Traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange in Exchange Online

  • Articolo

La traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange (EAC) segue i messaggi di posta elettronica durante il viaggio attraverso l'organizzazione di Microsoft 365. È possibile determinare se il servizio ha ricevuto, rifiutato, rinviato o recapitato un messaggio. La traccia del messaggio mostra anche quali azioni sono state eseguite sul messaggio prima che raggiungesse lo stato finale.

La traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange migliora la traccia del messaggio originale disponibile nell'interfaccia di amministrazione di Exchange classica. È possibile usare le informazioni della traccia dei messaggi per rispondere in modo efficiente alle domande degli utenti su ciò che è successo ai messaggi, per risolvere i problemi relativi al flusso di posta e per convalidare le modifiche ai criteri.

Che cosa è necessario sapere prima di iniziare?

  • Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

    • Exchange Online autorizzazioni: appartenenza al gruppo di ruoli Gestione organizzazione.
    • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore globale o Amministratore di Exchange offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

  • Il numero massimo di messaggi visualizzati nei risultati dipende dal tipo di report selezionato. Per altre informazioni, vedere Risultati della traccia dei messaggi. Il cmdlet Get-HistoricalSearch in Exchange Online PowerShell restituisce tutti i messaggi nei risultati.

Aprire la traccia dei messaggi

Nella nuova interfaccia di amministrazione di Exchange in https://admin.exchange.microsoft.compassare a Flusso di> postaTraccia messaggio. In alternativa, per passare direttamente alla pagina Traccia messaggi , usare https://admin.exchange.microsoft.com/#/messagetrace.

Pagina di traccia dei messaggi

Nella pagina Traccia messaggio è possibile avviare una nuova traccia predefinita selezionando Avvia traccia.

Nel riquadro a comparsa Nuova traccia messaggi visualizzato le selezioni predefinite cercano tutti i messaggi per tutti i mittenti e i destinatari degli ultimi due giorni. In alternativa, è possibile usare una delle query archiviate dalle schede disponibili (così come sono o come punti di partenza per le proprie query):

  • Query predefinite: query predefinite fornite da Microsoft 365.
  • Query personalizzate: query salvate dagli amministratori dell'organizzazione per un uso futuro.
  • Query salvate automaticamente: le ultime 10 query eseguite più di recente. Questo elenco semplifica il ritiro da dove si è interrotto.

La scheda Report scaricabili mostra le richieste di report scaricabili e i report stessi quando sono disponibili per il download.

Pagina Di traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange.

Opzioni per una nuova traccia dei messaggi

Le sezioni seguenti descrivono le impostazioni disponibili nel riquadro a comparsa Nuova traccia messaggi che viene aperto quando si seleziona Avvia una traccia o si apre una traccia esistente.

Riquadro a comparsa Nuova traccia messaggi nella nuova interfaccia di amministrazione di Exchange.

Mittenti e destinatari

Il valore predefinito per Mittenti e destinatari è Tutti, ma è possibile immettere valori specifici:

  • Mittenti: fare clic nella casella e iniziare a digitare per immettere o selezionare uno o più mittenti dell'organizzazione.
  • Destinatari: fare clic nella casella e iniziare a digitare per immettere o selezionare uno o più destinatari nell'organizzazione.

È possibile digitare gli indirizzi di posta elettronica di mittenti e destinatari esterni. I caratteri jolly sono supportati , ad esempio , *@contoso.comma non è possibile usare più caratteri jolly in un unico valore.

È possibile incollare più elenchi di mittenti o destinatari separati da punti e virgola (;), spazi (\s), ritorni a capo (\r) o nuove righe (\n).

Intervallo di tempo

Nella sezione Intervallo di tempo il valore predefinito è 2 giorni, ma è possibile specificare intervalli di data/ora fino a 90 giorni. Quando si usano intervalli di data/ora, considerare i problemi seguenti:

  • Per impostazione predefinita, è possibile selezionare l'intervallo di tempo nella visualizzazione Dispositivo di scorrimento usando una sequenza temporale.

    Intervallo di tempo del dispositivo di scorrimento in una nuova traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange.

    Il salvataggio di una query nella visualizzazione Dispositivo di scorrimento consente di risparmiare l'intervallo di tempo relativo, ad esempio due giorni da oggi.

  • È possibile passare alla visualizzazione Intervallo di tempo personalizzato per specificare i valori seguenti:

    • Fuso orario: si applica agli input di query e ai risultati delle query.
    • Data di inizio: data e ora.
    • Data di fine: data e ora.

    Intervallo di tempo personalizzato in una nuova traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange.

    Il salvataggio di una query nella visualizzazione Intervallo di tempo personalizzato consente di risparmiare l'intervallo di data/ora assoluto, 2023-05-06 13:00 to 2023-05-08 18:00ad esempio .

Per 10 giorni o meno, i risultati sono immediatamente disponibili come report di riepilogo.

Se si specifica un intervallo di data/ora anche leggermente superiore a 10 giorni:

  • I risultati sono disponibili solo come file CSV scaricabile (un report di riepilogo avanzato o un report esteso).
  • I risultati vengono preparati usando i dati di traccia dei messaggi archiviati. Il download del report potrebbe richiedere alcune ore. A seconda del numero di altri amministratori che hanno anche inviato richieste di report nello stesso momento, è anche possibile notare un ritardo prima dell'avvio dell'elaborazione in una richiesta in coda.

Opzioni di ricerca dettagliate

Nella sezione Opzioni di ricerca dettagliate sono disponibili le opzioni seguenti:

  • Stato recapito: sono disponibili i valori seguenti:

    • Tutto: questo è il valore predefinito.
    • Recapitato: il messaggio è stato recapitato correttamente alla destinazione prevista.
    • Espanso: un destinatario del gruppo di distribuzione è stato espanso prima del recapito ai singoli membri del gruppo.
    • Non riuscito: il messaggio non è stato recapitato.
    • In sospeso*: il recapito del messaggio viene tentato o tentato di nuovo.
    • *In quarantena: il messaggio è stato messo in quarantena (come posta indesiderata, posta in blocco o phishing). Per altre informazioni, vedere Messaggi di posta elettronica in quarantena in EOP.
    • Filtrato come posta indesiderata*: il messaggio è stato identificato come posta indesiderata ed è stato rifiutato o bloccato (non messo in quarantena).
    • Recupero dello stato: Il messaggio è stato ricevuto di recente da Microsoft 365, ma non sono ancora disponibili altri dati sullo stato. È possibile controllare di nuovo entro pochi minuti.

    * Questo valore è disponibile solo nelle ricerche inferiori a 10 giorni. Se è necessario eseguire query sui dati precedenti a 10 giorni, usare il cmdlet Start-HistoricalSearch in Exchange Online PowerShell.

    Nota

    potrebbe verificarsi un ritardo di cinque o dieci minuti tra i valori di stato del recapito segnalato e effettivo e segnalato.

  • ID messaggio: ID messaggio Internet (noto anche come ID client) trovato nel campo Intestazione Message-ID nell'intestazione del messaggio. Gli utenti possono fornire questo valore per analizzare messaggi specifici.

    Questo valore rimane immutato per tutta la durata del messaggio. Per i messaggi creati in Microsoft 365 o Exchange, il valore id messaggio usa il formato <GUID@ServerFQDN>, incluse le parentesi angolate. Ad esempio, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Altri sistemi di posta elettronica potrebbero usare sintassi o valori diversi. Questo valore dovrebbe essere univoco, ma non tutti i sistemi di posta elettronica seguono rigorosamente questo requisito. Se il campo Message-ID: header non esiste o è vuoto per i messaggi in ingresso provenienti da origini esterne, viene assegnato un valore arbitrario.

    Quando si usa l'ID messaggio per filtrare i risultati, assicurarsi di includere la stringa completa, incluse le parentesi angolate.

  • Direzione: selezionare uno dei valori seguenti:

    • Tutto: questo è il valore predefinito.
    • In ingresso: messaggi inviati ai destinatari dell'organizzazione.
    • In uscita: messaggi inviati dagli utenti dell'organizzazione.

  • Indirizzo IP client originale: indirizzo IP del computer client o del dispositivo del mittente del messaggio di posta elettronica. È possibile usare questo filtro per analizzare i computer violati che inviano grandi quantità di spam o malware. Anche se i messaggi potrebbero provenire da più mittenti, è probabile che lo stesso computer stia generando tutti i messaggi.

    Nota

    Le informazioni sugli indirizzi IP client sono disponibili solo per 10 giorni e solo nel report di riepilogo avanzato o nel report esteso (file CSV scaricabili).

Tipo di report

I tipi di report disponibili sono:

  • Report di riepilogo: disponibile se l'intervallo di tempo è inferiore a 10 giorni e non richiede altre opzioni di filtro. I risultati sono disponibili quasi immediatamente dopo aver selezionato Search. Il report restituisce fino a 20.000 risultati.

    Selezionare Search per avviare la traccia del messaggio. Viene visualizzata la pagina Dei risultati della ricerca traccia messaggi , come descritto nella sezione Output del report di riepilogo .

    Le ultime 10 query del report di riepilogo sono disponibili nella scheda Query salvate automaticamente nella pagina Traccia messaggi .

  • Report di riepilogo avanzato: include le informazioni nel report di riepilogo oltre ad altri dettagli (ad esempio, direzione e indirizzo IP client originale). Disponibile solo come file CSV scaricabile. Il report restituisce fino a 100.000 risultati.

  • Report esteso: include le stesse informazioni del report di riepilogo esteso e i dettagli completi dell'evento di routing e messaggio. Disponibile solo come file CSV scaricabile. Il report restituisce fino a 1.000 risultati.

    Il report di riepilogo avanzato e il report esteso richiedono una o più delle opzioni di filtro seguenti, indipendentemente dall'intervallo di tempo: Mittenti, Destinatari o ID messaggio.

    Il report di riepilogo avanzato e il report esteso vengono preparati usando i dati di traccia dei messaggi archiviati. Il download del report potrebbe richiedere alcune ore. A seconda del numero di altri amministratori che hanno anche inviato richieste di report nello stesso momento, è anche possibile notare un ritardo prima dell'avvio dell'elaborazione in una richiesta in coda.

    Anche se è possibile selezionare il report di riepilogo avanzato o il report esteso per qualsiasi intervallo di data/ora, le ultime 24 ore di dati archiviati non sono in genere disponibili.

    La dimensione massima per un file CSV scaricabile è 800 MB. Se un report scaricabile supera gli 800 MB, non è possibile aprire il report in Excel o nel Blocco note.

    Quando si seleziona Avanti, viene visualizzato un riquadro a comparsa di riepilogo che elenca le opzioni di filtro selezionate, un titolo univoco (modificabile) per il report e l'indirizzo di posta elettronica per ricevere la notifica quando la traccia del messaggio viene completata (anche modificabile e deve trovarsi in uno dei domini accettati dell'organizzazione).

    Selezionare Preparare il report per inviare la traccia del messaggio. È possibile visualizzare lo stato del report nella scheda Report scaricabili . Per altre informazioni sui dati restituiti, vedere le sezioni Report di riepilogo avanzati e Report estesi .

Risultati della traccia dei messaggi

I diversi tipi di report restituiscono livelli di informazioni diversi. Le informazioni disponibili nei diversi report sono descritte nelle sezioni seguenti:

Output del report di riepilogo

Dopo aver eseguito la traccia del messaggio, i risultati vengono ordinati in base alla data/ora decrescente (prima gli eventi più recenti).

Il report Riepilogo contiene le informazioni seguenti:

  • Data: data e ora in cui il messaggio è stato ricevuto dal servizio, usando il fuso orario UTC configurato.
  • Mittente: indirizzo di posta elettronica del mittente (dominioalias@).
  • Destinatario: indirizzo di posta elettronica del destinatario. Se il messaggio ha più destinatari, ogni destinatario si trova in una riga separata. Se il destinatario è un gruppo di distribuzione, un gruppo di distribuzione dinamico o un gruppo di sicurezza abilitato alla posta elettronica, il gruppo è il primo destinatario, seguito da ogni membro del gruppo in una riga separata.
  • Oggetto: i primi 256 caratteri del campo Oggetto: del messaggio.
  • Stato: questi valori sono descritti nella sezione Opzioni di ricerca dettagliate .

Per impostazione predefinita, i primi 250 risultati vengono caricati e immediatamente disponibili. Quando si scorre verso il basso, si verifica una leggera pausa quando viene caricato il successivo batch di risultati, fino a un massimo di 10.000.

È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile.

Nella scheda Email è possibile ridurre la spaziatura verticale nell'elenco facendo clic su Modifica visualizzazione e quindi selezionando Elenco compatto.

Utilizzare la casella Search e un valore corrispondente per trovare voci specifiche. I caratteri jolly non sono supportati

Per filtri più avanzati che è anche possibile salvare e usare in un secondo momento, selezionare Filtro e quindi selezionare Nuovo filtro. Nel riquadro a comparsa Filtro personalizzato visualizzato immettere le informazioni seguenti:

  • Assegnare un nome al filtro: immettere un nome univoco.

  • Aggiungere una clausola di filtro immettendo le informazioni seguenti:

    • Campo: selezionare i valori seguenti:
      • Mittente
      • Destinatario
      • Oggetto
      • Stato
    • Operatore: selezionare inizia con o è.
    • Valore: immettere il valore da cercare.

    È possibile selezionare Aggiungi nuova clausola e ripetere il passaggio precedente il numero di volte necessario. Più clausole usano la logica AND (<Clausola1> AND <Clausola2>...).

    Per rimuovere una clausola di filtro, selezionare Rimuovi clausola accanto alla voce .

    Al termine del riquadro a comparsa Filtro personalizzato , selezionare Salva. Il nuovo filtro viene caricato automaticamente e i risultati filtrati vengono visualizzati nella pagina dei risultati della ricerca di traccia del messaggio . Questo risultato equivale a selezionare Filtro e quindi selezionare il filtro esistente nella sezione Filtri personalizzati nell'elenco.

    Per scaricare un filtro esistente e tornare alle informazioni predefinite visualizzate nella pagina Risultati della ricerca traccia messaggi , selezionare >Cancella tutti i filtri.

Selezionare Modifica traccia messaggio per modificare i criteri di ricerca.

Usare Esporta risultati per esportare i risultati visualizzati in un file CSV.

Selezionare Aggiorna per aggiornare i risultati.

I record dei messaggi correlati sono record che condividono lo stesso ID messaggio. Tenere presente che anche un singolo messaggio inviato tra due persone può generare più record. Il numero di record aumenta quando il messaggio è interessato dall'espansione del gruppo di distribuzione, dall'inoltro, dalle regole del flusso di posta (note anche come regole di trasporto) e così via.

Nell'area vuota accanto alla colonna Data selezionare la casella di controllo round visualizzata accanto alla voce. Le azioni seguenti vengono visualizzate nella pagina Dei risultati delle tracce del messaggio :

Per altre informazioni sull'ID messaggio, vedere la sezione Opzioni di ricerca dettagliate .

Dettagli della traccia dei messaggi

Nell'output del report di riepilogo è possibile visualizzare i dettagli di un messaggio facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo round visualizzata accanto al valore Date .

Il riquadro a comparsa dei dettagli che si apre dopo aver fatto clic su una riga nella traccia del messaggio del report di riepilogo genera la nuova interfaccia di amministrazione di Exchange.

Il flout dei dettagli aperto contiene le informazioni seguenti non presenti nel report di riepilogo:

  • Eventi dei messaggi: dopo aver espanso questa sezione, è possibile visualizzare classificazioni che consentono di classificare le azioni eseguite dal servizio sui messaggi. Alcuni degli eventi più interessanti che potrebbero verificarsi sono:

    • Ricezione: il messaggio è stato ricevuto dal servizio.
    • Invia: il messaggio è stato inviato dal servizio.
    • Errore: il messaggio non è stato recapitato.
    • Recapito: il messaggio è stato recapitato a una cassetta postale.
    • Espandi: il messaggio è stato inviato a un gruppo di distribuzione espanso.
    • Trasferimento: i destinatari sono stati spostati in un messaggio biforcato a causa della conversione del contenuto, dei limiti del destinatario del messaggio o degli agenti.
    • Posticipare: il recapito del messaggio è stato posticipato e potrebbe essere ritentato in un secondo momento.
    • Risolto: il messaggio è stato reindirizzato a un nuovo indirizzo del destinatario in base a una ricerca di Active Directory. Quando si verifica questo evento, l'indirizzo del destinatario originale viene elencato in una riga separata nella traccia del messaggio insieme allo stato finale del recapito per il messaggio.
    • Regola DLP: il messaggio aveva una corrispondenza della regola DLP.
    • Etichetta di riservatezza: Si è verificato un evento di etichettatura lato server. Ad esempio, un'etichetta è stata aggiunta automaticamente a un messaggio che include un'azione da crittografare o è stata aggiunta tramite il client Web o mobile. Questa azione viene completata dal server Exchange e viene registrata. Un'etichetta aggiunta tramite Outlook non è inclusa nel campo dell'evento.

    Note:

    • Un messaggio senza eventi recapitato correttamente genera più voci di evento nella traccia del messaggio. Per descrizioni di altri eventi, vedere Tipi di evento nel log di rilevamento dei messaggi. Questo collegamento è un argomento Exchange Server (Exchange locale).

  • Altre informazioni: Dopo aver espanso questa sezione, è possibile visualizzare i dettagli seguenti:

    • ID messaggio: questo valore è descritto nella sezione Opzioni di ricerca dettagliate . Un esempio di valore di ID messaggio è <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
    • Dimensioni del messaggio: dimensioni del messaggio inviato, inclusi allegati/immagini/testo.
    • Da IP: indirizzo IP del computer che ha inviato il messaggio. Per i messaggi in uscita inviati da Exchange Online, il valore è vuoto.
    • A IP: gli indirizzi IP a cui il servizio ha tentato di recapitare il messaggio. Se il messaggio ha più destinatari, vengono visualizzati questi indirizzi. Per i messaggi in ingresso inviati a Exchange Online, il valore è vuoto.

Report di riepilogo avanzati

Un report di riepilogo avanzato è disponibile nella scheda Report scaricabili nella pagina Traccia messaggi :

  • Per i report disponibili per il download è stato completato il valore Stato
  • I report che non sono disponibili per il download hanno i valori StatoNon avviato o In corso.

Le informazioni seguenti sono disponibili nel file CSV del report di riepilogo avanzato :

  • *origin_timestamp: data e ora in cui il messaggio è stato inizialmente ricevuto dal servizio, usando il fuso orario UTC configurato.
  • sender_address: indirizzo di posta elettronica del mittente (dominioalias@).
  • Recipient_status: stato del recapito del messaggio al destinatario. Se il messaggio è stato inviato a più destinatari, mostra tutti i destinatari e lo stato corrispondente per ognuno, nel formato: < indirizzo >di posta elettronica##<stato>. Esempi di stati del destinatario sono:
    • ##Receive, Invia indica che il messaggio è stato ricevuto dal servizio ed è stato inviato alla destinazione prevista.
    • ##Receive, Fail indica che il messaggio è stato ricevuto dal servizio, ma il recapito alla destinazione prevista non è riuscito.
    • ##Receive, Recapita indica che il messaggio è stato ricevuto dal servizio ed è stato recapitato alla cassetta postale del destinatario.
  • message_subject: i primi 256 caratteri del campo Oggetto del messaggio.
  • total_bytes: dimensioni del messaggio in byte, inclusi gli allegati.
  • message_id: questo valore è descritto nella sezione Opzioni di ricerca dettagliate . Un esempio di valore message_id è <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • network_message_id: valore univoco dell'ID messaggio che viene mantenuto in tutte le copie del messaggio che potrebbero essere create a causa della biforcazione o dell'espansione del gruppo di distribuzione. Un esempio di network_message_id valore è 1341ac7b13fb42ab4d4408cf7f55890f.
  • original_client_ip: indirizzo IP del server SMTP del mittente.
  • direzionalità: indica se il messaggio è stato inviato in ingresso (all'organizzazione) o in uscita (dall'organizzazione).
  • connector_id: nome del connettore di origine o di destinazione. Per altre informazioni sui connettori in Exchange Online, vedere Configurare il flusso di posta usando i connettori in Office 365.
  • *delivery_priority: indica se il messaggio è stato inviato con priorità Alta, Bassa o Normale.

* Queste proprietà sono disponibili solo in un report di riepilogo avanzato.

Report estesi

Un report esteso è disponibile nella scheda Report scaricabili nella pagina Traccia messaggi :

  • Per i report disponibili per il download è stato completato il valore Stato
  • I report che non sono disponibili per il download hanno i valori StatoNon avviato o In corso.

Nel file CSV del report avanzato sono disponibili le informazioni seguenti:

  • client_ip: indirizzo IP del server di posta elettronica o del client di messaggistica che ha inviato il messaggio.

  • client_hostname: nome host o FQDN del server di posta elettronica o del client di messaggistica che ha inviato il messaggio.

  • server_ip: indirizzo IP del server di origine o di destinazione.

  • server_hostname: nome host o FQDN del server di destinazione.

  • source_context: informazioni aggiuntive associate al campo di origine . Ad esempio:

    • Protocol Filter Agent
    • 3489061114359050000

  • source: componente Exchange Online responsabile dell'evento. Ad esempio:

    • AGENT
    • MAILBOXRULE
    • SMTP

  • event_id: questo valore corrisponde ai valori dell'evento Message illustrati in Trova record correlati per questo messaggio.

  • internal_message_id: identificatore del messaggio assegnato dal server Exchange Online che sta attualmente elaborando il messaggio.

  • recipient_address: indirizzi di posta elettronica dei destinatari del messaggio. Gli indirizzi di posta elettronica multipli sono separati dal carattere punto e virgola (;).

  • recipient_count: numero totale di destinatari nel messaggio.

  • related_recipient_address: presente con EXPANDgli eventi , REDIRECTe per visualizzare gli indirizzi di RESOLVE posta elettronica degli altri destinatari associati al messaggio.

  • reference: questo campo contiene informazioni aggiuntive per tipi specifici di eventi. Ad esempio:

    • DSN: contiene il collegamento al report, ovvero il valore message_id della notifica di stato del recapito associata (nota anche come DSN, report non recapitivo, rapporto di mancato recapito o messaggio di mancato recapito) se viene generato un DSN dopo questo evento. Se questo messaggio è un messaggio DSN, questo campo contiene il valore message_id del messaggio originale per cui è stato generato il DSN.

    • EXPAND: contiene il valore related_recipient_address dei messaggi correlati.

    • RECEIVE: potrebbe contenere il valore message_id del messaggio correlato se il messaggio è stato generato da altri processi, ad esempio le regole posta in arrivo.

    • SEND: contiene il valore internal_message_id di qualsiasi messaggio DSN.

    • TRANSFER: contiene il valore internal_message_id del messaggio sottoposto a fork, ad esempio tramite conversione del contenuto, limiti del destinatario del messaggio o agenti.

    • MAILBOXRULE: contiene il valore internal_message_id del messaggio in ingresso che ha causato la generazione del messaggio in uscita da parte della regola Posta in arrivo.

      Per altri tipi di eventi, questo campo (internal_message_id) è vuoto.

  • return_path: indirizzo di posta elettronica restituito specificato dal comando MAIL FROM che ha inviato il messaggio. Anche se questo campo non è mai vuoto, può avere il valore di indirizzo mittente Null rappresentato come <>.

  • message_info: informazioni aggiuntive sul messaggio. Ad esempio:

    • Data e ora di origine del messaggio in formato UTC per DELIVER gli eventi e SEND . La data-ora di origine è l'ora in cui il messaggio è stato immesso per la prima volta nell'organizzazione Exchange Online. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: yyyy-mm-ddThh:mm:ss.fffZ, dove yyyy = anno, mm = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC.
    • Errori di autenticazione. Ad esempio, è possibile che vengano visualizzati il valore 11a e il tipo di autenticazione usati quando si è verificato l'errore di autenticazione.

  • tenant_id: valore GUID che rappresenta l'organizzazione Exchange Online, 39238e87-b5ab-4ef6-a559-af54c6b07b42ad esempio .

  • original_server_ip: indirizzo IP del server originale.

  • custom_data: contiene dati correlati a tipi di evento specifici. Per ulteriori informazioni, vedere le seguenti sezioni:

custom_data valori

Il campo custom_data per un AGENTINFO evento viene usato da vari agenti Exchange Online per registrare i dettagli di elaborazione dei messaggi. Alcuni degli agenti più interessanti sono descritti nelle sezioni seguenti.

Agente filtro posta indesiderata

Un valore custom_data che inizia con S:SFA proviene dall'agente di filtro della posta indesiderata. Per altre informazioni, vedere Campi dell'intestazione del messaggio X-Forefront-Antispam-Report.

Un esempio di valore custom_data per un messaggio filtrato per la posta indesiderata è simile al seguente:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente filtro malware

Un valore custom_data che inizia con S:AMA proviene dall'agente di filtro malware. I dettagli chiave sono descritti nella tabella seguente:

Valore Descrizione
AMA=SUM|v=1| o AMA=EV|v=1 È stato determinato che il messaggio contiene malware. SUM indica che il malware potrebbe essere stato rilevato da un numero qualsiasi di motori. EV indica che il malware è stato rilevato da un motore specifico. Quando un motore rileva malware, vengono attivate le azioni successive.
Action=r Il messaggio è stato sostituito.
Action=p Il messaggio è stato ignorato.
Action=d Il messaggio è stato rinviato.
Action=s Il messaggio è stato eliminato.
Action=st Il messaggio è stato ignorato.
Action=sy Il messaggio è stato ignorato.
Action=ni Il messaggio è stato rifiutato.
Action=ne Il messaggio è stato rifiutato.
Action=b Il messaggio è stato bloccato.
Name=<malware> Il nome del malware rilevato.
File=<filename> Il nome del file che contiene malware.

Un esempio di valore custom_data per un messaggio che contiene malware è simile al seguente:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agente della regola di trasporto

Un valore custom_data che inizia conS:TRA proviene dall'agente della regola di trasporto per le regole del flusso di posta (note anche come regole di trasporto). I dettagli chiave sono descritti nella tabella seguente:

Valore Descrizione
ETR|ruleId=<guid> L'ID regola corrispondente.
St=<datetime> Data e ora in formato UTC in cui si è verificata la corrispondenza della regola.
Action=<ActionDefinition> L'azione che è stata applicata. Per un elenco delle azioni disponibili, vedere Azioni delle regole del flusso di posta in Exchange Online.
Mode=<Mode> La modalità della regola. I valori validi sono:
  • Imponi: vengono applicate tutte le azioni sulla regola.
  • Test con suggerimenti per i criteri: vengono inviate azioni di suggerimento per i criteri, ma non vengono eseguite altre azioni di imposizione.
  • Test senza suggerimenti per i criteri: le azioni sono elencate in un file di log, ma i mittenti non ricevono alcuna notifica e le azioni di imposizione non vengono eseguite.</li?

Un esempio di valore custom_data per un messaggio che corrisponde alle condizioni di una regola del flusso di posta è simile al seguente:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce