Exchange Serverでのプロトコル ログ記録

  • [アーティクル]

メッセージング サーバーおよびトランスポート パイプライン内の Exchange サービス間でメッセージ配信の一部として行われる SMTP 通信は、プロトコル ログ出力に記録されます。 プロトコルのログ出力を使用すると、メール フローの問題を診断できます。 プロトコルのログ出力によって記録できる SMTP 通信は、次の場所で発生します。

  • メールボックス サーバー上のトランスポート サービスでの送信コネクタおよび受信コネクタ。

  • エッジ トランスポート サーバー上のトランスポート サービスでの送信コネクタおよび受信コネクタ。

  • メールボックス サーバー上のフロントエンド トランスポート サービスでの受信コネクタ。

  • メールボックス サーバー上のトランスポート サービスでの非表示および暗黙的な組織内送信コネクタ。

  • メールボックス サーバー上のフロントエンド トランスポート サービスでの非表示および暗黙的な組織内送信コネクタ。

  • メールボックス サーバー上のメールボックス トランスポート発信サービスでの非表示および暗黙的な組織内送信コネクタ。

  • メールボックス サーバー上のメールボックス トランスポート配信サービスでの非表示および暗黙的なメールボックス配信受信コネクタ。

既定では、次の送信コネクタでプロトコルのログ出力が有効になっています。

  • メールボックス サーバー上のフロントエンド トランスポート サービスの既定のフロントエンド <サーバー名> という名前の既定の受信コネクタ。

  • メールボックス サーバー上のフロントエンド トランスポート サービスでの非表示および暗黙的な送信コネクタ。

既定では、プロトコルのログ出力はその他すべてのコネクタで無効になっています。 プロトコルのログ出力の有効/無効を各コネクタで指定する必要があります。 Exchange サーバー上の各個別のトランスポート サービスに存在するすべての受信コネクタまたはすべての送信コネクタについて、プロトコルのログ出力のその他のオプションを構成します。 トランスポート サービスのすべての受信コネクタは、同じプロトコル ログ ファイルとプロトコル ログ オプションを共有します。 これらのファイルとオプションは、Exchange サーバー上の同じトランスポート サービスの送信コネクタのプロトコル ログ ファイルやプロトコル ログ オプションとは別になっています。

Exchange では、ファイルのサイズと保存期間に基づいてプロトコル ログを制限して、ログ ファイルによって使用されるハード ディスク領域を制御するために、既定で循環ログが使用されます。 プロトコルのログ出力を構成するには、プロトコル ログ出力を構成する を参照してください。

プロトコル ログ ファイルの構造

既定では、プロトコル ログ ファイルは以下の場所にあります。

  • メールボックス サーバー上のフロント エンド トランスポート サービス

    • 受信コネクタ: %ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive

    • 送信コネクタ: %ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend

  • メールボックス サーバー上のトランスポート サービス:

    • 受信コネクタ: %ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive

    • 送信コネクタ: %ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpSend

  • メールボックス サーバー上のメールボックス トランスポート配信サービス (受信コネクタ): %ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpReceive\Delivery

  • メールボックス サーバー上のメールボックス トランスポート送信サービス (送信コネクタ): %ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend\Submission

    : メッセージがメールボックスに配信された後に送信される副作用メッセージのプロトコル ログは、 で %ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend\Delivery発生します。 たとえば、メールボックスに配信されるメッセージが、メッセージを別の受信者にリダイレクトする受信トレイのルールをトリガーします。

  • エッジ トランスポート サーバー上のトランスポート サービス:

    • 受信コネクタ: %ExchangeInstallPath%TransportRoles\Logs\Edge\ProtocolLog\SmtpReceive

    • 送信コネクタ: %ExchangeInstallPath%TransportRoles\Logs\Edge\ProtocolLog\SmtpSend

ログ ファイルの名前付け規則は、 SENDyyyymmddhh-nnnn.log 送信コネクタと RECVyyyymmddhh-nnnn.log 受信コネクタ用です。 プレースホルダーは以下の情報を表しています。

  • yyyymmddhh は、ログ ファイルが作成されたときの協定世界時 (UTC) の日付です。 yyyy = year、 mm = month、 dd = day、 hh = hour。

  • nnnn は、1 時間ごとに値 1 から始まるインスタンス番号です。

情報は、ファイル サイズが最大値に達するまでログ ファイルに書き込まれます。 それから、インスタンス番号を増やした新しいログ ファイルが開かれます (最初のログ ファイルは -1、次のファイルは -2、というように)。 循環ログでは、次のいずれかの条件が満たされると、最も古いログ ファイルが削除されます。

  • ログ ファイルが最大保存期間に達している。

  • プロトコル ログ フォルダーが最大サイズに達している。

プロトコル ログ ファイルは、データをコンマ区切りファイル (CSV) 形式で格納するテキスト ファイルです。 個々のプロトコル ログ ファイルには、以下の情報を含むヘッダーがあります。

  • #Software: 値は です Microsoft Exchange Server

  • #Version: メッセージ追跡ログ ファイルを作成した Exchange サーバーのバージョン番号。 値は、 形式 15.01.nnnn.nnnを使用します。

  • #Log-Type: 値は または SMTP Send Protocol LogですSMTP Receive Protocol Log

  • #Date: ログ ファイルが作成された UTC 日時。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-mm-ddThh:mm:ss.fffZ。 ここで、yyyy = year、 mm = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を表す別の方法です。

  • #Fields: プロトコル ログ ファイルで使用されるコンマ区切りのフィールド名。

プロトコル ログのフィールド

プロトコル ログでは、個々の SMTP プロトコル イベントが、ログ内の 1 行として格納されます。 各行の情報は、フィールドごとにまとめられ、これらのフィールドはコンマで区切られます。 プロトコル ログで使用されているフィールドは次の表で説明されています。

フィールド名 説明
date-time プロトコル イベントの日時 (UTC) です。 UTC 日時は ISO 8601 日付時刻形式で表されます。 yyyy-mm-ddThh:mm:ss.fffZ。 ここで、yyyy = year、 mm = month、 dd = day、T は時間成分の先頭を示します 。hh = hour、 mm = minute、 ss = second、 fff = fractions of a second、Z signifies Zulu は UTC を表す別の方法です。
connector-id SMTP イベントに関連するコネクタの識別名 (DN) です。
session-id 各 SMTP セッションに固有で、その SMTP セッションに関連するすべてのイベントに共通の GUID 値です。
sequence-number 0 から始まり、同一 SMTP セッション内でイベントごとに増やされるカウンターです。
local-endpoint SMTP セッションのローカル エンドポイントです。 これは、IP アドレスと、IP アドレスとして<>書式設定された TCP ポート番号で構成されます。<ポート>
remote-endpoint SMTP セッションのリモート エンドポイントです。 これは、IP アドレスと、IP アドレスとして<>書式設定された TCP ポート番号で構成されます。<ポート>
event プロトコル イベントを 1 文字で表したものです。 有効な値は次のとおりです。
+:接続
-:切断
>:送信
<:受信
*:情報
data SMTP イベントに関連するテキスト情報です。
context SMTP イベントに関連している可能性のある追加のコンテキスト情報です。

単一の電子メール メッセージの送信または受信を表す一つの SMTP 通信が、複数の SMTP イベントを生成します。 プロトコル ログでは、各イベントが別々の行に記録されます。 Exchange サーバーでは、多くの SMTP 通信が同時に起こっています。 そのため、混在するさまざまな SMTP 通信から、プロトコル ログ エントリが作成されます。 session-id および sequence-number フィールドを使用して、それぞれ個別の SMTP 通信ごとにプロトコル ログ エントリを並べ替えることが可能です。