Отслеживание сообщений

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-12-09

В Microsoft Exchange Server 2013 журнал отслеживания сообщений содержит подробные сведения о всей активности сообщений при их передаче на транспортную службу и с нее на серверы почтовых ящиков, в почтовые ящики на этих серверах и на пограничные транспортные серверы. Журналы отслеживания сообщений можно использовать для изучения сообщений, анализа потока почты, создания отчетов и устранения неполадок.

В Exchange 2013 можно использовать командлеты Set-TransportService и Set-MailboxServer для всех задач отслеживания конфигурации, поскольку на сервере почтовых ящиков Exchange 2013 расположена служба транспорта и почтовые ящики. Любой из этих командлетов можно использовать для внесения следующих изменений в настройку отслеживания сообщений.

  • Включение и отключение отслеживания сообщений. По умолчанию регистрация включена.

  • Выбор расположения файлов журналов отслеживания сообщений.

  • Задание максимального размера отдельных файлов журналов отслеживания сообщений. Значение по умолчанию — 10 МБ.

  • Задание максимального размера каталога, который содержит файлы журналов отслеживания сообщений. Значение по умолчанию — 1 000 MB.

  • Задание максимального времени хранения файлов журналов отслеживания сообщений. Значение по умолчанию — 30 дней.

  • Включение и отключение регистрации темы сообщений в журналах отслеживания сообщений. По умолчанию регистрация включена.

ПримечаниеПримечание.
Включать и отключать отслеживание сообщений, а также указывать расположение файлов журнала отслеживания сообщений можно также в Центре администрирования Exchange.

По умолчанию для ограничения пространства на диске, где хранятся журналы отслеживания сообщений, сервер Exchange использует циклическое ведение журнала, чтобы ограничивать размер этих журналов, исходя из размера файлов и срока их хранения.

Содержание

Поиск в журнале отслеживания сообщений

Структура файлов журналов отслеживания сообщений

Поля в файлах журналов отслеживания сообщений

Типы событий в журнале отслеживания сообщений

Значения источника в журнале отслеживания сообщений

Примеры записей в журнале отслеживания сообщений

Журнал отслеживания сообщений и вопросы безопасности

Журналы отслеживания сообщений содержат большое количество данных, собранных при перемещении сообщений через сервер почтовых ящиков Exchange 2013. При поиске в журналах отслеживания сообщений можно использовать несколько разных параметров.

  • Get-MessageTrackingLog   С помощью этого командлета администраторы могут искать в журнале отслеживания сообщений информацию о сообщениях, используя различные критерии фильтрации. Подробнее см. в разделе Поиск в журналах отслеживания сообщений.

  • Отчеты о доставке для администраторов   С помощью вкладки Отчеты о доставке в Центре администрирования Exchange или командлетов Search-MessageTrackingReport и Get-MesageTrackingReport администраторы могут искать в журналах отслеживания сообщений информацию о сообщениях, отправленных или полученных определенным почтовым ящиком организации. Дополнительные сведения см. в разделе Отчеты о доставке для администраторов.

  • Отчеты о доставке для пользователей   С помощью вкладки Отчеты о доставке в Outlook Web App пользователи могут искать в журналах отслеживания сообщений информацию о сообщениях, отправленных или полученных их собственным почтовым ящиком. Дополнительные сведения см. в разделе Отчеты о доставке для пользователей.

В начало

По умолчанию файлы журнала отслеживания сообщений сохраняются в каталоге %ExchangeInstallPath%TransportRoles\Logs\MessageTracking.

Для файлов журнала в каталоге журнала слежения за сообщениями используется следующий шаблон имени: MSGTRKггггммдд-нннн.log, MSGTRKMAггггммдд-нннн.log, MSGTRKMDггггммдд-нннн.log и MSGTRKMSггггммдд-нннн.log. Различные журналы используются следующими службами.

  • MSGTRK   Эти журналы связаны со службой транспорта.

  • MSGTRKMA   В этих журналах регистрируются одобрения и отклонения, используемые управляемым транспортом. Подробнее см. в разделе Управление утверждением сообщений.

  • MSGTRKMD   Это журналы для сообщений, доставляемых в почтовые ящики службы доставки почты.

  • MSGTRKMS   Это журналы для сообщений, отправляемых из почтовых ящиков службы отправки почтовых ящиков.

Прототипы в именах файлов журналов означают следующее:

  • Прототип ггггммдд представляет собой дату создания файла журнала в формате UTC (гггг = год, мм = месяц и дд =  день).

  • Прототип nnnn — это номер экземпляра, который ежедневно начинается с 1 для каждого префикса имен файлов журналов отслеживания сообщений.

Данные будут записываться в каждый файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения. После этого будет открыт новый файл журнала со следующим порядковым номером. Эта процедура повторяется в течение дня. Функциональная возможность циклического ведения журналов удаляет наиболее старые файлы журнала при выполнении одного из следующих условий:

  • файл журнала достиг максимального установленного срока хранения;

  • каталог журналов отслеживания сообщений достиг максимального размера.

    ВажноВажно!
    Максимальный размер каталога журналов отслеживания сообщений равен общему размеру всех файлов журнала, которые имеют одинаковый префикс имен. При расчете общего размера каталога не учитываются другие файлы, которые не соответствуют соглашению о префиксе имен. Переименование старых файлов журнала или копирование других файлов в каталог журналов отслеживания сообщений может привести к превышению заданного максимального размера каталога.
    Максимальный размер каталога журнала отслеживания сообщений для серверов почтовых ящиков Exchange 2013 представляет собой указанное значение, умноженное на три. Несмотря на то что файлы журнала отслеживания сообщений, создаваемые четырьмя различными службами, имеют четыре различных префикса имен, количество и частота данных, записываемых в файлы журнала MSGTRKMA, являются незначительными по сравнению с тремя другими префиксами.

Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:

  • #Software:   Название программы, создавшей файл журнала отслеживания сообщений. Как правило, значением является: Microsoft Exchange Server.

  • #Version:   Номер версии программы, создавшей файл журнала отслеживания сообщений. Текущее значение — 15.0.0.0.

  • #Log-Type:   Значение типа журнала — "Message Tracking Log".

  • #Date:   Дата и время создания файла журнала в формате UTC. Дата и время в формате UTC переводятся в формат по стандарту ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, где yyyy — год, mm — месяц, dd — день, hh — час, mm — минута, ss — секунда, fff — доли секунды. "T" указывает на начало кода времени. "Z" значит "время зулу" (еще одно обозначение формата UTC).

  • #Fields   Разделенные запятыми имена полей, используемые в файлах журнала отслеживания сообщений.

В начало

В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Информация о событиях с сообщениями упорядочена по полям, разделенным запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут оставаться пустыми и может изменяться тип информации, которая хранится в поле, в зависимости от типа события с сообщением и типа файла журнала отслеживания сообщений, где было записано событие. В следующей таблице приводятся общие описания полей, которые используются для классификации каждого события отслеживания сообщений.

 

Имя поля Описание

date-time

Дата и время события отслеживания сообщений в формате UTC. Дата и время в формате UTC переводятся в формат по стандарту ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, где yyyy — год, mm — месяц, dd — день, hh — час, mm — минута, ss — секунда, fff — доли секунды. "T" указывает на начало кода времени. "Z" значит "время зулу" (еще одно обозначение формата UTC).

client-ip

Адрес IPv4 или IPv6 сервера или клиента, который отправил сообщение.

client-hostname

Имя узла или полное доменное имя сервера или клиента обмена сообщениями , который отправил сообщение.

server-ip

Адрес IPv4 или IPv6 исходного сервера или сервера назначения Exchange.

server-hostname

Имя узла или полное доменное имя сервера назначения.

source-context

Дополнительная информация, относящаяся к полю источника. Например, информация об агенте транспорта.

connector-id

Имя исходного или конечного соединителя отправки или приема. Например, Имя_сервера\Имя_соединителя или Имя_соединителя.

source

Компонент транспорта Exchange, отвечающий за событие, связанное с отслеживанием сообщений. Значения, которые содержатся в этом поле, описаны в разделе Значения источника в журнале отслеживания сообщений далее.

event-id

Тип события. Типы событий описаны в разделеТипы событий в журнале отслеживания сообщений далее.

internal-message-id

Идентификатор сообщения, назначенный сервером Exchange, который выполняет текущую обработку сообщения.

В журнале отслеживания сообщений на каждом из серверов Exchange, которые участвуют в передаче сообщения, для каждого отдельного сообщения будет указываться свое значение internal-message-id. Пример значения: 73014444033.

message-id

Значение поля заголовка Message-Id: в заголовке сообщения. Если поле заголовка Message-Id: не существует или пусто, назначается произвольное значение. Это значение не изменяется на протяжении всего времени жизни сообщения. Для созданных в Exchange сообщений значение указывается в формате <GUID@ServerFQDN>, включая угловые скобки (< >). Например, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. В других системах обмена сообщениями могут использоваться другие значения или синтаксис.

network-message-id

Уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. Пример значения: 1341ac7b13fb42ab4d4408cf7f55890f.

recipient-address

Адрес электронной почты получателя сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;).

recipient-status

Это поле содержит состояния каждого получателя, разделенные символом точки с запятой (;). Значения состояния представляются получателям в таком же порядке, как и значения в поле recipient-address. Примеры значений состояния: 250 2.1.5 Recipient OK и 550 4.4.7 QUEUE.Expired;<ErrorText>.

total-bytes

Размер сообщения с учетом вложений (в байтах).

recipient-count

Количество получателей сообщения.

related-recipient-address

В этом поле для событий EXPAND, REDIRECT и RESOLVE выводятся другие адреса получателей, связанные с сообщением.

reference

В этом поле содержится дополнительная информация о конкретных типах событий. Например:

DSN   Содержит ссылку на отчет, которая является значением Message-Id связанного уведомления о доставке (DSN), если после события создается DSN. Если это сообщение DSN, в поле Reference содержится значение Message-Id исходного сообщения, для которого был создан DNS.

EXPAND   Справочное поле содержит значение related-recipient-address связанных сообщений.

RECEIVE   Справочное поле может содержать значение Message-Id связанного сообщения, если сообщение было создано другими процессами, например ведением журнала или правилами для папки "Входящие".

SEND   Справочное поле содержит значение Internal-Message-Id любых сообщений DSN.

THROTTLE   Справочное поле содержит причину регулирования сообщения.

TRANSFER   В данном справочном поле содержится идентификатор Internal-Message-Id сообщения с ветвлением.

Для сообщений, созданных правилами для папки "Входящие", поле Справка содержит значение Internal-Message-Id входящего сообщения, из-за которого правило для папки "Входящие" создало исходящее сообщение.

Для других типов событий поле Справка может содержать значение Internal-Message-Id для разветвленных сообщений.

Для остальных типов событий поле Справка не заполняется.

message-subject

Тема сообщения указывается в поле заголовка Subject:. Отслеживание тем сообщений контролируется параметром MessageTrackingLogSubjectLoggingEnabled в командлете Set-TransportService или Set-MailboxServer. По умолчанию отслеживание тем сообщений включено.

sender-address

Адрес электронной почты, указанный в поле заголовка Sender: или в поле заголовка From: (если заголовок Sender: отсутствует).

return-path

Обратный адрес электронной почты, указанный в параметре MAIL FROM: конверта сообщения. Несмотря на то что это поле всегда заполнено, в нем может быть указан нулевой адрес отправителя в виде значения <>.

message-info

Дополнительные сведения о сообщении. Например:

  • Дата и время поступления сообщения в формате UTC для событий DELIVER и SEND. Это дата и время первоначального поступления сообщения в организацию Exchange. Дата и время в формате UTC переводятся в формат по стандарту ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, где yyyy — год, mm — месяц, dd — день, hh — час, mm — минута, ss — секунда, fff — доли секунды. "T" указывает на начало кода времени. "Z" значит "время зулу" (еще одно обозначение формата UTC).

  • Ошибки проверки подлинности. Например, может отображаться значение 11a и тип проверки подлинности, который использовался, когда произошла ошибка.

directionality

Направление сообщения. Примеры значений: Incoming, Undefined и Originating.

tenant-id

Это поле не используется в локальных организациях Exchange 2013.

original-client-ip

Адрес IPv4 или IPv6 исходного клиента.

original-server-ip

Адрес IPv4 или IPv6 исходного сервера.

custom-data

Это поле содержит данные, связанные с определенными типами событий. Например, агент правил транспорта использует это поле для записи GUID правила транспорта или политики DLP, которая применялась к сообщению. Дополнительные сведения об этих значениях агента правил транспорта см. в подразделе "Ведение журнала данных" в разделе Просмотр отчетов об обнаружении политик защиты от потери данных.

В начало

Различные типы событий в поле event-id используются для классификации событий, связанных с сообщениями, в журнале отслеживания сообщений. Некоторые события, связанные с сообщениями, отображаются только в одном типе файлов журнала отслеживания сообщений, а некоторые — во всех типах файлов. Типы событий, используемые для классификации каждого события, приведены в следующей таблице.

 

Имя события Описание

AGENTINFO

Это событие используется агентами транспорта для журналирования пользовательских данных.

BADMAIL

Сообщение отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено.

DEFER

Доставка сообщения отложена.

DELIVER

Сообщение было доставлено в локальный почтовый ящик.

DROP

Сообщение было отклонено без уведомления о доставке (также называемого сообщением возврата или отчетом о недоставке). Например:

  • сообщения о выполненных запросах для утверждения;

  • нежелательные сообщения, удаленные автоматически без отчета о недоставке.

DSN

Создано уведомление о доставке.

DUPLICATEDELIVER

Сообщение было доставлено получателю повторно. Повторная доставка сообщений может происходить в том случае, если получатель входит в несколько вложенных групп рассылки. Банк данных обнаруживает и удаляет дубликаты сообщений.

DUPLICATEEXPAND

При расширении группы рассылки обнаружен повторяющийся получатель.

DUPLICATEREDIRECT

Альтернативный получатель сообщения уже являлся получателем.

EXPAND

Была расширена группа рассылки.

FAIL

Не удается доставить сообщение. Источники: SMTP, DNS, QUEUE и ROUTING.

HADISCARD

Теневое сообщение было отвергнуто, после того как основная копия была доставлена на следующий узел. Подробнее см. в разделе Теневая избыточность.

HARECEIVE

Теневое сообщение было получено сервером в локальной группе обеспечения доступности баз данных или на сайте Active Directory.

HAREDIRECT

Создано теневое сообщение.

HAREDIRECTFAIL

Не удалось создать теневое сообщение. Сведения сохранены в поле source-context.

INITMESSAGECREATED

Сообщение отправлено контролируемому получателю, поэтому оно отправлено в почтовый ящик вынесения решения для утверждения. Подробнее см. в разделе Управление утверждением сообщений.

LOAD

Сообщение успешно загружено при загрузке.

MODERATIONEXPIRE

Модератор контролируемого получателя не утвердил и не отклонил сообщение, поэтому для него истек срок ожидания. Дополнительные сведения о контролируемых получателях см. в разделе Управление утверждением сообщений.

MODERATORAPPROVE

Модератор контролируемого получателя утвердил сообщение, поэтому оно было доставлено контролируемому получателю.

MODERATORREJECT

Модератор контролируемого получателя отклонил сообщение, поэтому оно не было доставлено контролируемому получателю.

MODERATORSALLNDR

Все запросы утверждения, отправленные всем модераторам контролируемого получателя, не могли быть доставлены и привели к отправке отчетов о недоставке.

NOTIFYMAPI

Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере.

NOTIFYSHADOW

Сообщение было обнаружено в папке "Исходящие" почтового ящика на локальном сервере, и необходимо создать теневую копию сообщения.

POISONMESSAGE

Сообщение помещено в очередь сообщений о сбое или удалено из нее.

PROCESS

Сообщение успешно обработано.

PROCESSMEETINGMESSAGE

Сообщение о собрании обработано службой транспортной доставки почтовых ящиков.

RECEIVE

Сообщение было получено компонентом получения протокола SMTP службы транспорта или из каталога раскладки или каталога преобразования (источник: SMTP), или сообщение было отправлено из почтового ящика в службу отправки почтовых ящиков (источник: STOREDRIVER).

REDIRECT

Сообщение перенаправлено другому получателю в результате поиска в Active Directory.

RESOLVE

В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты.

RESUBMIT

Сообщение было автоматически повторно отправлено из сети безопасности. Подробнее см. в разделе Система безопасности.

RESUBMITDEFER

Сообщение, повторно отправленное из сети безопасности, было отложено.

RESUBMITFAIL

Сообщение, повторно отправленное из сети безопасности, не удалось отправить.

SEND

Сообщение было отправлено протоколом SMTP между службами транспорта.

SUBMIT

Служба отправки почтовых ящиков успешно передала сообщение службе транспорта. Для событий SUBMIT свойство source-context содержит следующие данные:

  • MDB   GUID базы данных почтовых ящиков.

  • Mailbox   GUID почтового ящика.

  • Event   Порядковый номер события.

  • MessageClass   Тип сообщения. Например, IPM.Note.

  • CreationTime   Дата и время отправки сообщения.

  • ClientType   Например, User, OWA или ActiveSync.

SUBMITDEFER

Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта была отложена.

SUBMITFAIL

Передача сообщения из службы доставки почты в почтовый ящик в службу транспорта не была выполнена.

SUPPRESSED

Передача сообщения была отменена.

THROTTLE

Сообщение было отрегулировано.

TRANSFER

В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением. Источники: ROUTING или QUEUE.

В начало

Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.

 

Значение источника Описание

ADMIN

Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения.

AGENT

Источником события был агент транспорта.

APPROVAL

Источником события была платформа утверждения, используемая для контролируемых получателей. Подробнее см. в разделе Управление утверждением сообщений.

BOOTLOADER

Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD.

DNS

Источником события было DNS.

DSN

Источником события было уведомление о доставке (DSN). Например, отчет о недоставке (NDR).

GATEWAY

Источником события был внешний соединитель. Подробнее см. в разделе Внешние соединители.

MAILBOXRULE

Источником события было правило для папки "Входящие". Дополнительные сведения см. в разделе Правило для папки "Входящие".

MEETINGMESSAGEPROCESSOR

Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания.

ORAR

Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR на получающих соединителях, используя параметр OrarEnabled в командлете New-ReceiveConnector или Set-ReceiveConnector.

PICKUP

Источником события был каталог раскладки. Подробнее см. в разделе Каталог раскладки и каталог преобразования.

POISONMESSAGE

Источником события был идентификатор сообщения о сбое. Дополнительные сведения о сообщениях о сбое и очереди сообщений о сбое см. в разделе Очереди

PUBLICFOLDER

Источником события была общедоступная папка, поддерживающая почту.

QUEUE

Источником события была очередь.

REDUNDANCY

Источником события было избыточное теневое копирование. Подробнее см. в разделе Теневая избыточность.

ROUTING

Источником события был компонент разрешения маршрутизации классификатора в службе транспорта.

SAFETYNET

Источником события была сеть безопасности. Подробнее см. в разделе Система безопасности.

SMTP

Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта.

STOREDRIVER

Источником события была MAPI-отправка из почтового ящика на локальном сервере.

В начало

Не вызвавшее событий сообщение, отправленное между двумя пользователями, создает несколько записей в журнале отслеживания сообщений. Результаты можно просмотреть с помощью командлета Get-MessageTrackingLog. Подробнее см. в разделе Поиск в журналах отслеживания сообщений.

Это краткий пример записей журнала отслеживания сообщений, который создается, когда пользователь pavel@contoso.com успешно отправляет тестовое сообщение пользователю victor@contoso.com. У обоих пользователей есть почтовые ящики на одном и том же сервере.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

В начало

В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. Для повышения безопасности и конфиденциальности функцию регистрации темы сообщения в журнале можно отключить. Прежде чем включить или отключить регистрацию тем сообщения в журнале, ознакомьтесь с политикой организации относительно раскрытия сведений в строке «Тема». Подробнее см. в разделе Настройка отслеживания сообщений.

В начало

 
Показ: