Monitoraggio messaggi
Il log di rilevamento dei messaggi è un record dettagliato di tutte le attività mentre la posta scorre attraverso la pipeline di trasporto nei server Cassette postali e nei server Trasporto Edge. È possibile usare la verifica di messaggi per l'analisi forense dei messaggi, l'analisi del flusso di posta, la creazione di report e la risoluzione dei problemi.
Per impostazione predefinita, Exchange usa la registrazione circolare per limitare il log di rilevamento dei messaggi in base alle dimensioni e all'età dei file per controllare lo spazio su disco rigido usato dai file di log. Per configurare il log di rilevamento dei messaggi, vedere Configurare il rilevamento dei messaggi.
Ricerca nel registro di verifica messaggi
I log di rilevamento dei messaggi contengono grandi quantità di dati quando i messaggi si spostano attraverso un server Cassette postali o un server Trasporto Edge. Quando si tratta di eseguire ricerche nei log di rilevamento dei messaggi, sono disponibili opzioni:
Get-MessageTrackingLog: gli amministratori possono usare questo cmdlet di Exchange Management Shell per cercare nel log di rilevamento dei messaggi informazioni sui messaggi usando un'ampia gamma di criteri di filtro. Per ulteriori informazioni, vedere Registri di verifica messaggi di ricerca.
Report di recapito per gli amministratori: gli amministratori possono usare la scheda Rapporti di recapito nell'interfaccia di amministrazione di Exchange o i cmdlet Search-MessageTrackingReport e Get-MessageTrackingReport sottostanti in Exchange Management Shell per cercare informazioni sui messaggi inviati o ricevuti da una cassetta postale specifica dell'organizzazione. Per altre informazioni, vedere Report di recapito per gli amministratori.
Struttura dei file di registro di verifica messaggi
Per impostazione predefinita, i file di log di rilevamento dei messaggi sono presenti in %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. La cartella contiene file di log con nomi diversi, ma tutti seguono la convenzione MSGTRKServiceyyyyMMdd-nnnn.logdi denominazione . I diversi nomi di file di log sono descritti nella tabella seguente.
| Nome del file | Server | Descrizione |
|---|---|---|
MSGTRK |
Cassette postali e server Trasporto Edge | File di registro per il servizio di trasporto. |
MSGTRKMA |
Server Cassette postali | File di registro per approvazioni e rifiuti nel trasporto moderato. Per ulteriori informazioni, vedere Gestione approvazione del messaggio. |
MSGTRKMD |
Server Cassette postali | File di registro per i messaggi recapitati alle cassette postali dal servizio Recapito alle cassette postali. |
MSGTRKMS |
Server Cassette postali | File di log per i messaggi inviati dalle cassette postali dal servizio Invio alle cassette postali. |
Gli altri segnaposto nei nomi dei file di log rappresentano le informazioni seguenti:
yyyyMMdd è la data UTC (Coordinated Universal Time) quando è stato creato il file di log. aaaa = anno, MM = mese e dd = giorno.
nnnn è un numero di istanza che inizia al valore 1 ogni giorno per ogni log.
Le informazioni vengono scritte sul file di log fino a quando le dimensioni del file non raggiungono il valore massimo. A quel punto viene aperto un nuovo file di registro con un numero di istanze incrementato (il primo file di log è -1, il seguente è -2 e così via). La registrazione circolare elimina i file di log meno recenti per un servizio quando si verifica una delle condizioni seguenti:
Un file di registro raggiunge il limite di validità massimo.
La cartella del log di rilevamento dei messaggi raggiunge le dimensioni massime.
Note:
La dimensione massima della cartella del log di rilevamento messaggi viene calcolata come dimensione totale di tutti i file di log con lo stesso prefisso del nome. Gli altri file che non seguono la convenzione di prefisso del nome non vengono conteggiati nel calcolo delle dimensioni totali della cartella. La ridenominazione di file di log precedenti o la copia di altri file nella cartella del log di rilevamento dei messaggi potrebbe causare il superamento delle dimensioni massime specificate per la cartella.
Nei server Cassette postali, la dimensione massima della cartella del log di rilevamento dei messaggi è tre volte superiore al valore specificato. Anche se i file di log di rilevamento dei messaggi vengono generati dai quattro servizi diversi e hanno quattro prefissi di nome diversi, la quantità e la frequenza dei dati scritti nel log di trasporto moderato (
MSGTRKMA) sono trascurabili rispetto agli altri tre log.
I file di registro di verifica messaggi sono file di testo che contengono dati in formato CSV (Comma Separated Value). In ciascun file di registro di verifica messaggi è presente un'intestazione in cui sono contenute le seguenti informazioni:
#Software: il valore è
Microsoft Exchange Server.#Version: numero di versione del server Exchange che ha creato il file di log di rilevamento dei messaggi. Il valore usa il formato
15.01.nnnn.nnn.#Log-Type: il valore è
Message Tracking Log.#Date: data e ora UTC in cui è stato creato il file di log. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: yyyy-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC.
#Fields: nomi di campi delimitati da virgole usati nei file di log di rilevamento messaggi.
Campi dei file di registro di verifica messaggi
Il registro di verifica messaggi archivia ciascun evento di messaggio su un'unica riga nel registro. Le informazioni sugli eventi dei messaggi sono organizzate in base ai campi e tali campi sono separati da virgole. Il nome del campo in genere è abbastanza descrittivo da consentire di determinare il tipo di informazione contenuta. Tuttavia, alcuni campi possono essere vuoti o il tipo di informazioni in essi contenute potrebbe cambiare in base al tipo di evento del messaggio e al servizio che ha registrato l'evento. Le descrizioni generali dei campi utilizzati per classificare ogni evento di verifica messaggi sono fornite nella tabella seguente.
| Nome campo | Descrizione |
|---|---|
| date-time | Data/ora UTC dell'evento di verifica messaggi. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: yyyy-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC. |
| client-ip | L'indirizzo IPv4 o IPv6 del server di messaggistica o del client di messaggistica che ha inviato il messaggio. |
| client-hostname | Il nome host o il nome di dominio completo del server di messaggistica o del client di messaggistica che ha inviato il messaggio. |
| server-ip | Indirizzo IPv4 o IPv6 del server di origine o di destinazione. |
| server-hostname | Il nome host o il nome di dominio completo del server di destinazione. |
| source-context | Informazioni aggiuntive associate al campo di origine. Ad esempio:CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | Nome del connettore di invio o di ricezione che ha accettato il messaggio. Ad esempio, ServerName\ ConnectorName o ConnectorName. |
| source | Componente di trasporto di Exchange responsabile dell'evento. Questi valori sono descritti nella sezione Valori di origine del log di rilevamento dei messaggi più avanti in questo argomento. |
| event-id | Il tipo di evento di messaggio. Questi valori sono descritti nella sezione Tipi di evento nel log di rilevamento dei messaggi più avanti in questo argomento. |
| internal-message-id | Identificatore del messaggio assegnato dal server Exchange che sta attualmente elaborando il messaggio. L'internal-message-id di un messaggio è diverso nel log di rilevamento dei messaggi di ogni server Exchange coinvolto nella trasmissione del messaggio. Un valore di esempio è 73014444033. |
| message-id | Valore del campo Message-Id: header nell'intestazione del messaggio. Se il campo Message-Id: header non esiste o è vuoto, Exchange assegna un valore arbitrario. Questo valore rimane immutato per tutta la durata del messaggio. Per i messaggi creati in Exchange, il valore è nel formato <GUID@ServerFQDN>, incluse le parentesi angolari (< >). Ad esempio, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Altri sistemi di messaggistica potrebbero utilizzare una sintassi o valori diversi. |
| network-message-id | Un ID messaggio univoco che persiste tra le copie del messaggio che si possono creare a causa della biforcazione o dell'espansione del gruppo di distribuzione. Un valore di esempio è 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Gli indirizzi di posta elettronica dei destinatari del messaggio. Gli indirizzi di posta elettronica multipli sono separati dal carattere punto e virgola (;). |
| recipient-status | Stato del destinatario per ogni destinatario separato dal punto e virgola (;). I valori di stato sono presentati per i destinatari nello stesso ordine dei valori nel campo recipient-address. I valori di stato di esempio includono:To, Cc o Bcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | Dimensioni totali del messaggio in byte, inclusi tutti gli allegati. |
| recipient-count | Numero totale di destinatari nel messaggio. |
| related-recipient-address | Questo campo viene usato con gli eventi EXPAND, REDIRECT e RESOLVE per visualizzare altri indirizzi di posta elettronica del destinatario associati al messaggio. |
| reference | Questo campo contiene informazioni aggiuntive per i tipi specifici di eventi. Ad esempio: DSN: contiene il collegamento al report, ovvero il valore Message-Id della notifica di stato del recapito associata (nota anche come DSN, messaggio di mancato recapito, report di mancato recapito o rapporto di mancato recapito) se viene generato un DSN dopo questo evento. Se si tratta di un messaggio DSN, il campo Riferimento contiene il valore Message-Id del messaggio originale per cui è stato generato il DSN. EXPAND: contiene il valore related-recipient-address dei messaggi correlati. RECEIVE: può contenere il valore Message-Id del messaggio correlato se il messaggio è stato generato da altri processi, ad esempio regole di inserimento nel journal o posta in arrivo. SEND: contiene il valore Internal-Message-Id di tutti i messaggi DSN. THROTTLE: contiene il motivo per cui il messaggio è stato limitato. TRANSFER: contiene il valore Internal-Message-Id del messaggio che viene sottoposto a fork. Messaggio generato dalle regole della posta in arrivo: contiene il valore Internal-Message-Id del messaggio in ingresso che ha causato la generazione del messaggio in uscita da parte della regola di posta in arrivo. Messaggi con fork: potrebbe contenere il valore Internal-Message-Id . Per altri tipi di eventi, questo campo è in genere vuoto. |
| message-subject | L'oggetto del messaggio che si trova nel campo di intestazione Subject:. Il rilevamento degli oggetti messaggio è controllato dal parametro MessageTrackingLogSubjectLoggingEnabled nel cmdlet Set-TransportService . Per impostazione predefinita, la verifica degli oggetti dei messaggi è attivata. |
| sender-address | Indirizzo di posta elettronica specificato nel campo Mittente: intestazione o Campo intestazione Da: se il campo Mittente: non esiste. |
| return-path | Indirizzo di posta elettronica restituito specificato dal comando MAIL FROM che ha inviato il messaggio. Anche se questo campo non è mai vuoto, può avere il valore di indirizzo mittente Null rappresentato come <>. |
| message-info | Ulteriori informazioni sul messaggio. Ad esempio: Data e ora di origine del messaggio in formato UTC per gli eventi DELIVER e SEND . La data e l'ora di origine corrispondono alla data e all'ora in cui il messaggio entra per la prima volta nell'organizzazione Exchange. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: yyyy-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC. Errori di autenticazione. Ad esempio, è possibile che vengano visualizzati il valore 11a e il tipo di autenticazione usati quando si è verificato l'errore di autenticazione. |
| directionality | La direzione del messaggio. I valori di esempio includono Incoming, Undefinede Originating. |
| tenant-id | Questo campo non viene usato nelle organizzazioni di Exchange locali. |
| original-client-ip | L'indirizzo IPv4 o IPv6 del client originale. |
| original-server-ip | L'indirizzo IPv4 o IPv6 del server originale. |
| custom-data | Questo campo contiene dati correlati a tipi di evento specifici. Ad esempio, l'agente della regola di trasporto usa questo campo per registrare il GUID della regola del flusso di posta (nota anche come regola di trasporto) o i criteri DLP che hanno agito sul messaggio. Per altre informazioni, vedere Visualizzare i report di rilevamento dei criteri DLP. |
| transport-traffic-type | In Exchange locale questo campo è vuoto o ha il valore Email. |
| log-id | Identificatore univoco per una riga nel log di rilevamento dei messaggi. Questo campo non è importante nelle organizzazioni di Exchange locali. |
| schema-version | Numero di versione del server Exchange che ha creato la voce nel log di rilevamento dei messaggi. Il valore usa il formato 15.01.nnnn.nnn. |
Tipi di evento nel registro di verifica messaggi
Diversi tipi di evento nel campo event-id sono utilizzati per classificare gli eventi dei messaggi nel registro di verifica messaggi. Alcuni eventi dei messaggi appaiono in un solo tipo di file di registro di verifica messaggi mentre altri eventi appaiono in tutti i tipi di file di registro di verifica messaggi. I tipi di evento utilizzati per classificare ciascun evento di messaggio sono illustrati nella tabella seguente.
| Nome evento | Descrizione |
|---|---|
| AGENTINFO | Questo evento viene utilizzato dagli agenti di trasporto per registrare i dati personalizzati. |
| BADMAIL | Dalla directory di prelievo o dalla directory di riesecuzione è stato inviato un messaggio che non può essere recapitato né restituito. |
| CLIENTSUBMISSION | È stato inviato un messaggio dalla posta in uscita di una cassetta postale. |
| DEFER | Il recapito del messaggio è stato ritardato. |
| DELIVER | Un messaggio è stato recapitato a una cassetta postale locale. |
| DELIVERFAIL | Un agente ha tentato di recapitare il messaggio a una cartella che non esiste nella cassetta postale. |
| DROP | Un messaggio è stato rimosso senza notifica sullo stato del recapito (nota anche come DSN, notifica di mancato recapito, rapporto di mancato recapito o NDR). Ad esempio:
|
| DSN | È stata generata una notifica sullo stato del recapito (DSN, delivery status notification). |
| DUPLICATEDELIVER | Al destinatario è stato recapitato un messaggio duplicato. La duplicazione può avvenire se un destinatario è membro di più gruppi di distribuzione nidificati. I messaggi duplicati vengono rilevati e rimossi dall'archivio informazioni. |
| DUPLICATEEXPAND | Durante l'espansione del gruppo di distribuzione è stato rilevato un destinatario duplicato. |
| DUPLICATEREDIRECT | Un destinatario alternativo per il messaggio era già un destinatario. |
| EXPAND | Un gruppo di distribuzione è stato espanso. |
| FAIL | Recapito del messaggio non riuscito. Le origini sono SMTP, DNS, QUEUE e ROUTING. |
| HADISCARD | Un messaggio shadow è stato ignorato dopo il recapito della copia primaria al successivo hop. Per altre informazioni, vedere Ridondanza shadow in Exchange Server. |
| HARECEIVE | Un messaggio shadow è stato ricevuto dal server nel gruppo di disponibilità del database (DAG) locale o nel sito Active Directory. |
| HAREDIRECT | È stato creato un messaggio shadow. |
| HAREDIRECTFAIL | Non è stato possibile creare un messaggio shadow. I dettagli vengono archiviati nel campo source-context. |
| INITMESSAGECREATED | Un messaggio è stato inviato a un destinatario moderato, quindi il messaggio è stato inviato alla cassetta postale di arbitraggio per l'approvazione. Per ulteriori informazioni, vedere Gestione approvazione del messaggio. |
| LOAD | Un messaggio è stato correttamente caricato all'avvio. |
| MODERATIONEXPIRE | Un moderatore per un destinatario moderato non ha mai approvato o rifiutato il messaggio, che è quindi scaduto. Per ulteriori informazioni sui destinatari moderati, vedere Gestione approvazione del messaggio. |
| MODERATORAPPROVE | Un moderatore per un destinatario moderato ha approvato il messaggio, che è stato quindi recapitato al destinatario moderato |
| MODERATORREJECT | Un moderatore per un destinatario moderato ha rifiutato il messaggio, che non è stato quindi recapitato al destinatario moderato. |
| MODERATORSALLNDR | Tutte le richieste di approvazione inviate a tutti i moderatori di un destinatario moderato non erano recapitabili e generavano report di mancato recapito (noti anche come rapporti di mancato recapito o messaggi di mancato recapito). |
| NOTIFYMAPI | Un messaggio è stato rilevato nella cassetta di Posta in uscita di una cassetta posta sul server locale. |
| NOTIFYSHADOW | Un messaggio è stato rilevato nella cassetta di Posta in uscita di una cassetta postale sul server locale ed è necessario creare una copia shadow del messaggio. |
| POISONMESSAGE | Un messaggio è stato collocato nella coda dei messaggi non elaborabili o è stato rimosso da tale coda. |
| PROCESS | Il messaggio è stato elaborato correttamente. |
| PROCESSMEETINGMESSAGE | Un messaggio di riunione è stato elaborato dal servizio Recapito alle cassette postali. |
| RECEIVE | Un messaggio è stato ricevuto dal componente di ricezione SMTP del servizio di trasporto o dalle directory pickup o replay (origine: SMTP) oppure è stato inviato un messaggio da una cassetta postale al servizio Invio trasporto cassette postali (origine: STOREDRIVER). |
| REDIRECT | Un messaggio è stato reindirizzato a un destinatario alternativo dopo una ricerca in Active Directory. |
| RESOLVE | I destinatari di un messaggio sono stati risolti in un indirizzo di posta elettronica diverso dopo una ricerca in Active Directory. |
| RESUBMIT | Un messaggio è stato reinviato automaticamente da Rete sicura. Per altre informazioni, vedere Safety Net in Exchange Server. |
| RESUBMITDEFER | Un messaggio reinviato da Rete sicura è stato ritardato. |
| RESUBMITFAIL | Un messaggio reinviato da Rete sicura non è riuscito. |
| SEND | Un messaggio è stato inviato tramite SMTP da un servizio di trasporto all'altro. |
| SUBMIT | Il servizio Recapito alle cassette postali ha trasmesso correttamente il messaggio al servizio di trasporto. Per gli eventi SUBMIT, la proprietà source-context contiene i seguenti dettagli:
|
| SUBMITDEFER | La trasmissione del messaggio dal servizio Recapito alle cassette postali al servizio di trasporto è stata ritardata. |
| SUBMITFAIL | La trasmissione del messaggio dal servizio Recapito alle cassette postali al servizio di trasporto non è riuscita. |
| SUPPRESSED | La trasmissione del messaggio è stata rimossa. |
| THROTTLE | Il messaggio è stato limitato. |
| TRANSFER | I destinatari sono stati spostati su un messaggio duplicato in seguito a una conversione del contenuto, a limitazioni dei destinatari del messaggio o ad agenti. Le origini sono ROUTING e QUEUE. |
Valori dell'origine del registro di verifica messaggi
I valori del campo source nel registro di verifica messaggi indicano il componente del trasporto responsabile dell'evento di verifica messaggi. Nella seguente tabella vengono descritti i valori del campo source.
| Valore di source | Descrizione |
|---|---|
| ADMIN | L'origine dell'evento era l'azione di un utente. Ad esempio, un amministratore ha utilizzato il Visualizzatore code per eliminare un messaggio o ha inviato i file dei messaggi utilizzando la directory di riesecuzione. |
| AGENT | L'origine dell'evento era un agente di trasporto. |
| APPROVAL | L'origine dell'evento è il framework di approvazione utilizzato con i destinatari moderati. Per ulteriori informazioni, vedere Gestione approvazione del messaggio. |
| BOOTLOADER | L'origine evento sono messaggi non elaborati che esistono sul server in fase di avvio. Questo è correlato al tipo di evento LOAD. |
| DNS | L'origine dell'evento era un DNS. |
| DSN | L'origine evento era una notifica di stato del recapito (nota anche come DSN, messaggio di mancato recapito, report di mancato recapito o rapporto di mancato recapito). |
| GATEWAY | L'origine dell'evento era un connettore esterno. Per altre informazioni, vedere Connettori esterni. |
| MAILBOXRULE | L'origine dell'evento era una regola di Posta in arrivo. Per ulteriori informazioni, vedere Regole di Posta in arrivo. |
| MEETINGMESSAGEPROCESSOR | L'origine evento è il processore dei messaggi di riunione, che aggiorna i calendari in base agli aggiornamenti delle riunioni. |
| ORAR | L'origine dell'evento era un ORAR (Originator Requested Alternate Recipient). È possibile abilitare o disabilitare il supporto per ORAR nei connettori di ricezione usando il parametro OrarEnabled nei cmdlet New-ReceiveConnector o Set-ReceiveConnector . |
| PICKUP | L'origine dell'evento era la directory di prelievo. Per altre informazioni, vedere Directory di ritiro e Directory di riproduzione. |
| POISONMESSAGE | L'origine dell'evento era l'identificativo messaggio non elaborabile. Per altre informazioni sui messaggi non elaborabili e sulla coda dei messaggi non elaborabili, vedere Code e messaggi nelle code |
| PUBLICFOLDER | L'origine dell'evento era la cartella pubblica abilitata alla posta. |
| QUEUE | L'origine dell'evento era una coda. |
| REDUNDANCY | L'origine dell'evento era la ridondanza shadow. Per altre informazioni, vedere Ridondanza shadow in Exchange Server. |
| RESOLVER | L'origine evento è il componente di risoluzione del destinatario del classificatore nel servizio trasporto. Per altre informazioni, vedere Risoluzione dei destinatari in Exchange Server. |
| ROUTING | L'origine dell'evento era il componente di risoluzione del routing del classificatore nel servizio di trasporto. |
| SAFETYNET | L'origine dell'evento era Rete sicura. Per altre informazioni, vedere Safety Net in Exchange Server. |
| SMTP | Il messaggio è stato inviato dal componente di invio o ricezione SMTP del servizio di trasporto. |
| STOREDRIVER | L'origine dell'evento era un invio MAPI da una cassetta postale sul server locale. |
Voci di esempio nel registro di verifica messaggi
Un messaggio senza eventi inviato tra due utenti genera più voci nel registro di verifica messaggi. È possibile visualizzare i risultati utilizzando il cmdlet Get-MessageTrackingLog. Per ulteriori informazioni, vedere Registri di verifica messaggi di ricerca.
Questo è un esempio delle voci del log di rilevamento messaggi create quando l'utente chris@contoso.com invia correttamente un messaggio di test all'utente michelle@contoso.com. Entrambi gli utenti hanno cassette postali sullo stesso server.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problemi relativi alla protezione per il registro di verifica messaggi
Nel registro di verifica messaggi non viene archiviato alcun contenuto del messaggio. Per impostazione predefinita, la riga dell'oggetto di un messaggio di posta elettronica è archiviata nel registro di verifica messaggi. Potrebbe essere necessario disabilitare la registrazione dei soggetti per rispettare requisiti di sicurezza o privacy maggiori. Per istruzioni su come disabilitare la registrazione dell'oggetto, vedere Configurare il rilevamento dei messaggi.