Comprendre le suivi des messages

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2015-03-09

Un journal de suivi de messages est un journal détaillé de toutes les activités de messages lorsque les messages sont transférés vers et depuis un ordinateur sur lequel est exécuté Microsoft Exchange Server 2010 et sur lequel le rôle serveur de transport Hub, serveur de boîtes aux lettres ou serveur de transport Edge est installé. Les serveurs Exchange sur lesquels le rôle serveur d’accès au client ou serveur de messagerie unifiée est installé n’ont pas de journal de suivi de messages. Les journaux de suivi des messages sont utiles pour les investigations sur les messages ainsi que l'analyse, les rapports et le dépannage du flux de messagerie.

La cmdlet Set-TransportServer peut être utilisée pour toutes les tâches de configuration du suivi des messages sur un serveur de transport Hub ou Edge. La cmdlet Set-MailboxServer peut être utilisée pour toutes les tâches de configuration du suivi des messages sur un serveur de boîtes aux lettres. Pour les serveurs sur lesquels le rôle serveur de transport Hub ou Edge est installé, vous pouvez utiliser la cmdlet Set-TransportServer ou Set-MailboxServer. Ces cmdlets permettent d'apporter à la configuration du suivi des messages les changements suivants :

  • Enable or disable message tracking : Par défaut, le suivi des messages est activé.

  • Specify the location of the message tracking log files

  • Specify a maximum size for the individual message tracking log files : La valeur par défaut est 10 Mo.

  • Specify a maximum size for the directory that contains the message tracking log files : La valeur par défaut est de 1 000 MB.

  • Specify maximum age for the message tracking log files : La valeur par défaut est 30 jours.

  • Enable or disable message subject logging in the message tracking logs L'enregistrement est activé par défaut.

RemarqueRemarque :
Vous pouvez également utiliser la console de gestion Exchange sur un serveur de transport Hub ou Edge pour activer ou désactiver le suivi des messages et pour spécifier l'emplacement des fichiers journaux de suivi de messages.

Exchange 2010 utilise un enregistrement circulaire des journaux pour limiter le nombre de journaux de suivi de messages sur la base de leur taille et de leur âge. Il aide à limiter l'espace disque utilisé par les fichiers journaux.

Structure des fichiers journaux de suivi des messages

Par défaut, les fichiers journaux de suivi de messages se trouvent sous C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking.

La convention d'appellation des fichiers journaux figurant dans le répertoire des journaux de suivi des messages dépend du rôle serveur installé. Sur un serveur de transport Hub ou un serveur de transport Edge, les fichiers journaux sont nommés MSGTRKaaaammjj-nnnn.log. Sur un serveur de boîtes aux lettres, les fichiers journaux sont nommés MSGTRKMaaaammdd-nnnn.log. En cas d'installation des rôles serveur de transport Hub et serveur de boîtes aux lettres sur le même serveur, des fichiers journaux distincts utilisant des préfixes de nom différents sont créés dans le répertoire des journaux de suivi des messages.

Les espaces réservés dans les noms de fichiers journaux correspondent aux informations suivantes :

  • L'espace réservé yyyymmdd est la date au format UTC (temps universel coordonné) à laquelle le fichier journal a été créé. yyyy = année, mm = mois et dd = jour.

  • L'espace réservé nnnn est un numéro d'instance qui commence à la valeur 1 quotidiennement pour chaque préfixe de nom de fichier journal de suivi des messages.

Les informations sont écrites dans chaque fichier journal jusqu’à ce que la taille du fichier atteigne la valeur maximale spécifiée pour chaque fichier journal. Puis, un nouveau fichier journal avec un numéro d’instance incrémenté est alors ouvert. Ce processus est répété au cours de la journée. La fonctionnalité d'enregistrement circulaire supprime les fichiers journaux les plus anciens lorsqu'une des conditions suivantes est remplie :

  • Un fichier journal a atteint l'âge maximal spécifié.

  • Le répertoire des journaux de suivi des messages a atteint la taille maximale spécifiée.

    ImportantImportant :
    La taille maximale du répertoire des journaux de suivi des messages est calculée comme la taille totale de tous les fichiers journaux dont le nom porte le même préfixe. Les fichiers ne répondant pas à cette convention de préfixe de sont pas comptabilisés dans le calcul de la taille totale du répertoire. La modification du nom d'anciens fichiers journaux ou la copie d'autres fichiers dans le répertoire des journaux de suivi des messages peut avoir pour effet que la taille du répertoire dépasse la taille maximale spécifiée. Lorsque le rôle serveur de transport Hub et le rôle serveur de boîtes aux lettres sont installés sur le même serveur, la taille maximale du répertoire des journaux de suivi des messages n'est pas la taille maximale spécifiée parce que les fichiers journaux de suivi des messages générés par les différents rôles serveur portent des préfixes différents. Lorsque les rôles serveur de transport Hub et serveur de boîtes aux lettres sont installés sur le même serveur, la taille maximale du répertoire des journaux de suivi des messages correspond au double de la valeur spécifiée.

Les fichiers journaux de suivi de messages sont des fichiers texte contenant des données au format CSV (valeurs séparées par des virgules). Chaque fichier journal de suivi des messages comporte un en-tête avec les informations suivantes :

  • #Software:   Nom du logiciel ayant créé le fichier journal de suivi des messages. La valeur par défaut est généralement Microsoft Exchange Server.

  • #Version:   Numéro de version du logiciel ayant créé le fichier journal de suivi des messages. La valeur actuelle est 14.0.0.0.

  • #Log-Type:   La valeur de ce champ est Journal de suivi des messages.

  • #Date:   Date-heure UTC de création du fichier journal. La date-heure UTC est représentée au format de date-heure ISO 8601 : yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel coordonné).

  • #Fields:   Noms de champ séparés par des virgules utilisés dans les fichiers journaux de suivi des messages. Les champs suivants sont affichés :

Informations consignées dans le journal de suivi de messages

Le journal de suivi des messages indique chaque événement de message sur une seule ligne dans le journal. Le tableau 1 présente les types d'événements utilisés pour classifier chaque événement de message.

Tableau 1   Types d'événements utilisés pour classifier chaque événement de message

Nom de l’événement Description

BADMAIL

Un message soumis par le répertoire de collecte ou de relecture ne peut pas être remis ou retourné.

DELIVER

Un message a été remis dans une boîte aux lettres.

DEFER

La remise du message a été retardée.

Notification d'état de remise

Une notification d’état de remise a été générée.

DUPLICATEDELIVER

Un message en double a été remis au destinataire. La duplication peut se produire si un destinataire est membre de deux groupes de distribution. Les messages en double sont détectés et supprimés par la banque d'informations.

EXPAND

Un groupe de distribution a été développé.

FAIL

La remise du message a échoué.

POISONMESSAGE

Un message est placé dans la file d’attente de messages incohérents ou supprimé de la file d’attente de messages incohérents.

RECEIVE

Un message a été reçu et validé dans la base de données. L'événement RECEIVE peut être une réception SMTP (Source : SMTP) ou un courrier envoyé par STOREDRIVER (Source : STOREDRIVER).

SMTP RECEIVE peut provenir de toute source qui envoie un message à l'aide de SMTP. Par exemple, il peut s'agir d'un rôle serveur de transport Hub ou Edge, d'un agent de transfert de message tiers ou d'un client POP/IMAP.

STOREDRIVER RECEIVE est consigné par le processus EdgeTransport.exe et est l'événement correspondant à un événement STOREDRIVER SUBMIT. STOREDRIVER SUBMIT est consigné par le processus de dépôt de courrier. Ces événements peuvent être localisés sur le même serveur si les deux rôles serveur sont installés localement, ou sur différents serveurs.

RemarqueRemarque :
EdgeTransport.exe et MSExchangeTransport.exe sont les fichiers exécutables utilisés par le service de transport Microsoft Exchange. Ce service s'exécute sur chaque serveur de transport Hub ou de transport Edge.

REDIRECT

Un message a été redirigé vers un autre destinataire après une recherche dans le service d’annuaire Active Directory.

RESOLVE

Les destinataires d’un message ont été résolus dans une autre adresse de messagerie après une recherche Active Directory.

SEND

Un message a été envoyé par le protocole SMTP (Simple Mail Transfer Protocol) à un autre serveur.

SUBMIT

Un événement SUBMIT est consigné par le service de dépôt de courrier sur un ordinateur Exchange 2007 exécutant le rôle serveur de boîte aux lettres. L'événement SUBMIT est consigné lorsque le service a correctement notifié un serveur de transport Hub qu'un message est en attente de dépôt dans la banque de boîtes aux lettres.

La propriété SourceContext fournit les éléments suivants : GUI de base de données des messages (MDB), GUID de boîte aux lettres, horodatage de création de la soumission client à la banque et type de client. Le type de client peut être Utilisateur (MAPI direct Outlook), RPCHTTP (Outlook Anywhere), Outlook Web Access, Services Web Exchange, Exchange ActiveSync, Assistants ou Transport. Les journaux de suivi des messages générés par le rôle serveur de boîtes aux lettres ne contiennent que des événements SUBMIT.

TRANSFER

Les destinataires ont été déplacés dans un message transféré à cause de la conversion de contenu, des limites relatives aux destinataires du message ou aux agents.

Les informations d’événements du message stockées sur chaque ligne sont organisées par champs. Ces champs sont séparés par des virgules. Le nom du champ est généralement suffisamment descriptif pour déterminer le type d’informations qu’il contient. Toutefois, certains des champs peuvent être vides ou le type d'informations stockées dans le champ peut changer en fonction du type d'événement de message, comme décrit dans le tableau 1. Les descriptions générales des champs utilisés pour classifier chaque événement de suivi des messages sont fournies dans le tableau 2.

Tableau 2   Champs utilisés pour classifier chaque événement de suivi de messages

Nom de champ Description

date-time

La date-heure UTC de l'événement de suivi des messages est représentée au format ISO 8601. La valeur est au format yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel coordonné).

client-ip

Adresse TCP/IP du serveur de messagerie ou du client de messagerie ayant envoyé le message.

client-hostname

Nom du serveur de messagerie ou du client de messagerie ayant envoyé le message.

server-ip

Adresse TCP/IP du serveur Exchange source ou de destination.

server-hostname

Nom du serveur de destination.

source-context

Informations supplémentaires associées au champ source.

connector-id

Nom du connecteur d’envoi ou de réception source ou de destination.

source

Composant de transport Exchange responsable de l’événement de suivi des messages. Les valeurs possibles pour ce champ sont les suivantes :

  • ADMIN pour la soumission du répertoire de relecture

  • AGENT

  • DSN

  • GATEWAY pour soumission du connecteur étranger

  • PICKUP

  • ROUTING

  • SMTP

  • STOREDRIVER pour envoi MAPI

event-id

Type de l’événement de message. Ces événements sont décrits de manière détaillée dans le tableau 1 situé plus tôt dans la présente rubrique. Les valeurs possibles sont BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT et TRANSFER.

internal-message-id

Identificateur de message affecté par le serveur Exchange 2010 qui traite actuellement le message.

La valeur internal-message-id d'un message spécifique diffère dans le journal de suivi de messages de chaque serveur Exchange 2010 impliqué dans la remise du message.

message-id

Valeur du champ Message-Id: trouvée dans les champs d’en-tête du message. Si le champ d'en-tête Message-Id: est vide ou n'existe pas, une valeur arbitraire est attribuée. Cette valeur est constante pendant toute la durée de vie du message.

recipient-address

Adresse de messagerie des destinataires du message. Les adresses de messagerie multiples sont séparées par le caractère point-virgule (;).

recipient-status

Ce champ est renseigné pour un événement SEND ou FAIL.

total-bytes

Taille du message qui inclut des pièces jointes, en octets.

recipient-count

Nombre de destinataires du message.

related-recipient-address

Ce champ est utilisé avec les événements EXPAND, REDIRECT et RESOLVE pour afficher d’autres adresses de messagerie de destinataires associées au message.

reference

Ce champ contient des informations supplémentaires pour des types d'événements spécifiques :

DSN   Le champ Reference contient la valeur Internet-Message-Id du message à l'origine de la notification d'état de remise.

SEND   Le champ Reference contient la valeur Internet-Message-Id de tout message de notification d'état de remise.

TRANSFER   Le champ Reference contient la valeur Internal-Message-Id du message en cours de transfert.

Pour tous les autres types d'événements, le champ Reference est vide.

message-subject

Objet du message trouvé dans le champ d’en-tête Subject:. Le suivi des objets de message est contrôlé par le paramètre MessageTrackingLogSubjectLoggingEnabled de la cmdlet Set-TransportServer pour les serveurs de transport Hub ou de transport Edge, ou de la cmdlet Set-MailboxServer pour les serveurs de boîtes aux lettres. Par défaut, le suivi de l'objet des messages est activé. L’enregistrement de l'objet des messages peut être désactivé en définissant la valeur du paramètre MessageTrackingLogSubjectLoggingEnabled sur $false.

sender-address

Adresse de messagerie spécifiée dans le champ d’en-tête Sender: ou From: si Sender: n’est pas présent.

return-path

Adresse de messagerie de retour spécifiée par MAIL FROM: dans l’enveloppe de message. Bien que ce champ ne soit jamais vide, il peut contenir une valeur d’adresse d'expéditeur nulle, représentée par <>.

message-info

Ce champ contient la date et l’heure d’origine du message pour les événements DELIVER et SEND. La date et l’heure d’origine est le moment auquel le message est entré dans l'organisation Exchange. La valeur est au format yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm = mois, dd = jour, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel coordonné).

La cmdlet Get-MessageTrackingLog de l’environnement de ligne de commande Exchange Management Shell ou l’outil de suivi des messages de la console de gestion Exchange permet de rechercher des messages à l'aide de critères de message spécifiques.

Problèmes de sécurité pour le journal de suivi des messages

Aucun contenu de message n’est stocké dans le journal de suivi des messages. Par défaut, la ligne d'objet d'un message électronique est stockée dans le journal de suivi des messages. Vous pouvez désactiver l'enregistrement de l'objet des messages pour vous conformer à des exigences de confidentialité et de sécurité renforcées. Avant d'activer ou de désactiver l'enregistrement de l'objet des messages, vérifiez la stratégie appliquée par votre organisation en matière de divulgation des informations de la ligne d'objet.

Pour plus d'informations

Pour plus d'informations, consultez les rubriques suivantes :

Configurer le suivi des messages

Rechercher des journaux de suivi des messages

 © 2010 Microsoft Corporation. Tous droits réservés.