Rilevamento dei messaggi in Exchange
Si applica a: Exchange Server 2013
In Microsoft Exchange Server 2013, il registro di verifica messaggi è un record dettagliato di tutta l'attività relativa ai messaggi trasferiti al/dal servizio di trasporto sui server Cassette postali, alle/dalle cassette postali sui server Cassette postali e ai/dai server Trasporto Edge. I registri di verifica messaggi possono essere utilizzati per le indagini sui messaggi, l'analisi del flusso di posta, le segnalazioni e la risoluzione dei problemi.
In Exchange 2013, è possibile utilizzare il cmdlet Set-TransportService o Set-MailboxServer per tutte le attività di configurazione della verifica dei messaggi perché il server Cassette postali di Exchange 2013 contiene il servizio di trasporto e le cassette postali. Questi cmdlet consentono di apportare le seguenti modifiche alla configurazione della verifica messaggi:
- Abilitare o disabilitare la verifica messaggi. L'impostazione predefinita è abilitata.
- Specificare la posizione dei file di registro della verifica messaggi.
- Specificare una dimensione massima per i singoli file di registro della verifica messaggi. L'impostazione predefinita è 10 MB.
- Specificare una dimensione massima per la directory contenente i file di registro della verifica dei messaggi: L'impostazione predefinita è 1.000 MB.
- Specificare il limite di validità massimo per i file di registro della verifica messaggi: L'impostazione predefinita è 30 giorni.
- Abilitare o disabilitare la registrazione degli oggetti nei registri della verifica messaggi. L'impostazione predefinita è abilitata.
Nota
È possibile, inoltre, utilizzare l'interfaccia di amministrazione di Exchange (EAC) per abilitare o disabilitare la verifica messaggi e per specificare il percorso dei file di registro della verifica messaggi.
Per impostazione predefinita, Exchange utilizza la registrazione circolare per limitare i registri di verifica messaggi in base alle dimensioni e al limite di validità dei file al fine di controllare lo spazio su disco rigido utilizzato dai file di registro di verifica messaggi.
Ricerca nel registro di verifica messaggi
I registri di verifica messaggi contengono grandi quantità di dati relativi allo spostamento dei messaggi attraverso un server Cassette postali di Exchange 2013. Per effettuare ricerche nei registri di verifica messaggi sono disponibili diverse opzioni.
Get-MessageTrackingLog: gli amministratori possono usare questo cmdlet per cercare nel log di rilevamento dei messaggi informazioni sui messaggi usando un'ampia gamma di criteri di filtro. Per ulteriori informazioni, vedere Registri di verifica messaggi di ricerca.
Report di recapito per gli amministratori: gli amministratori possono usare la scheda Rapporti di recapito nell'interfaccia di amministrazione di Exchange o i cmdlet Search-MessageTrackingReport e Get-MesageTrackingReport sottostanti per cercare informazioni sui messaggi inviati o ricevuti da una cassetta postale specifica dell'organizzazione. Per ulteriori informazioni, vedere Rapporti di recapito per gli amministratori.
Struttura dei file di registro di verifica messaggi
Per impostazione predefinita, i file di registro di verifica messaggi si trovano in %ExchangeInstallPath%TransportRoles\Logs\MessageTracking.
La convenzione di denominazione per i file di log nella directory del log di rilevamento dei messaggi è MSGTRKyyyyMMdd-nnnn.log, MSGTRKMAyyyyMMdd-nnnn.log, MSGTRKMDyyyyMMdd-nnnn.loge MSGTRKMSyyyyMMdd-nnnn.log. I diversi registri sono utilizzati dai seguenti servizi:
- MSGTRK: questi log sono associati al servizio trasporto.
- MSGTRKMA: questi log sono associati alle approvazioni e ai rifiuti usati dal trasporto moderato. Per ulteriori informazioni, vedere Gestione approvazione del messaggio.
- MSGTRKMD: questi log sono associati ai messaggi recapitati alle cassette postali dal servizio recapito del trasporto delle cassette postali.
- MSGTRKMS: questi log sono associati ai messaggi inviati dalle cassette postali dal servizio Invio trasporto cassette postali.
I segnaposto nei nomi dei file di registro rappresentano le seguenti informazioni:
- Il segnaposto yyyyMMMdd è la data UTC (Coordinated Universal Time) in cui è stato creato il file di log. aaaa = anno, MM = mese e dd = giorno.
- Il segnaposto nnnn è un numero di istanza che inizia al valore di 1 al giorno per ogni prefisso del nome del file di log di rilevamento messaggi.
Le informazioni vengono scritte su ciascun file di registro fino a quando le dimensioni del file non raggiungono il valore massimo specificato per ogni file di registro. Viene quindi aperto un nuovo file di registro con un numero di istanza maggiore. Questo processo si ripete per tutta la giornata. La funzionalità di rotazione dei file di registro elimina i file più vecchi quando si verifica una della seguenti condizioni:
Un file di registro raggiunge il limite di validità massimo specificato.
La directory dei registri di verifica messaggi raggiunge la dimensione massima specificata.
Importante
La dimensione massima della directory dei registri di verifica dei messaggi viene calcolata come dimensione totale di tutti i file di registro con lo stesso prefisso del nome. Gli altri file che non seguono la convenzione del prefisso del nome non vengono conteggiati nel calcolo della dimensione totale della directory. Se si rinominano i file di registro meno recenti o si copiano gli altri file nella directory dei registri di verifica dei messaggi, la directory potrebbe superare la dimensione massima specificata.
Nei server Cassette postali di Exchange 2013 le dimensioni massime della directory del log di rilevamento dei messaggi sono tre volte superiori al valore specificato. Anche se i file di registro della verifica messaggi generati da quattro diversi servizi hanno quattro diversi prefissi dei nomi, la quantità e la frequenza dei dati scritti nei file di registro di MSGTRKMA sono trascurabili rispetto a quelle degli altri prefissi dei file di registro.
I file di registro di verifica messaggi sono file di testo che contengono dati in formato CSV (Comma Separated Value). In ciascun file di registro di verifica messaggi è presente un'intestazione in cui sono contenute le seguenti informazioni:
#Software:: nome del software che ha creato il file di log di rilevamento dei messaggi. Generalmente, il valore è Microsoft Exchange Server.
#Version:: Numero di versione del software che ha creato il file di log di rilevamento dei messaggi. Il valore corrente è 15.0.0.0.
#Log-Type:: Valore del tipo di log, ovvero log di rilevamento messaggi.
#Date:: data e ora UTC in cui è stato creato il file di log. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: aaaa-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese e dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC.
#Fields:: nomi di campi delimitati da virgole usati nei file di log di rilevamento dei messaggi.
Campi dei file di registro di verifica messaggi
Il registro di verifica messaggi archivia ciascun evento di messaggio su un'unica riga nel registro. Le informazioni sugli eventi dei messaggi sono organizzate in base ai campi e tali campi sono separati da virgole. Il nome del campo in genere è abbastanza descrittivo da consentire di determinare il tipo di informazione contenuta. Tuttavia, alcuni campi potrebbero essere vuoti oppure il tipo di informazioni archiviato nel campo potrebbe cambiare a seconda del tipo di evento del messaggio e al tipo di file di registro di verifica messaggi in cui è stato registrato l'evento. Le descrizioni generali dei campi utilizzati per classificare ogni evento di verifica messaggi sono fornite nella tabella seguente.
| Nome campo | Descrizione |
|---|---|
| date-time | Data/ora UTC dell'evento di verifica messaggi. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: aaaa-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC. |
| client-ip | L'indirizzo IPv4 o IPv6 del server di messaggistica o del client di messaggistica che ha inviato il messaggio. |
| client-hostname | Il nome host o il nome di dominio completo del server di messaggistica o del client di messaggistica che ha inviato il messaggio. |
| server-ip | L'indirizzo IPv4 o IPv6 dell'origine o della destinazione del server Exchange. |
| server-hostname | Il nome host o il nome di dominio completo del server di destinazione. |
| source-context | Informazioni aggiuntive associate al campo di origine. Ad esempio, informazioni sull'agente di trasporto. |
| connector-id | Il nome del connettore di invio o del connettore di ricezione di origine o di destinazione. Ad esempio, ServerName\ConnectorName o ConnectorName. |
| source | Il componente di trasporto di Exchange responsabile per l'evento di verifica messaggi. I valori che si trovano in questo campo sono descritti nella sezione Valori dell'origine del registro di verifica messaggi di questo argomento. |
| event-id | Il tipo di evento di messaggio. I tipi di evento sono descritti nella sezione Tipi di evento nel registro di verifica messaggi di questo messaggio. |
| internal-message-id | Un identificativo del messaggio assegnato al server Exchange che sta elaborando il messaggio. Il valore di internal-message-id di un messaggio specifico è diverso nel registro di verifica messaggi di ciascun server Exchange coinvolto nella trasmissione del messaggio. Un valore di esempio è 73014444033. |
| message-id | Il valore del campo di intestazione Message-Id: trovato nell'intestazione del messaggio. Se il campo di intestazione Message-Id: non esiste o è vuoto, viene assegnato un valore arbitrario. Questo valore rimane immutato per tutta la durata del messaggio. Per i messaggi creati in Exchange, il valore è nel formato <GUID@ServerFQDN>, incluse le parentesi angolari (< >). Ad esempio, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Altri sistemi di messaggistica potrebbero utilizzare una sintassi o valori diversi. |
| network-message-id | Un ID messaggio univoco che persiste tra le copie del messaggio che si possono creare a causa della biforcazione o dell'espansione del gruppo di distribuzione. Un valore di esempio è 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Gli indirizzi di posta elettronica dei destinatari del messaggio. Gli indirizzi di posta elettronica multipli sono separati dal carattere punto e virgola (;). |
| recipient-status | Questo campo contiene lo stato del destinatario per ogni destinatario separato dal carattere di punto e virgola (;). I valori di stato sono presentati per i destinatari nello stesso ordine dei valori nel campo recipient-address. I valori di stato di esempio includono 250 2.1.5 Recipient OK o 550 4.4.7 QUEUE.Expired;<ErrorText>. |
| total-bytes | Le dimensioni massime del messaggio, compresi gli allegati, in byte. |
| recipient-count | Il numero di destinatari per il messaggio. |
| related-recipient-address | Questo campo viene utilizzato con gli eventi EXPAND, REDIRECT e RESOLVE per visualizzare gli altri indirizzi di posta elettronica dei destinatari associati al messaggio. |
| reference | Questo campo contiene informazioni aggiuntive per i tipi specifici di eventi. Ad esempio: DSN: contiene il collegamento al report, ovvero il valore Message-Id della notifica di stato del recapito associata (DSN) se viene generato un DSN dopo questo evento. Se si tratta di un messaggio di notifica di stato di recapito, il valore del campo Reference contiene il valore Message-Id del messaggio originale generato per cui è stato generato il DSN. EXPAND: il campo Riferimento contiene il valore related-recipient-address dei messaggi correlati. RECEIVE: il campo Riferimento può contenere il valore Message-Id del messaggio correlato se il messaggio è stato generato da altri processi, ad esempio le regole di inserimento nel journal o posta in arrivo. SEND: il campo Riferimento contiene il valore Internal-Message-Id di tutti i messaggi DSN. THROTTLE: il campo Riferimento contiene il motivo per cui il messaggio è stato limitato. TRANSFER: il campo Riferimento contiene l'Internal-Message-Id del messaggio che viene sottoposto a fork. Per i messaggi generati dalle regole di Posta in arrivo, il campo Reference contiene il valore di Internal-Message-Id del messaggio di Posta in arrivo che ha causato la generazione del messaggio in uscita da parte della regola di Posta in arrivo. Per altri tipo di eventi, il campo Reference potrebbe contenere il valore di Internal-Message-Id per i messaggi duplicati. Per tutti gli altri tipi di evento, il campo Reference in genere è vuoto. |
| message-subject | Oggetto del messaggio trovato nel campo dell'intestazione Subject: . Il rilevamento degli oggetti messaggio è controllato dal parametro MessageTrackingLogSubjectLoggingEnabled nei cmdlet Set-TransportService o Set-MailboxServer . Per impostazione predefinita, la verifica degli oggetti dei messaggi è attivata. |
| sender-address | Indirizzo di posta elettronica specificato nel campo di Sender: intestazione o campo di From: intestazione se Sender: non è presente. |
| return-path | Indirizzo di posta elettronica restituito specificato da MAIL FROM: nella busta del messaggio. Anche se questo campo non è mai vuoto, può avere il valore di indirizzo mittente Null rappresentato come <>. |
| message-info | Ulteriori informazioni sul messaggio. Ad esempio:
|
| directionality | La direzione del messaggio. I valori di esempio includono Incoming, Undefinede Originating. |
| tenant-id | Questo campo non è utilizzato dalle organizzazioni Exchange 2013 locali. |
| original-client-ip | L'indirizzo IPv4 o IPv6 del client originale. |
| original-server-ip | L'indirizzo IPv4 o IPv6 del server originale. |
| custom-data | Questo campo contiene dati correlati a tipi di evento specifici. Ad esempio, l'agente regole di trasporto utilizza questo campo per registrare il GUID della regola di trasporto o il criterio DLP applicato al messaggio. Per altre informazioni su questi valori dell'agente della regola di trasporto, vedere la sezione "Registrazione dati" nell'argomento Visualizzare i report di rilevamento dei criteri DLP . |
Tipi di evento nel registro di verifica messaggi
Diversi tipi di evento nel campo event-id sono utilizzati per classificare gli eventi dei messaggi nel registro di verifica messaggi. Alcuni eventi dei messaggi appaiono in un solo tipo di file di registro di verifica messaggi mentre altri eventi appaiono in tutti i tipi di file di registro di verifica messaggi. I tipi di evento utilizzati per classificare ciascun evento di messaggio sono illustrati nella tabella seguente.
| Nome evento | Descrizione |
|---|---|
| AGENTINFO | Questo evento viene utilizzato dagli agenti di trasporto per registrare i dati personalizzati. |
| BADMAIL | Dalla directory di prelievo o dalla directory di riesecuzione è stato inviato un messaggio che non può essere recapitato né restituito. |
| DEFER | Il recapito del messaggio è stato ritardato. |
| DELIVER | Un messaggio è stato recapitato a una cassetta postale locale. |
| DROP | Un messaggio è stato rimosso senza notifica sullo stato del recapito (nota anche come DSN, notifica di mancato recapito, rapporto di mancato recapito o NDR). Ad esempio:
|
| DSN | È stata generata una notifica sullo stato del recapito (DSN, delivery status notification). |
| DUPLICATEDELIVER | Al destinatario è stato recapitato un messaggio duplicato. La duplicazione può avvenire se un destinatario è membro di più gruppi di distribuzione nidificati. I messaggi duplicati vengono rilevati e rimossi dall'archivio informazioni. |
| DUPLICATEEXPAND | Durante l'espansione del gruppo di distribuzione è stato rilevato un destinatario duplicato. |
| DUPLICATEREDIRECT | Un destinatario alternativo per il messaggio era già un destinatario. |
| EXPAND | Un gruppo di distribuzione è stato espanso. |
| FAIL | Recapito del messaggio non riuscito. Le origini sono SMTP, DNS, QUEUE e ROUTING. |
| HADISCARD | Un messaggio shadow è stato ignorato dopo il recapito della copia primaria al successivo hop. Per ulteriori informazioni, vedere Ridondanza shadow. |
| HARECEIVE | Un messaggio shadow è stato ricevuto dal server nel gruppo di disponibilità del database (DAG) locale o nel sito Active Directory. |
| HAREDIRECT | È stato creato un messaggio shadow. |
| HAREDIRECTFAIL | Non è stato possibile creare un messaggio shadow. I dettagli vengono archiviati nel campo source-context. |
| INITMESSAGECREATED | Un messaggio è stato inviato a un destinatario moderato, quindi il messaggio è stato inviato alla cassetta postale di arbitraggio per l'approvazione. Per ulteriori informazioni, vedere Gestione approvazione del messaggio. |
| LOAD | Un messaggio è stato correttamente caricato all'avvio. |
| MODERATIONEXPIRE | Un moderatore per un destinatario moderato non ha mai approvato o rifiutato il messaggio, che è quindi scaduto. Per ulteriori informazioni sui destinatari moderati, vedere Gestione approvazione del messaggio. |
| MODERATORAPPROVE | Un moderatore per un destinatario moderato ha approvato il messaggio, che è stato quindi recapitato al destinatario moderato |
| MODERATORREJECT | Un moderatore per un destinatario moderato ha rifiutato il messaggio, che non è stato quindi recapitato al destinatario moderato. |
| MODERATORSALLNDR | Tutte le richieste di approvazione inviate a tutti i moderatori di un destinatario moderato non erano recapitabili e hanno generato rapporti di mancato recapito. |
| NOTIFYMAPI | Un messaggio è stato rilevato nella cassetta di Posta in uscita di una cassetta posta sul server locale. |
| NOTIFYSHADOW | Un messaggio è stato rilevato nella cassetta di Posta in uscita di una cassetta postale sul server locale ed è necessario creare una copia shadow del messaggio. |
| POISONMESSAGE | Un messaggio è stato collocato nella coda dei messaggi non elaborabili o è stato rimosso da tale coda. |
| PROCESS | Il messaggio è stato elaborato correttamente. |
| PROCESSMEETINGMESSAGE | Un messaggio di riunione è stato elaborato dal servizio Recapito alle cassette postali. |
| RECEIVE | Un messaggio è stato ricevuto dal componente di ricezione SMTP del servizio di trasporto o dalle directory pickup o replay (origine: SMTP) oppure è stato inviato un messaggio da una cassetta postale al servizio Invio trasporto cassette postali (origine: STOREDRIVER). |
| REDIRECT | Un messaggio è stato reindirizzato a un destinatario alternativo dopo una ricerca in Active Directory. |
| RESOLVE | I destinatari di un messaggio sono stati risolti in un indirizzo di posta elettronica diverso dopo una ricerca in Active Directory. |
| RESUBMIT | Un messaggio è stato reinviato automaticamente da Rete sicura. Per ulteriori informazioni, vedere Rete sicura. |
| RESUBMITDEFER | Un messaggio reinviato da Rete sicura è stato ritardato. |
| RESUBMITFAIL | Un messaggio reinviato da Rete sicura non è riuscito. |
| SEND | Un messaggio è stato inviato tramite SMTP da un servizio di trasporto all'altro. |
| SUBMIT | Il servizio Recapito alle cassette postali ha trasmesso correttamente il messaggio al servizio di trasporto. Per gli eventi SUBMIT, la proprietà source-context contiene i seguenti dettagli:
|
| SUBMITDEFER | La trasmissione del messaggio dal servizio Recapito alle cassette postali al servizio di trasporto è stata ritardata. |
| SUBMITFAIL | La trasmissione del messaggio dal servizio Recapito alle cassette postali al servizio di trasporto non è riuscita. |
| SUPPRESSED | La trasmissione del messaggio è stata rimossa. |
| THROTTLE | Il messaggio è stato limitato. |
| TRANSFER | I destinatari sono stati spostati su un messaggio duplicato in seguito a una conversione del contenuto, a limitazioni dei destinatari del messaggio o ad agenti. Le origini sono ROUTING e QUEUE. |
Valori dell'origine del registro di verifica messaggi
I valori del campo source nel registro di verifica messaggi indicano il componente del trasporto responsabile dell'evento di verifica messaggi. Nella seguente tabella vengono descritti i valori del campo source.
| Valore di source | Descrizione |
|---|---|
| ADMIN | L'origine dell'evento era l'azione di un utente. Ad esempio, un amministratore ha utilizzato il Visualizzatore code per eliminare un messaggio o ha inviato i file dei messaggi utilizzando la directory di riesecuzione. |
| AGENT | L'origine dell'evento era un agente di trasporto. |
| APPROVAL | L'origine dell'evento è il framework di approvazione utilizzato con i destinatari moderati. Per ulteriori informazioni, vedere Gestione approvazione del messaggio. |
| BOOTLOADER | L'origine evento sono messaggi non elaborati che esistono sul server in fase di avvio. Questo è correlato al tipo di evento LOAD. |
| DNS | L'origine dell'evento era un DNS. |
| DSN | L'origine dell'evento era una notifica di stato di recapito (DSN). Ad esempio, un un rapporto di mancato recapito. |
| GATEWAY | L'origine dell'evento era un connettore esterno. Per ulteriori informazioni, vedere Connettori esterni. |
| MAILBOXRULE | L'origine dell'evento era una regola di Posta in arrivo. Per ulteriori informazioni, vedere Regole di Posta in arrivo. |
| MEETINGMESSAGEPROCESSOR | L'origine evento è il processore dei messaggi di riunione, che aggiorna i calendari in base agli aggiornamenti delle riunioni. |
| ORAR | L'origine dell'evento era un ORAR (Originator Requested Alternate Recipient). È possibile abilitare o disabilitare il supporto per ORAR nei connettori di ricezione usando il parametro OrarEnabled nei cmdlet New-ReceiveConnector o Set-ReceiveConnector . |
| PICKUP | L'origine dell'evento era la directory di prelievo. Per ulteriori informazioni, vedere Directory di prelievo e directory di riesecuzione. |
| POISONMESSAGE | L'origine dell'evento era l'identificativo messaggio non elaborabile. Per ulteriori informazioni sui messaggi non elaborabili e relativa coda, vedere Code. |
| PUBLICFOLDER | L'origine dell'evento era la cartella pubblica abilitata alla posta. |
| QUEUE | L'origine dell'evento era una coda. |
| REDUNDANCY | L'origine dell'evento era la ridondanza shadow. Per ulteriori informazioni, vedere Ridondanza shadow. |
| ROUTING | L'origine dell'evento era il componente di risoluzione del routing del classificatore nel servizio di trasporto. |
| SAFETYNET | L'origine dell'evento era Rete sicura. Per ulteriori informazioni, vedere Rete sicura. |
| SMTP | Il messaggio è stato inviato dal componente di invio o ricezione SMTP del servizio di trasporto. |
| STOREDRIVER | L'origine dell'evento era un invio MAPI da una cassetta postale sul server locale. |
Voci di esempio nel registro di verifica messaggi
Un messaggio senza eventi inviato tra due utenti genera più voci nel registro di verifica messaggi. È possibile visualizzare i risultati utilizzando il cmdlet Get-MessageTrackingLog. Per ulteriori informazioni, vedere Registri di verifica messaggi di ricerca.
Si tratta di un esempio sintetico delle voci del log di rilevamento messaggi create quando l'utente chris@contoso.com invia correttamente un messaggio di test all'utente michelle@contoso.com. Entrambi gli utenti hanno cassette postali sullo stesso server.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problemi relativi alla protezione per il registro di verifica messaggi
Nel registro di verifica messaggi non viene archiviato alcun contenuto del messaggio. Per impostazione predefinita, la riga dell'oggetto di un messaggio di posta elettronica è archiviata nel registro di verifica messaggi. È possibile disabilitare la registrazione dell'oggetto dei messaggi in modo che sia conforme a requisiti di sicurezza o privacy maggiori. Prima di abilitare o disabilitare la registrazione dell'oggetto dei messaggi, verificare i criteri dell'organizzazione relativi alla divulgazione delle informazioni sulla riga dell'oggetto. Per altre informazioni, vedere Configurare il rilevamento dei messaggi.