Журнал отслеживания сообщений содержит подробные сведения об обмене сообщениями с компьютером с сервером Microsoft Exchange Server 2007 и установленной ролью транспортного сервера-концентратора, сервера почтовых ящиков или пограничного транспортного сервера. Серверы Exchange с установленной ролью сервера клиентского доступа или сервера единой системы обмена сообщениями не имеют журналов отслеживания сообщений. Журналы отслеживания сообщений используются для исследования сообщений, анализа потока почты, создания отчетов и устранения неполадок.
Для выполнения всех задач настройки отслеживания сообщений на транспортном сервере-концентраторе или пограничном транспортном сервере можно использовать командлет Set-TransportServer. Для выполнения всех задач настройки отслеживания сообщений на сервере почтовых ящиков можно использовать командлет Set-MailboxServer. Для серверов, на которых установлена роль транспортного сервера-концентратора или сервера почтовых ящиков, можно использовать командлет Set-TransportServer или Set-MailboxServer. Командлеты применяются для внесения следующих изменений в настройку отслеживания сообщений.
- Включение и отключение отслеживания сообщений. По умолчанию
включено.
- Выбор расположения файлов журналов отслеживания сообщений.
- Задание максимального размера отдельных файлов журналов
отслеживания сообщений. Значение по умолчанию — 10 МБ.
- Задание максимального размера каталога, который содержит файлы
журналов отслеживания сообщений. Значение по умолчанию —
250 МБ.
- Задание максимального времени хранения файлов журналов
отслеживания сообщений. Значение по умолчанию — 30 дней.
- Включение и отключение регистрации темы сообщений в журналах
отслеживания сообщений. По умолчанию регистрация включена.
Примечание. |
---|
В сервере Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) для включения или отключения отслеживания сообщений и указания местоположения файлов журнала отслеживания сообщений на транспортном сервере-концентраторе или пограничном транспортном сервере можно также использовать консоль управления Exchange. |
По умолчанию сервер Exchange 2007 использует циклическое ведение журналов, что позволяет ограничить размер журналов отслеживания сообщений на основе размера и срока хранения файла. Циклическое ведение журналов позволяет контролировать использование места на жестком диске для хранения файлов журналов.
Структура файлов журналов отслеживания сообщений
По умолчанию файлы журналов отслеживания сообщений хранятся в каталоге C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking.
Соглашение об именовании для файлов журналов в каталоге журналов отслеживания сообщений зависит от установленной роли сервера. На транспортном сервере-концентраторе или пограничном транспортном сервере файлы журналов имеют имена MSGTRKггггммдд-nnnn.log. На сервере почтовых ящиков файлы журнала имеют имя MSGTRKMггггммдд-nnnn.log При установке роли сервера транспортного сервера-концентратора и сервера почтовых ящиков на одном сервере в каталоге журналов отслеживания сообщений создаются отдельные файлы журналов, которые различаются префиксами имен.
Прототипы в именах файлов журналов означают следующее:
- Прототип ггггммдд представляет собой дату создания файла
журнала в формате UTC (гггг = год,
мм = месяц и дд = день).
- Прототип nnnn — это номер экземпляра, который ежедневно
начинается с 1 для каждого префикса имен файлов журналов
отслеживания сообщений.
Данные будут записываться в каждый файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения. После этого будет открыт новый файл журнала со следующим порядковым номером. Эта процедура повторяется в течение дня. В режиме циклического ведения журналов наиболее старые файлы журнала будут удаляться при выполнении одного из следующих условий:
- файл журнала достиг максимального установленного срока
хранения;
- каталог журналов отслеживания сообщений достиг максимального
размера.
Важно! Максимальный размер каталога журналов отслеживания сообщений равен общему размеру всех файлов журнала, которые имеют одинаковый префикс имен. При расчете общего размера каталога не учитываются другие файлы, которые не соответствуют соглашению о префиксе имен. Переименование старых файлов журнала или копирование других файлов в каталог журналов отслеживания сообщений может привести к превышению заданного максимального размера каталога. При установке ролей транспортного сервера-концентратора и сервера почтовых ящиков на одном сервере максимальный размер каталога журналов отслеживания сообщений не соответствует заданному максимальному размеру, так как файлы журнала, создаваемые другой ролью сервера, имеют другие префиксы имен. При установке ролей транспортного сервера-концентратора и сервера почтовых ящиков на одном сервере максимальный размер каталога журналов отслеживания сообщений в два раза превышает указанное значение.
Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:
- #Software: Название программы,
создавшей файл журнала отслеживания сообщений. Обычно здесь указана
программа Microsoft Exchange Server.
- #Version: Номер версии программы,
создавшей файл журнала отслеживания сообщений. Текущее значение —
8.0.0.0.
- #Log-Type: В этом поле указано значение
Message Tracking Log (Журнал отслеживания сообщений).
- #Date: Дата и время создания файла
журнала в формате UTC. Дата и время UTC представлены в формате ISO
8601: гггг-мм-ддTчч:мм:сс.fffZ, где
гггг = год, мм = месяц,
дд = день, чч = часы,
мм = минуты, сс = секунды,
fff = доли секунды, а Z означает «Зулу»,
что является другим обозначением UTC.
- #Fields: Разделенные запятыми имена
полей, используемые в файлах журналов отслеживания сообщений.
Сведения, записываемые в журнал отслеживания сообщений
В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Типы событий, используемые для классификации каждого события, приведены в таблице 1.
Таблица 1. Типы событий, используемые для классификации событий, связанных с сообщениями
Имя события | Описание |
---|---|
BADMAIL |
Сообщение было отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено. |
DELIVER |
Сообщение было доставлено в почтовый ящик. |
DEFER |
Доставка сообщения отложена. |
DSN |
Создано уведомление о доставке. |
EXPAND |
Была расширена группа рассылки. |
FAIL |
Не удается доставить сообщение. |
POISONMESSAGE |
Сообщение помещено в очередь подозрительных сообщений или удалено из нее. |
RECEIVE |
Сообщение получено и сохранено в базе данных. Событие RECEIVE может быть получением SMTP (Источник: SMTP) или почтой, переданной с помощью STOREDRIVER (Источник: STOREDRIVER). Событие SMTP RECEIVE может происходить из любого источника, передающего сообщения по протоколу SMTP. Например, это может быть роль транспортного сервера-концентратора, роль пограничного транспортного сервера, сторонний агент передачи сообщений (MTA) или клиент POP/IMAP. Событие STOREDRIVER RECEIVE регистрируется процессом пограничного транспортного сервера и соответствует событию STOREDRIVER SUBMIT. Событие STOREDRIVER SUBMIT регистрируется процессом отправки почты. Это может происходить как на одном сервере (если обе роли установлены локально), так и на разных серверах. |
REDIRECT |
Сообщение перенаправлено другому получателю в результате поиска в службе каталогов Active Directory. |
RESOLVE |
В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты. |
SEND |
Сообщение было отправлено на другой сервер с использованием протокола SMTP. |
SUBMIT |
Событие SUBMIT регистрируется службой отправки почты на компьютере с сервером Exchange 2007 и установленной ролью сервера почтовых ящиков. Событие SUBMIT регистрируется в тот момент, когда служба успешно уведомляет транспортный сервер-концентратор о том, что сообщение в хранилище почтовых ящиков ожидает отправки. Свойство SourceContext содержит сведения о GUID базы данных сообщений (MDB), GUID почтового ящика, последовательном номере события, классе сообщения, отметке времени создания при отправке клиентом в хранилище и типе клиента. В качестве типа клиента может выступать пользователь (Outlook с прямым подключением по протоколу MAPI), RPCHTTP (мобильный Outlook), Outlook Web Access, веб-службы Exchange, Exchange ActiveSync, помощники или транспорт. Журналы отслеживания сообщений, которые создаются ролью сервера почтовых ящиков, содержат только события SUBMIT. |
TRANSFER |
В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением. |
Сведения о событиях на каждой строке сгруппированы по полям. Поля разделяются запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть не заполнены, а данные в поле могут изменяться в зависимости от типа события, связанного с сообщением (см. табл. 1). Общее описание полей, которые используются для классификации событий отслеживания сообщений, приведено в табл. 2.
Таблица 2. Поля, используемые для классификации событий отслеживания сообщений
Имя поля | Описание |
---|---|
date-time |
Дата и время события, связанного с отслеживанием сообщений, в формате UTC (ISO 8601): гггг-мм-ддTчч:мм:сс.fffZ, где гггг = год, мм = месяц, дд = день, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, а Z означает «Зулу», что является другим обозначением UTC. |
client-ip |
TCP/IP-адрес сервера или клиента, который отправил сообщение. |
client-hostname |
Имя сервера или клиента, который отправил сообщение. |
server-ip |
TCP/IP-адрес исходного сервера или сервера назначения Exchange. |
server-hostname |
Имя сервера назначения. |
source-context |
Дополнительная информация, относящаяся к полю источника. |
connector-id |
Имя исходного или конечного соединителя отправки или приема. |
source |
Компонент транспорта Exchange, отвечающий за событие, связанное с отслеживанием сообщений. В этом поле допустимы следующие значения:
|
event-id |
Тип события. Полное описание событий см. в данном разделе в таблице 1. Возможные значения: BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT и TRANSFER. |
internal-message-id |
Идентификатор сообщения, который назначается сервером Exchange 2007, который в настоящий момент обрабатывает сообщение. В журнале отслеживания сообщений на каждом из серверов Exchange 2007, которые участвуют в доставке сообщения, для каждого отдельного сообщения будет указываться свое значение internal-message-id. |
message-id |
Значение этого поля |
recipient-address |
Адреса электронной почты получателей сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;). |
recipient-status |
Это поле заполняется для событий SEND или FAIL. |
total-bytes |
Размер сообщения с учетом вложений (в байтах). |
recipient-count |
Количество получателей сообщения. |
related-recipient-address |
В этом поле для событий EXPAND, REDIRECT и RESOLVE выводятся другие адреса получателей, связанные с сообщением. |
reference |
В этом поле содержится дополнительная информация о конкретных типах событий. DSN В данном справочном поле содержится идентификатор Internet-Message-Id сообщения, вызвавшего отправку уведомления о доставке. SEND В данном справочном поле содержится идентификатор Internet-Message-Id любого из уведомлений о доставке. TRANSFER В данном справочном поле содержится идентификатор Internal-Message-Id сообщения с ветвлением. Для всех остальных типов событий справочное поле не заполняется. |
message-subject |
Тема сообщения указывается в поле заголовка
|
sender-address |
Адрес электронной почты, указанный в поле заголовка
|
return-path |
Обратный адрес электронной почты, указанный в параметре
|
message-info |
В данном поле указывается дата и время создания сообщения для событий DELIVER и SEND. Это время первоначального поступления сообщения в организацию Exchange. Значение имеет следующий формат: гггг-мм-ддTчч:мм:сс.fffZ, где гггг = год, мм = месяц, дд = день, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, а Z означает «Зулу», что является другим обозначением UTC. |
Для поиска сообщений по заданным условиям можно использовать командлет Get-MessageTrackingLog в командной консоли Exchange или средство отслеживания сообщений в консоли управления Exchange.
Журнал отслеживания сообщений и вопросы безопасности
В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. Для повышения безопасности и конфиденциальности функцию регистрации темы сообщения в журнале можно отключить. Прежде чем включить или отключить регистрацию тем сообщения в журнале, ознакомьтесь с политикой организации относительно раскрытия сведений в строке «Тема».
Дополнительные сведения
Дополнительные сведения см. в следующих разделах: