Структура файлов журналов отслеживания сообщений
Структура файлов журналов отслеживания сообщенийПо умолчанию файлы журналов отслеживания сообщений хранятся в каталоге C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking.
Соглашение об именовании для файлов журналов в каталоге журналов отслеживания сообщений зависит от установленной роли сервера. На транспортном сервере-концентраторе или пограничном транспортном сервере файлы журналов имеют имена MSGTRKггггммдд-nnnn.log. На сервере почтовых ящиков файлы журнала имеют имя MSGTRKMггггммдд-nnnn.log При установке роли сервера транспортного сервера-концентратора и сервера почтовых ящиков на одном сервере в каталоге журналов отслеживания сообщений создаются отдельные файлы журналов, которые различаются префиксами имен.
Прототипы в именах файлов журналов означают следующее:
Данные будут записываться в каждый файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения. После этого будет открыт новый файл журнала со следующим порядковым номером. Эта процедура повторяется в течение дня. В режиме циклического ведения журналов наиболее старые файлы журнала будут удаляться при выполнении одного из следующих условий:
 Важно! |
|---|
| Максимальный размер каталога журналов отслеживания сообщений равен общему размеру всех файлов журнала, которые имеют одинаковый префикс имен. При расчете общего размера каталога не учитываются другие файлы, которые не соответствуют соглашению о префиксе имен. Переименование старых файлов журнала или копирование других файлов в каталог журналов отслеживания сообщений может привести к превышению заданного максимального размера каталога. При установке ролей транспортного сервера-концентратора и сервера почтовых ящиков на одном сервере максимальный размер каталога журналов отслеживания сообщений не соответствует заданному максимальному размеру, так как файлы журнала, создаваемые другой ролью сервера, имеют другие префиксы имен. При установке ролей транспортного сервера-концентратора и сервера почтовых ящиков на одном сервере максимальный размер каталога журналов отслеживания сообщений в два раза превышает указанное значение. |
Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:
Сведения, записываемые в журнал отслеживания сообщений
В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Типы событий, используемые для классификации каждого события, приведены в таблице 1.
Таблица 1. Типы событий, используемые для классификации событий, связанных с сообщениями
Сообщение было отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено.
Сообщение было доставлено в почтовый ящик.
Доставка сообщения отложена.
Создано уведомление о доставке.
Была расширена группа рассылки.
Не удается доставить сообщение.
Сообщение помещено в очередь подозрительных сообщений или удалено из нее.
Сообщение получено и сохранено в базе данных. Событие RECEIVE может быть получением SMTP (Источник: SMTP) или почтой, переданной с помощью STOREDRIVER (Источник: STOREDRIVER).
Событие SMTP RECEIVE может происходить из любого источника, передающего сообщения по протоколу SMTP. Например, это может быть роль транспортного сервера-концентратора, роль пограничного транспортного сервера, сторонний агент передачи сообщений (MTA) или клиент POP/IMAP.
Событие STOREDRIVER RECEIVE регистрируется процессом пограничного транспортного сервера и соответствует событию STOREDRIVER SUBMIT. Событие STOREDRIVER SUBMIT регистрируется процессом отправки почты. Это может происходить как на одном сервере (если обе роли установлены локально), так и на разных серверах.
Сообщение перенаправлено другому получателю в результате поиска в службе каталогов Active Directory.
В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты.
Сообщение было отправлено на другой сервер с использованием протокола SMTP.
Событие SUBMIT регистрируется службой отправки почты на компьютере с сервером Exchange 2007 и установленной ролью сервера почтовых ящиков. Событие SUBMIT регистрируется в тот момент, когда служба успешно уведомляет транспортный сервер-концентратор о том, что сообщение в хранилище почтовых ящиков ожидает отправки.
Свойство SourceContext содержит сведения о GUID базы данных сообщений (MDB), GUID почтового ящика, последовательном номере события, классе сообщения, отметке времени создания при отправке клиентом в хранилище и типе клиента. В качестве типа клиента может выступать пользователь (Outlook с прямым подключением по протоколу MAPI), RPCHTTP (мобильный Outlook), Outlook Web Access, веб-службы Exchange, Exchange ActiveSync, помощники или транспорт. Журналы отслеживания сообщений, которые создаются ролью сервера почтовых ящиков, содержат только события SUBMIT.
В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением.
Сведения о событиях на каждой строке сгруппированы по полям. Поля разделяются запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть не заполнены, а данные в поле могут изменяться в зависимости от типа события, связанного с сообщением (см. табл. 1). Общее описание полей, которые используются для классификации событий отслеживания сообщений, приведено в табл. 2.
Таблица 2. Поля, используемые для классификации событий отслеживания сообщений
Дата и время события, связанного с отслеживанием сообщений, в формате UTC (ISO 8601): гггг-мм-ддTчч:мм:сс.fffZ, где гггг = год, мм = месяц, дд = день, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, а Z означает «Зулу», что является другим обозначением UTC.
TCP/IP-адрес сервера или клиента, который отправил сообщение.
Имя сервера или клиента, который отправил сообщение.
TCP/IP-адрес исходного сервера или сервера назначения Exchange.
Имя сервера назначения.
Дополнительная информация, относящаяся к полю источника.
Имя исходного или конечного соединителя отправки или приема.
Компонент транспорта Exchange, отвечающий за событие, связанное с отслеживанием сообщений. В этом поле допустимы следующие значения:
Тип события. Полное описание событий см. в данном разделе в таблице 1. Возможные значения: BADMAIL, DEFER, DELIVER, DSN, EXPAND, FAIL, POISONMESSAGE, RECEIVE, REDIRECT, RESOLVE, SEND, SUBMIT и TRANSFER.
Идентификатор сообщения, который назначается сервером Exchange 2007, который в настоящий момент обрабатывает сообщение.
В журнале отслеживания сообщений на каждом из серверов Exchange 2007, которые участвуют в доставке сообщения, для каждого отдельного сообщения будет указываться свое значение internal-message-id.
Значение этого поля Message-Id: указывается в поле заголовка сообщения. Если поле заголовка Message-Id: не существует или пусто, назначается произвольное значение. Это значение не изменяется на протяжении всего времени жизни сообщения.
Адреса электронной почты получателей сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;).
Это поле заполняется для событий SEND или FAIL.
Размер сообщения с учетом вложений (в байтах).
Количество получателей сообщения.
В этом поле для событий EXPAND, REDIRECT и RESOLVE выводятся другие адреса получателей, связанные с сообщением.
В этом поле содержится дополнительная информация о конкретных типах событий.
DSN В данном справочном поле содержится идентификатор Internet-Message-Id сообщения, вызвавшего отправку уведомления о доставке.
SEND В данном справочном поле содержится идентификатор Internet-Message-Id любого из уведомлений о доставке.
TRANSFER В данном справочном поле содержится идентификатор Internal-Message-Id сообщения с ветвлением.
Для всех остальных типов событий справочное поле не заполняется.
Адрес электронной почты, указанный в поле заголовка Sender: или в поле заголовка From: (если заголовок Sender: отсутствует).
В данном поле указывается дата и время создания сообщения для событий DELIVER и SEND. Это время первоначального поступления сообщения в организацию Exchange. Значение имеет следующий формат: гггг-мм-ддTчч:мм:сс.fffZ, где гггг = год, мм = месяц, дд = день, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, а Z означает «Зулу», что является другим обозначением UTC.
Для поиска сообщений по заданным условиям можно использовать командлет Get-MessageTrackingLog в командной консоли Exchange или средство отслеживания сообщений в консоли управления Exchange.
Журнал отслеживания сообщений и вопросы безопасности
В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. Для повышения безопасности и конфиденциальности функцию регистрации темы сообщения в журнале можно отключить. Прежде чем включить или отключить регистрацию тем сообщения в журнале, ознакомьтесь с политикой организации относительно раскрытия сведений в строке «Тема».
Дополнительные сведения
Дополнительные сведения см. в следующих разделах:
Моя записная книжка
пятница, 10 августа 2012 г.
Статусы сообщений в MessageTracking
Сообщение было отправлено каталогом раскладки или каталогом преобразования и не может быть доставлено и возвращено.
Сообщение было доставлено в почтовый ящик.
Доставка сообщения отложена.
Создано уведомление о доставке.
Сообщение было доставлено получателю повторно. Повторная доставка сообщений может происходить в том случае, если получатель входит в две группы рассылки. Банк данных обнаруживает и удаляет дубликаты сообщений.
Была расширена группа рассылки.
Не удается доставить сообщение.
Сообщение помещено в очередь подозрительных сообщений или удалено из нее.
Сообщение получено и сохранено в базе данных. Событие RECEIVE может быть получением SMTP (Источник: SMTP) или почтой, переданной с помощью STOREDRIVER (Источник: STOREDRIVER).
Событие SMTP RECEIVE может происходить из любого источника, передающего сообщения по протоколу SMTP. Например, это может быть роль транспортного сервера-концентратора, роль пограничного транспортного сервера, сторонний агент передачи сообщений (MTA) или клиент POP/IMAP.
Событие STOREDRIVER RECEIVE регистрируется процессом пограничного транспортного сервера и соответствует событию STOREDRIVER SUBMIT. Событие STOREDRIVER SUBMIT регистрируется процессом отправки почты. Это может происходить как на одном сервере (если обе роли установлены локально), так и на разных серверах.
Сообщение перенаправлено другому получателю в результате поиска в службе каталогов Active Directory.
В результате поиска в Active Directory для получателей сообщения был найден другой адрес электронной почты.
Сообщение было отправлено на другой сервер с использованием протокола SMTP.
Событие SUBMIT регистрируется службой отправки почты на компьютере с сервером Exchange 2007 и установленной ролью сервера почтовых ящиков. Событие SUBMIT регистрируется в тот момент, когда служба успешно уведомляет транспортный сервер-концентратор о том, что сообщение в хранилище почтовых ящиков ожидает отправки.
Свойство SourceContext содержит сведения о GUID базы данных сообщений (MDB), GUID почтового ящика, последовательном номере события, классе сообщения, отметке времени создания при отправке клиентом в хранилище и типе клиента. В качестве типа клиента может выступать пользователь (Outlook с прямым подключением по протоколу MAPI), RPCHTTP (мобильный Outlook), Outlook Web Access, веб-службы Exchange, Exchange ActiveSync, помощники или транспорт. Журналы отслеживания сообщений, которые создаются ролью сервера почтовых ящиков, содержат только события SUBMIT.
В результате преобразования содержимого, ограничения числа получателей или работы агентов получатели были перемещены в сообщение с ветвлением.
Storedriver exchange что это
Question
what is the use of store driver? will it takes the mail from users out box?. If an out look user sends a mail to another user of the same organisation, but in another site.. how the mail will be routed to another site?
Answers
Firtst, the Store Driver provides persistent storage for a MailMsg object’s content when submitting the message by using MAPI or Exchange MTA.
Second, for the internal message transfer, the Store Driver is responsible for transmitting the message from the sender to the receiver when the two users on the same store. The message body in fact never leaves the Store at all.
For the Outbound message, the Store driver transfers the message to IIS for processing.
In your example, the message is placed in the Outbox of the user’s mailbox and marked for delivery. Since the sender and the receiver are in the different site, the message will be placed in the Remote delivery queue (SMTP) and calls the Store Driver to transfer the message to IIS, then Out via SMTP (Send Connector).
what is the use of store driver?
Yes the store driver takes mail from the users outboxes. It talks RPC MAPI not SMTP. and resides on every hub transport server. It is controlled by the Microsoft Exchange Transport Service.
If an out look user sends a mail to another user of the same organisation, but in another site.. how the mail will be routed to another site?
Exchange 2007 uses AD Sites and Services site links to get a network topology of the environment. By default Exchange 2007 will use the route with the lowest amount of site hops with the lowest site link cost.
In this diagram there are 4 ways to get from Site1 to Site3.
What if an exchange administrators wanted to to setup email replication different to active directory sites and services replication?
If you are not happy with the site link costs in AD, instead of updating sites and services you can use the powershell command Set-ADSiteLink to set new costs to that site link for exchange. This does not modify the value in sites and services. It only effects exchange. Whenever an exchange site link cost is specified, it will use this instead of the site link cost specified in AD Sites and Services. Very handy if you want mail to flow in a different direction to your AD replication.
Tricky Scenario
Hope this answers all your questions.
Kind Regards,
Clint Boessen MCSE, MCITP: Messaging
L7 Solutions, Microsoft Gold Partner
Perth, Western Australia
Отслеживание сообщений
Журнал отслеживания сообщений — это подробный отчет о всех действиях по потоку почты через транспортный конвейер на серверах почтовых ящиков и на транспортных серверах edge. Отслеживание сообщений можно использовать для судебной экспертизы сообщений, анализа потока сообщений, отчетности и устранения неполадок.
По умолчанию Exchange для ограничения журнала отслеживания сообщений в зависимости от размера файла и возраста файлов для управления пространством жесткого диска, используемым файлами журнала. Чтобы настроить журнал отслеживания сообщений, см. в тексте Настройка отслеживания сообщений.
Поиск в журнале отслеживания сообщений
Журналы отслеживания сообщений содержат огромное количество данных по мере перемещения сообщений через сервер почтовых ящиков или на границе транспортного сервера. Когда речь заходит о поиске журналов отслеживания сообщений, у вас есть варианты:
Get-MessageTrackingLog. Администраторы могут использовать этот Exchange команды управленческой оболочки для поиска журнала отслеживания сообщений для получения сведений о сообщениях с использованием широкого спектра критериев фильтрации. Дополнительные сведения см. в журнале отслеживания сообщений поиска.
Отчеты о доставке для администраторов. Администраторы могут использовать вкладку Отчеты о доставке в центре администрирования Exchange или в окне поисковых сообщений Search-MessageTrackingReport и Get-MessageTrackingReport в оболочке управления Exchange для поиска журналов отслеживания сообщений для получения сведений о сообщениях, отправленных или полученных определенным почтовым ящиком в организации. Дополнительные сведения см. в сообщении о доставке для администраторов.
Структура файлов журналов отслеживания сообщений
| Имя файла | Servers | Описание |
|---|---|---|
| MSGTRK | Серверы почтовых ящиков и пограничные транспортные серверы | Файлы журнала для транспортной службы. |
| MSGTRKMA | Серверы почтовых ящиков | Файлы журнала для утверждений и отклонений в модераном транспорте. Дополнительные сведения см. в тексте Управление утверждением сообщений. |
| MSGTRKMD | Серверы почтовых ящиков | Журнал файлов для сообщений, доставленных в почтовые ящики службой доставки транспорта почтовых ящиков. |
| MSGTRKMS | Серверы почтовых ящиков | Журнал файлов для сообщений, отправленных из почтовых ящиков службой отправки транспорта почтовых ящиков. |
Другие места в именах файлов журнала представляют следующую информацию:
yyyymmdd это дата создания файла журнала (в формате UTC). yyyy = год, мм = месяц и dd = день.
nnnn — это номер экземпляра, который начинается со значения 1 каждый день для каждого журнала.
достигнут максимальный срок хранения файла журнала;
Папка журнала отслеживания сообщений достигает максимального размера.
Примечания:
Максимальный размер папки журнала отслеживания сообщений рассчитывается как общий размер всех файлов журнала с одним и тем же префиксом имен. Другие файлы, которые не следуют конвенции префикса имен, не учитываются в расчете общего размера папки. Переименование старых файлов журнала или копирование других файлов в папку журнала отслеживания сообщений может привести к превышению указанного максимального размера папки.
Файлы журналов отслеживания сообщений представляют собой текстовые файлы с данными в формате CSV. Каждый файл журнала отслеживания сообщений имеет заголовок, содержащий следующие сведения:
#Date. Время даты UTC, когда был создан файл журнала. Дата UTC представлена в формате дата-времени ISO 8601: yyyy-mm-dd T hh:mm:ss.fff Z, где yyyy = год, мм = месяц, dd = день, T указывает начало компонента времени, hh = час, мм = минута, ss = second, fff = доли секунды, а Z означает Zulu, который является еще одним способом обозначить UTC.
#Fields: имена полей, которые используются в файлах журнала отслеживания сообщений.
Поля в файлах журналов отслеживания сообщений
В журнале отслеживания сообщений каждое событие, связанное с сообщением, заносится в отдельную строку. Информация о событиях с сообщениями упорядочена по полям, разделенным запятыми. Обычно имя поля достаточно полно характеризует информацию, которая в нем хранится. Однако некоторые поля могут быть пустыми, или тип сведений в поле может изменяться в зависимости от типа события сообщения и службы, записав событие. В следующей таблице приводятся общие описания полей, которые используются для классификации каждого события отслеживания сообщений.
Типы событий в журнале отслеживания сообщений
Различные типы событий в поле event-id используются для классификации событий, связанных с сообщениями, в журнале отслеживания сообщений. Некоторые события, связанные с сообщениями, отображаются только в одном типе файлов журнала отслеживания сообщений, а некоторые во всех типах файлов. Типы событий, используемые для классификации каждого события, приведены в следующей таблице.
Значения источника в журнале отслеживания сообщений
Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.
| Значение источника | Описание |
|---|---|
| ADMIN | Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения. |
| AGENT | Источником события был агент транспорта. |
| APPROVAL | Источником события была платформа утверждения, используемая для контролируемых получателей. Подробнее см. в разделе Управление утверждением сообщений. |
| BOOTLOADER | Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD. |
| DNS | Источником события было DNS. |
| DSN | Источником события было уведомление о состоянии доставки (также известное как DSN, сообщение отказов, отчет о невывозе или NDR). |
| GATEWAY | Источником события был внешний соединитель. Подробнее см. в разделе Foreign Connectors. |
| MAILBOXRULE | Источником события было правило для папки «Входящие». Дополнительные сведения см. в разделе Правило для папки «Входящие». |
| MEETINGMESSAGEPROCESSOR | Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания. |
| ORAR | Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR на соединители получения с помощью параметра OrarEnabled в cmdlets New-ReceiveConnector или Set-ReceiveConnector. |
| PICKUP | Источником события был каталог раскладки. Подробнее см. в разделе Pickup Directory and Replay Directory. |
| POISONMESSAGE | Источником события был идентификатор сообщения о сбое. Дополнительные сведения об отравляющих сообщениях и очереди сообщений об отравлении см. в рублях Queues and messages in queues |
| PUBLICFOLDER | Источником события была общедоступная папка, поддерживающая почту. |
| QUEUE | Источником события была очередь. |
| REDUNDANCY | Источником события было избыточное теневое копирование. Дополнительные сведения см. в Exchange Server. |
| RESOLVER | Источником событий был компонент разрешения получателей в категоризаторе транспортной службы. Дополнительные сведения см. в Exchange Server. |
| ROUTING | Источником события был компонент разрешения маршрутизации классификатора в службе транспорта. |
| SAFETYNET | Источником события была сеть безопасности. Дополнительные сведения см. в Exchange Server. |
| SMTP | Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта. |
| STOREDRIVER | Источником события была MAPI-отправка из почтового ящика на локальном сервере. |
Примеры записей в журнале отслеживания сообщений
Не вызвавшее событий сообщение, отправленное между двумя пользователями, создает несколько записей в журнале отслеживания сообщений. Результаты можно просмотреть с помощью командлета Get-MessageTrackingLog. Подробнее см. в разделе Поиск в журналах отслеживания сообщений.
Это пример записей журнала отслеживания сообщений, созданных при успешной chris@contoso.com отправки тестового сообщения пользователю michelle@contoso.com. У обоих пользователей есть почтовые ящики на одном и том же сервере.
Журнал отслеживания сообщений и вопросы безопасности
В журнале отслеживания сообщений не хранится содержимое сообщений. По умолчанию в этот журнал заносятся темы сообщений электронной почты. Возможно, вам потребуется отключить ведение журнала субъектов, чтобы соответствовать повышенным требованиям безопасности или конфиденциальности. Инструкции по отключению ведения журнала субъектов см. в инструкции По настройке отслеживания сообщений.