Rechercher des journaux de suivi des messages

Article
05/13/2016

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2015-03-09

Cette rubrique décrit comment effectuer des recherches dans les journaux de suivi des messages à l’aide de la console de gestion Exchange ou de l’environnement de ligne de commande Exchange Management Shell.

Un journal de suivi des messages est un journal détaillé de l’ensemble des activités réalisées lorsque vous transférez des messages vers ou à partir d’un ordinateur Microsoft Exchange Server 2010 sur lequel le rôle serveur de transport Hub, le rôle serveur de boîtes aux lettres ou le rôle serveur de transport Edge est installé. Les serveurs Exchange sur lesquels le rôle serveur d’accès au client ou le rôle serveur de messagerie unifiée est installé ne disposent pas de journaux de suivi des messages. Les journaux de suivi des messages sont utiles pour les travaux d’investigation des messages et les opérations d’analyse de flux de messages, de rapport et de dépannage que vous réalisez.

Vous pouvez utiliser la cmdlet Get-MessageTrackingLog depuis l’Environnement de ligne de commande Exchange Management Shell et l’outil de suivi des messages disponible dans la boîte à outils de la console de gestion Exchange pour rechercher des entrées dans les journaux de suivi des messages à l’aide de critères de recherche spécifiques.

Avant de commencer

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Suivi des messages » dans la rubrique Autorisations de transport.

Pour plus d’informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2010, voir Présentation des autorisations.

Lorsque vous effectuez une recherche dans le journal de suivi des messages sur un serveur de transport Hub ou un serveur de boîtes aux lettres, vous ne pouvez pas accéder aux journaux de suivi des messages sur un serveur de transport Edge. Si vous voulez effectuer une recherche dans les journaux de suivi des messages sur un serveur de transport Edge, vous devez exécuter la cmdlet Get-MessageTrackingLog ou l’outil de suivi des messages directement depuis le serveur de transport Edge.

Une recherche dans les journaux de suivi des messages dépend du service de recherche des journaux de transport Microsoft Exchange. Si vous désactivez ou arrêtez ce service, aucune recherche dans les fichiers journaux de suivi des messages n’est possible. En revanche, l’arrêt de ce service n’a aucune incidence sur les autres fonctionnalités de Microsoft Exchange.

Important :
Vous ne pouvez pas copier les fichiers journaux de suivi des messages à partir d’un serveur doté de Microsoft Exchange, puis les rechercher au moyen de la cmdlet Get-MessageTrackingLog ou de l’outil de suivi des messages. De même, si vous enregistrez un journal de suivi des messages existant, toute modification des informations d’horodatage du fichier journal de suivi des messages brise la logique de requête qu’utilise Exchange pour effectuer des recherches dans les journaux de suivi des messages.

Vous ne pouvez pas copier les fichiers journaux de suivi des messages à partir d’un serveur doté de Microsoft Exchange, puis les rechercher au moyen de la cmdlet Get-MessageTrackingLog ou de l’outil de suivi des messages. De même, si vous enregistrez un journal de suivi des messages existant, toute modification des informations d’horodatage du fichier journal de suivi des messages brise la logique de requête qu’utilise Exchange pour effectuer des recherches dans les journaux de suivi des messages.

Critères des recherches dans le journal de suivi des messages

Bien que de nombreux champs de données soient disponibles pour chaque entrée de suivi des messages, tous les champs ne peuvent servir de filtre de recherche. Qui plus est, l’Environnement de ligne de commande Exchange Management Shell offre une plus grande souplesse de recherche grâce aux nombreux filtres de recherche disponibles avec la cmdlet Get-MessageTrackingLog.

Filtres de recherche couramment employés avec la cmdlet Get-MessageTrackingLog

Les filtres de recherche décrits dans la liste ci-dessous peuvent être utilisés avec la cmdlet Get-MessageTrackingLog dans l’Environnement de ligne de commande Exchange Management Shell :

Remarque :
L’utilisation d’un filtre de recherche contenant une valeur partielle ou plusieurs valeurs n’est pas prise en charge, sauf indication contraire.

Destinataires Ce filtre de recherche utilise le champ d’adresse du destinataire. Vous devez entrer l’adresse de messagerie complète du destinataire. Vous pouvez spécifier plusieurs valeurs de destinataire en utilisant des virgules comme délimiteurs. Plusieurs destinataires individuels inclus dans un message unique sont journalisés à l’aide d’une entrée unique dans le journal de suivi des messages. Les destinataires de groupe de distribution non étendu sont consignés en utilisant l’adresse de messagerie SMTP du groupe de distribution.
Sender Ce filtre de recherche utilise le champ Expéditeur. Vous devez entrer l’adresse de messagerie complète de l’expéditeur. Le champ Expéditeur contient l’adresse de messagerie de l’expéditeur spécifiée dans le champ d’en-tête Sender: ou dans le champ d’en-tête From: si Sender: est absent.
Serveur Ce filtre de recherche spécifie le serveur Exchange contenant les journaux de suivi des messages dans lesquels rechercher. Vous pouvez décrire le serveur à l’aide de l’une des valeurs suivantes :
- Nom
- nom de domaine complet (FQDN)
- Nom unique
- DN Exchange hérité
- GUID
EventID Ce filtre de recherche utilise le champ event-id. Dans l’outil de suivi des messages, sélectionnez la valeur d’EventID dans une liste déroulante. Dans la cmdlet Get-MessageTrackingLog, entrez la valeur d’EventID sous forme de texte. Toutefois, la valeur doit correspondre exactement à l’une des valeurs d’EventID possibles. EventID est la classification d’événement affecté à chaque entrée de journal de suivi des messages. Les valeurs disponibles sont les suivantes :
- BADMAIL
- DEFER
- DELIVER
- DSN
- EXPAND
- FAIL
- POISONMESSAGE
- RECEIVE
- REDIRECT
- RESOLVE
- SEND
- SUBMIT
- TRANSFER
MessageID Ce filtre de recherche utilise le champ message-id. MessageID est la valeur du champ d’en-tête Message-ID:. Si le champ d’en-tête Message-ID: est vide ou n’existe pas, une valeur arbitraire est attribuée. Cette valeur est constante pendant toute la durée de vie du message.
InternalMessageID Ce filtre de recherche utilise le champ internal-message-id. InternalMessageID est un nombre entier identifiant de message attribué par le serveur Exchange traitant actuellement le message.
Objet Le paramètre dans la cmdlet Get-MessageTrackingLog est nommé MessageSubject. Ce filtre de recherche utilise le champ message-subject. Les valeurs partielles sont prises en charge : Il s’agit de l’objet du message spécifié dans le champ d’en-tête Subject:. Le suivi des objets des messages est contrôlé par le paramètre MessageTrackingLogSubjectLoggingEnabled dans la cmdlet Set-TransportServer sur les serveurs de transport Hub et de transport Edge, et par la cmdlet Set-MailboxServer sur les serveurs de boîtes aux lettres. Par défaut, l’enregistrement de l’objet des messages est activé. Vous pouvez désactiver l’enregistrement des objets des messages en définissant la valeur du paramètre MessageTrackingLogSubjectLoggingEnabled sur $False.
Référence Ce filtre de recherche utilise le champ de référence. Ce champ contient des informations supplémentaires pour des types d’événements spécifiques. Pour un événement de notification d’état de remise, le champ de référence contient le MessageID: du message à l’origine de la notification d’état de remise. Pour un événement SEND, le champ de référence contient le MessageID: de tout message de notification d’état de remise. Pour un événement TRANSFER, le champ de référence contient le MessageID: du message transféré.
Start Ce filtre de recherche utilise le champ date-time pour rechercher des entrées de suivi des messages qui commencent par la date et l’heure End spécifiées. Vous pouvez utiliser ce filtre de façon autonome pour extraire toutes les entrées de journal de suivi des messages antérieures aux date et heure spécifiées ou comme limite inférieure avec le paramètre End.
End Ce filtre de recherche utilise le champ date-time pour rechercher des entrées de suivi des messages qui s’étendent jusqu’aux date et l’heure End spécifiées (non incluses). Vous pouvez utiliser ce filtre de façon autonome pour extraire toutes les entrées de journal de suivi des messages antérieures aux date et heure spécifiées ou comme limite supérieure avec le paramètre Start.

Remarque :
Le champ date-heure du journal de suivi des messages stocke des informations au format de temps universel coordonné (UTC). Toutefois, vous devez entrer vos critères de recherche date-time dans le format de date-heure régional de l’ordinateur que vous utilisez pour effectuer la recherche. Les outils de recherche du journal de suivi des messages convertissent automatiquement la requête date-heure régionale au format UTC. Les résultats de la recherche sont automatiquement reconvertis du format UTC au format de data-heure régional pour affichage. Le champ date-time enregistre la date et l’heure d’un événement de suivi des messages particulier. La date et l’heure d’origine du message sont la date et l’heure auxquelles le message entre pour la première fois dans l’organisation Exchange. La date et l’heure d’origine du message sont stockées dans le champ message-info pour tous les événements SEND et DELIVER.

Le champ date-heure du journal de suivi des messages stocke des informations au format de temps universel coordonné (UTC). Toutefois, vous devez entrer vos critères de recherche date-time dans le format de date-heure régional de l’ordinateur que vous utilisez pour effectuer la recherche. Les outils de recherche du journal de suivi des messages convertissent automatiquement la requête date-heure régionale au format UTC. Les résultats de la recherche sont automatiquement reconvertis du format UTC au format de data-heure régional pour affichage. Le champ date-time enregistre la date et l’heure d’un événement de suivi des messages particulier. La date et l’heure d’origine du message sont la date et l’heure auxquelles le message entre pour la première fois dans l’organisation Exchange. La date et l’heure d’origine du message sont stockées dans le champ message-info pour tous les événements SEND et DELIVER.

Filtres de recherche différents dans la console de gestion Exchange et l’environnement de ligne de commande Exchange Management Shell

Dans l’Environnement de ligne de commande Exchange Management Shell, la cmdlet Get-MessageTrackingLog permet de contrôler davantage le nombre de résultats de recherche à afficher à l’aide du paramètre ResultSize. Par défaut, une recherche affiche jusqu’à 1000 résultats. Vous pouvez néanmoins modifier cette valeur maximale en définissant un nombre spécifique. Vous pouvez également afficher l’ensemble des résultats avec la valeur Unlimited. L’outil de suivi des messages dans la console de gestion Exchange n’offre aucun moyen de personnaliser le nombre maximal de résultats de recherche affichés.

Recherche dans les journaux de suivi des messages à l’aide de l’environnement de ligne de commande Exchange Management Shell

Le tableau suivant répertorie les filtres de recherche disponibles via la cmdlet Get-MessageTrackingLog dans l’environnement de ligne de commande Exchange Management Shell.

Filtres de recherche disponibles à l’aide de la cmdlet Get-MessageTrackingLog

Filtre de recherche	champ correspondant dans le journal de suivi des messages
Fin	date-heure
EventId	event-id
InternalMessageId	internal-message-id
MessageId	message-id
MessageSubject	message-subject
Destinataires	recipient-address
Référence	référence
ResultSize	Aucun. Ce paramètre limite le nombre de résultats affichés par recherche.
Sender	sender-address
Démarrez	date-heure

Tous les paramètres disponibles avec la cmdlet Get-MessageTrackingLog sont facultatifs. Si vous entrez la cmdlet Get-MessageTrackingLog sans paramètre, vous voyez s’afficher les 1000 dernières entrées du journal de suivi des messages.

Utilisation de l’environnement de ligne de commande Exchange Management Shell pour rechercher dans les journaux de suivi des messages

Exécutez la commande suivante :
```
Get-MessageTrackingLog <SearchFilters>
```
Par exemple, pour rechercher dans le journal de suivi des messages toutes les entrées enregistrées le 28 mars 2011, entre 8 h 00 et 17 h 00 pour tous les événements FAIL (échecs) envoyés par pat@contoso.com, exécutez la commande suivante :
```
Get-MessageTrackingLog -ResultSize Unlimited -Start "3/28/2011 8:00AM" -End "3/28/2011 5:00PM" -EventId "Fail" -Sender "pat@contoso.com" 
```

Contrôle de la sortie d’une recherche dans le journal de suivi des messages effectuée dans l’environnement de ligne de commande Exchange Management Shell

Lorsque vous effectuez une recherche dans le journal de suivi des messages à l’aide de la cmdlet Get-MessageTrackingLog, les champs ne s’affichent pas tout pour chaque événement de suivi des messages. Le tableau suivant répertorie les champs affichés par défaut par la cmdlet Get-MessageTrackingLog.

Champs affichés par défaut par la cmdlet Get-MessageTrackingLog.

Champ Recherche	champ correspondant dans le journal de suivi des messages
EventId	event-id
Source	message-source
Sender	sender-address
Destinataires	recipient-address
MessageSubject	message-subject

Vous pouvez contrôler la sortie de la cmdlet Get-MessageTrackingLog au moyen des options de sortie de commande de l’Environnement de ligne de commande Exchange Management Shell en vous conformant aux instructions suivantes :

Vous pouvez contrôler le format de sortie de la recherche dans le journal de suivi des messages. Vous pouvez afficher les résultats sous la forme d’une liste ou d’un tableau.

Important :
Bien que le format de tableau semble être un bon choix pour un format de sortie, ce n’est pas forcément le meilleur choix. Si le champ affiché dans le tableau contient des valeurs longues, les valeurs sont tronquées afin de permettre leur insertion dans les colonne du tableau. Une troncature a également lieu si vous tentez d’afficher trop de champs en même temps. Les valeurs de champ complet sont toujours présentes si vous utilisez le format de liste. Pour afficher d’autres colonnes, vous pouvez également augmenter la largeur de la fenêtre de l’Environnement de ligne de commande Exchange Management Shell par rapport à la valeur par défaut de 80 caractères. Vous devez régler la taille de la fenêtre Environnement de ligne de commande Exchange Management Shell dans les propriétés de cette même fenêtre Environnement de ligne de commande Exchange Management Shell.

Bien que le format de tableau semble être un bon choix pour un format de sortie, ce n’est pas forcément le meilleur choix. Si le champ affiché dans le tableau contient des valeurs longues, les valeurs sont tronquées afin de permettre leur insertion dans les colonne du tableau. Une troncature a également lieu si vous tentez d’afficher trop de champs en même temps. Les valeurs de champ complet sont toujours présentes si vous utilisez le format de liste. Pour afficher d’autres colonnes, vous pouvez également augmenter la largeur de la fenêtre de l’Environnement de ligne de commande Exchange Management Shell par rapport à la valeur par défaut de 80 caractères. Vous devez régler la taille de la fenêtre Environnement de ligne de commande Exchange Management Shell dans les propriétés de cette même fenêtre Environnement de ligne de commande Exchange Management Shell.

Vous pouvez afficher ou masquer des champs spécifiques renvoyés par une recherche dans le journal de suivi des messages. Les caractères génériques (*) ne sont pas pris en charge.
Vous pouvez envoyer les résultats de la recherche vers un fichier.

Les noms de champ affichés dans les résultats de la cmdlet Get-MessageTrackingLog sont les mêmes que ceux que vous utilisez pour filtrer les résultats de recherche. Les noms de ces champs diffèrent légèrement de ceux des champs réels stockés dans le journal de suivi des messages. Le tableau suivant juxtapose les noms de champ utilisés dans le journal de suivi des messages et ceux utilisés par la cmdlet Get-MessageTrackingLog.

Comparaison entre les noms de champ utilisés dans le journal de suivi des messages et ceux utilisés par la cmdlet Get-MessageTrackingLog.

Nom de champ utilisé dans le journal de suivi des messages	Nom de champ utilisé pour filtrer les résultats de la cmdlet Get-MessageTrackingLog
date-heure	Timestamp
client-ip	ClientIp
client-hostname	ClientHostname
server-ip	ServerIp
server-hostname	ServerHostname
source-context	SourceContext
id de connecteur	ConnectorId
source	Source
event-id	EventId
internal-message-id	InternalMessageId
message-id	MessageId
recipient-address	Destinataires
recipient-status	RecipientStatus
total-bytes	TotalBytes
recipient-count	RecipientCount
related-recipient-address	RelatedRecipientAddress
référence	Référence
message-subject	MessageSubject
sender-address	Sender
return-path	ReturnPath
message-info	MessageInfo

Pour utiliser l’environnement de ligne de commande Exchange Management Shell afin de contrôler la sortie d’une recherche dans les journaux de suivi des messages

Utilisez la commande suivante :
```
Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> <FieldNames> <OutputFileOptions>
```
Par exemple, pour rechercher dans les journaux de suivi des messages les 1 000 premiers événements d’envoi, afficher les résultats présentés au format liste, afficher les valeurs de tous les noms de champ qui commencent par « Send » ou « Receive », puis écrire les résultats dans un nouveau fichier nommé « C:\send search.txt », exécutez la commande suivante :
```
Get-MessageTrackingLog -EventId "Send" | Format-List Send*,Receive* > "C:\send search.txt"
```

Recherche dans les journaux de suivi des messages d’un message sur plusieurs serveurs à l’aide de l’environnement de ligne de commande Exchange Management Shell

Une propriété de message qui reste constante tandis qu’elle se déplace dans l’organisation Exchange est la valeur du champ d’en-tête MessageID:. Cette valeur est nommée InternetMessageId dans les utilitaires d’affichage des files d’attente et MessageId dans les utilitaires de journal de suivi des messages. Après avoir déterminé la valeur de MessageID:, vous pouvez rechercher ce message dans les journaux de suivi des messages sur chaque serveur de transport Hub ou de boîtes aux lettres dans l’organisation Exchange.

Pour utiliser l’environnement de ligne de commande Exchange Management Shell afin de rechercher dans des entrées du journal de suivi des messages un message spécifique sur l’ensemble des serveurs de transport Hub et des serveurs de boîtes aux lettres

Utilisez la commande suivante :

Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "<messageid>" | Select-Object <commaseparatedfieldnames> | Sort-Object -Property <field>

Par exemple, pour rechercher dans les journaux de suivi des messages de tous les serveurs de transport Hub et serveurs de boîtes aux lettres des entrées en relation avec un message dont le MessageID: est ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com, pour afficher les champs date-time, server-hostname, client-hostname, source, event-id et recipient-address for each entry, et pour trier les résultats sur le champ date-time, exécutez la commande suivante :

Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com" | Select-Object Timestamp,ServerHostname,ClientHostname,Source,EventId,Recipients | Sort-Object -Property Timestamp

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir get-MessageTrackingLog.

Pour plus d’informations sur les options de sortie de commande disponibles dans l’Environnement de ligne de commande Exchange Management Shell, voir Utilisation de PowerShell avec Exchange 2010 (environnement de ligne de commande Exchange Management Shell).

Recherche dans les journaux de suivi des messages à l’aide de la console de gestion Exchange

Pour utiliser la console de gestion Exchange pour des recherches dans le journal de suivi des messages

Démarrez la console de gestion Exchange.
Dans l’arborescence de la console, cliquez sur Boîte à outils. Dans le volet Résultats, cliquez sur Suivi des messages. Dans le volet Actions, cliquez sur Ouvrir l’outil.
Ouvrez une session dans Outlook Web App lorsque le système vous y invite.
Dans la liste Sélectionner ce qui doit être géré, cliquez sur Mon organisation, puis sur Rapports dans le volet de navigation.
Définissez vos critères de recherche dans les journaux de suivi des messages en configurant les valeurs des options disponibles suivantes :
- Boîte aux lettres à rechercher Cliquez sur Parcourir et choisissez la boîte aux lettres appropriée.
- Recherche des messages envoyés à Cliquez sur cette option si vous souhaitez rechercher des messages envoyés, puis cliquez sur Sélectionner les utilisateurs pour choisir un ou plusieurs utilisateurs.
- Rechercher les messages provenant de Cliquez sur cette option pour rechercher des messages reçus, puis cliquez sur Sélectionner un utilisateur pour choisir le destinataire concerné.
- Rechercher ces termes dans la ligne d’objet Entrez le texte des critères de recherche à appliquer si vous souhaitez rechercher des messages avec un objet en particulier.
Cliquez sur Rechercher, puis examinez les résultats dans le volet Résultats de la recherche.

Pour plus d’informations

Pour plus d’informations, consultez les rubriques suivantes :

Comprendre le suivi des messages

Configurer le suivi des messages