В этом разделе описывается структура отчетов журнала в Microsoft Exchange Server 2007 и способ интерпретации данных этих отчетов.
Сведения об отчете журнала
Отчет журнала — это сообщение, создаваемое Microsoft Exchange, когда сообщение соответствует правилу журнала и должно быть передано в почтовый ящик ведения журнала. Исходное сообщение, соответствующее правилу журнала, включается в отчет журнала без изменений в виде вложения. Такой тип отчета журнала называется отчетом журнала конверта.
Примечание. |
---|
Exchange 2007 поддерживает только ведение журнала конверта. |
Сведения, которые содержатся в отчете журнала, организованы так, что для каждого значения в каждом поле заголовка в отчете журнала имеется отдельная строка. Это позволяет легко анализировать отчеты вручную или с помощью автоматизированного процесса (в зависимости от требований).
При регистрации сообщения агентом ведения журнала он пытается получить как можно больше сведений об исходном сообщении. Эти сведения очень важны для определения цели сообщения, его получателей и отправителей. Например, по тому, указаны ли получатели сообщения напрямую в поле «Кому» либо в поле «Копия» или же они являются частью списка рассылки, можно определить, каким образом получатель участвует в обсуждении.
В некоторых ситуациях сервер Exchange 2007 может создавать несколько отчетов журнала для одного сообщения. Количество отчетов журнала для одного сообщения электронной почты зависит от нескольких причин, таких как развертывание или наличие групп рассылки, которые были развернуты.
Отчеты журнала могут содержать конфиденциальные данные и должны защищаться от просмотра неуполномоченными лицами. Дополнительные сведения о защите отчетов журнала см. в разделе Защита отчетов журнала.
Дополнительные сведения о ведении журналов и отчетах журнала см. в следующих разделах:
Поля отчетов журнала
В следующих подразделах описаны все поля, которые содержатся в отчетах журнала, создаваемых Exchange 2007. Эти поля подразделяются на основные и расширенные поля, как показано в следующей таблице.
Основные и расширенные поля отчета журнала
Основные поля отчета журнала | Расширенные поля отчета журнала |
---|---|
Отправитель |
Кому |
Тема |
Копия |
Код сообщения |
СК |
Получатель |
От имени |
Заполнение расширенных полей отчета журнала зависит от указанных ниже условий.
- Отправка MAPI на транспортный
сервер-концентратор. Адресация получателя может
определяться при отправке сообщения на транспортный
сервер-концентратор, который использует интерфейс MAPI клиента,
например Microsoft Office Outlook 2007 или Outlook
на мобильном устройстве.
- Отправка SMTP с проверкой подлинности на транспортный
сервер-концентратор. Адресация получателя может также
определяться при отправке сообщения на транспортный
сервер-концентратор по протоколу SMTP с проверкой подлинности.
Отправитель не должен иметь разрешений «Отправить как любой
пользователь», так как это указывает на то, что отправителем
является сервер.
Если адресацию получателя можно определить для отдельного получателя, адрес электронной почты получателя вставляется в соответствующее расширенное поле «Кому», «Копия» или «СК». Эти поля описаны далее в таблице «Расширенные поля отчета журнала». Адрес электронной почты получателя не вставляется в основное поле «Получатель», которое описано далее в таблице «Основные поля отчета журнала».
Если сообщение отправляется на транспортный сервер-концентратор любым другим способом, таким как анонимная отправка с пограничного транспортного сервера или отправка с сервера с Exchange Server 2003, сервер Exchange не может установить, что адресация получателя не была изменена. Если нельзя проверить адресацию получателя, адрес электронной почты получателя вставляется в основное поле «Получатель», но не в расширенное поле «Кому», «Копия» или «СК».
Для каждого получателя, которому адресовано сообщение, добавляется одно поле получателя в отчете журнала. Поля получателя не могут содержать несколько адресов электронной почты получателя за исключением следующих случаев:
- поля получателей содержат получателей из развернутой группы
рассылки;
- поля получателей содержат получателей, которые получили
сообщение, переадресованное с другого почтового ящика.
Для сообщений в развернутые группы рассылки и переадресованных сообщений в отчет включается адрес электронной почты получателя, который получит сообщение последним, а также исходный адрес электронной почты группы рассылки или почтового ящика.
Основные поля отчета журнала
К основным полям отчета журнала Exchange 2007 относятся поля «Отправитель», «Тема» и «Код сообщения» исходного сообщения. При наличии этих сведений в исходном сообщении они включаются во все журналы отчета.
Четвертое основное поле — это поле «Получатель». Сервер Exchange 2007 классифицирует только те сведения, правильность которых подтверждена. Если сервер Exchange не может определить, был ли получатель включен в поля получателей «Кому», «Копия» или «СК», он помещается в отчете журнала в поле «Получатель».
В следующей таблице приведен список основных полей, которые включаются в текст отчета журнала.
Основные поля отчета журнала
Имя поля | Описание |
---|---|
Отправитель |
Поле «Отправитель» содержит SMTP-адрес отправителя сообщения электронной почты, указанный в поле заголовка «От» либо в поле заголовка «Отправитель», если сообщение отправлено от имени другого почтового ящика. |
Тема |
В поле Тема отображается значение заголовка темы MIME. |
Код сообщения |
Поле «Код сообщения» содержит внутренний код сообщения Exchange, соответствующий коду сообщения в файлах журнала отслеживания сообщений. |
Получатель |
Поле «Получатель» содержит SMTP-адрес получателя, который указан в сообщении электронной почты, если сервер Exchange не может определить адресацию получателя этого сообщения. К таким сообщениям относятся сообщения, отправленные с серверов Exchange прежних версий и из Интернета. |
Расширенные поля отчета журнала
Расширенные поля отчета журнала Exchange 2007 предоставляют более подробные сведения о получателе, если эти сведения доступны. Поля «Кому», «Копия» и «СК» в отчете журнала позволяют просмотреть, каким типом адресата для исходного сообщения являлся получатель.
Поле «On-Behalf-Of» заполняется, если заголовки SMTP сообщения содержат как поле «From:», так и поле «Sender:», вне зависимости от того, отправлялось ли сообщение напрямую транспортному серверу-концентратору. SMTP-адрес, указанный в поле заголовка «From:», является значением, которым заполняется поле «On-Behalf-Of».
В следующей таблице приведен список расширенных полей, которые включаются в текст отчета журнала.
Расширенные поля отчета журнала
Имя поля | Описание |
---|---|
От имени |
В поле «От имени» отображается SMTP-адрес почтового ящика, из которого поступило сообщение, если отправителем указана функция «Отправка от имени». |
Кому |
Поле «Кому» содержит SMTP-адрес получателя, который включен в конверт сообщения и в поле заголовка «Кому» этого сообщения. Адрес получателя может включаться либо непосредственно отправителем, либо косвенно (при развертывании списка рассылки или переадресации получателю другим почтовым ящиком). Чтобы указать, что сообщение было получено при развертывании списка рассылки или переадресовано, поле «Кому» может также содержать одно поле «Развернуто» или «Переадресовано», отделенное запятыми. Дополнительные сведения об этих полях см. в пунктах «Развернуто» и «Переадресовано» далее в таблице. |
Копия |
Поле «Копия» содержит SMTP-адрес получателя, который включен в конверт сообщения и в поле заголовка «Копия» этого сообщения. Адрес получателя может включаться либо непосредственно отправителем, либо косвенно (при развертывании списка рассылки или переадресации получателю другим почтовым ящиком). Чтобы указать, что сообщение было получено при развертывании списка рассылки или переадресовано, поле «Копия» может также содержать одно поле «Развернуто» или «Переадресовано», отделенное запятыми. Эти поля описываются далее в этой таблице. |
СК |
Поле «СК» содержит SMTP-адрес получателя, включенный в конверт сообщения и в поле заголовка «СК» этого сообщения. Адрес получателя может включаться либо непосредственно отправителем, либо косвенно (при развертывании списка рассылки или переадресации получателю другим почтовым ящиком). Чтобы указать, что сообщение было получено при развертывании списка рассылки или переадресовано, поле «СК» может также содержать одно поле «Развернуто» или «Переадресовано», отделенное запятыми. Эти поля описываются далее в этом разделе. |
Поля «Развернуто» и «Переадресовано»
Поля «Развернуто» и «Переадресовано» включаются в качестве дополнительных полей для полей «Получатель», «Кому», «Копия» или «СК», если получатель был определен при развертывании группы рассылки или если сообщение было переадресовано другим почтовым ящиком. В следующей таблице описаны расширенные поля «Развернуто» и «Переадресовано».
Поля «Развернуто» и «Переадресовано»
Поле | Описание |
---|---|
Развернуто |
Поле «Развернуто» отображается как дополнительное поле в полях «Кому», «Копия» и «СК», описанных выше в этой таблице. Перед полем «Развернуто» ставится запятая. SMTP-адрес, отображаемый в поле «Развернуто», является адресом списка рассылки, который содержит либо получателя, указанного в поле «Кому», «Копия» или «СК», либо вложенные списки рассылки, содержащие указанного получателя. Адрес, отображаемый в этом поле, всегда является первым разворачиваемым списком рассылки независимо от того, сколько вложенных списков рассылки может быть между исходным родительским списком рассылки и конечным развернутым получателем, указанным в поле «Кому», «Копия» или «СК». |
Переадресовано |
Поле «Переадресовано» отображается как дополнительное поле в полях «Кому», «Копия» и «СК», описанных выше в этой таблице. Перед полем «Переадресовано» ставится запятая. Обычно в поле «Переадресовано» отображается электронный адрес почтового ящика, настроенного на переадресацию сообщений электронной почты на учетную запись, указанную в поле «Кому», «Копия» и «СК». Однако можно настроить цепочку почтовых ящиков так, чтобы каждый из них переадресовывал сообщения следующему. Если настроена цепочка почтовых ящиков, выполняющих переадресацию, в данном поле отображается первый такой почтовый ящик, а SMTP-адрес конечного почтового ящика в цепочке, не выполняющего переадресацию, отображается в поле «Кому», «Копия» или «СК». |
Заголовки отчета журнала
В Exchange 2003 ведение журнала сообщения и
идентификация отчетов журнала контролируется большим двоичным
объектом X-EXCH50
. В Exchange 2007 большой
двоичный объект X-EXCH50
считается устаревшим , он
заменяется заголовками SMTP, к которым применяется брандмауэр
заголовков. Доступ к таким заголовкам SMTP могут получать только
компоненты транспорта Exchange 2007. Они удаляются из
сообщений перед доставкой в почтовые ящики или за пределы
организации Exchange 2007. Заголовок SMTP
X-MS-Exchange-Organization-Journal-Report
является
идентификатором отчета журнала Exchange 2007. Заголовок SMTP
X-MS-Exchange-Organization-Processed-By-Journaling
определяет сообщения, которые были обработаны агентом ведения
журнала Exchange 2007.
Если в сообщении присутствует заголовок SMTP
X-MS-Exchange-Organization-Journal-Report
,
Exchange 2007 определяет, что сообщение является отчетом
журнала, обрабатывает его как системное и позволяет ему обходить
ограничения размера сообщения и ограничения для почтового ящика
получателя. Если в сообщении присутствует заголовок SMTP
X-MS-Exchange-Organization-Processed-By-Journaling
,
Exchange 2007 определяет, что сообщение уже обработано агентом
ведения журнала предыдущего транспортного сервера-концентратора и
не выполняет повторное ведение журнала для сообщения.
Примечание. |
---|
Так как заголовок SMTP
X-MS-Exchange-Organization-Journal-Report удаляется
брандмауэром заголовков при доставке отчета журнала в почтовый ящик
журнала, заголовок SMTP X-MS-Journal-Report
добавляется в отчет журнала. Заголовок SMTP
X-MS-Journal-Report позволяет отличить отчет журнала
от обычного сообщения, но не используется никакими компонентами
транспорта Exchange 2007. |
Заголовки SMTP
X-MS-Exchange-Organization-Journal-Report
,
X-MS-Exchange-Organization-Processed-By-Journaling
и
X-MS-Journal-Report
не содержат значений. Наличие этих
заголовков в сообщении (см. выше) указывает на то, что сообщение
является отчетом журнала или было обработано агентом ведения
журнала.
Дополнительные сведения см. в следующих разделах:
- Брандмауэр заголовков SMTP Общие сведения о
брандмауэре заголовков.
- Взаимодействие Exchange Server 2003 и Exchange Server
2007 Общие сведения о ведении
журнала в смешанной среде Exchange 2003 и Exchange 2007
Примеры отчетов журнала
На первом рисунке в этом разделе показан пример отчета журнала, созданного при отправке сообщения с почтового ящика Exchange 2007 на транспортный сервер-концентратор. Для сообщения были заданы получатели, указанные ниже.
- Поле «Кому» содержит группу рассылки Sales Group. Далее
приведены четыре сотрудника группы рассылки Sales Group: Brian
Smith, David Simpson, Maria Cameron и Ray Chow.
- Поле «Копия» содержит получателя Christine Hughes. Почтовый
ящик Christine Hughes настроен на автоматическую переадресацию
сообщений на почтовый ящик Katie Jordan.
- В поле «СК» указан получатель Blaine Dockter.
В Exchange 2000 при отправке исходного сообщения было создано три отчета журнала. В отчете журнала, показанном на следующем рисунке, перечислены только получатели, развернутые из группы рассылки Sales Group.
Примечание. |
---|
В Exchange 2007 с пакетом обновления 1 (SP1) создается только один отчет журнала. |
В Exchange 2007 для приведенного в предыдущем примере сообщения было создано два дополнительных отчета журнала. Отчеты журнала для получателей «Копия» и «СК» идентичны предыдущему рисунку за исключением того, что вместо полей «Кому» в каждом отчете журнала присутствуют следующие поля:
Cc: katie@adatum.com, Forwarded: christine@adatum.com
Bcc: blaine@adatum.com
На следующем рисунке приведен пример отчета журнала, созданного при обработке сообщения, отправленного из Интернета, транспортным сервером-концентратором. Для сообщения были заданы те же получатели, что и в предыдущем примере. Однако в этом отчете журнала получатели помещены в поле «Получатель», так как исходное сообщение было отправлено из Интернета. Так как сообщение отправлено из Интернета, сервер Exchange не может установить, что адресация получателей не была изменена. Как и в первом примере, для одного сообщения было создано три отчета журнала. На следующем рисунке показаны только получатели, развернутые из списка рассылки Sales Group.
Примечание. |
---|
В Exchange 2007 с пакетом обновления 1 (SP1) создается только один отчет журнала. |
В Exchange 2007 для приведенного во втором примере сообщения было создано два дополнительных отчета журнала. Отчеты журнала для получателей «Копия» и «СК» идентичны рисунку «Отчет журнала с основными полями получателей» за исключением того, что каждый отчет журнала содержит оставшихся получателей, которым было адресовано сообщение во втором примере:
Recipient: katie@adatum.com, Forwarded: christine@adatum.com
Recipient: blaine@adatum.com