Share via


Exchange Onlineの新しい Exchange 管理センターのメッセージ トレース

新しい Exchange 管理センター (EAC) のメッセージ トレースは、Microsoft 365 organizationを通過するメール メッセージに従います。 サービスがメッセージを受信、拒否、遅延、または配信したかどうかを判断できます。 メッセージ トレースには、メッセージが最終的な状態に達する前に実行されたアクションも表示されます。

新しい EAC のメッセージ トレースは、従来の EAC で使用できる元のメッセージ トレースに対して改善されます。 メッセージ トレースの情報を使用して、メッセージに対して発生した内容に関するユーザーの質問に効率的に回答し、メール フローの問題のトラブルシューティングを行い、ポリシーの変更を検証できます。

はじめに把握しておくべき情報

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Exchange Onlineアクセス許可: Organization Management ロール グループのメンバーシップ。
    • Microsoft Entraアクセス許可: グローバル管理者ロールまたは Exchange 管理者ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。
  • 結果に表示されるメッセージの最大数は、選択したレポートの種類によって異なります。 詳細については、 メッセージ トレースの結果に関するページを参照してください。 Exchange Online PowerShell の Get-HistoricalSearch コマンドレットは、結果のすべてのメッセージを返します。

メッセージ トレースを開く

の新しい EAC で https://admin.exchange.microsoft.com、[ メール フロー>メッセージ トレース] に移動します。 または、 メッセージ トレース ページに直接移動するには、 を使用 https://admin.exchange.microsoft.com/#/messagetraceします。

メッセージ トレース ページ

[メッセージ トレース] ページで、[トレースの開始] を選択して、新しい既定のトレースを開始できます。

開いた [新しいメッセージ トレース ] ポップアップで、既定の選択では、過去 2 日間のすべての送信者と受信者のすべてのメッセージが検索されます。 または、使用可能なタブから格納されているクエリのいずれかを使用できます (そのまままたは独自のクエリの開始点として)。

  • 既定のクエリ: Microsoft 365 によって提供される組み込みのクエリ。
  • カスタム クエリ: 将来の使用のためにorganizationに管理者によって保存されたクエリ。
  • 自動保存されたクエリ: 最後に実行された 10 個のクエリ。 このリストを使用すると、中断した場所から簡単に取得できます。

[ ダウンロード可能なレポート ] タブには、ダウンロード可能なレポート要求と、ダウンロード可能なレポート自体が表示されます。

新しい EAC の [メッセージ トレース] ページ。

新しいメッセージ トレースのオプション

次のセクションでは、[トレースの開始] または [既存のトレースを開く] を選択したときに開く [新しいメッセージトレース] ポップアップで使用できる設定について説明します。

新しい EAC の [新しいメッセージ トレース] ポップアップ。

送信者と受信者

[送信者] と [受信者] の既定値は [すべて] ですが、特定の値を入力できます。

  • 送信者: ボックス内をクリックし、入力を開始して、organizationから 1 つ以上の送信者を入力または選択します。
  • 受信者: ボックス内をクリックし、入力を開始して、organizationで 1 人以上の受信者を入力または選択します。

外部の送信者と受信者のメール アドレスを入力できます。 ワイルドカードはサポートされていますが (例: )、 *@contoso.com1 つの値に複数のワイルドカードを使用することはできません。

セミコロン ()、スペース ()、キャリッジ リターン (\s)、または改行\n (;) で区切られた複数の\r送信者または受信者リストを貼り付けることができます。

時間範囲

[ 時間範囲 ] セクションでは、既定値は 2 日ですが、最大 90 日間の日付/時刻範囲を指定できます。 日付/時刻範囲を使用する場合は、次の問題を考慮してください。

  • 既定では、タイムラインを使用してスライダー ビューで時間範囲を選択します。

    新しい EAC の新しいメッセージ トレースのスライダーの時間範囲。

    スライダー ビューでクエリを保存すると、相対的な時間範囲 (今日から 2 日など) が保存されます。

  • [ カスタム時間範囲 ビュー] に切り替えて、次の値を指定できます。

    • タイム ゾーン: クエリ入力とクエリ結果に適用されます。
    • 開始日: 日付と時刻。
    • 終了日: 日付と時刻。

    新しい EAC の新しいメッセージ トレースのカスタム時間範囲。

    カスタム時間範囲ビューにクエリを保存すると、絶対日付/時刻範囲 (たとえば) 2023-05-06 13:00 to 2023-05-08 18:00が保存されます。

10 日以下の場合、結果は サマリー レポートとしてすぐに使用できます。

10 日より少し大きい日付/時刻範囲を指定する場合:

  • 結果は、ダウンロード可能な CSV ファイル ( 拡張サマリー レポート または 拡張レポート) としてのみ使用できます。
  • 結果は、アーカイブされたメッセージ トレース データを使用して準備されます。 レポートをダウンロードできるようになるまで数時間かかる場合があります。 同時にレポート要求を送信した他の管理者の数によっては、キューに登録された要求で処理が開始されるまでに遅延が発生する場合もあります。

詳細な検索オプション

[ 詳細な検索オプション ] セクションでは、次のオプションを使用できます。

  • 配信状態: 次の値を使用できます。

    • すべて: 既定値です。
    • 配信済み: メッセージが目的の宛先に正常に配信されました。
    • 展開: 配布グループの受信者が、グループの個々のメンバーに配信される前に展開されました。
    • 失敗: メッセージが配信されませんでした。
    • *保留中: メッセージの配信が試行されているか、再試行されています。
    • 検疫済み*: メッセージが検疫されました (スパム、一括メール、フィッシングなど)。 詳細については、「 EOP で検疫された電子メール メッセージ」を参照してください。
    • スパム*としてフィルター処理: メッセージはスパムとして識別され、拒否またはブロックされました (検疫されていません)。
    • 状態の取得: メッセージは Microsoft 365 によって最近受信されましたが、他の状態データはまだ利用できません。 数分以内にもう一度チェックできます。

    * この値は、10 日未満の検索でのみ使用できます。 10 日を超えるデータに対してクエリを実行する必要がある場合は、PowerShell Exchange Onlineの Start-HistoricalSearch コマンドレットを使用します。

    注:

    報告された配信状態の値と実際の配信状態の値と報告された配信状態の値の間に 5 分から 10 分の遅延が発生する可能性があります。

  • メッセージ ID: メッセージ ヘッダーの [メッセージ ID ヘッダー] フィールドにあるインターネット メッセージ ID (クライアント ID とも呼ばれます)。 ユーザーはこの値を指定して、特定のメッセージを調査できます。

    この値は、メッセージの有効期間全体にわたって不変です。 Microsoft 365 または Exchange で作成されたメッセージの場合、 メッセージ ID 値には角かっこを含む 形式 <GUID@ServerFQDN>が使用されます。 たとえば、「 <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com> 」のように入力します。 他の電子メール システムでは、異なる構文または値が使用される場合があります。 この値は一意であると想定されていますが、すべての電子メール システムがこの要件に厳密に従うわけではありません。 Message-ID: ヘッダー フィールドが存在しない場合、または外部ソースからの受信メッセージに空白の場合は、任意の値が割り当てられます。

    メッセージ ID を使用して結果をフィルター処理する場合は、山かっこを含む完全な文字列が含まれるようにします。

  • 方向: 次のいずれかの値を選択します。

    • すべて: 既定値です。
    • 受信: organizationの受信者に送信されるメッセージ。
    • 送信: organization内のユーザーから送信されたメッセージ。
  • 元のクライアント IP アドレス: 電子メール送信者のクライアント コンピューターまたはデバイスの IP アドレス。 このフィルターを使用して、大量のスパムまたはマルウェアを送信しているハッキングされたコンピューターを調査できます。 メッセージは複数の送信者から送信されているように見えるかもしれませんが、同じコンピューターがすべてのメッセージを生成している可能性があります。

    注:

    クライアント IP アドレス情報は 10 日間のみ使用でき、 拡張サマリー レポート または 拡張レポート (ダウンロード可能な CSV ファイル) でのみ使用できます。

レポートの種類

使用可能なレポートの種類は次のとおりです。

  • 概要レポート: 時間範囲が 10 日未満で、他のフィルターオプションが必要ない場合に使用できます。 結果は、Searchを選択した直後に使用できます。 レポートは最大 20,000 件の結果を返します。

    [Search] を選択してメッセージ トレースを開始します。 [概要レポートの出力] セクションの説明に従って、[メッセージ トレースの検索結果] ページに移動します。

    最後の 10 個のサマリー レポート クエリは、[メッセージ トレース] ページの [自動保存されたクエリ] タブで使用できます。

  • 拡張サマリー レポート: 概要レポートの情報に加えて、その他の詳細 (方向や元のクライアント IP アドレスなど) が含まれます。 ダウンロード可能な CSV ファイルとしてのみ使用できます。 レポートは最大 100,000 件の結果を返します。

  • 拡張レポート: 拡張サマリー レポートと同じ情報と、包括的なルーティングとメッセージ イベントの詳細が含まれます。 ダウンロード可能な CSV ファイルとしてのみ使用できます。 レポートは最大 1,000 件の結果を返します。

    拡張サマリー レポート拡張レポートには、時間範囲に関係なく、送信者、受信者、またはメッセージ ID の 1 つ以上のフィルターオプション必要です。

    拡張要約レポート拡張レポートは、アーカイブされたメッセージ・トレース・データを使用して準備されます。 レポートをダウンロードできるようになるまで数時間かかる場合があります。 同時にレポート要求を送信した他の管理者の数によっては、キューに登録された要求で処理が開始されるまでに遅延が発生する場合もあります。

    任意の日付/時刻範囲に対して 拡張サマリー レポート または 拡張レポート を選択できますが、通常、アーカイブされたデータの過去 24 時間は使用できません。

    ダウンロード可能な CSV ファイルの最大サイズは 800 MB です。 ダウンロード可能なレポートが 800 MB を超える場合、Excel またはメモ帳でレポートを開くできません。

    [次へ] を選択すると、選択したフィルターオプション、レポートの一意の (編集可能な) タイトル、メッセージ トレースが完了したときに通知を受信する電子メール アドレスが一覧表示される概要ポップアップが表示されます (また、編集可能であり、organizationの承認済みドメインのいずれかに存在する必要があります)。

    [ レポートの準備] を選択して、メッセージ トレースを送信します。 レポートの状態は、[ ダウンロード可能なレポート ] タブで確認できます。返されるデータの詳細については、「 拡張サマリー レポート 」および「 拡張レポート 」セクションを参照してください。

メッセージ トレースの結果

レポートの種類によって、さまざまなレベルの情報が返されます。 さまざまなレポートで使用できる情報については、次のセクションで説明します。

サマリー レポートの出力

メッセージ トレースを実行すると、結果は降順の日付/時刻 (最初に最新のイベント) で並べ替えられます。

概要レポートには、次の情報が含まれています。

  • 日付: 構成された UTC タイム ゾーンを使用して、サービスによってメッセージが受信された日時。
  • 送信者: 送信者のメール アドレス (エイリアス@ドメイン)。
  • 受信者: 受信者のメール アドレス。 メッセージに複数の受信者がある場合、各受信者は別の行に配置されます。 受信者が配布グループ、動的配布グループ、またはメールが有効なセキュリティ グループの場合、グループは最初の受信者で、その後に各グループ メンバーが個別の行に続きます。
  • 件名: メッセージの Subject: フィールドの最初の 256 文字。
  • 状態: これらの値については、「 詳細な検索オプション 」セクションで説明されています。

既定では、最初の 250 件の結果が読み込まれ、すぐに使用できます。 下にスクロールすると、次の結果のバッチが読み込まれ、最大 10,000 個まで少し一時停止します。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。

[Email] タブで、[ビューの変更] をクリックし、[コンパクト リスト] を選択することで、一の垂直方向の間隔を小さくできます。

Search ボックスと対応する値を使用して、特定のエントリを検索します。 ワイルドカードはサポートされていません

後で保存して使用できる高度なフィルターについては、[フィルター] を選択し、[新しいフィルター] を選択します。 開いた [カスタム フィルター] ポップアップで、次の情報を入力します。

  • フィルターに名前を付ける: 一意の名前を入力します。

  • 次の情報を入力して、フィルター句を追加します。

    • フィールド: 次の値から選択します。
      • Sender
      • [受信者]
      • 件名
      • 状態
    • 演算子: または で始まるを選択します。
    • : 検索する値を入力します。

    [ 新しい句の追加] を選択し、前の手順を必要な回数繰り返すことができます。 複数の句で AND ロジック (<句 1> AND <句 2>....) が使用されます。

    フィルター句を削除するには、エントリの横にある [句の削除] を選択します。

    [カスタム フィルター] ポップアップが完了したら、[保存] を選択します。 新しいフィルターが自動的に読み込まれ、フィルター処理された結果が [メッセージ トレース検索結果 ] ページに表示されます。 この結果は、[フィルター] を選択し、一覧の [カスタム フィルター] セクションから既存のフィルターを選択する場合と同じです。

    既存のフィルターをアンロードし、[メッセージ トレース検索結果] ページに表示される既定の情報に戻るには、[すべてのフィルターをクリア] を選択>します。

[メッセージ トレースの編集] を選択して検索条件を編集します。

[結果のエクスポート] を使用して、表示された結果を CSV ファイルにエクスポートします。

[更新] を選択して結果を更新します。

関連するメッセージ レコードは、同じメッセージ ID を共有するレコードです。 2 人の間で送信された 1 つのメッセージでも、複数のレコードを生成できることに注意してください。 メッセージが配布グループの拡張、転送、メール フロー ルール (トランスポート ルールとも呼ばれます) などの影響を受けると、レコードの数が増えます。

[日付] 列の横にある空白領域で、エントリの横に表示されるラウンド チェック ボックスを選択します。 [ メッセージ トレースの結果 ] ページには、次のアクションが表示されます。

  • [エクスプローラーで表示]: Microsoft Defender for Office 365 プラン 2 の組織の脅威エクスプローラーでメッセージを開きます。 詳細については、「脅威エクスプローラーとは」を参照してください。
  • Go ハンティング: Microsoft Defender for Office 365 プラン 2 の組織の Threat エクスプローラーでメッセージを探します。 詳細については、「Microsoft Defender for Office 365の脅威エクスプローラーでの脅威ハンティング」を参照してください。
  • 関連する検索: 新しいメッセージ トレースを開き、メッセージの関連レコードを検索します。

メッセージ ID の詳細については、「 詳細な検索オプション 」セクションを参照してください。

メッセージ トレースの詳細

サマリー レポートの出力では、[日付] の値の横に表示されるラウンド チェック ボックス以外の行の任意の場所をクリックすると、メッセージの詳細を表示できます。

概要レポート メッセージ トレースの行をクリックした後に開く詳細ポップアップは、新しい EAC になります。

開いた詳細ポップアップには、概要レポートに存在しない次の情報が含まれています。

  • メッセージ イベント: このセクションを展開すると、サービスがメッセージに対して実行するアクションを分類するのに役立つ分類が表示されます。 発生する可能性がある興味深いイベントの一部を次に示します。

    • 受信: サービスによってメッセージが受信されました。
    • 送信: メッセージはサービスによって送信されました。
    • 失敗: メッセージの配信に失敗しました。
    • 配信: メッセージがメールボックスに配信されました。
    • 展開: 展開された配布グループにメッセージが送信されました。
    • 転送: 受信者は、コンテンツの変換、メッセージ受信者の制限、またはエージェントのために、分岐されたメッセージに移動されました。
    • 延期: メッセージ配信は延期され、後で再試行される可能性があります。
    • 解決済み: Active Directory の検索に基づいて、メッセージが新しい受信者アドレスにリダイレクトされました。 このイベントが発生すると、元の受信者アドレスがメッセージ トレース内の別の行に、メッセージの最終的な配信状態と共に一覧表示されます。
    • DLP ルール: メッセージに DLP ルールが一致しました。
    • 秘密度ラベル: サーバー側のラベル付けイベントが発生しました。 たとえば、暗号化するアクションを含むメッセージにラベルが自動的に追加されたか、Web またはモバイル クライアント経由で追加されました。 この操作は Exchange サーバーによって完了され、ログに記録されます。 Outlook 経由で追加されたラベルは、イベント フィールドには含まれません。

    :

    • 正常に配信された不均等なメッセージでは、メッセージ トレースに複数の イベント エントリが生成されます。 その他のイベントの詳細については、「 メッセージ追跡ログのイベントの種類」を参照してください。 このリンクは、Exchange Server (オンプレミスの Exchange) トピックです。
  • 詳細情報: このセクションを展開すると、次の詳細を表示できます。

    • メッセージ ID: この値は、「 詳細な検索オプション 」セクションで説明されています。 メッセージ ID 値の例は です<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
    • メッセージ サイズ: 添付ファイル/画像/テキストを含む、送信されたメッセージのサイズ。
    • [IP から]: メッセージを送信したコンピューターの IP アドレス。 Exchange Online から送信された送信メッセージの場合、この値は空白です。
    • [IP へ]: サービスがメッセージの配信を試みた IP アドレス。 メッセージに複数の受信者がある場合は、これらのアドレスが表示されます。 Exchange Online に送信された受信メッセージの場合、この値は空白です。

拡張サマリー レポート

拡張概要レポートは、[メッセージ トレース] ページの [ダウンロード可能なレポート] タブで使用できます。

  • ダウンロードできるレポートには、[ 状態] の値 [ 完了] があります
  • ダウンロードできないレポートには、[ 状態] の値 [ 未開始 ] または [進行中] があります

次の情報は、 拡張サマリー レポート CSV ファイルで入手できます。

  • *origin_timestamp: 構成された UTC タイム ゾーンを使用して、サービスによってメッセージが最初に受信された日時。
  • sender_address: 送信者のメール アドレス (エイリアス@ドメイン)。
  • Recipient_status: 受信者へのメッセージの配信の状態。 メッセージが複数の受信者に送信された場合、電子メール アドレス>##<status という形式<で、すべての受信者とそれぞれの対応する状態>が表示されます。 受信者の状態の例を次に示します。
    • ##Receive、 [送信] は、 メッセージがサービスによって受信され、目的の宛先に送信されたことを意味します。
    • ##Receive、失敗は、 メッセージがサービスによって受信されたが、目的の宛先への配信が失敗したことを意味します。
    • ##Receive、配信とは、 メッセージがサービスによって受信され、受信者のメールボックスに配信されたことを意味します。
  • message_subject: メッセージの [件名 ] フィールドの最初の 256 文字。
  • total_bytes: 添付ファイルを含むメッセージのサイズ (バイト単位)。
  • message_id: この値については、「 詳細な検索オプション 」セクションを参照してください。 message_id値の例は です<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
  • network_message_id: 分岐または配布グループの拡張によって作成される可能性があるメッセージのすべてのコピーにわたって保持される一意のメッセージ ID 値。 network_message_id値の例は です1341ac7b13fb42ab4d4408cf7f55890f
  • original_client_ip: 送信者の SMTP サーバーの IP アドレス。
  • 方向: メッセージが受信 (organization) または送信 (organizationから) 送信されたかどうかを示します。
  • connector_id: ソース コネクタまたは宛先コネクタの名前。 Exchange Onlineのコネクタの詳細については、「Office 365のコネクタを使用してメール フローを構成する」を参照してください。
  • *delivery_priority: メッセージが、または標準の優先順位で送信されたかどうか。

* これらのプロパティは、 拡張サマリー レポートでのみ使用できます。

拡張レポート

拡張レポートは、[メッセージ トレース] ページの [ダウンロード可能なレポート] タブで使用できます。

  • ダウンロードできるレポートには、[ 状態] の値 [ 完了] があります
  • ダウンロードできないレポートには、[ 状態] の値 [ 未開始 ] または [進行中] があります

次の情報は、 拡張レポート CSV ファイルで入手できます。

  • client_ip: メッセージを送信した電子メール サーバーまたはメッセージング クライアントの IP アドレス。

  • client_hostname: メッセージを送信した電子メール サーバーまたはメッセージング クライアントのホスト名または FQDN。

  • server_ip: 送信元サーバーまたは移行先サーバーの IP アドレス。

  • server_hostname: 宛先サーバーのホスト名または FQDN。

  • source_context: ソース フィールドに関連付けられている追加情報。 以下に例を示します。

    • Protocol Filter Agent
    • 3489061114359050000
  • source: イベントを担当するExchange Online コンポーネント。 以下に例を示します。

    • AGENT
    • MAILBOXRULE
    • SMTP
  • event_id: この値は、「このメッセージの関連レコードを検索する」で説明されている Message イベント値に対応します。

  • internal_message_id: 現在メッセージを処理しているExchange Online サーバーによって割り当てられているメッセージ識別子。

  • recipient_address: メッセージの受信者のメール アドレス。 複数の電子メール アドレスがある場合は、セミコロン (;) で区切られます。

  • recipient_count: メッセージ内の受信者の合計数。

  • related_recipient_address: メッセージにEXPANDREDIRECT関連付けられている他の受信者のメール アドレスを表示するイベント、、および RESOLVE イベントを表示します。

  • 参照: このフィールドには、特定の種類のイベントに関する追加情報が含まれています。 以下に例を示します。

    • DSN: このイベントの後に DSN が生成された場合、関連付けられている配信状態通知 (DSN、配信不能レポート、NDR、またはバウンス メッセージとも呼ばれます) の message_id値である レポート リンクが含まれます。 このメッセージが DSN メッセージの場合、このフィールドには、DSN が生成された元のメッセージの message_id 値が含まれます。

    • EXPAND: 関連するメッセージの related_recipient_address 値が含まれます。

    • RECEIVE: メッセージが他のプロセス (受信トレイ ルールなど) によって生成された場合、関連するメッセージの message_id 値が含まれる場合があります。

    • SEND: DSN メッセージの internal_message_id 値が含まれます。

    • 転送: フォークされているメッセージの internal_message_id 値 (コンテンツ変換、メッセージ受信者の制限、エージェントなど) が含まれます。

    • MAILBOXRULE: 受信トレイ ルールが送信 メッセージを生成する原因となった受信メッセージのinternal_message_id値が含まれます。

      他の種類のイベントの場合、このフィールド (internal_message_id) は空白です。

  • return_path: メッセージを送信した MAIL FROM コマンドで指定された戻りメール アドレス。 このフィールドは空ではありませんが、null 送信者アドレス値を として <>表すことができます。

  • message_info: メッセージに関する追加情報。 以下に例を示します。

    • イベントのSENDメッセージ配信日時 (UTCDELIVER)。 配信元の日時は、メッセージが最初にExchange Online organizationに入力された時刻です。 UTC 日時は ISO 8601 の日付/時刻形式yyyy-MM-ddThh:mm:ss.fffZで表されます。ここでyyyy、 = year、 = month、 MMdd = day T は、時刻コンポーネントの先頭を示し、 = hour、 hh = minute、 mmss = second、 fff = fractions of a second、 = Zulufractions of a second、 Z は UTC を表す別の方法です。
    • 認証エラー。 たとえば、認証エラーが発生したときに使用された認証の値 11a と種類が表示される場合があります。
  • tenant_id: Exchange Online organizationを表す GUID 値 (例: 39238e87-b5ab-4ef6-a559-af54c6b07b42)。

  • original_server_ip: 元のサーバーの IP アドレス。

  • custom_data: 特定のイベントの種類に関連するデータが含まれます。 詳細については、以下のセクションを参照してください。

custom_data値

イベントのcustom_dataフィールドは、メッセージ処理のAGENTINFO詳細をログに記録するために、さまざまなExchange Online エージェントによって使用されます。 より興味深いエージェントの一部については、次のセクションで説明します。

スパム フィルター エージェント

始まるS:SFAcustom_data値は、スパム フィルター エージェントからの値です。 詳細については、「 X-Forefront-Antispam-Report メッセージ ヘッダー フィールド」を参照してください。

スパムに対してフィルター処理されるメッセージの custom_data 値の例を次に示します。

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

マルウェア フィルター エージェント

始まるS:AMAcustom_data値は、マルウェア フィルター エージェントからの値です。 キーの詳細については、次の表を参照してください。

説明
AMA=SUM|v=1| または AMA=EV|v=1 このメッセージは、マルウェアが含まれていると判断されました。 SUM は、マルウェアが任意の数のエンジンによって検出されたことを示します。 EV は、マルウェアが特定のエンジンによって検出されたことを示します。 エンジンがマルウェアを検出すると、後続のアクションがトリガーされます。
Action=r メッセージは置き換えられました。
Action=p メッセージはバイパスされました。
Action=d メッセージは延期されました。
Action=s メッセージは削除されました。
Action=st メッセージはバイパスされました。
Action=sy メッセージはバイパスされました。
Action=ni メッセージは拒否されました。
Action=ne メッセージは拒否されました。
Action=b メッセージはブロックされました。
Name=<malware> 検出されたマルウェアの名前。
File=<filename> マルウェアを含むファイルの名前。

マルウェアを含むメッセージの custom_data 値の例を次に示します。

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

トランスポート ルール エージェント

始まるS:TRAcustom_data値は、メール フロー ルール (トランスポート ルールとも呼ばれます) のトランスポート ルール エージェントからの値です。 キーの詳細については、次の表を参照してください。

説明
ETR|ruleId=<guid> 一致したルールの ID。
St=<datetime> ルールの一致が発生した UTC の日付と時刻。
Action=<ActionDefinition> 適用されたアクション。 使用可能なアクションの一覧については、「Exchange Onlineのメール フロー ルールアクション」を参照してください。
Mode=<Mode> ルールのモード。 有効な値は次のとおりです。
  • 適用: ルールに対するすべてのアクションが適用されます。
  • ポリシー ヒントを使用してテストする:: ポリシー ヒントアクションは送信されますが、他の強制アクションは処理されません。
  • ポリシー ヒントなしでテストする: アクションはログ ファイルに一覧表示されますが、送信者には何も通知されず、強制アクションは処理されません。</李。

メール フロー ルールの条件に一致するメッセージの custom_data 値の例を次に示します。

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce