Controle de mensagens
O log de rastreamento de mensagens é um registro detalhado de todas as atividades à medida que o email flui pelo pipeline de transporte em servidores de caixa de correio e servidores de Transporte de Borda. É possível usar o controle de mensagens para análise forense de mensagens, análise de fluxo de mensagens, relatórios e solução de problemas.
Por padrão, o Exchange usa o log circular para limitar o log de rastreamento de mensagens com base no tamanho do arquivo e na idade do arquivo para ajudar a controlar o espaço em disco rígido usado pelos arquivos de log. Para configurar o log de rastreamento de mensagens, consulte Configurar o rastreamento de mensagens.
Pesquisar no log de controle de mensagens
Os logs de rastreamento de mensagens contêm grandes quantidades de dados à medida que as mensagens se movem por um servidor de caixa de correio ou servidor de Transporte de Borda. Quando se trata de pesquisar os logs de rastreamento de mensagens, você tem opções:
Get-MessageTrackingLog: os administradores podem usar esse cmdlet do Shell de Gerenciamento do Exchange para pesquisar no log de rastreamento de mensagens informações sobre mensagens usando uma ampla gama de critérios de filtro. Para saber mais, confira Logs de rastreamento de mensagens de pesquisa.
Relatórios de entrega para administradores: os administradores podem usar a guia Relatórios de entrega no Centro de administração do Exchange ou nos cmdlets Search-MessageTrackingReport e Get-MessageTrackingReport subjacentes no Shell de Gerenciamento de Exchange para pesquisar os logs de rastreamento de mensagens em busca de informações sobre mensagens enviadas ou recebidas por uma caixa de correio específica na organização. Para obter mais informações, consulte Relatórios de entrega para administradores.
Estrutura dos arquivos de log de controle de mensagens
Por padrão, os arquivos de log de rastreamento de mensagens existem em %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. A pasta contém arquivos de log que têm nomes diferentes, mas todos eles seguem a convenção MSGTRKServiceyyyymmdd-nnnn.logde nomenclatura . Os diferentes nomes de arquivo de log são descritos na tabela a seguir.
| Nome do arquivo | Servidores | Descrição |
|---|---|---|
MSGTRK |
Servidores de Caixa de Correio e servidores de Transporte de Borda | Arquivos de log para o Serviço de Transporte. |
MSGTRKMA |
Servidores Caixa de Correio | Arquivos de log para as aprovações e rejeições no transporte moderado. Para saber mais, confira Gerenciar a aprovação de mensagens. |
MSGTRKMD |
Servidores Caixa de Correio | Arquivos de log de mensagens entregues a caixas de correio pelo serviço de Entrega de Transporte de Caixa de Correio. |
MSGTRKMS |
Servidores Caixa de Correio | Arquivos de log de mensagens enviadas de caixas de correio pelo serviço de Entrega de Transporte de Caixa de Correio. |
Os outros espaços reservados nos nomes de arquivo de log representam as seguintes informações:
yyyymmdd é a data utc (hora universal) coordenada quando o arquivo de log foi criado. yyyy = ano, mm = mês e dd = dia.
nnnn é um número de instância que começa no valor 1 todos os dias para cada log.
As informações são gravadas no arquivo de log até que o arquivo atinja seu tamanho máximo. Em seguida, um novo arquivo de log que tem um número de instância incrementado é aberto (o primeiro arquivo de log é -1, o próximo é -2 e assim por diante). O log circular exclui os arquivos de log mais antigos de um serviço quando uma das seguintes condições é verdadeira:
Um arquivo de log atinge sua idade máxima.
A pasta de log de rastreamento de mensagens atinge seu tamanho máximo.
Observações:
O tamanho máximo da pasta de log de rastreamento de mensagens é calculado como o tamanho total de todos os arquivos de log que têm o mesmo prefixo de nome. Outros arquivos que não seguem a convenção de prefixo de nome não são contados no cálculo total do tamanho da pasta. Renomear arquivos de log antigos ou copiar outros arquivos na pasta de log de rastreamento de mensagens pode fazer com que a pasta exceda o tamanho máximo especificado.
Nos servidores da caixa de correio, o tamanho máximo da pasta de log de rastreamento de mensagens é três vezes o valor especificado. Embora os arquivos de log de rastreamento de mensagens sejam gerados pelos quatro serviços diferentes e tenham quatro prefixos de nome diferentes, a quantidade e a frequência dos dados gravados no log de transporte moderado (
MSGTRKMA) são insignificantes em comparação com os outros três logs.
Os arquivos de log de controle de mensagens são arquivos de texto que contêm dados no formato de arquivo de CSV (valores separados por vírgula). Cada arquivo de log de controle de mensagens possui um cabeçalho com as seguintes informações:
#Software: o valor é
Microsoft Exchange Server.#Version: número de versão do servidor exchange que criou o arquivo de log de rastreamento de mensagens. O valor usa o formato
15.01.nnnn.nnn.#Log Tipo: o valor é
Message Tracking Log.#Date: a data-hora utc quando o arquivo de log foi criado. A data-hora utc é representada no formato iso 8601 date-time: yyyy-mm-ddThh:mm:ss.fffZ, onde yyyy = year, mm = month, dd = day, T indica o início do componente de tempo, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC.
#Fields: nomes de campo delimitados por vírgula que são usados nos arquivos de log de rastreamento de mensagens.
Os campos nos arquivos de log de controle de mensagens
O log de controle de mensagens armazena cada evento de mensagem em uma única linha no log. As informações de evento de mensagens são organizadas por campos, que são separados por vírgulas. Geralmente, o nome do campo é suficientemente descritivo para determinar o tipo de informação que ele contém. Contudo, alguns campos podem estar em branco, ou o tipo de informação no campo pode mudar com base no tipo de evento de mensagem e no serviço que gravou o evento. As descrições gerais dos campos que são utilizados para classificar cada evento de controle de mensagens são explicadas na tabela seguinte.
| Nome do campo | Descrição |
|---|---|
| date-time | A data e a hora UTC do evento de controle de mensagens. A data-hora utc é representada no formato iso 8601 date-time: yyyy-mm-ddThh:mm:ss.fffZ, onde yyyy = year, mm = month, dd = day, T indica o início do componente de tempo, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC. |
| client-ip | O endereço IPv4 ou IPv6 do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
| client-hostname | O nome de host ou FQDN do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
| server-ip | O endereço IPv4 ou IPv6 do servidor de origem ou destino. |
| server-hostname | O nome de host ou FQDN do servidor de destino. |
| source-context | Informações extras associadas ao campo source. Por exemplo:CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | O nome do conector Enviar ou Receber conector que aceitou a mensagem. Por exemplo, ServerName\ ConnectorName ou ConnectorName. |
| source | O componente de transporte do Exchange responsável pelo evento. Esses valores são descritos na seção Valores de origem na seção log de rastreamento de mensagens posteriormente neste tópico. |
| event-id | O tipo de evento de mensagem. Esses valores são descritos nos tipos de evento na seção log de rastreamento de mensagens posteriormente neste tópico. |
| internal-message-id | Um identificador de mensagem atribuído pelo servidor exchange que está processando a mensagem no momento. A id de mensagem interna de uma mensagem é diferente no log de acompanhamento de mensagens de cada servidor do Exchange envolvido na transmissão da mensagem. Um valor de exemplo é 73014444033. |
| message-id | O valor do campo ID da Mensagem: cabeçalho no cabeçalho da mensagem. Se o campo ID de Mensagem: cabeçalho não existir ou estiver em branco, o Exchange atribuirá um valor arbitrário. Esse valor é constante durante o tempo de vida da mensagem. Para mensagens criadas no Exchange, o valor está no formato <GUID@ServerFQDN>, incluindo os colchetes de ângulo (< >). Por exemplo, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Outros sistemas de mensagens podem usar sintaxe ou valores diferentes. |
| network-message-id | Um valor de ID de mensagem exclusivo que persiste nas cópias da mensagem que podem ser criadas devido à bifurcação ou à expansão do grupo de distribuição. Um valor de exemplo é 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Os endereços de email dos destinatários da mensagem. Vários endereços de email são separados pelo caractere de ponto-e-vírgula (;). |
| recipient-status | O status do destinatário de cada destinatário separado pelo caractere ponto-e-vírgula (;). Os valores de status são apresentados para os destinatários na mesma ordem que os valores no campo recipient-address. Os valores de status de exemplo incluem:To, Cc ou Bcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | O tamanho total da mensagem em bytes, incluindo todos os anexos. |
| recipient-count | O número total de destinatários na mensagem. |
| related-recipient-address | Esse campo é usado com eventos EXPAND, REDIRECT e RESOLVE para exibir outros endereços de email do destinatário associados à mensagem. |
| reference | Esse campo contém informações adicionais para tipos específicos de eventos. Por exemplo: DSN: contém o link do relatório, que é o valor ID de mensagem da notificação de status de entrega associada (também conhecida como DSN, mensagem de salto, relatório de não entrega ou NDR) se um DSN for gerado posteriormente a esse evento. Se esta for uma mensagem DSN, o campo Referência contém o valor ID de Mensagem da mensagem original para a qual o DSN foi gerado. EXPAND: contém o valor de endereço de destinatário relacionado das mensagens relacionadas. RECEBER: pode conter o valor ID de mensagem da mensagem relacionada se a mensagem foi gerada por outros processos, por exemplo, regras de diário ou caixa de entrada. SEND: contém o valor ID de mensagem interna de qualquer mensagem DSN. THROTTLE: contém o motivo pelo qual a mensagem foi limitada. TRANSFER: contém o valor de ID de Mensagem Interna da mensagem que está sendo bifurcado. Mensagem gerada por regras de caixa de entrada: contém o valor ID interno-mensagem da mensagem de entrada que fez com que a regra da caixa de entrada gerasse a mensagem de saída. Mensagens bifurcadas: pode conter o valor internal-message-Id . Para outros tipos de eventos, esse campo geralmente fica em branco. |
| message-subject | O assunto da mensagem encontrado no campo de cabeçalho Subject:. O acompanhamento de sujeitos de mensagem é controlado pelo parâmetro MessageTrackingLogSubjectLoggingEnabled no cmdlet Set-TransportService . Por padrão, o acompanhamento dos assuntos da mensagem está habilitado. |
| sender-address | O endereço de email especificado no campo Remetente: cabeçalho ou no campo De: cabeçalho se o campo Remetente: não existir. |
| return-path | O endereço de email de retorno especificado pelo comando MAIL FROM que enviou a mensagem. Embora esse campo nunca esteja vazio, ele pode ter o valor de endereço do remetente nulo representado como <>. |
| message-info | Informações adicionais sobre a mensagem. Por exemplo: A data-hora de origem da mensagem em UTC para eventos DELIVER e SEND . A data e a hora de origem é o momento em que a mensagem entrou pela primeira vez na organização do Exchange. A data-hora utc é representada no formato iso 8601 date-time: yyyy-mm-ddThh:mm:ss.fffZ, onde yyyy = year, mm = month, dd = day, T indica o início do componente de tempo, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC. Erros de autenticação. Por exemplo, você pode ver o valor 11a e o tipo de autenticação que foi usado quando o erro de autenticação ocorreu. |
| directionality | A direção da mensagem. Os valores de exemplo incluem Incoming, Undefinede Originating. |
| tenant-id | Esse campo não é usado em organizações locais do Exchange. |
| original-client-ip | O endereço IPv4 ou IPv6 do cliente original. |
| original-server-ip | O endereço IPv4 ou IPv6 do servidor original. |
| custom-data | Este campo contém dados relacionados a tipos de evento específicos. Por exemplo, o agente regra de transporte usa esse campo para registrar o GUID da regra de fluxo de email (também conhecida como regra de transporte) ou da política DLP que atuou na mensagem. Para obter mais informações, confira Exibir relatórios de detecção de política DLP. |
| transport-traffic-type | No Exchange local, esse campo está em branco ou tem o valor Email. |
| log-id | Um identificador exclusivo para uma linha no no log de rastreamento de mensagens. Esse campo não é importante em organizações locais do Exchange. |
| schema-version | Número da versão do servidor exchange que criou a entrada no log de rastreamento de mensagens. O valor usa o formato 15.01.nnnn.nnn. |
Tipos de eventos no log de controle de mensagens
Vários tipos de eventos no campo event-id são usados para classificar os eventos de mensagens no log de controle de mensagens. Alguns eventos de mensagens aparecem em apenas um tipo de arquivo de log de controle de mensagens, enquanto outros aparecem em todos os tipos de arquivos de log de controle de mensagens. Os tipos de eventos usados para classificar cada evento de mensagem são explicados na tabela a seguir.
| Nome do evento | Descrição |
|---|---|
| AGENTINFO | Esse evento é usado por agentes de transporte para registrar dados personalizados. |
| BADMAIL | Uma mensagem enviada pelo diretório de Retirada ou pelo diretório de Repetição que não pode ser entregue nem retornada. |
| CLIENTSUBMISSION | Uma mensagem foi enviada da caixa de correio De uma caixa de correio. |
| DEFER | A entrega da mensagem foi atrasada. |
| DELIVER | Uma mensagem foi entregue a uma caixa de correio local. |
| DELIVERFAIL | Um agente tentou entregar a mensagem a uma pasta que não existe na caixa de correio. |
| DROP | Uma mensagem foi removida sem uma notificação de status de entrega (também conhecida como uma DSN, mensagem de devolução, notificação de falha na entrega ou NDR). Por exemplo:
|
| DSN | Uma notificação de status de entrega (DSN) foi gerada. |
| DUPLICATEDELIVER | Uma mensagem duplicada foi entregue ao destinatário. A duplicação poderá ocorrer se um destinatário for membro de vários grupos de distribuição aninhados. As mensagens duplicadas são detectadas e removidas pelo repositório de informações. |
| DUPLICATEEXPAND | Durante a expansão do grupo de distribuição, um destinatário duplicado foi detectado. |
| DUPLICATEREDIRECT | Um destinatário alternativo para a mensagem já era um destinatário. |
| EXPAND | Um grupo de distribuição foi expandido. |
| FAIL | Falha na entrega da mensagem. Os valores de exemplo incluem SMTP, DNS, QUEUE e ROUTING. |
| HADISCARD | A mensagem de sombra foi descartada após a cópia primária ser entregue para o próximo salto. Para obter mais informações, consulte Redundância de sombra em Exchange Server. |
| HARECEIVE | A mensagem de sombra foi recebida pelo servidor no DAG (grupo de disponibilidade do banco de dados) local ou site do Active Directory. |
| HAREDIRECT | Uma mensagem de sombra foi criada. |
| HAREDIRECTFAIL | Falha ao criar uma mensagem de sombra. Os detalhes são armazenados no campo source-context. |
| INITMESSAGECREATED | Uma mensagem foi enviada a um destinatário moderado e, portanto, ela foi enviada à caixa de correio de arbitragem para aprovação. Para saber mais, confira Gerenciar a aprovação de mensagens. |
| LOAD | Uma mensagem foi carregada com êxito durante a inicialização. |
| MODERATIONEXPIRE | Um moderador para um destinatário moderado nunca aprovou ou rejeitou a mensagem e, portanto, ela expirou. Para saber mais sobre destinatários moderados, confira Gerenciar a aprovação de mensagens. |
| MODERATORAPPROVE | Um moderador para um destinatário moderado aprovou a mensagem e, portanto, ela foi entregue ao destinatário moderado. |
| MODERATORREJECT | Um moderador para um destinatário moderado rejeitou a mensagem e, portanto, ela não foi entregue ao destinatário moderado. |
| MODERATORSALLNDR | Todas as solicitações de aprovação enviadas a todos os moderadores de um destinatário moderado não foram entregues e resultaram em relatórios de não entrega (também conhecidos como NDRs ou mensagens de salto). |
| NOTIFYMAPI | Uma mensagem foi detectada na Caixa de Saída de uma caixa de correio no servidor local. |
| NOTIFYSHADOW | Uma mensagem foi detectada na Caixa de Saída de uma caixa de correio no servidor local, e uma cópia de sombra da mensagem precisa ser criada. |
| POISONMESSAGE | Uma mensagem foi colocada na fila de mensagens suspeitas ou removida dessa fila. |
| PROCESS | A mensagem foi processada com êxito. |
| PROCESSMEETINGMESSAGE | Uma mensagem de reunião foi processada pelo serviço de Entrega de Transporte de Caixa de Correio. |
| RECEIVE | Uma mensagem foi recebida pelo componente de recebimento SMTP do serviço de transporte ou dos diretórios Pickup ou Replay (fonte: SMTP), ou uma mensagem foi enviada de uma caixa de correio para o serviço envio de transporte da caixa de correio (fonte: STOREDRIVER). |
| REDIRECT | Uma mensagem foi redirecionada para um destinatário alternativo após uma pesquisa do Active Directory. |
| RESOLVE | Os destinatários de uma mensagem foram resolvidos para um endereço de email diferente após uma pesquisa do Active Directory. |
| RESUBMIT | Uma mensagem foi reenviada automaticamente a partir da Rede Segura. Para obter mais informações, consulte Safety Net no Exchange Server. |
| RESUBMITDEFER | Uma mensagem reenviada a partir da Rede Segura foi adiada. |
| RESUBMITFAIL | Uma mensagem reenviada da Rede Segura falhou. |
| SEND | Uma mensagem foi enviada por SMTP entre serviços de transporte. |
| SUBMIT | O serviço de Envio de Transporte de Caixa de Correio transmitiu com êxito a mensagem para o serviço de Transporte. Para eventos SUBMIT, a propriedade source-context contém os seguintes detalhes:
|
| SUBMITDEFER | A transmissão de mensagens do serviço de Envio de Transporte da Caixa de Correio para o serviço de Transporte foi adiada. |
| SUBMITFAIL | A transmissão de mensagem do serviço de Envio de Transporte da Caixa de Correio para o serviço de Transporte falhou. |
| SUPPRESSED | A transmissão de mensagem foi suprimida. |
| THROTTLE | A mensagem foi limitada. |
| TRANSFER | Os destinatários foram movidos para uma mensagem bifurcada devido à conversão do conteúdo, limites de destinatário de mensagem ou agentes. As origens incluem ROUTING ou QUEUE. |
Os valores de origem no log de controle de mensagens
Os valores no campo source no log de controle de mensagens indicam o componente de transporte que é responsável pelo evento de controle de mensagens. A tabela a seguir descreve os valores do campo source.
| Valor de origem | Descrição |
|---|---|
| ADMIN | A origem do evento foi intervenção humana. Por exemplo, um administrador usou o Visualizador de Filas para excluir uma mensagem ou enviou arquivos de mensagens usando o diretório de Repetição. |
| AGENT | A origem do evento foi um agente de transporte |
| APPROVAL | A origem do evento foi a estrutura de aprovação que é usada com destinatários moderados. Para saber mais, confira Gerenciar a aprovação de mensagens. |
| BOOTLOADER | A origem do evento foi mensagens não processadas que havia no servidor no momento da inicialização. Isso está relacionado ao tipo de evento LOAD. |
| DNS | A origem do evento foi DNS. |
| DSN | A origem do evento foi uma notificação de status de entrega (também conhecida como DSN, mensagem de salto, relatório de não entrega ou NDR). |
| GATEWAY | A origem do evento foi um conector Externo. Para obter mais informações, consulte Conectores Estrangeiros. |
| MAILBOXRULE | A origem do evento foi uma regra de caixa de entrada. Para saber mais, confira o artigo sobre regras de caixa de entrada. |
| MEETINGMESSAGEPROCESSOR | A origem do evento foi um processador de mensagens de reuniões que atualiza calendários com base em atualizações de reunião. |
| ORAR | A origem do evento foi um ORAR (Destinatário Alternativo Solicitado pelo Remetente). Você pode habilitar ou desabilitar o suporte para ORAR em Conectores de Recebimento usando o parâmetro OrarEnabled nos cmdlets New-ReceiveConnector ou Set-ReceiveConnector . |
| PICKUP | A origem do evento foi o diretório de Retirada. Para obter mais informações, consulte Diretório de Coleta e Diretório de Reprodução. |
| POISONMESSAGE | A origem do evento foi o identificador de mensagens suspeitas. Para obter mais informações sobre mensagens venenosas e a fila de mensagens venenosas, confira Filas e mensagens em filas |
| PUBLICFOLDER | A origem do evento foi uma pasta pública habilitada para email. |
| QUEUE | A origem do evento foi uma fila. |
| REDUNDANCY | A origem do evento foi a redundância de sombra. Para obter mais informações, consulte Redundância de sombra em Exchange Server. |
| RESOLVEDOR | A origem do evento foi o componente de resolução do destinatário do categorizador no serviço de transporte. Para obter mais informações, consulte Resolução do destinatário em Exchange Server. |
| ROUTING | A origem do evento foi o componente de resolução de roteamento do categorizador no serviço de transporte. |
| SAFETYNET | A origem do evento foi a Rede Segura. Para obter mais informações, consulte Safety Net no Exchange Server. |
| SMTP | A mensagem foi enviada pelo componente de envio ou recebimento SMTP do serviço de transporte. |
| STOREDRIVER | A origem do evento foi um envio MAPI de uma caixa de correio no servidor local. |
Entradas de exemplo no log de controle de mensagens
Uma mensagem sem eventos enviada entre dois usuários gera várias entradas no log de controle de mensagens. Você pode ver os resultados usando o cmdlet Get-MessageTrackingLog. Para saber mais, confira Logs de rastreamento de mensagens de pesquisa.
Este é um exemplo das entradas de log de rastreamento de mensagens criadas quando o usuário chris@contoso.com envia com êxito uma mensagem de teste para o usuário michelle@contoso.com. Os dois usuários têm caixas de correio no mesmo servidor.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problemas de segurança relacionados ao log de controle de mensagens
Nenhum conteúdo de mensagem é armazenado no log de controle de mensagens. Por padrão, a linha de assunto de uma mensagem de email é armazenada no log de controle de mensagens. Talvez seja necessário desabilitar o registro em log de sujeitos para atender aos requisitos de segurança ou privacidade aumentados. Para obter instruções sobre como desabilitar o log do assunto, consulte Configurar o rastreamento de mensagens.