Acompanhamento de mensagens no Exchange
Aplica-se a: Exchange Server 2013
No Microsoft Exchange Server 2013, o log de controle de mensagens é um registro detalhado de toda a atividade de mensagens à medida que as mensagens são transferidas para e do serviço de Transporte em Servidores de Caixa de Correio, caixas de correio em Servidores de Caixa de Correio, e servidores de Transporte de Borda. Você pode usar os logs de controle de mensagens para perícia de mensagens, análise de fluxo de mensagens, relatórios e solução de problemas.
No Exchange 2013, você pode usar o cmdlet Set-TransportService ou o cmdlet Set-MailboxServer para todas as tarefas de configuração de controle de mensagens, pois o servidor de Caixa de Correio do Exchange 2013 contém o serviço de Transporte e as caixas de correio. Você pode usar quaisquer um desses cmdlets para realizar as seguintes alterações na configuração do controle de mensagens:
- Habilitar ou desabilitar o controle de mensagens. O padrão é habilitado.
- Especificar a localização dos arquivos de log de controle de mensagens.
- Especificar um tamanho máximo para os arquivos individuais de log de controle de mensagens. O padrão é 10 MB.
- Especificar o tamanho máximo do diretório que contém os arquivos de log de controle de mensagens. O padrão é 1.000 MB.
- Especificar a idade dos arquivos de log de controle de mensagens: o padrão é 30 dias.
- Habilitar ou desabilitar o log de assunto de mensagens nos logs de controle de mensagens. O padrão é habilitado.
Observação
Também é possível utilizar o EAC (Centro de administração do Exchange) para habilitar ou desabilitar o controle de mensagens e para especificar o local dos arquivos de log de controle de mensagens.
Por padrão, o Exchange usa o log circular para limitar os logs de controle de mensagens com base no tamanho e na idade do arquivo, para ajudar a controlar o espaço em disco usado pelos arquivos de log de controle de mensagens.
Pesquisar no log de controle de mensagens
Os logs de rastreamento de mensagens contêm grandes quantidades de dados à medida que as mensagens se movem por um servidor da caixa de correio do Exchange 2013. Quando se trata de pesquisar os logs de rastreamento de mensagens, você tem opções diferentes.
Get-MessageTrackingLog: os administradores podem usar esse cmdlet para pesquisar no log de rastreamento de mensagens informações sobre mensagens usando uma ampla gama de critérios de filtro. Para saber mais, confira Logs de rastreamento de mensagens de pesquisa.
Relatórios de entrega para administradores: os administradores podem usar a guia Relatórios de entrega nos cmdlets do Centro de Administração do Exchange (EAC) ou nos cmdlets Pesquisa-MessageTrackingReport e Get-MesageTrackingReport subjacentes para pesquisar os logs de rastreamento de mensagens em busca de informações sobre mensagens enviadas ou recebidas por uma caixa de correio específica na organização. Para saber mais, confira Notificações de entrega para administradores.
Estrutura dos arquivos de log de controle de mensagens
Por padrão, os arquivos de log de controle de mensagem estão em %ExchangeInstallPath%TransportRoles\Logs\MessageTracking.
A convenção de nomenclatura para arquivos de log no diretório de log de rastreamento de mensagens é MSGTRKyyyyMMdd-nnnn.log, MSGTRKMAyyyyMMdd-nnnn.log, e MSGTRKMDyyyyMMdd-nnnn.logMSGTRKMSyyyyMMdd-nnnn.log. Os diferentes logs são usados pelos seguintes serviços:
- MSGTRK: esses logs estão associados ao serviço de transporte.
- MSGTRKMA: esses logs estão associados às aprovações e rejeições usadas pelo transporte moderado. Para saber mais, confira Gerenciar a aprovação de mensagens.
- MSGTRKMD: esses logs estão associados às mensagens entregues às caixas de correio pelo serviço de Entrega de Transporte de Caixa de Correio.
- MSGTRKMS: esses logs estão associados a mensagens enviadas de caixas de correio pelo serviço envio de transporte da caixa de correio.
Os espaços reservados nos nomes de arquivos de log representam as seguintes informações:
- O espaço reservado yyyyMdd é a data utc (hora universal) coordenada na qual o arquivo de log foi criado. yyyy = ano, MM = mês e dd = dia.
- O espaço reservado nnnn é um número de instância que começa no valor de 1 diariamente para cada prefixo de nome de arquivo de log de rastreamento de mensagens.
As informações são gravadas em cada arquivo de log até que o tamanho do arquivo atinja o valor máximo especificado para cada arquivo de log. Em seguida, um novo arquivo de log que contém um número de instância incrementado é aberto. Esse processo repete-se ao longo do dia. A funcionalidade de rotação de arquivos de log exclui os arquivos de log mais antigos quando alguma das condições a seguir é verdadeira:
Um arquivo de log atinge sua idade máxima especificada.
O diretório de logs de controle de mensagens atinge seu tamanho máximo especificado.
Importante
O tamanho máximo do diretório do log de controle de mensagens é calculado como o tamanho total de todos os arquivos de log que tenham o mesmo prefixo de nome. Outros arquivos que não seguem a convenção de prefixo de nome não são considerados no cálculo do tamanho total do diretório. Renomear arquivos de log antigos ou copiar outros arquivos para o diretório do log de controle de mensagens pode fazer com que o diretório exceda o tamanho máximo especificado.
Nos servidores da Caixa de Correio do Exchange 2013, o tamanho máximo do diretório de log de rastreamento de mensagens é três vezes o valor especificado. Embora os arquivos de log de controle de mensagens gerados pelos quatro serviços diferentes tenham quatro prefixos de nomes diferentes, a quantidade e a frequência dos dados gravados nos arquivos de log MSGTRKMA são insignificantes quando comparados aos outros três prefixos de arquivo de log.
Os arquivos de log de controle de mensagens são arquivos de texto que contêm dados no formato de arquivo de CSV (valores separados por vírgula). Cada arquivo de log de controle de mensagens possui um cabeçalho com as seguintes informações:
#Software:: nome do software que criou o arquivo de log de rastreamento de mensagens. Normalmente, o valor é Microsoft Exchange Server.
#Version:: número de versão do software que criou o arquivo de log de rastreamento de mensagens. Atualmente, o valor é 15.0.0.0.
#Log-Type:: Valor de tipo de log, que é Log de Rastreamento de Mensagens.
#Date:: a data-hora utc quando o arquivo de log foi criado. A data-hora utc é representada no formato iso 8601 date-time: yyyy-MM-ddThh:mm:ss.fffZ, em que yyyy = year, MM = month e dd = day, T indica o início do componente de tempo, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC.
#Fields:: nomes de campo delimitados por vírgula usados nos arquivos de log de rastreamento de mensagens.
Os campos nos arquivos de log de controle de mensagens
O log de controle de mensagens armazena cada evento de mensagem em uma única linha no log. As informações de evento de mensagens são organizadas por campos, que são separados por vírgulas. Geralmente, o nome do campo é suficientemente descritivo para determinar o tipo de informação que ele contém. Contudo, alguns campos podem estar em branco ou o tipo de informação armazenada no campo pode mudar com base no tipo de evento de mensagem e no tipo de arquivo de log de controle de mensagens em que o evento foi gravado. As descrições gerais dos campos que são utilizados para classificar cada evento de controle de mensagens são explicadas na tabela seguinte.
| Nome do campo | Descrição |
|---|---|
| date-time | A data e a hora UTC do evento de controle de mensagens. A data-hora utc é representada no formato iso 8601 date-time: yyyy-MM-ddThh:mm:ss.fffZ, em que yyyy = year, MM = month, dd = day, T indica o início do componente de tempo, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC. |
| client-ip | O endereço IPv4 ou IPv6 do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
| client-hostname | O nome de host ou FQDN do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
| server-ip | O endereço IPv4 ou IPv6 do servidor Exchange de origem ou de destino. |
| server-hostname | O nome de host ou FQDN do servidor de destino. |
| source-context | Informações extras associadas ao campo source. Por exemplo, informações do agente de transporte. |
| connector-id | O nome do Conector de envio ou do Conector de recebimento de origem ou de destino. Por exemplo, ServerName\ConnectorName ou ConnectorName. |
| source | O componente de transporte do Exchange responsável pelo evento de controle de mensagens. Os valores encontrados nesse campo são descritos na seção Os valores de origem no log de controle de mensagens mais adiante neste tópico. |
| event-id | O tipo de evento de mensagem. Os tipos de eventos são descritos na seção Tipos de eventos no log de controle de mensagens mais adiante neste tópico. |
| internal-message-id | Um identificador de mensagem atribuído pelo servidor Exchange que está processando atualmente a mensagem. O valor internal-message-id de uma mensagem específica é diferente no log de controle de mensagens de cada um dos servidores Exchange envolvidos na transmissão da mensagem. Um valor de exemplo é 73014444033. |
| message-id | O valor do campo de cabeçalho Message-Id: encontrado no cabeçalho da mensagem. Se o campo de cabeçalho Message-Id: não existir ou estiver vazio, será atribuído um valor arbitrário. Esse valor é constante durante o tempo de vida da mensagem. Para mensagens criadas no Exchange, o valor está no formato <GUID@ServerFQDN>, incluindo os colchetes de ângulo (< >). Por exemplo, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Outros sistemas de mensagens podem usar sintaxe ou valores diferentes. |
| network-message-id | Um valor de ID de mensagem exclusivo que persiste nas cópias da mensagem que podem ser criadas devido à bifurcação ou à expansão do grupo de distribuição. Um valor de exemplo é 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Os endereços de email dos destinatários da mensagem. Vários endereços de email são separados pelo caractere de ponto-e-vírgula (;). |
| recipient-status | Esse campo contém o status de cada destinatário separado pelo caractere de ponto-e-vírgula (;). Os valores de status são apresentados para os destinatários na mesma ordem que os valores no campo recipient-address. Exemplo status valores incluem 250 2.1.5 Recipient OK ou 550 4.4.7 QUEUE.Expired;<ErrorText>. |
| total-bytes | O tamanho da mensagem incluindo anexos, em bytes. |
| recipient-count | O número de destinatários existentes na mensagem. |
| related-recipient-address | Esse campo é usado com os eventos EXPAND, REDIRECT e RESOLVE para exibir outros endereços de email de destinatários associados à mensagem. |
| reference | Esse campo contém informações adicionais para tipos específicos de eventos. Por exemplo: DSN: contém o link do relatório, que é o valor ID de Mensagem da DSN (notificação de status de entrega) associada se um DSN for gerado posteriormente a esse evento. Se essa for uma mensagem de DSN, o campo Reference conterá o valor Message-Id da mensagem original para a qual essa DNS foi gerada. EXPAND: O campo Referência contém o valor de endereço relacionado-destinatário das mensagens relacionadas. RECEIVE: O campo Referência pode conter o valor ID de mensagem da mensagem relacionada se a mensagem foi gerada por outros processos, por exemplo, diários ou regras de caixa de entrada. SEND: O campo Referência contém o valor ID interno-mensagem de qualquer mensagem DSN. THROTTLE: O campo Referência contém o motivo pelo qual a mensagem foi limitada. TRANSFER: O campo Referência contém a Id interno-mensagem da mensagem que está sendo bifurcado. Para as mensagens geradas por regras de caixa de entrada, o campo Reference contém o valor Internal-Message-Id da mensagem de entrada que fez com que a regra de caixa de entrada gerasse a mensagem de saída. Para outros tipos de eventos, o campo Reference pode conter o valor Internal-Message-Id para mensagens bifurcadas. Para outros tipos de eventos, o campo Reference geralmente está em branco. |
| message-subject | O assunto da mensagem encontrado no campo cabeçalho Subject: . O acompanhamento de sujeitos de mensagem é controlado pelo parâmetro MessageTrackingLogSubjectLoggingEnabled nos cmdlets Set-TransportService ou Set-MailboxServer . Por padrão, o acompanhamento dos assuntos da mensagem está habilitado. |
| sender-address | O endereço de email especificado no Sender: campo cabeçalho ou no From: campo de cabeçalho se Sender: não estiver presente. |
| return-path | O endereço de email de retorno especificado pelo MAIL FROM: no envelope da mensagem. Embora esse campo nunca esteja vazio, ele pode ter o valor de endereço do remetente nulo representado como <>. |
| message-info | Informações adicionais sobre a mensagem. Por exemplo:
|
| directionality | A direção da mensagem. Os valores de exemplo incluem Incoming, Undefinede Originating. |
| tenant-id | Esse campo não é usado em organizações locais do Exchange 2013. |
| original-client-ip | O endereço IPv4 ou IPv6 do cliente original. |
| original-server-ip | O endereço IPv4 ou IPv6 do servidor original. |
| custom-data | Esse campo contém dados relacionados a tipos específicos de eventos. Por exemplo, o agente de Regra de Transporte usa esse campo para gravar o GUID da regra de transporte ou a política de DLP que atuou na mensagem. Para obter mais informações sobre esses valores de agente de Regra de Transporte, consulte a seção "Log de dados" no tópico Exibir relatórios de detecção de política DLP . |
Tipos de eventos no log de controle de mensagens
Vários tipos de eventos no campo event-id são usados para classificar os eventos de mensagens no log de controle de mensagens. Alguns eventos de mensagens aparecem em apenas um tipo de arquivo de log de controle de mensagens, enquanto outros aparecem em todos os tipos de arquivos de log de controle de mensagens. Os tipos de eventos usados para classificar cada evento de mensagem são explicados na tabela a seguir.
| Nome do evento | Descrição |
|---|---|
| AGENTINFO | Esse evento é usado por agentes de transporte para registrar dados personalizados. |
| BADMAIL | Uma mensagem enviada pelo diretório de Retirada ou pelo diretório de Repetição que não pode ser entregue nem retornada. |
| DEFER | A entrega da mensagem foi atrasada. |
| DELIVER | Uma mensagem foi entregue a uma caixa de correio local. |
| DROP | Uma mensagem foi removida sem uma notificação de status de entrega (também conhecida como uma DSN, mensagem de devolução, notificação de falha na entrega ou NDR). Por exemplo:
|
| DSN | Uma notificação de status de entrega (DSN) foi gerada. |
| DUPLICATEDELIVER | Uma mensagem duplicada foi entregue ao destinatário. A duplicação poderá ocorrer se um destinatário for membro de vários grupos de distribuição aninhados. As mensagens duplicadas são detectadas e removidas pelo repositório de informações. |
| DUPLICATEEXPAND | Durante a expansão do grupo de distribuição, um destinatário duplicado foi detectado. |
| DUPLICATEREDIRECT | Um destinatário alternativo para a mensagem já era um destinatário. |
| EXPAND | Um grupo de distribuição foi expandido. |
| FAIL | Falha na entrega da mensagem. Os valores de exemplo incluem SMTP, DNS, QUEUE e ROUTING. |
| HADISCARD | A mensagem de sombra foi descartada após a cópia primária ser entregue para o próximo salto. Para saber mais, confira Redundância de sombra. |
| HARECEIVE | A mensagem de sombra foi recebida pelo servidor no DAG (grupo de disponibilidade do banco de dados) local ou site do Active Directory. |
| HAREDIRECT | Uma mensagem de sombra foi criada. |
| HAREDIRECTFAIL | Falha ao criar uma mensagem de sombra. Os detalhes são armazenados no campo source-context. |
| INITMESSAGECREATED | Uma mensagem foi enviada a um destinatário moderado e, portanto, ela foi enviada à caixa de correio de arbitragem para aprovação. Para saber mais, confira Gerenciar a aprovação de mensagens. |
| LOAD | Uma mensagem foi carregada com êxito durante a inicialização. |
| MODERATIONEXPIRE | Um moderador para um destinatário moderado nunca aprovou ou rejeitou a mensagem e, portanto, ela expirou. Para saber mais sobre destinatários moderados, confira Gerenciar a aprovação de mensagens. |
| MODERATORAPPROVE | Um moderador para um destinatário moderado aprovou a mensagem e, portanto, ela foi entregue ao destinatário moderado. |
| MODERATORREJECT | Um moderador para um destinatário moderado rejeitou a mensagem e, portanto, ela não foi entregue ao destinatário moderado. |
| MODERATORSALLNDR | Não foi possível entregar nenhuma solicitação de aprovação enviadas a todos os moderadores de um destinatário moderado e isso resultou em NDRs (notificações de falha na entrega). |
| NOTIFYMAPI | Uma mensagem foi detectada na Caixa de Saída de uma caixa de correio no servidor local. |
| NOTIFYSHADOW | Uma mensagem foi detectada na Caixa de Saída de uma caixa de correio no servidor local, e uma cópia de sombra da mensagem precisa ser criada. |
| POISONMESSAGE | Uma mensagem foi colocada na fila de mensagens suspeitas ou removida dessa fila. |
| PROCESS | A mensagem foi processada com êxito. |
| PROCESSMEETINGMESSAGE | Uma mensagem de reunião foi processada pelo serviço de Entrega de Transporte de Caixa de Correio. |
| RECEIVE | Uma mensagem foi recebida pelo componente de recebimento SMTP do serviço de transporte ou dos diretórios Pickup ou Replay (fonte: SMTP), ou uma mensagem foi enviada de uma caixa de correio para o serviço envio de transporte da caixa de correio (fonte: STOREDRIVER). |
| REDIRECT | Uma mensagem foi redirecionada para um destinatário alternativo após uma pesquisa do Active Directory. |
| RESOLVE | Os destinatários de uma mensagem foram resolvidos para um endereço de email diferente após uma pesquisa do Active Directory. |
| RESUBMIT | Uma mensagem foi reenviada automaticamente a partir da Rede Segura. Para saber mais, confira Rede de Segurança. |
| RESUBMITDEFER | Uma mensagem reenviada a partir da Rede Segura foi adiada. |
| RESUBMITFAIL | Uma mensagem reenviada da Rede Segura falhou. |
| SEND | Uma mensagem foi enviada por SMTP entre serviços de transporte. |
| SUBMIT | O serviço de Envio de Transporte de Caixa de Correio transmitiu com êxito a mensagem para o serviço de Transporte. Para eventos SUBMIT, a propriedade source-context contém os seguintes detalhes:
|
| SUBMITDEFER | A transmissão de mensagens do serviço de Envio de Transporte da Caixa de Correio para o serviço de Transporte foi adiada. |
| SUBMITFAIL | A transmissão de mensagem do serviço de Envio de Transporte da Caixa de Correio para o serviço de Transporte falhou. |
| SUPPRESSED | A transmissão de mensagem foi suprimida. |
| THROTTLE | A mensagem foi limitada. |
| TRANSFER | Os destinatários foram movidos para uma mensagem bifurcada devido à conversão do conteúdo, limites de destinatário de mensagem ou agentes. As origens incluem ROUTING ou QUEUE. |
Os valores de origem no log de controle de mensagens
Os valores no campo source no log de controle de mensagens indicam o componente de transporte que é responsável pelo evento de controle de mensagens. A tabela a seguir descreve os valores do campo source.
| Valor de origem | Descrição |
|---|---|
| ADMIN | A origem do evento foi intervenção humana. Por exemplo, um administrador usou o Visualizador de Filas para excluir uma mensagem ou enviou arquivos de mensagens usando o diretório de Repetição. |
| AGENT | A origem do evento foi um agente de transporte |
| APPROVAL | A origem do evento foi a estrutura de aprovação que é usada com destinatários moderados. Para saber mais, confira Gerenciar a aprovação de mensagens. |
| BOOTLOADER | A origem do evento foi mensagens não processadas que havia no servidor no momento da inicialização. Isso está relacionado ao tipo de evento LOAD. |
| DNS | A origem do evento foi DNS. |
| DSN | A origem do evento foi uma DSN (notificação de status de entrega). Por exemplo, uma NDR (notificação de falha na entrega). |
| GATEWAY | A origem do evento foi um conector Externo. Para saber mais, confira Conectores externos. |
| MAILBOXRULE | A origem do evento foi uma regra de caixa de entrada. Para saber mais, confira o artigo sobre regras de caixa de entrada. |
| MEETINGMESSAGEPROCESSOR | A origem do evento foi um processador de mensagens de reuniões que atualiza calendários com base em atualizações de reunião. |
| ORAR | A origem do evento foi um ORAR (Destinatário Alternativo Solicitado pelo Remetente). Você pode habilitar ou desabilitar o suporte para ORAR em Conectores de Recebimento usando o parâmetro OrarEnabled nos cmdlets New-ReceiveConnector ou Set-ReceiveConnector . |
| PICKUP | A origem do evento foi o diretório de Retirada. Para saber mais, confira Diretório de retirada e repetição. |
| POISONMESSAGE | A origem do evento foi o identificador de mensagens suspeitas. Para saber mais sobre mensagens suspeitas e a fila de mensagens suspeitas, confira Filas |
| PUBLICFOLDER | A origem do evento foi uma pasta pública habilitada para email. |
| QUEUE | A origem do evento foi uma fila. |
| REDUNDANCY | A origem do evento foi a redundância de sombra. Para saber mais, confira Redundância de sombra. |
| ROUTING | A origem do evento foi o componente de resolução de roteamento do categorizador no serviço de transporte. |
| SAFETYNET | A origem do evento foi a Rede Segura. Para saber mais, confira Rede de Segurança. |
| SMTP | A mensagem foi enviada pelo componente de envio ou recebimento SMTP do serviço de transporte. |
| STOREDRIVER | A origem do evento foi um envio MAPI de uma caixa de correio no servidor local. |
Entradas de exemplo no log de controle de mensagens
Uma mensagem sem eventos enviada entre dois usuários gera várias entradas no log de controle de mensagens. Você pode ver os resultados usando o cmdlet Get-MessageTrackingLog. Para saber mais, confira Logs de rastreamento de mensagens de pesquisa.
Este é um exemplo condensado das entradas de log de rastreamento de mensagens criadas quando o usuário chris@contoso.com envia com êxito uma mensagem de teste para o usuário michelle@contoso.com. Os dois usuários têm caixas de correio no mesmo servidor.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problemas de segurança relacionados ao log de controle de mensagens
Nenhum conteúdo de mensagem é armazenado no log de controle de mensagens. Por padrão, a linha de assunto de uma mensagem de email é armazenada no log de controle de mensagens. Se quiser desabilitar o log de assunto das mensagens para atender aos requisitos de segurança ou privacidade mais rigorosos. Antes de habilitar ou desabilitar o log de assunto das mensagens, verifique qual é a política da sua organização quanto à revelação das informações da linha de assunto. Para saber mais, confira Configurar o rastreamento de mensagem.