du message sortant par la règle de boîte de réception. Messages dupliqués : peut contenir la valeur Internal-Message-Id . Pour les autres types d’événements, ce champ est généralement vide. |
| message-subject | Objet du message trouvé dans le champ d'en-tête Subject:. Le suivi des sujets des messages est contrôlé par le paramètre MessageTrackingLogSubjectLoggingEnabled sur l’applet de commande Set-TransportService . Par défaut, le suivi de l'objet des messages est activé. |
| sender-address | Adresse e-mail spécifiée dans le champ Expéditeur : en-tête, ou Champ d’en-tête De : si le champ Sender: n’existe pas. |
| return-path | Adresse e-mail de retour spécifiée par la commande MAIL FROM qui a envoyé le message. Bien que ce champ ne soit jamais vide, la valeur d’adresse de l’expéditeur null peut être représentée sous la forme <>. |
| message-info | Informations supplémentaires sur le message. Par exemple : Date-heure d’origine du message au format UTC pour les événements DELIVER et SEND . Les date et heure d'origine indiquent le moment auquel le message est entré dans l'organisation Exchange. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-jjThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC. Erreurs d'authentification. Par exemple, vous pouvez voir la valeur 11a et le type d’authentification qui a été utilisé lorsque l’erreur d’authentification s’est produite. |
| directionality | Direction du message. Les exemples de valeurs incluent Incoming, Undefinedet Originating. |
| tenant-id | Ce champ n’est pas utilisé dans les organisations Exchange locales. |
| original-client-ip | Adresse IPv4 ou IPv6 du client d'origine. |
| original-server-ip | Adresse IPv4 ou IPv6 du serveur d'origine. |
| custom-data | Ce champ contient des données relatives à des types d’événements spécifiques. Par exemple, l’agent de règle de transport utilise ce champ pour enregistrer le GUID de la règle de flux de courrier (également appelée règle de transport) ou la stratégie DLP qui a agi sur le message. Pour plus d’informations, consultez Afficher les rapports de détection de stratégie DLP. |
| transport-traffic-type | Dans Exchange local, ce champ est vide ou a la valeur Email. |
| log-id | Identificateur unique d’une ligne dans le journal de suivi des messages. Ce champ n’est pas important dans les organisations Exchange locales. |
| version du schéma | Numéro de version du serveur Exchange qui a créé l’entrée dans le journal de suivi des messages. La valeur utilise le format 15.01.nnnn.nnn. |
Types d'événements dans le journal de suivi des messages
Dans le champ event-id, divers types d'événements sont utilisés pour classifier les événements de messages dans le journal de suivi des messages. Certains événements de messages apparaissent dans un seul type de fichier journal de suivi des messages, et d'autres dans tous les types de journaux de suivi des messages. Le tableau suivant présente les types d'événements utilisés pour classifier chaque événement de message.
| Nom de l'événement | Description |
|---|---|
| AGENTINFO | Cet événement est utilisé par les agents transport pour journaliser des données personnalisées. |
| BADMAIL | Un message soumis par le répertoire de collecte ou de relecture ne peut pas être remis ou retourné. |
| CLIENTUBMISSION | Un message a été envoyé à partir de la boîte d’envoi d’une boîte aux lettres. |
| DEFER | La remise du message a été retardée. |
| DELIVER | Un message a été remis à une boîte aux lettres locale. |
| DELIVERFAIL | Un agent a tenté de remettre le message à un dossier qui n’existe pas dans la boîte aux lettres. |
| DROP | Un message a été supprimé sans notification d'état de remise (également appelée notification de non-remise ou notification d'échec de remise). Par exemple :
|
| DSN | Une notification d'état de remise a été générée. |
| DUPLICATEDELIVER | Un message en double a été remis au destinataire. Une duplication peut se produire si un destinataire est membre de plusieurs groupes de distribution imbriqués. Les messages en double sont détectés et supprimés par la banque d'informations. |
| DUPLICATEEXPAND | Durant l'expansion du groupe de distribution, un destinataire en double a été détecté. |
| DUPLICATEREDIRECT | Un autre destinataire du message était déjà destinataire. |
| EXPAND | Un groupe de distribution a été développé. |
| FAIL | La remise du message a échoué. Les sources incluent SMTP, DNS, QUEUE et ROUTING. |
| HADISCARD | Un message de cliché instantané a été écarté après remise de la copie principale au saut suivant. Pour plus d’informations, consultez Redondance de l’ombre dans Exchange Server. |
| HARECEIVE | Le serveur a reçu un message de cliché instantané dans le groupe de disponibilité de base de données (DAG) ou le site Active Directory locaux. |
| HAREDIRECT | Un message de cliché instantané a été créé. |
| HAREDIRECTFAIL | La création d'un message de cliché instantané a échoué. Les détails figurent dans le champ source-context. |
| INITMESSAGECREATED | Un message a été envoyé à un destinataire modéré, donc le message a été envoyé à la boîte aux lettres d’arbitrage pour approbation. Pour plus d'informations, consultez la rubrique Gérer l'approbation des messages. |
| LOAD | Un message a été chargé avec succès au démarrage. |
| MODERATIONEXPIRE | Aucun modérateur d'un destinataire modéré n'ayant jamais approuvé ou rejeté le message, ce dernier a expiré. Pour plus d'informations sur les destinataires modérés, consultez la rubrique Gérer l'approbation des messages. |
| MODERATORAPPROVE | Un modérateur d'un destinataire modéré ayant approuvé le message, ce dernier a été remis au destinataire. |
| MODERATORREJECT | Un modérateur d'un destinataire modéré ayant rejeté le message, ce dernier n'a pas été remis au destinataire. |
| MODERATORSALLNDR | Toutes les demandes d’approbation envoyées à tous les modérateurs d’un destinataire modéré ne sont pas remises et entraînent des rapports de non-remise (également appelés NDR ou messages de rebond). |
| NOTIFYMAPI | Un message a été détecté dans la boîte d'envoi d'une boîte aux lettres sur le serveur local. |
| NOTIFYSHADOW | Un message a été détecté dans la boîte d'envoi d'une boîte aux lettres sur le serveur local, et un cliché instantané du message doit être créé. |
| POISONMESSAGE | Un message a été placé dans la file d'attente de messages incohérents ou supprimé de cette dernière. |
| PROCESS | Le traitement du message a réussi. |
| PROCESSMEETINGMESSAGE | Un message de réunion a été traité par le service de remise de transport de boîte aux lettres. |
| RECEIVE | Un message a été reçu par le composant de réception SMTP du service de transport ou à partir des répertoires Pickup ou Replay (source : SMTP), ou un message a été envoyé à partir d’une boîte aux lettres au service de soumission de transport de boîte aux lettres (source : STOREDRIVER). |
| REDIRECT | Un message a été redirigé vers un autre destinataire après une recherche Active Directory. |
| RESOLVE | Les destinataires d'un message ont été résolus dans une adresse de messagerie différente après une recherche Active Directory. |
| RESUBMIT | Un message a été resoumis automatiquement à partir du filet de sécurité. Pour plus d’informations, consultez Filet de sécurité dans Exchange Server. |
| RESUBMITDEFER | Un message resoumis à partir du filet de sécurité a été différé. |
| RESUBMITFAIL | La resoumission d'un message à partir du filet de sécurité a échoué. |
| SEND | Un message a été échangé par SMTP entre des services de transport. |
| SUBMIT | Le service de dépôt de transport de boîtes aux lettres a transmis le message au service de transport. Pour les événements SUBMIT, la propriété source-context contient les détails suivants :
|
| SUBMITDEFER | La transmission du message à partir du service de dépôt de transport de boîte aux lettres au service de transport a été différée. |
| SUBMITFAIL | La transmission du message à partir du service de dépôt de transport de boîte aux lettres au service de transport a échoué. |
| SUPPRESSED | La transmission du message a été supprimée. |
| THROTTLE | Le message a été limité. |
| TRANSFER | Les destinataires ont été déplacés dans un message transféré à cause de la conversion de contenu, des limites relatives aux destinataires du message ou aux agents. Les sources peuvent être ROUTING ou QUEUE. |
Valeurs de source dans le journal de suivi des messages
Les valeurs du champ source dans le journal de suivi des messages indiquent le composant de transport responsable de l'événement de suivi de message. Le tableau suivant décrit les valeurs du champ source.
| Valeur de source | Description |
|---|---|
| ADMIN | La source de l'événement était une intervention humaine. Par exemple, un administrateur a utilisé l'Afficheur des files d'attente pour supprimer un message, ou déposé des fichiers de messages à l'aide du répertoire de relecture. |
| AGENT | La source de l'événement était un agent de transport. |
| APPROVAL | La source de l'événement était la structure d'approbation utilisée avec les destinataires modérés. Pour plus d'informations, consultez la rubrique Gérer l'approbation des messages. |
| BOOTLOADER | La source de l'événement était l'existence de messages non traités sur le serveur au démarrage. Ceci est lié au type d'événement LOAD. |
| DNS | La source de l'événement était une DNS. |
| DSN | La source de l’événement était une notification d’état de remise (également appelée DSN, message de rebond, rapport de non-remise ou notification d’échec de remise). |
| GATEWAY | La source de l'événement était un connecteur étranger. Pour plus d’informations, consultez Connecteurs étrangers. |
| MAILBOXRULE | La source de l'événement était une règle de boîte de réception. Pour plus d'informations, consultez la rubrique Règles de la boîte de réception. |
| MEETINGMESSAGEPROCESSOR | La source de l'événement était le processeur de messages de réunion qui met à jour des calendriers en fonction des mises à jour de réunion. |
| ORAR | La source de l'événement était un destinataire suppléant demandé par l'expéditeur (ORAR). Vous pouvez activer ou désactiver la prise en charge d’ORAR sur les connecteurs receive à l’aide du paramètre OrarEnabled sur les applets de commande New-ReceiveConnector ou Set-ReceiveConnector . |
| PICKUP | La source de l'événement était le répertoire de collecte. Pour plus d’informations, consultez Répertoire de collecte et répertoire de relecture. |
| POISONMESSAGE | La source de l'événement était l'identificateur de message incohérent. Pour plus d’informations sur les messages incohérents et la file d’attente de messages incohérents, consultez Files d’attente et messages dans les files d’attente |
| PUBLICFOLDER | La source de l'événement était un dossier public à extension messagerie. |
| QUEUE | La source de l'événement était une file d'attente. |
| REDUNDANCY | La source de l'événement était une redondance de cliché instantané. Pour plus d’informations, consultez Redondance de l’ombre dans Exchange Server. |
| RÉSOLVEUR | La source de l’événement était le composant de résolution de destinataire du catégoriseur dans le service de transport. Pour plus d’informations, consultez Résolution du destinataire dans Exchange Server. |
| ROUTING | La source de l'événement était le composant de résolution de routage du catégoriseur dans le service de transport. |
| SAFETYNET | La source de l'événement était un filet de sécurité. Pour plus d’informations, consultez Filet de sécurité dans Exchange Server. |
| SMTP | Le message a été déposé par le composant d'envoi ou de réception SMTP du service de transport. |
| STOREDRIVER | La source de l'événement était un dépôt MAPI à partir d'une boîte aux lettres sur le serveur local. |
Exemples d'entrées du journal de suivi des messages
Un message sans événement échangé entre deux utilisateurs génère plusieurs entrées dans le journal de suivi des messages. Vous pouvez voir les résultats à l'aide de la cmdlet Get-MessageTrackingLog. Pour plus d'informations, consultez la rubrique Recherche des journaux de suivi des messages.
Il s’agit d’un exemple des entrées du journal de suivi des messages créées lorsque l’utilisateur chris@contoso.com envoie correctement un message de test à l’utilisateur michelle@contoso.com. Les deux utilisateurs ont des boîtes aux lettres sur le même serveur.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problèmes de sécurité pour le journal de suivi des messages
Aucun contenu de message n'est stocké dans le journal de suivi des messages. Par défaut, la ligne d'objet d'un message électronique est enregistrée dans le journal de suivi des messages. Vous devrez peut-être désactiver la journalisation des sujets pour vous conformer à des exigences de sécurité ou de confidentialité accrues. Pour obtenir des instructions sur la désactivation de la journalisation de l’objet, consultez Configurer le suivi des messages.