メッセージ追跡

 

適用先:Exchange Server 2013

トピックの最終更新日:2016-12-09

Microsoft Exchange Server 2013 のメッセージ追跡ログは、メッセージがメールボックス サーバーのトランスポート サービス、メールボックス サーバーのメールボックス、およびエッジ トランスポート サーバーとの間で転送される際のすべてのアクティビティを詳細に記録したものです。メッセージ追跡ログを使用して、メッセージ フォレンシック、メール フロー分析、レポート、およびトラブルシューティングを行うことができます。

Exchange 2013 では、Exchange 2013 メールボックス サーバーにトランスポート サービスとメールボックスがあるため、Set-TransportService コマンドレットまたは Set-MailboxServer コマンドレットを使用してメッセージ追跡のすべての構成タスクを実行できます。これらのコマンドレットのいずれかを使用すると、メッセージ追跡に関する以下の構成変更が行えます。

  • メッセージ追跡を有効または無効にします。既定では有効になっています。

  • メッセージ追跡ログ ファイルの場所を指定します。

  • 個々のメッセージ追跡ログ ファイルの最大サイズを指定します。既定値は 10 MB です。

  • メッセージ追跡ログ ファイルが格納されるディレクトリの最大サイズを指定します。既定値は 1,000 MB です。

  • メッセージ追跡ログ ファイルの最大保存期間を指定します。既定値は 30 日です。

  • メッセージ追跡ログで、メッセージの件名のログ収集を有効または無効にします。既定では有効になっています。

メモメモ:
Exchange 管理センター (EAC) を使用してメッセージ追跡の有効/無効化、およびメッセージ追跡ログ ファイルの場所を指定することができます。

既定では、メッセージ追跡ログ ファイルが使用するハード ディスク容量を抑えるために、Exchange は循環ログを使用してファイルのサイズと保存期間に基づいてメッセージ追跡ログを制限します。

目次

メッセージ追跡ログを検索する

メッセージ追跡ログ ファイルの構造

メッセージ追跡ログ ファイルのフィールド

メッセージ追跡ログのイベントの種類

メッセージ追跡ログのソースの値

メッセージ追跡ログのエントリの例

メッセージ追跡ログに関するセキュリティ上の考慮事項

メッセージ追跡ログには、Exchange 2013 メールボックス サーバーを通過するメッセージに関する膨大なデータが含まれています。メッセージ追跡ログの検索にはいくつかの方法があります。

  • Get-MessageTrackingLog   このコマンドレットにより、管理者はさまざまなフィルター条件で、メッセージに関する情報をメッセージ追跡ログから検索できます。詳細については、「メッセージ追跡ログの検索」を参照してください。

  • 管理者用配信レポート   管理者は、Exchange 管理センター (EAC) の [配信レポート] タブ、またはそのベースになっている Search-MessageTrackingReport コマンドレットと Get-MesageTrackingReport コマンドレットを使用して、組織内の特定のメールボックスによって送受信されたメッセージに関する情報をメッセージ追跡ログから検索できます。詳細については、「管理者用の配信レポート」を参照してください。

  • ユーザー用配信レポート   ユーザーは、Outlook Web App の [配信レポート] タブを使用して、自分のメールボックスで送受信したメッセージに関する情報をメッセージ追跡ログから検索できます。詳細については、「配信レポート」を参照してください。

ページのトップへ

既定では、メッセージ追跡ログ ファイルは %exchangeinstallpath%transportroles\logs\messagetracking にあります。

メッセージ追跡ログ ディレクトリ内のログ ファイルの名前付け規則は、MSGTRKyyyymmdd-nnnn.logMSGTRKMAyyyymmdd-nnnn.logMSGTRKMDyyyymmdd-nnnn.log、およびMSGTRKMSyyyymmdd-nnnn.log です。それぞれのログは以下のサービスで使用されます。

  • MSGTRK   トランスポート サービスに関するログです。

  • MSGTRKMA   モデレート トランスポートの許可と拒否に関するログです。詳細については、「メッセージ承認の管理」を参照してください。

  • MSGTRKMD   メールボックス トランスポート配信サービスによってメールボックスに配信されたメッセージに関するログです。

  • MSGTRKMD   メールボックス トランスポート発信サービスによってメールボックスから送信されたメッセージに関するログです。

ログ ファイル名に含まれるプレースホルダーは以下の情報を表しています。

  • プレースホルダー yyyymmdd は、ログ ファイルを作成した世界協定時刻 (UTC) の日付です。ここで、yyyy = 年、mm = 月、dd = 日を表しています。

  • プレースホルダー nnnn はインスタンス番号で、メッセージ追跡ログ ファイルの名前のプレフィックスごとに、毎日値 1 から始まります。

ファイル サイズが、ログ ファイルごとに指定されている最大値に達するまで、それぞれのログ ファイルに情報を書き込みます。ファイル サイズがこの最大値に達したら、インスタンス番号を増やした新しいログ ファイルを開きます。このプロセスを終日繰り返します。ログ ファイル ローテーション機能では、次のいずれかの条件が満たされると、最も古いログ ファイルが削除されます。

  • ログ ファイルが指定された最大保存期間に達する。

  • メッセージ追跡ログ ディレクトリが指定された最大サイズに達する。

    重要重要:
    メッセージ追跡ログ ディレクトリの最大サイズは、名前のプレフィックスが同じログ ファイルの合計サイズとして計算されます。同じプレフィックスの表記規則に従っていない他のファイルは、合計ディレクトリ サイズの計算には含まれません。古いログ ファイルの名前を変更したり、他のファイルをメッセージ追跡ログ ディレクトリにコピーしたりすると、ディレクトリが指定した最大サイズを超える場合があります。
    Exchange 2013 メールボックス サーバーのメッセージ追跡ログ ディレクトリの最大サイズは、指定した値の 3 倍です。異なる 4 つのサービスによって生成されるメッセージ追跡ログ ファイルは、それぞれ異なるファイル名プレフィックスを持っていますが、MSGTRKMA ログ ファイルに書き込まれるデータの量と頻度は、他の 3 つに比べてごくわずかなものです。

メッセージ追跡ログ ファイルは、データをコンマ区切り (CSV) 形式で格納するテキスト ファイルです。個々のメッセージ追跡ログ ファイルには、以下の情報を含むヘッダーがあります。

  • #Software:   メッセージ追跡ログ ファイルを作成したソフトウェアの名前です。通常、値は Microsoft Exchange Server です。

  • #Version:   メッセージ追跡ログ ファイルを作成したソフトウェアのバージョン番号です。現在、この値は 15.0.0.0 です。

  • #Log-Type   ログの種類を示す値で、メッセージ追跡ログになります。

  • #Date:   ログ ファイルが作成された UTC の日時です。UTC の日時は次のような ISO 8601 の日時形式で表されます。yyyy-mm-ddThh:mm:ss.fffZ。ここで yyyy = 年、mm = 月、dd = 日です。T は時刻部分の先頭を表します。hh = 時、mm = 分、ss = 秒、fff = 秒の端数です。Z は Zulu (UTC の別称) を表します。

  • #Fields:   メッセージ追跡ログ ファイルで使用されているフィールド名をコンマで区切ったものです。

ページのトップへ

メッセージ追跡ログでは、個々のメッセージ イベントがログの 1 行として格納されます。メッセージ イベント情報はフィールドで構成され、各フィールドはコンマで区切られています。通常、フィールド名はフィールドに含まれる情報の種類を判断できる程度に説明的な名前です。ただし、場合によってはフィールドが空であったり、メッセージ イベントの種類やイベントが記録されるメッセージ追跡ログ ファイルの種類によってフィールドに格納される情報の種類が変わったりすることがあります。以下の表に、メッセージ追跡イベントの分類に使用されるフィールドの概要を示します。

 

フィールド名 説明

date-time

メッセージ追跡イベントの日時です (UTC)。UTC の日時は次のような ISO 8601 の日時形式で表されます。yyyy-mm-ddThh:mm:ss.fffZ。ここで yyyy = 年、mm = 月、dd = 日です。T は時刻部分の先頭を表します。hh = 時、mm = 分、ss = 秒、fff = 秒の端数です。Z は Zulu (UTC の別称) を表します。

client-ip

メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのアドレスです (IPv4 または IPv6)。

client-hostname

メッセージを発信したメッセージング サーバーまたはメッセージング クライアントのホスト名または FQDN です。

server-ip

送信元または送信先の Exchange サーバーのアドレスです (IPv4 または IPv6)。

server-hostname

送信先サーバーのホスト名または FQDN です。

source-context

source フィールドに関連する追加情報です。トランスポート エージェントの情報などが該当します。

connector-id

送信元または送信先の送信コネクタまたは受信コネクタの名前です。たとえば、サーバー名\ConnectorName または ConnectorName となります。

source

メッセージ追跡イベントを担当する Exchange トランスポート コンポーネントです。フィールド内の値については、「メッセージ追跡ログのソースの値」セクションで後述します。

event-id

メッセージ イベントの種類です。イベントの種類については、「メッセージ追跡ログのイベントの種類」セクションで後述します。

internal-message-id

現在メッセージを処理している Exchange サーバーによって割り当てられたメッセージ ID です。

各メッセージの internal-message-id の値は、そのメッセージの配信に携わった Exchange サーバーのメッセージ追跡ログごとに異なります。たとえば、73014444033 のような値になります。

message-id

メッセージ ヘッダー内で検出された Message-Id: ヘッダー フィールドの値です。Message-Id: ヘッダー フィールドが存在しないか、空白の場合、任意の値が割り当てられます。この値は、メッセージの有効期間全体にわたって不変です。Exchange で作成されたメッセージの場合、値は山かっこ (< >) を含む <GUID@ServerFQDN> の形式になります。たとえば、<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com> などです。他のメッセージング システムは異なる構文や値を使用する可能性があります。

network-message-id

メッセージのコピー同士で共通かつ一意のメッセージ ID です。メッセージのコピーはメッセージの分割や配布グループの展開により作成される場合があります。たとえば、1341ac7b13fb42ab4d4408cf7f55890f のような値になります。

recipient-address

メッセージ受信者の電子メール アドレスです。複数の電子メール アドレスがある場合は、セミコロン (;) で区切られます。

recipient-status

このフィールドには、セミコロン (;) で区切られた各受信者の状態が含まれます。各受信者の状態値の並び順は、recipient-address フィールドの値と同じです。状態値は、250 2.1.5 Recipient OK550 4.4.7 QUEUE.Expired;<ErrorText> のようになります。

total-bytes

添付ファイルを含むメッセージのサイズを、バイト単位で表します。

recipient-count

メッセージ内の受信者の数です。

related-recipient-address

このフィールドは、EXPANDREDIRECT、および RESOLVE イベントの場合に、そのメッセージに関連する他の受信者の電子メール アドレスを表示するために使用されます。

reference

このフィールドには、イベントの種類に応じた追加情報が含まれます。たとえば、

DSN   レポート リンクが含まれ、このイベントの後に配信状態通知 (DSN) が生成された場合に、関連する DSN の Message-Id の値が入ります。これが DSN メッセージの場合は、この DSN を生成した元のメッセージの Message-Id の値が Reference フィールドに入ります。

EXPAND   reference フィールドには、関連するメッセージの related-recipient-address の値が入ります。

RECEIVE   ジャーナリングや受信トレイ ルールといった他のプロセスによってメッセージが生成された場合、reference フィールドには、関連するメッセージの Message-Id の値が入ります。

SEND   reference フィールドには、任意の DSN メッセージの Internal-Message-Id の値が入ります。

THROTTLE   reference フィールドには、メッセージが調整された理由が入ります。

TRANSFER   reference フィールドには、フォークされているメッセージの internal-message-id が含まれます。

受信トレイ ルールによって生成されたメッセージの場合、Reference フィールドには、受信トレイ ルールでこの送信メッセージが生成される原因となった受信メッセージの Internal-Message-Id の値が入ります。

その他の種類のイベントの場合、Reference フィールドには、フォークされたメッセージの Internal-Message-Id の値が入ります。

その他の種類のイベントの場合、Reference フィールドは通常空白です。

message-subject

Subject: ヘッダー フィールドにあるメッセージの件名です。メッセージの件名の追跡は、Set-TransportService コマンドレットまたは Set-MailboxServer コマンドレットの MessageTrackingLogSubjectLoggingEnabled パラメーターで制御します。既定では、メッセージの件名の追跡は有効になっています。

sender-address

Sender: ヘッダー フィールド (Sender: がない場合は From: ヘッダー フィールド) に指定されている電子メール アドレスです。

return-path

メッセージ エンベロープの MAIL FROM: で指定されているリターン電子メール アドレスです。このフィールドが空であることはありませんが、<> と表される空の送信者アドレス値である場合があります。

message-info

メッセージに関する追加情報です。たとえば、

  • DELIVER イベントおよび SEND イベントのメッセージ発生 UTC 日時。発生日時とは、そのメッセージが最初に Exchange 組織に入った日時です。UTC の日時は次のような ISO 8601 の日時形式で表されます。yyyy-mm-ddThh:mm:ss.fffZ。ここで yyyy = 年、mm = 月、dd = 日です。T は時刻部分の先頭を表します。hh = 時、mm = 分、ss = 秒、fff = 秒の端数です。Z は Zulu (UTC の別称) を表します。

  • 認証エラー。たとえば認証エラーが発生すると、11a という値と使用された認証方式が表示されます。

directionality

メッセージの方向です。IncomingUndefinedOriginating などの値があります。

tenant-id

このフィールドは社内 Exchange 2013 組織では使用されません。

original-client-ip

元のクライアントのアドレス (IPv4 または IPv6)。

original-server-ip

元のサーバーのアドレス (IPv4 または IPv6)。

custom-data

このフィールドには、イベントの種類に応じたデータが入ります。たとえば、トランスポート ルール エージェントはこのフィールドに、メッセージに適用されたトランスポート ルールまたは DLP ポリシーの GUID を記録します。トランスポート ルール エージェントが記録する値の詳細については、「DLP ポリシー検出のレポートの表示」の「データ ログ」セクションを参照してください。

ページのトップへ

メッセージ追跡 ログのメッセージ イベントは、event-id フィールドのさまざまなイベントの種類によって分類されます。メッセージ イベントの中には、1 種類のメッセージ追跡ログ ファイルにしか出現しないものもあれば、すべての種類のメッセージ追跡ログ ファイルに出現するものもあります。各メッセージ イベントの分類に使用されるイベントの種類を次の表に示します。

 

イベント名 説明

AGENTINFO

このイベントは、トランスポート エージェントがカスタム データを記録するために使用されます。

BADMAIL

ピックアップ ディレクトリまたは再生ディレクトリによって、配信または返却できないメッセージが発信された。

DEFER

メッセージの配信の遅延が発生した。

DELIVER

メッセージがローカル メールボックスに配信された。

DROP

メッセージは、配信状態通知 (DSN、バウンス メッセージ、配信不能レポート、または NDR とも呼ばれる) なしでドロップされました。次に例を示します。

  • 完了したモデレート承認依頼メッセージ。

  • スパム メッセージは NDR なしでドロップされました。

DSN

配信状態通知 (DSN) が生成された。

DUPLICATEDELIVER

重複するメッセージが受信者に配信された。重複は、受信者が複数の入れ子になった配布グループのメンバーである場合に発生することがあります。重複するメッセージはインフォメーション ストアによって検出され、削除されます。

DUPLICATEEXPAND

配布グループの展開中に、重複する受信者が検出された。

DUPLICATEREDIRECT

メッセージの代理受信者がすでに受信者になっていた。

EXPAND

配布グループが展開された。

FAIL

メッセージの配信が失敗した。ソースには、SMTPDNSQUEUE、および ROUTING が含まれます。

HADISCARD

プライマリ コピーが次のホップに配信された後、シャドウ メッセージが破棄された。詳細については、「シャドウ冗長」を参照してください。

HARECEIVE

ローカルのデータベース可用性グループ (DAG) または Active Directory サイトがシャドウ メッセージを受信した。

HAREDIRECT

シャドウ メッセージが作成された。

HAREDIRECTFAIL

シャドウ メッセージの作成に失敗した。詳細は、source-context フィールドに格納されます。

INITMESSAGECREATED

モデレート受信者に送信されたメッセージが、承認のために調停メールボックスに送信された。詳細については、「メッセージ承認の管理」を参照してください。

LOAD

起動時にメッセージが正常に読み込まれた。

MODERATIONEXPIRE

モデレート受信者のモデレーターがメッセージの承認も拒否もしなかったため、メッセージが期限切れになった。モデレート受信者の詳細については、「メッセージ承認の管理」を参照してください。

MODERATORAPPROVE

モデレート受信者のモデレーターがメッセージを承認したため、メッセージがモデレート受信者に配信された。

MODERATORREJECT

モデレート受信者のモデレーターがメッセージを拒否したため、メッセージがモデレート受信者に配信されなかった。

MODERATORSALLNDR

モデレート受信者のモデレーター全員に送られた承認依頼がすべて配信不能だったため、配信不能レポート (NDR) が生成された。

NOTIFYMAPI

ローカル サーバーのメールボックスの送信トレイでメッセージが検出された。

NOTIFYSHADOW

ローカル サーバーのメールボックスの送信トレイでメッセージが検出され、メッセージのシャドウ コピーを作成する必要がある。

POISONMESSAGE

メッセージが有害メッセージ キューに格納されたか、または有害メッセージ キューから削除された。

PROCESS

メッセージが正常に処理された。

PROCESSMEETINGMESSAGE

会議メッセージは、メールボックス トランスポート配信サービスによって処理されました。

RECEIVE

トランスポート サービスの SMTP 受信コンポーネントによりメッセージが受信されたかピックアップまたは再生ディレクトリからのメッセージを受信した (送信元: SMTP)、またはメールボックスからメールボックス トランスポート送信サービスへメッセージが送信された (送信元: STOREDRIVER)。

REDIRECT

Active Directory 参照の後に、メッセージが代替受信者にリダイレクトされた。

RESOLVE

Active Directory 参照の後に、メッセージの受信者が別の電子メール アドレスに解決された。

RESUBMIT

メッセージがセーフティ ネットから自動的に再送信された。詳細については、「セーフティ ネット」を参照してください。

RESUBMITDEFER

セーフティ ネットからのメッセージの再送信が遅延した。

RESUBMITFAIL

セーフティ ネットからのメッセージの再送信が失敗した。

SEND

トランスポート サービス間でメッセージが SMTP で送信された。

SUBMIT

メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が成功した。SUBMIT イベントの場合、source-context プロパティには以下の詳細情報が格納されます。

  • MDB   メールボックス データベースの GUID。

  • Mailbox   メールボックスの GUID。

  • Event   イベントのシーケンス番号。

  • MessageClass   メッセージの種類。たとえば、IPM.Note などです。

  • CreationTime   メッセージの送信日時。

  • ClientType   UserOWAActiveSync など。

SUBMITDEFER

メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が遅延した。

SUBMITFAIL

メールボックス トランスポート発信サービスからトランスポート サービスへのメッセージの送信が失敗した。

SUPPRESSED

メッセージの送信が止められた。

THROTTLE

メッセージが調整された。

TRANSFER

コンテンツ変換、メッセージの受信者制限、またはエージェントが原因で、フォークされているメッセージに受信者が移動された。ソースには、ROUTING または QUEUE が含まれます。

ページのトップへ

メッセージ追跡ログの source フィールドの値は、そのメッセージ追跡イベントを担当するトランスポート コンポーネントを示します。次の表は、source フィールドの値の一覧です。

 

source の値 説明

ADMIN

人の介入がイベント ソース。たとえば、管理者がキュー ビューアーでメッセージを削除した。または、再生ディレクトリを使用してメッセージを送信した。

AGENT

トランスポート エージェントがイベント ソース。

APPROVAL

モデレート受信者に使用される承認フレームワークがイベント ソース。詳細については、「メッセージ承認の管理」を参照してください。

BOOTLOADER

イベント ソースは、ブート時にサーバー上に存在する未処理のメッセージでした。これは、イベントの種類 LOAD と関係しています。

DNS

DNS がイベント ソース。

DSN

配信状態通知 (DSN) がイベント ソース。たとえば、配信不能レポート (NDR) など。

GATEWAY

外部コネクタがイベント ソース。詳細については、「外部コネクタ」を参照してください。

MAILBOXRULE

受信トレイ ルールがイベント ソース。詳細については、「受信トレイのルール」を参照してください。

MEETINGMESSAGEPROCESSOR

イベント ソースは、会議の更新情報に基づいたカレンダーを更新する会議メッセージのプロセッサでした。

ORAR

発信者が要求した代理受信者 (ORAR) がイベント ソース。受信コネクタの ORAR のサポートを有効または無効にするには、New-ReceiveConnector コマンドレットまたは Set-ReceiveConnector コマンドレットの OrarEnabled パラメーターを使用します。

PICKUP

ピックアップ ディレクトリがイベント ソース。詳細については、「ピックアップ ディレクトリと再生ディレクトリ」を参照してください。

POISONMESSAGE

有害メッセージ識別子がイベント ソース。有害メッセージおよび有害メッセージ キューの詳細については、「キュー」を参照してください。

PUBLICFOLDER

メールが有効なパブリック フォルダーがイベント ソース。

QUEUE

キューがイベント ソース。

REDUNDANCY

シャドウ冗長がイベント ソース。詳細については、「シャドウ冗長」を参照してください。

ROUTING

トランスポート サービスのカテゴライザーのルーティング解決コンポーネントがイベント ソース。

SAFETYNET

セーフティ ネットがイベント ソース。詳細については、「セーフティ ネット」を参照してください。

SMTP

メッセージが、トランスポート サービスの SMTP 送信コンポーネントまたは SMTP 受信コンポーネントによって発信された。

STOREDRIVER

ローカル サーバー上のメールボックスからの MAPI 送信がイベント ソース。

ページのトップへ

2 人のユーザー間でメッセージが問題なく送受信された場合、いくつかエントリがメッセージ追跡ログに書き込まれます。ログを参照するには、Get-MessageTrackingLog コマンドレットを使用します。詳細については、「メッセージ追跡ログの検索」を参照してください。

この例は、ユーザー chris@contoso.com がユーザー michelle@contoso.com にテスト メッセージを送信し、送信が成功したときに生成されたメッセージ追跡ログの要約で、2 人が同じサーバーにメールボックスを持っています。

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

ページのトップへ

メッセージ追跡ログには、メッセージのコンテンツは格納されません。既定では、電子メール メッセージの件名がメッセージ追跡ログに格納されます。セキュリティまたはプライバシーの強化された要件に従うために、メッセージの件名のログ収集を無効にする必要がある場合があります。メッセージの件名のログ収集を有効または無効にする場合は、事前に件名の情報の表示に関する組織のポリシーを確認してください。詳細については、「メッセージ追跡を構成する」を参照してください。

ページのトップへ

 
表示: