Поиск в журналах отслеживания сообщений

Область применения: Exchange Server 2013 г.

В Microsoft Exchange Server 2013 журнал отслеживания сообщений содержит подробные сведения о всей активности сообщений при их передаче на транспортную службу и с нее на серверы почтовых ящиков, в почтовые ящики на этих серверах и на пограничные транспортные серверы.

Командлет Get-MessageTrackingLog в командной консоли Exchange позволяет искать записи в журнале отслеживания сообщений, используя определенные условия поиска.

Что нужно знать перед началом работы

  • Предполагаемое время выполнения: 30 минут

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Отслеживание сообщений" в разделе Разрешения потока обработки почты .

  • Для поиска журналов отслеживания сообщений требуется служба журнала транспорта Microsoft Exchange. Если вы отключите или остановите эту службу, то не сможете выполнять поиск в журналах отслеживания сообщений или создавать отчеты о доставке. Однако остановка этой службы не затрагивает другие функции Exchange.

  • Имена полей, отображаемые в результатах командлета Get-MessageTrackingLog , похожи на фактические имена полей, используемые в журналах отслеживания сообщений. Ниже приведены основные различия.

    • Дефисы удаляются из имен полей. Например , внутренний идентификатор сообщения отображается как InternalMessageId.

    • Поле даты и времени отображается как Timestamp.

    • Поле адреса получателя отображается как Recipients.

    • Поле отправителя-адреса отображается как Sender.

  • В поле date-time журнала отслеживания сообщений информация хранится в формате UTC. Однако необходимо ввести критерии поиска даты и времени для параметров Start или End в формате региональной даты и времени компьютера, используемого для выполнения поиска.

  • Нельзя скопировать файлы журнала отслеживания сообщений с другого сервера Exchange, а затем выполнить в них поиск с помощью командлета Get-MessageTrackingLog. Кроме того, если вручную сохранить файл журнала отслеживания сообщений, изменение метки даты и времени в файле нарушит логику запросов, используемую в Exchange для поиска данных в журналах отслеживания сообщений.

  • Командлет Get-MessageTrackingLog в Exchange 2013 позволяет выполнять поиск журналов отслеживания сообщений на серверах Exchange 2007 и Exchange 2010 на одном сайте Active Directory.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Поиск по журналам отслеживания сообщений с помощью оболочки

При поиске записей об определенных событиях в журналах отслеживания сообщений введите команду в следующем формате.

Get-MessageTrackingLog [-Server <ServerIdentity.] [-ResultSize <Integer> | Unlimited] [-Start <DateTime>] [-End <DateTime>] [-EventId <EventId>] [-InternalMessageId <InternalMessageId>] [-MessageId <MessageId>] [-MessageSubject <Subject>] [-Recipients <RecipientAddress1,RecipientAddress2...>] [-Reference <Reference>] [-Sender <SenderAddress>]

Чтобы просмотреть 1000 последних записей в журнале отслеживания сообщений на сервере, выполните следующую команду.

Get-MessageTrackingLog

В этом примере выполняется поиск в журналах отслеживания сообщений на локальном сервере для всех записей с 28.03.2013 с 8:00 по 28.03.2013 17:00 для всех событий FAIL , в которых отправитель сообщения был pat@contoso.com.

Get-MessageTrackingLog -ResultSize Unlimited -Start "3/28/2013 8:00AM" -End "3/28/2013 5:00PM" -EventId "Fail" -Sender "pat@contoso.com"

Введите команду в следующем формате.

Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> [<FieldNames>] [<OutputFileOptions>]

В этом примере в журналах отслеживания сообщений выполняется поиск со следующими условиями.

  • Возвращаются результаты для первых 1000 событий с меткой Send.

  • Результаты отображаются в формате списка.

  • Отображение только тех имен полей, которые начинаются с Send или Recipient.

  • Запись выходных данных в новый файл с именем D:\Send Search.txt

Get-MessageTrackingLog -EventId Send | Format-List Send*,Recipient* > "D:\Send Search.txt"

Использование оболочки для поиска записей сообщений в журналах отслеживания сообщений на нескольких серверах

Обычно значение в поле заголовка MessageID: остается неизменным по мере продвижения сообщения в организации Exchange. В программах просмотра очереди это свойство называется InternetMessageId, а в программах просмотра журнала отслеживания сообщений — MessageId. Определив MessageID: значение определенного сообщения, вы можете искать сведения об этом сообщении в журналах отслеживания сообщений на каждом сервере почтовых ящиков в организации Exchange.

Чтобы найти определенное сообщение на всех серверах почтовых ящиков во всех записях журнала отслеживания сообщений, используйте следующий синтаксис.

Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId <MessageID> | Select-Object <CommaSeparatedFieldNames> | Sort-Object -Property <FieldName>

В этом примере выполняется поиск журналов отслеживания сообщений на всех серверах почтовых ящиков Exchange 2013 с помощью следующих условий поиска:

  • Найдите все записи, связанные с сообщением, которое имеет MessageID: значение <ba18339e-8151-4ff3-aeea-87ccf5fc9796@mailbox01.contoso.com>. Обратите внимание, что знаки угловой скобки (<>) можно опустить. Если не сделать этого, все значение поля MessageID: необходимо заключить в кавычки.

  • Для каждой записи отображаются поля date-time, server-hostname, client-hostname, source, event-id и recipient-address.

  • Результаты сортируются по полю date-time.

Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId ba18339e-8151-4ff3-aeea-87ccf5fc9796@mailbox01.contoso.com | Select-Object Timestamp,ServerHostname,ClientHostname,Source,EventId,Recipients | Sort-Object -Property Timestamp

Использование Центра администрирования Exchange для поиска данных в журналах отслеживания сообщений

Вы можете использовать функцию "Отчеты о доставке для администраторов" в Центре администрирования Exchange (EAC) для поиска в журналах отслеживания сообщений на наличие сведений о сообщениях, отправленных или полученных определенным почтовым ящиком в вашей организации. Дополнительные сведения см. в разделе Отслеживание сообщений с помощью отчетов о доставке.