Suivi des messages dans Exchange
S’applique à : Exchange Server 2013
Dans Microsoft Exchange Server 2013, le journal de suivi des messages est un enregistrement détaillé de toute l'activité de messagerie, regroupant les messages échangés avec le service de transport sur les serveurs de boîtes aux lettres, les boîtes aux lettres sur les serveurs de boîtes aux lettres et les serveurs de transport Edge. Les journaux de suivi des messages sont utiles pour les investigations sur les messages ainsi que pour l'analyse, les rapports et le dépannage du flux de messagerie.
Dans Exchange 2013, vous pouvez utiliser la cmdlet Set-TransportService ou Set-MailboxServer pour toutes les tâches de configuration du suivi des messages, car le serveur de boîtes aux lettres Exchange 2013 contient le service de transport et les boîtes aux lettres. Chacune de ces cmdlets permet d'apporter à la configuration du suivi des messages les changements suivants :
- Activer ou désactiver le suivi des messages. Par défaut, le suivi des messages est activé.
- Spécifier l'emplacement des journaux de suivi des messages.
- Spécifier une taille maximale pour les fichiers journaux de suivi des messages. La valeur par défaut est 10 Mo.
- Spécifier la taille maximale du répertoire contenant les fichiers journaux de suivi des messages : La valeur par défaut est de 1 000 MB.
- Spécifier l'âge maximal des journaux de suivi des messages : La valeur par défaut est 30 jours.
- Activer ou désactiver l'enregistrement de l'objet des messages dans les journaux de suivi des messages. Par défaut, cette option est activée.
Remarque
Vous pouvez également utiliser le Centre d'administration Exchange (CAE) pour activer ou désactiver le suivi des messages, et spécifier l'emplacement des fichiers journaux de suivi des messages.
Par défaut, Exchange utilise un enregistrement circulaire pour limiter le nombre de journaux de suivi des messages en fonction de la taille et de l'âge des fichiers, afin de contrôler l'espace disque occupé par les fichiers journaux de suivi des messages.
Recherche dans le journal de suivi des messages
Les journaux de suivi des messages contiennent d'importantes quantités de données résultant du passage des messages par un serveur de boîtes aux lettres Exchange 2013. Pour effectuer des recherches dans les journaux de suivi des messages, plusieurs options sont possibles.
Get-MessageTrackingLog : les administrateurs peuvent utiliser cette applet de commande pour rechercher dans le journal de suivi des messages des informations sur les messages à l’aide d’un large éventail de critères de filtre. Pour plus d'informations, consultez la rubrique Recherche des journaux de suivi des messages.
Rapports de remise pour les administrateurs : les administrateurs peuvent utiliser l’onglet Rapports de remise dans le Centre d’administration Exchange (EAC) ou les applets de commande Search-MessageTrackingReport et Get-MesageTrackingReport sous-jacentes pour rechercher dans les journaux de suivi des messages des informations sur les messages envoyés ou reçus par une boîte aux lettres spécifique de l’organisation. Pour plus d'informations, consultez la rubrique Rapports de remise pour les administrateurs.
Structure des fichiers journaux de suivi des messages
Par défaut, les fichiers journaux de suivi des messages se trouvent dans %ExchangeInstallPath%TransportRoles\Logs\MessageTracking.
La convention d’affectation de noms pour les fichiers journaux dans le répertoire des journaux de suivi des messages est MSGTRKyyyymmdd-nnnn.log, MSGTRKMAyyyymmdd-nnnn.log, MSGTRKMDyyyymmdd-nnnn.loget MSGTRKMSyyyymmdd-nnnn.log. Les différents journaux sont utilisés par les services suivants :
- MSGTRK : ces journaux sont associés au service de transport.
- MSGTRKMA : ces journaux sont associés aux approbations et aux rejet utilisés par le transport modéré. Pour plus d'informations, consultez la rubrique Gérer l'approbation des messages.
- MSGTRKMD : ces journaux sont associés aux messages remis aux boîtes aux lettres par le service de remise de transport de boîtes aux lettres.
- MSGTRKMS : ces journaux sont associés aux messages envoyés à partir de boîtes aux lettres par le service d’envoi de transport de boîtes aux lettres.
Les espaces réservés dans les noms de fichiers journaux correspondent aux informations suivantes :
- L’espace réservé yyyymmdd est la date utc (temps universel coordonné) à laquelle le fichier journal a été créé. aaaa = année, mm = mois et jj = jour.
- L’espace réservé nnnn est un numéro d’instance qui commence à la valeur 1 par jour pour chaque préfixe de nom de fichier journal de suivi des messages.
Les informations sont écrites dans chaque fichier journal jusqu'à ce que la taille du fichier atteigne la valeur maximale spécifiée pour chaque fichier journal. Puis, un nouveau fichier journal avec un numéro d'instance incrémenté est alors ouvert. Ce processus est répété au cours de la journée. La fonctionnalité de rotation du fichier journal supprime les fichiers journaux les plus anciens quand l'une des conditions suivantes est vraie :
Un fichier journal a atteint l'âge maximal spécifié.
Le répertoire des journaux de suivi des messages a atteint la taille maximale spécifiée.
Importante
La taille maximale du répertoire des journaux de suivi des messages est calculée comme la taille totale de tous les fichiers journaux dont le nom porte le même préfixe. Les fichiers ne répondant pas à cette convention de préfixe de sont pas comptabilisés dans le calcul de la taille totale du répertoire. La modification du nom d'anciens fichiers journaux ou la copie d'autres fichiers dans le répertoire des journaux de suivi des messages peut avoir pour effet que la taille du répertoire dépasse la taille maximale spécifiée.
Sur les serveurs de boîtes aux lettres Exchange 2013, la taille maximale du répertoire du journal de suivi des messages est trois fois supérieure à la valeur spécifiée. Si les fichiers journaux de suivi des messages générés par les quatre différents services portent des préfixes de nom différents, la quantité de données et la fréquence d'écriture de ces dernières dans les fichiers journaux MSGTRKMA sont négligeables en comparaison des fichiers journaux portant les trois autres préfixes.
Les fichiers journaux de suivi des messages sont des fichiers texte contenant des données au format CSV (valeurs séparées par des virgules). Chaque fichier journal de suivi des messages comporte un en-tête avec les informations suivantes :
#Software : nom du logiciel qui a créé le fichier journal de suivi des messages. Généralement, la valeur est Microsoft Exchange Server.
#Version : numéro de version du logiciel qui a créé le fichier journal de suivi des messages. Actuellement, la valeur actuelle est 15.0.0.0.
#Log-Type : valeur du type de journal, qui est Journal de suivi des messages.
#Date : date-heure UTC à laquelle le fichier journal a été créé. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-jjThh:mm:ss.fffZ, où aaaa = année, mm = mois et jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC.
#Fields : noms de champs délimités par des virgules utilisés dans les fichiers journaux de suivi des messages.
Champs des fichiers journaux de suivi des messages
Le journal de suivi des messages indique chaque événement de message sur une seule ligne dans le journal. Les informations d'événement de message sont organisées par champs, ces derniers étant séparés par des virgules. Le nom du champ est généralement suffisamment descriptif pour déterminer le type d'informations qu'il contient. Toutefois, certains champs peuvent être vides, ou les types d'informations qu'ils contiennent peuvent varier en fonction du type d'événement de message et du type de fichier journal de suivi des messages dans lequel l'événement a été enregistré. Le tableau suivant présente des descriptions générales des champs utilisés pour classifier chaque événement de suivi de message.
| Nom de champ | Description |
|---|---|
| date-time | Date et heure UTC de l'événement de suivi de message. La date-heure UTC est représentée au format date-heure ISO 8601 : aaaa-mm-ddThh:mm:ss.fffZ, où aaaa = année, mm = mois, jj = jour, T indique le début du composant heure, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z signifie Zulu, ce qui est une autre façon de désigner UTC. |
| client-ip | Adresse IPv4 ou IPv6 du serveur de messagerie ou du client de messagerie ayant déposé le message. |
| client-hostname | Nom d'hôte ou nom de domaine complet (FQDN) du serveur de messagerie ou du client de messagerie ayant déposé le message. |
| server-ip | Adresse IPv4 ou IPv6 du serveur Exchange source ou de destination. |
| server-hostname | Nom d'hôte ou nom de domaine complet (FQDN) du serveur de destination. |
| source-context | Informations supplémentaires associées au champ source. Par exemple, informations sur l'agent de transport. |
| connector-id | Nom du connecteur d'envoi ou de réception source ou de destination. Par exemple, ServerName\ConnectorName ou ConnectorName. |
| source | Composant de transport Exchange responsable de l'événement de suivi de message. Les valeurs pouvant figurer dans ce champ sont décrites dans la section Valeurs de source dans le journal de suivi des messages, plus loin dans cette rubrique. |
| event-id | Type de l'événement de message. Les types d'événements sont décrits dans la section Types d'événements dans le journal de suivi des messages, plus loin dans cette rubrique. |
| internal-message-id | Identificateur de message attribué par le serveur Exchange traitant actuellement le message. La valeur internal-message-id d'un message spécifique diffère dans le journal de suivi des messages de chaque serveur Exchange impliqué dans la transmission du message. Un exemple de valeur est 73014444033. |
| message-id | Valeur du champ d'en-tête Message-Id: figurant dans l'en-tête du message. Si le champ d'en-tête Message-Id: est vide ou inexistant, une valeur arbitraire est attribuée. Cette valeur est constante pendant toute la durée de vie du message. Pour les messages créés dans Exchange, la valeur est au format <GUID@ServerFQDN>, y compris les crochets angulaires (< >). Par exemple : <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. D'autres systèmes de messagerie peuvent utiliser une syntaxe et des valeurs différentes. |
| network-message-id | Valeur unique d'ID de message qui persiste dans les copies du message éventuellement créées suite à une bifurcation ou à une expansion du groupe de distribution. Un exemple de valeur est 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Adresse de messagerie des destinataires du message. Les adresses de messagerie multiples sont séparées par des points-virgules (;). |
| recipient-status | Ce champ contient l'état de destinataire de tous les destinataires séparés par des points-virgules (;). Les valeurs d'état des destinataires sont présentées dans le même ordre que les valeurs du champ recipient-address. Les exemples de valeurs d’état incluent 250 2.1.5 Recipient OK ou 550 4.4.7 QUEUE.Expired;<ErrorText>. |
| total-bytes | Taille du message qui inclut des pièces jointes, en octets. |
| recipient-count | Nombre de destinataires du message. |
| related-recipient-address | Ce champ est utilisé avec des événements EXPAND, REDIRECT et RESOLVE pour afficher d'autres adresses de messagerie de destinataires associées au message. |
| reference | Ce champ contient des informations supplémentaires pour des types d'événements spécifiques. Par exemple : DSN : contient le lien de rapport, qui est la valeur Id de message de la notification d’état de remise (DSN) associée si un DSN est généré après cet événement. S'il s'agit d'un message DSN, le champ Reference contient la valeur Message-Id du message d'origine pour lequel cette DSN a été générée. EXPAND : le champ Référence contient la valeur related-recipient-address des messages associés. RECEIVE : le champ Référence peut contenir la valeur Id de message du message associé si le message a été généré par d’autres processus, par exemple la journalisation ou les règles de boîte de réception. SEND : le champ Référence contient la valeur Internal-Message-Id de tous les messages DSN. THROTTLE : le champ Référence contient la raison pour laquelle le message a été limité. TRANSFER : le champ Référence contient l’ID de message interne du message qui est dupliqué. Pour les messages générés par des règles de boîte de réception, le champ Référence contient la valeur Internal-Message-Id du message entrant suite auquel la règle de boîte de réception a généré le message sortant. Pour les autres types d'événements, le champ Référence peut contenir la valeur Internal-Message-Id pour des messages ayant fait l'objet d'une bifurcation. Pour tous les autres types d'événements, le champ Référence est généralement vide. |
| message-subject | Objet du message trouvé dans le champ d’en-tête Subject: . Le suivi des sujets des messages est contrôlé par le paramètre MessageTrackingLogSubjectLoggingEnabled dans les applets de commande Set-TransportService ou Set-MailboxServer . Par défaut, le suivi de l'objet des messages est activé. |
| sender-address | Adresse e-mail spécifiée dans le champ d’en-tête Sender: , ou champ d’en-tête From: si Sender: n’est pas présent. |
| return-path | Adresse e-mail de retour spécifiée par MAIL FROM: dans l’enveloppe du message. Bien que ce champ ne soit jamais vide, la valeur d’adresse de l’expéditeur null peut être représentée sous la forme <>. |
| message-info | Informations supplémentaires sur le message. Par exemple :
|
| directionality | Direction du message. Les exemples de valeurs incluent Incoming, Undefinedet Originating. |
| tenant-id | Ce champ n'est pas utilisé dans les organisations Exchange 2013 locales. |
| original-client-ip | Adresse IPv4 ou IPv6 du client d'origine. |
| original-server-ip | Adresse IPv4 ou IPv6 du serveur d'origine. |
| custom-data | Ce champ contient des données relatives à des types d'événements spécifiques. Par exemple, l'agent de règle de transport utilise ce champ pour enregistrer le GUID de la règle de transport la stratégie DLP appliquée au message. Pour plus d’informations sur ces valeurs d’agent de règle de transport, consultez la section « Journalisation des données » dans la rubrique Afficher les rapports de détection de stratégie DLP . |
Types d'événements dans le journal de suivi des messages
Dans le champ event-id, divers types d'événements sont utilisés pour classifier les événements de messages dans le journal de suivi des messages. Certains événements de messages apparaissent dans un seul type de fichier journal de suivi des messages, et d'autres dans tous les types de journaux de suivi des messages. Le tableau suivant présente les types d'événements utilisés pour classifier chaque événement de message.
| Nom de l'événement | Description |
|---|---|
| AGENTINFO | Cet événement est utilisé par les agents transport pour journaliser des données personnalisées. |
| BADMAIL | Un message soumis par le répertoire de collecte ou de relecture ne peut pas être remis ou retourné. |
| DEFER | La remise du message a été retardée. |
| DELIVER | Un message a été remis à une boîte aux lettres locale. |
| DROP | Un message a été supprimé sans notification d'état de remise (également appelée notification de non-remise ou notification d'échec de remise). Par exemple :
|
| DSN | Une notification d'état de remise a été générée. |
| DUPLICATEDELIVER | Un message en double a été remis au destinataire. Une duplication peut se produire si un destinataire est membre de plusieurs groupes de distribution imbriqués. Les messages en double sont détectés et supprimés par la banque d'informations. |
| DUPLICATEEXPAND | Durant l'expansion du groupe de distribution, un destinataire en double a été détecté. |
| DUPLICATEREDIRECT | Un autre destinataire du message était déjà destinataire. |
| EXPAND | Un groupe de distribution a été développé. |
| FAIL | La remise du message a échoué. Les sources incluent SMTP, DNS, QUEUE et ROUTING. |
| HADISCARD | Un message de cliché instantané a été écarté après remise de la copie principale au saut suivant. Pour plus d'informations, consultez la rubrique Redondance des clichés instantanés. |
| HARECEIVE | Le serveur a reçu un message de cliché instantané dans le groupe de disponibilité de base de données (DAG) ou le site Active Directory locaux. |
| HAREDIRECT | Un message de cliché instantané a été créé. |
| HAREDIRECTFAIL | La création d'un message de cliché instantané a échoué. Les détails figurent dans le champ source-context. |
| INITMESSAGECREATED | Un message a été envoyé à un destinataire modéré, donc le message a été envoyé à la boîte aux lettres d’arbitrage pour approbation. Pour plus d'informations, consultez la rubrique Gérer l'approbation des messages. |
| LOAD | Un message a été chargé avec succès au démarrage. |
| MODERATIONEXPIRE | Aucun modérateur d'un destinataire modéré n'ayant jamais approuvé ou rejeté le message, ce dernier a expiré. Pour plus d'informations sur les destinataires modérés, consultez la rubrique Gérer l'approbation des messages. |
| MODERATORAPPROVE | Un modérateur d'un destinataire modéré ayant approuvé le message, ce dernier a été remis au destinataire. |
| MODERATORREJECT | Un modérateur d'un destinataire modéré ayant rejeté le message, ce dernier n'a pas été remis au destinataire. |
| MODERATORSALLNDR | Aucune des demandes d'approbation envoyées à tous les modérateurs d'un destinataire modéré n'ayant pu être remise, des notifications d'échec de remise (NDR) ont été générées. |
| NOTIFYMAPI | Un message a été détecté dans la boîte d'envoi d'une boîte aux lettres sur le serveur local. |
| NOTIFYSHADOW | Un message a été détecté dans la boîte d'envoi d'une boîte aux lettres sur le serveur local, et un cliché instantané du message doit être créé. |
| POISONMESSAGE | Un message a été placé dans la file d'attente de messages incohérents ou supprimé de cette dernière. |
| PROCESS | Le traitement du message a réussi. |
| PROCESSMEETINGMESSAGE | Un message de réunion a été traité par le service de remise de transport de boîte aux lettres. |
| RECEIVE | Un message a été reçu par le composant de réception SMTP du service de transport ou à partir des répertoires Pickup ou Replay (source : SMTP), ou un message a été envoyé à partir d’une boîte aux lettres au service de soumission de transport de boîte aux lettres (source : STOREDRIVER). |
| REDIRECT | Un message a été redirigé vers un autre destinataire après une recherche Active Directory. |
| RESOLVE | Les destinataires d'un message ont été résolus dans une adresse de messagerie différente après une recherche Active Directory. |
| RESUBMIT | Un message a été resoumis automatiquement à partir du filet de sécurité. Pour plus d'informations, consultez la rubrique Safety Net. |
| RESUBMITDEFER | Un message resoumis à partir du filet de sécurité a été différé. |
| RESUBMITFAIL | La resoumission d'un message à partir du filet de sécurité a échoué. |
| SEND | Un message a été échangé par SMTP entre des services de transport. |
| SUBMIT | Le service de dépôt de transport de boîtes aux lettres a transmis le message au service de transport. Pour les événements SUBMIT, la propriété source-context contient les détails suivants :
|
| SUBMITDEFER | La transmission du message à partir du service de dépôt de transport de boîte aux lettres au service de transport a été différée. |
| SUBMITFAIL | La transmission du message à partir du service de dépôt de transport de boîte aux lettres au service de transport a échoué. |
| SUPPRESSED | La transmission du message a été supprimée. |
| THROTTLE | Le message a été limité. |
| TRANSFER | Les destinataires ont été déplacés dans un message transféré à cause de la conversion de contenu, des limites relatives aux destinataires du message ou aux agents. Les sources peuvent être ROUTING ou QUEUE. |
Valeurs de source dans le journal de suivi des messages
Les valeurs du champ source dans le journal de suivi des messages indiquent le composant de transport responsable de l'événement de suivi de message. Le tableau suivant décrit les valeurs du champ source.
| Valeur de source | Description |
|---|---|
| ADMIN | La source de l'événement était une intervention humaine. Par exemple, un administrateur a utilisé l'Afficheur des files d'attente pour supprimer un message, ou déposé des fichiers de messages à l'aide du répertoire de relecture. |
| AGENT | La source de l'événement était un agent de transport. |
| APPROVAL | La source de l'événement était la structure d'approbation utilisée avec les destinataires modérés. Pour plus d'informations, consultez la rubrique Gérer l'approbation des messages. |
| BOOTLOADER | La source de l'événement était l'existence de messages non traités sur le serveur au démarrage. Ceci est lié au type d'événement LOAD. |
| DNS | La source de l'événement était une DNS. |
| DSN | La source de l'événement était une notification d'état de remise (DSN). Par exemple, un rapport de non-remise (NDR). |
| GATEWAY | La source de l'événement était un connecteur étranger. Pour plus d'informations, consultez la rubrique Connecteurs étrangers. |
| MAILBOXRULE | La source de l'événement était une règle de boîte de réception. Pour plus d'informations, consultez la rubrique Règles de la boîte de réception. |
| MEETINGMESSAGEPROCESSOR | La source de l'événement était le processeur de messages de réunion qui met à jour des calendriers en fonction des mises à jour de réunion. |
| ORAR | La source de l'événement était un destinataire suppléant demandé par l'expéditeur (ORAR). Vous pouvez activer ou désactiver la prise en charge d’ORAR sur les connecteurs receive à l’aide du paramètre OrarEnabled sur les applets de commande New-ReceiveConnector ou Set-ReceiveConnector . |
| PICKUP | La source de l'événement était le répertoire de collecte. Pour plus d'informations, consultez la rubrique Répertoire de collecte et répertoire de relecture. |
| POISONMESSAGE | La source de l'événement était l'identificateur de message incohérent. Pour plus d'informations sur les messages incohérents et la file d'attente de messages incohérents, consultez la rubrique Files d'attente |
| PUBLICFOLDER | La source de l'événement était un dossier public à extension messagerie. |
| QUEUE | La source de l'événement était une file d'attente. |
| REDUNDANCY | La source de l'événement était une redondance de cliché instantané. Pour plus d'informations, consultez la rubrique Redondance des clichés instantanés. |
| ROUTING | La source de l'événement était le composant de résolution de routage du catégoriseur dans le service de transport. |
| SAFETYNET | La source de l'événement était un filet de sécurité. Pour plus d'informations, consultez la rubrique Safety Net. |
| SMTP | Le message a été déposé par le composant d'envoi ou de réception SMTP du service de transport. |
| STOREDRIVER | La source de l'événement était un dépôt MAPI à partir d'une boîte aux lettres sur le serveur local. |
Exemples d'entrées du journal de suivi des messages
Un message sans événement échangé entre deux utilisateurs génère plusieurs entrées dans le journal de suivi des messages. Vous pouvez voir les résultats à l'aide de la cmdlet Get-MessageTrackingLog. Pour plus d'informations, consultez la rubrique Recherche des journaux de suivi des messages.
Il s’agit d’un exemple condensé des entrées du journal de suivi des messages créées lorsque l’utilisateur chris@contoso.com envoie un message de test à l’utilisateur michelle@contoso.com. Les deux utilisateurs ont des boîtes aux lettres sur le même serveur.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problèmes de sécurité pour le journal de suivi des messages
Aucun contenu de message n'est stocké dans le journal de suivi des messages. Par défaut, la ligne d'objet d'un message électronique est enregistrée dans le journal de suivi des messages. Vous pouvez désactiver l'enregistrement de l'objet des messages pour vous conformer à des exigences de confidentialité et de sécurité renforcées. Avant d'activer ou de désactiver l'enregistrement de l'objet des messages, vérifiez la stratégie appliquée par votre organisation en matière de divulgation des informations de la ligne d'objet. Pour plus d'informations, consultez la rubrique Configuration du suivi des messages.