Freigeben über

Durchsuchen von Nachrichtenverfolgungsprotokollen

  • Artikel

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2015-03-09

In diesem Thema wird beschrieben, wie die Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell durchsucht werden können.

Ein Nachrichtenverfolgungsprotokoll ist ein ausführliches Protokoll der gesamten Nachrichtenaktivität, wenn Nachrichten an einen und von einem Microsoft Exchange Server 2010-basierten Computer übertragen werden, auf dem die Hub-Transport-Serverrolle, die Postfachserverrolle oder die Edge-Transport-Serverrolle installiert ist. Server mit Exchange, auf denen die Clientzugriffs-Serverrolle oder die Unified Messaging-Serverrolle installiert ist, verfügen nicht über Nachrichtenverfolgungsprotokolle. Sie können Nachrichtenverfolgungsprotokolle für forensische Nachrichtenanalysen, Nachrichtenübermittlungsanalysen, Berichterstellung und Problembehandlung verwenden.

Sie können das Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell und das Nachrichtenverfolgungstool in der Toolbox der Exchange-Verwaltungskonsole zum Suchen nach Einträgen in den Nachrichtenverfolgungsprotokollen verwenden, indem Sie bestimmte Suchkriterien verwenden.

Bevor Sie beginnen

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Nachrichtenverfolgung" im Thema "Transportberechtigungen".

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2010 erforderlich sind, finden Sie unter Grundlegendes zu Berechtigungen.

Beim Durchsuchen des Nachrichtenverfolgungsprotokolls auf einem Hub-Transport-Server oder Postfachserver können Sie nicht auf die Nachrichtenverfolgungsprotokolle auf einem Edge-Transport-Server zugreifen. Wenn Sie die Nachrichtenverfolgungsprotokolle auf einem Edge-Transport-Server durchsuchen möchten, müssen Sie das Cmdlet Get-MessageTrackingLog oder das Tool Nachrichtenverfolgung direkt auf dem Edge-Transport-Server ausführen.

Ein Suchvorgang in den Nachrichtenverfolgungsprotokollen hängt vom Microsoft Exchange-Transportprotokoll-Suchdienst ab. Wenn Sie diesen Dienst deaktivieren oder anhalten, können die Protokolldateien der Nachrichtenverfolgung nicht durchsucht werden. Das Anhalten dieses Diensts hat jedoch keine Auswirkungen auf andere Funktionen in Exchange.

Wichtig

Die Protokolldateien der Nachrichtenverfolgung können nicht von einem Server mit Microsoft Exchange kopiert und anschließend mithilfe des Cmdlets Get-MessageTrackingLog oder des Nachrichtenverfolgungstools durchsucht werden. Wenn Sie darüber hinaus ein vorhandenes Nachrichtenverfolgungsprotokoll speichern, hebt die Änderung des Datum-/Zeitstempels der Nachrichtenverfolgungs-Protokolldatei die Abfragelogik auf, die von Exchange zum Durchsuchen der Nachrichtenverfolgungsprotokolle verwendet wird.

Kriterien für Nachrichtenverfolgungsprotokoll-Suchvorgänge

Zwar sind eine Vielzahl von Datenfeldern für jeden Eintrag des Nachrichtenverfolgungsprotokolls vorhanden, nicht jedes Feld kann jedoch als Suchfilter verwendet werden. Darüber hinaus bietet die Exchange-Verwaltungsshell durch die Vielzahl von Suchfiltern, die mit dem Cmdlet Get-MessageTrackingLog verwendet werden können, eine größere Flexibilität.

Allgemeine Suchfilter, die mit dem Cmdlet "Get-MessageTrackingLog" verwendet werden

Die in der folgenden Liste aufgeführten Suchfilter können mit dem Cmdlet Get-MessageTrackingLog in der Exchange-Verwaltungsshell verwendet werden:

Hinweis

Ein Suchfilter, der einen Teilwert oder mehrere Werte enthält, wird nicht unterstützt (falls nicht anders angegeben).

  • Recipients   Dieser Suchfilter verwendet das recipient-address-Feld. Sie müssen die vollständige E-Mail-Adresse des Empfängers eingeben. Mehrere Empfängerwerte können mithilfe eines Kommas als Trennzeichen angegeben werden. Mehrere einzelne Empfänger, die in einer Nachricht enthalten sind, werden mithilfe eines Eintrags des Nachrichtenverfolgungsprotokolls protokolliert. Nicht erweiterte Empfänger der Verteilergruppe werden mithilfe der SMTP-E-Mail-Adresse der Verteilergruppe protokolliert.

  • Sender   Dieser Suchfilter verwendet das sender-Feld. Sie müssen die vollständige E-Mail-Adresse des Absenders eingeben. Das Absenderfeld enthält die E-Mail-Adresse des Absenders wie im Kopfzeilenfeld Sender: angegeben oder wie im Kopfzeilenfeld From: angegeben, wenn die Angabe Sender: nicht vorhanden ist.

  • Server   Dieser Suchfilter gibt den Server mit Exchange an, auf dem die zu durchsuchenden Nachrichtenverfolgungsprotokolle gespeichert sind. Sie können den Server anhand eines der folgenden Werte beschreiben:

    • Name

    • Vollqualifizierter Domänenname (FQDN)

    • Distinguished Name (DN)

    • Legacy-Exchange-DN

    • GUID

  • EventID   Dieser Suchfilter verwendet das event-id-Feld. Im Tool Nachrichtenverfolgung wählen Sie den Wert von EventID in einer Dropdownliste aus. Im Cmdlet Get-MessageTrackingLog geben Sie den Wert von EventID als Text ein. Der Wert muss jedoch exakt einem der für EventID möglichen Werte entsprechen. EventID ist die Ereignisklassifikation, die jedem Eintrag des Nachrichtenverfolgungsprotokolls zugewiesen wird. Folgende Wert sind verfügbar:

    • BADMAIL

    • DEFER

    • DELIVER

    • DSN

    • EXPAND

    • FAIL

    • POISONMESSAGE

    • RECEIVE

    • REDIRECT

    • RESOLVE

    • SEND

    • SUBMIT

    • TRANSFER

  • MessageID   Dieser Suchfilter verwendet das message-id-Feld. MessageID ist der Wert des Kopfzeilenfelds Message-ID:. Wenn das Kopfzeilenfeld Message-ID: nicht vorhanden ist, wird ein beliebiger Wert zugewiesen. Dieser Wert ist für die Lebensdauer der Nachricht konstant.

  • InternalMessageID   Dieser Suchfilter verwendet das internal-message-id-Feld. InternalMessageID ist ein ganzzahliger Nachrichtenbezeichner, der vom Servercomputer mit Exchange zugewiesen wird, der die Nachricht aktuell verarbeitet.

  • Subject    Der Name des Parameters im Cmdlet Get-MessageTrackingLog lautet MessageSubject. Dieser Suchfilter verwendet das message-subject-Feld. Teilwerte werden unterstützt. Dies ist der Betreff der Nachricht wie im Kopfzeilenfeld Subject: angegeben. Die Protokollierung von Nachrichtenbetreffs wird durch den Parameter MessageTrackingLogSubjectLoggingEnabled im Cmdlet Set-TransportServer auf Hub-Transport-Servern und Edge-Transport-Servern bzw. vom Cmdlet Set-MailboxServer auf Postfachservern gesteuert. Standardmäßig ist die Nachrichtenbetreffprotokollierung aktiviert. Sie können die Nachrichtenbetreffprotokollierung deaktivieren, indem Sie den Wert des Parameters MessageTrackingLogSubjectLoggingEnabled auf $False festlegen.

  • Reference   Dieser Suchfilter verwendet das reference-Feld. Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Bei einem DSN-Ereignis enthält das reference-Feld die MessageID: der Nachricht, die die Benachrichtigung über den Übermittlungsstatus verursacht hat. Bei einem SEND-Ereignis enthält das reference-Feld die MessageID: beliebiger DSN-Nachrichten. Bei einem TRANSFER-Ereignis enthält das reference-Feld die MessageID: der Nachricht, die verzweigt wird.

  • Start   Dieser Suchfilter verwendet das date-time-Feld, um nach Nachrichtenverfolgungseinträgen zu suchen, die mit dem angegebenen Enddatum und der angegebenen Uhrzeit beginnen. Sie können diesen Filter eigenständig zum Abrufen aller Nachrichtenverfolgungseinträge nach dem angegebenen Datum und der Uhrzeit oder als Untergrenze mit dem Parameter End verwenden.

  • End   Dieser Suchfilter verwendet das date-time-Feld, um nach Nachrichtenverfolgungseinträgen bis zum angegebenen Enddatum und der Uhrzeit (jedoch nicht einschließlich) zu suchen. Sie können diesen Filter eigenständig zum Abrufen aller Nachrichtenverfolgungseinträge vor dem angegebenen Datum und der Uhrzeit oder als Obergrenze mit dem Parameter Start verwenden.

Hinweis

Das date-time-Feld im Nachrichtenverfolgungsprotokoll speichert Informationen im UTC-Format (Coordinated Universal Time). Sie sollten die date-time-Suchkriterien jedoch im regionalen Datums- und Uhrzeitformat des Computers eingeben, den Sie zum Durchführen des Suchvorgangs verwenden. Die Suchtools für Nachrichtenverfolgungsprotokolle konvertieren Ihre regionale date-time-Abfrage automatisch in das UTC-Format. Die Suchergebnisse werden für die Anzeige automatisch aus UTC zurück in Ihr regionales date-time-Format konvertiert. Das date-time-Feld zeichnet das Datum und die Uhrzeit eines bestimmten Nachrichtenverfolgungsereignisses auf. date-time der Nachrichtenerstellung ist das Datum und die Uhrzeit des ersten Eingangs der Nachricht in die Exchange-Organisation. date-time der Nachrichtenerstellung werden im Nachrichteninformationsfeld für alle SEND- und DELIVER-Ereignisse gespeichert.

Suchfilter, die in der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell unterschiedlich sind

In der Exchange-Verwaltungsshell bietet das Cmdlet Get-MessageTrackingLog bei Verwendung des Parameters ResultSize eine bessere Steuerung der Anzahl von anzuzeigenden Suchergebnissen. Standardmäßig werden bei einer Suche bis zu 1.000 Ergebnisse angezeigt. Sie können jedoch einen anderen Maximalwert festlegen. Alternativ können Sie den Wert Unlimited verwenden, um sämtliche Ergebnisse anzuzeigen. Das Nachrichtenverfolgungstool in der Exchange-Verwaltungskonsole bietet keine Möglichkeit zur Anpassung des Maximalwerts für die angezeigten Suchergebnisse.

Durchsuchen der Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungsshell

Die folgende Tabelle listet die Suchfilter auf, die bei Verwendung des Cmdlets Get-MessageTrackingLog in der Exchange-Verwaltungsshell verfügbar sind.

Suchfilter, die bei Verwendung des Cmdlets "Get-MessageTrackingLog" verfügbar sind

Suchfilter Entsprechendes Feld im Nachrichtenverfolgungsprotokoll

Ende

date-time

EventId

event-id

InternalMessageId

internal-message-id

MessageId

Nachrichten-ID

MessageSubject

message-subject

Empfänger

recipient-address

Reference

Referenz

ResultSize

Keine Dieser Parameter beschränkt die Anzahl der Ergebnisse, die vom Suchvorgang angezeigt werden.

Sender

sender-address

Start

date-time

Alle Parameter, die mit dem Cmdlet Get-MessageTrackingLog verfügbar sind, sind optional. Wenn Sie das Cmdlet Get-MessageTrackingLog ohne Parameter eingeben, werden die letzten 1.000 Einträge des Nachrichtenverfolgungsprotokolls angezeigt.

So verwenden Sie die Exchange-Verwaltungsshell zum Durchsuchen der Nachrichtenverfolgungsprotokolle

  • Führen Sie den folgenden Befehl aus:

    Get-MessageTrackingLog <SearchFilters>

    Um das Nachrichtenverfolgungsprotokoll z. B. nach allen Einträgen vom 28.03.11 8:00 Uhr bis zum 28.03.11 17:00 Uhr für alle FAIL-Ereignisse zu durchsuchen, die von pat@contoso.com gesendet wurden, führen Sie den folgenden Befehl aus:

    Get-MessageTrackingLog -ResultSize Unlimited -Start "3/28/2011 8:00AM" -End "3/28/2011 5:00PM" -EventId "Fail" -Sender "pat@contoso.com"

Steuern der Ausgabe eines Nachrichtenverfolgungsprotokoll-Suchvorgangs, der in der Exchange-Verwaltungsshell ausgeführt wird

Wenn Sie einen Nachrichtenverfolgungsprotokoll-Suchvorgang mithilfe des Cmdlets Get-MessageTrackingLog ausführen, werden nicht alle Felder für jedes Nachrichtenverfolgungsereignis angezeigt. Die folgende Tabelle listet die Felder auf, die vom Cmdlet Get-MessageTrackingLog standardmäßig angezeigt werden.

Felder, die vom Cmdlet "Get-MessageTrackingLog" standardmäßig angezeigt werden

Suchfeld Entsprechendes Feld im Nachrichtenverfolgungsprotokoll

EventId

event-id

Quelle

message-source

Sender

sender-address

Empfänger

recipient-address

MessageSubject

message-subject

Sie können die Ausgabe des Cmdlets Get-MessageTrackingLog über die Befehlsausgabeoptionen in der Exchange-Verwaltungsshell gemäß den folgenden Richtlinien steuern:

  • Sie können das Ausgabeformat des Nachrichtenverfolgungsprotokoll-Suchvorgangs steuern. Sie können die Ergebnisse in einer Liste oder in einer Tabelle anzeigen.

    Wichtig

    Das Tabellenformat scheint eine gute Wahl als Ausgabeformat zu sein, ist aber nicht unbedingt die beste Wahl. Wenn das in der Tabelle angezeigte Feld lange Werte besitzt, werden die Werte abgeschnitten, damit sie in die Spalten der Tabelle passen. Dieser Abschneidevorgang erfolgt ebenfalls, wenn Sie versuchen, zu viele Felder gleichzeitig anzuzeigen. Die vollständigen Feldwerte sind immer vorhanden, wenn Sie das Listenformat verwenden. Zum Anzeigen weiterer Spalten können Sie auch die 80 Zeichen umfassende Standardbreite des Fensters der Exchange-Verwaltungsshell vergrößern. Die Fenstergröße der Exchange-Verwaltungsshell wird in den Eigenschaften des Fensters der Exchange-Verwaltungsshell angepasst.

  • Sie können bestimmte Felder anzeigen oder ausblenden, die von einem Nachrichtenverfolgungsprotokoll-Suchvorgang zurückgegeben werden. Platzhalterzeichen (*) werden unterstützt.

  • Sie können die Ergebnisse des Suchvorgangs in eine Datei umleiten.

Die durch die Ergebnisse aus dem Cmdlet Get-MessageTrackingLog angezeigten Feldnamen sind die gleichen Feldnamen, die Sie zum Filtern der Suchergebnisse verwenden können. Diese Feldnamen unterscheiden sich geringfügig von den tatsächlichen Feldnamen, die im Nachrichtenverfolgungsprotokoll gespeichert sind. Die folgende Tabelle stellt die Feldnamen, die im Nachrichtenverfolgungsprotokoll verwendet werden, den Feldnamen gegenüber, die vom Cmdlet Get-MessageTrackingLog verwendet werden.

Vergleich der Feldnamen, die im Nachrichtenverfolgungsprotokoll verwendet werden, mit den Feldnamen, die vom Cmdlet "Get-MessageTrackingLog" verwendet werden

Verwendeter Feldname im Nachrichtenverfolgungsprotokoll Zum Filtern der Get-MessageTrackingLog-Ergebnisse verwendeter Feldname

date-time

Timestamp

client-ip

ClientIp

client-hostname

ClientHostname

server-ip

ServerIp

server-hostname

ServerHostname

source-context

SourceContext

connector-id

ConnectorId

source

Quelle

event-id

EventId

internal-message-id

InternalMessageId

Nachrichten-ID

MessageId

recipient-address

Empfänger

recipient-status

RecipientStatus

total-bytes

TotalBytes

recipient-count

RecipientCount

related-recipient-address

RelatedRecipientAddress

Referenz

Reference

message-subject

MessageSubject

sender-address

Sender

return-path

ReturnPath

message-info

MessageInfo

So verwenden Sie die Exchange-Verwaltungsshell zum Steuern der Ausgabe eines Nachrichtenverfolgungsprotokoll-Suchvorgangs

  • Verwenden Sie den folgenden Befehl:

    Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> <FieldNames> <OutputFileOptions>

    Um die Nachrichtenverfolgungsprotokolle z. B. nach den ersten 1.000 Send-Ereignissen zu durchsuchen, die gefundenen Ergebnisse im Listenformat anzuzeigen, die Werte aller mit Send oder Receive beginnenden Feldnamen anzuzeigen und die Ergebnisse in eine neue Datei namens C:\send search.txt zu schreiben, führen Sie den folgenden Befehl aus:

    Get-MessageTrackingLog -EventId "Send" | Format-List Send*,Receive* > "C:\send search.txt"

Durchsuchen der Nachrichtenverfolgungsprotokolle nach einer Nachricht auf mehreren Servern mithilfe der Exchange-Verwaltungsshell

Eine Eigenschaft von Nachrichten, die beim Übertragen durch die Exchange-Organisation unverändert bleibt, ist der Wert des Kopfzeilenfelds MessageID:. Dieser Wert heißt in Dienstprogrammen zum Anzeigen von Warteschlagen InternetMessageId und in Dienstprogrammen für Nachrichtenverfolgungsprotokolle MessageId. Nachdem Sie den Wert von MessageID: bestimmt haben, können Sie auf allen Hub-Transport- und Postfachservern in der Exchange-Organisation nach der jeweiligen Nachricht suchen.

So verwenden Sie die Exchange-Verwaltungsshell zum Durchsuchen von Einträgen in Nachrichtenverfolgungsprotokollen nach einer bestimmten Nachricht auf allen Hub-Transport- und Postfachservern

  • Verwenden Sie den folgenden Befehl:

    Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "<messageid>" | Select-Object <commaseparatedfieldnames> | Sort-Object -Property <field>

    Um z. B. die Nachrichtenverfolgungsprotokolle auf allen Hub-Transport- und Postfachservern nach Einträgen im Zusammenhang mit einer Nachricht zu durchsuchen, deren MessageID: den Wert ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com hat, um die Felder date-time, server-hostname, client-hostname, source, event-id und recipient-address for each entry anzuzeigen und die Ergebnisse nach dem Feld date-time zu sortieren, führen Sie den folgenden Befehl aus:

    Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com" | Select-Object Timestamp,ServerHostname,ClientHostname,Source,EventId,Recipients | Sort-Object -Property Timestamp

Ausführliche Informationen zu Syntax und Parametern finden Sie unter get-MessageTrackingLog.

Weitere Informationen zu den Befehlsausgabeoptionen in der Exchange-Verwaltungsshell finden Sie unter Verwenden von PowerShell mit Exchange 2010 (Exchange-Verwaltungsshell).

Durchsuchen der Nachrichtenverfolgungsprotokolle mithilfe der Exchange-Verwaltungskonsole

So verwenden Sie die Exchange-Verwaltungskonsole zum Durchsuchen des Nachrichtenverfolgungsprotokolls

  1. Starten Sie die Exchange-Verwaltungskonsole.

  2. Klicken Sie in der Konsolenstruktur auf Toolbox. Klicken Sie im Ergebnisbereich auf Nachrichtenverfolgung. Klicken Sie im Aktionsbereich auf Tool öffnen.

  3. Melden Sie sich bei Outlook Web App an, wenn Sie dazu aufgefordert werden.

  4. Klicken Sie in der Liste Wählen Sie die zu verwaltenden Elemente aus auf Meine Organisation, und klicken Sie anschließend im Navigationsbereich auf Berichterstellung.

  5. Konfigurieren Sie die Werte für die folgenden verfügbaren Optionen, um die Suchkriterien für Ihre Nachrichtenverfolgungs-Protokollsuche festzulegen:

    • Zu durchsuchendes Postfach Klicken Sie auf Durchsuchen, und wählen Sie das gewünschte Postfach aus.

    • Nachrichten suchen an Empfänger Klicken Sie auf diese Option, wenn Sie nach gesendeten Nachrichten suchen möchten. Klicken Sie anschließend auf Benutzer auswählen, um einen oder mehrere Benutzer auszuwählen.

    • Nachrichten suchen von Absender Alternativ klicken Sie auf diese Option, um nach empfangenen Nachrichten zu suchen. Klicken Sie anschließend auf Benutzer auswählen, um einen bestimmten Empfänger auszuwählen.

    • Diese Wörter in der Betreffzeile suchen Geben Sie den Suchtext ein, um nach Nachrichten mit einem bestimmten Betreff zu suchen.

  6. Klicken Sie auf Suchen, und betrachten Sie die Ergebnisse im Bereich Suchergebnisse.

Weitere Informationen

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Grundlegendes zur Nachrichtenverfolgung

Konfigurieren der Nachrichtenverfolgung

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.