다음을 통해 공유


Exchange Online의 새 Exchange 관리 센터의 메시지 추적

새 EAC(Exchange 관리 센터)의 메시지 추적은 Microsoft 365 조직을 통해 이동하는 전자 메일 메시지를 따릅니다. 서비스가 메시지를 수신, 거부, 지연 또는 배달했는지 확인할 수 있습니다. 또한 메시지 추적은 최종 상태에 도달하기 전에 메시지에 대해 수행된 작업을 보여 줍니다.

새 EAC의 메시지 추적은 클래식 EAC에서 사용할 수 있었던 원래 메시지 추적을 개선합니다. 메시지 추적의 정보를 사용하여 메시지에 발생한 일에 대한 사용자 질문에 효율적으로 답변하고, 메일 흐름 문제를 해결하고, 정책 변경의 유효성을 검사할 수 있습니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • 이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

    • Exchange Online 권한: 조직 관리 역할 그룹의 멤버 자격입니다.

    • Microsoft Entra 권한: 전역 관리자 또는 Exchange 관리자* 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 필요한 권한 권한을 제공합니다.

      중요

      * 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

  • 결과에 표시되는 최대 메시지 수는 선택한 보고서 유형에 따라 달라집니다. 자세한 내용은 메시지 추적 결과를 참조하세요. Exchange Online PowerShell의 Get-HistoricalSearch cmdlet은 결과의 모든 메시지를 반환합니다.

메시지 추적 열기

의 새 EAC에서 https://admin.exchange.microsoft.com메일 흐름>메시지 추적으로 이동합니다. 또는 메시지 추적 페이지로 직접 이동하려면 를 사용합니다 https://admin.exchange.microsoft.com/#/messagetrace.

메시지 추적 페이지

메시지 추적 페이지에서 추적 시작을 선택하여 새 기본 추적을 시작할 수 있습니다.

열리는 새 메시지 추적 플라이아웃에서 기본 선택은 지난 2일 동안 모든 보낸 사람과 받는 사람에 대한 모든 메시지를 검색합니다. 또는 사용 가능한 탭에서 저장된 쿼리 중 하나를 사용할 수 있습니다(있는 그대로 또는 사용자 고유의 쿼리의 시작점으로 사용).

  • 기본 쿼리: Microsoft 365에서 제공하는 기본 제공 쿼리입니다.
  • 사용자 지정 쿼리: 나중에 사용하기 위해 조직의 관리자가 저장한 쿼리입니다.
  • 자동 저장 쿼리: 최근 10개의 가장 최근에 실행된 쿼리입니다. 이 목록을 사용하면 중단한 위치에서 쉽게 선택할 수 있습니다.

다운로드 가능한 보고서 탭에는 다운로드 가능한 보고서 요청과 다운로드할 수 있는 보고서 자체가 표시됩니다.

새 EAC의 메시지 추적 페이지입니다.

새 메시지 추적에 대한 옵션

다음 섹션에서는 추적 시작을 선택 하거나 기존 추적을 열 때 열리는 새 메시지 추적 플라이아웃에서 사용 가능한 설정에 대해 설명합니다.

새 EAC의 새 메시지 추적 플라이아웃입니다.

보낸 사람 및 받는 사람

보낸 사람받는 사람의 기본값은 모두이지만 특정 값을 입력할 수 있습니다.

  • 보낸 사람: 상자를 클릭하고 입력을 시작하여 조직에서 보낸 사람 중 하나 이상을 입력하거나 선택합니다.
  • 받는 사람: 상자를 클릭하고 입력을 시작하여 조직에서 하나 이상의 받는 사람을 입력하거나 선택합니다.

외부 보낸 사람 및 받는 사람의 전자 메일 주소를 입력할 수 있습니다. 와일드카드는 지원되지만(예: *@contoso.com) 한 값에 여러 와일드카드를 사용할 수는 없습니다.

세미콜론(), 공백\s(), 캐리지 리턴\r() 또는 새 줄\n(;)로 구분된 여러 보낸 사람 또는 받는 사람 목록을 붙여넣을 수 있습니다.

시간 범위

시간 범위 섹션에서 기본값은 2일이지만 날짜/시간 범위를 최대 90일로 지정할 수 있습니다. 날짜/시간 범위를 사용하는 경우 다음 문제를 고려합니다.

  • 기본적으로 타임라인을 사용하여 슬라이더 보기에서 시간 범위를 선택합니다.

    새 EAC의 새 메시지 추적에 있는 슬라이더 시간 범위입니다.

    슬라이더 보기에 쿼리를 저장하면 상대 시간 범위(예: 오늘부터 2일)가 절약됩니다.

  • 사용자 지정 시간 범위 보기로 전환하여 다음 값을 지정할 수 있습니다.

    • 표준 시간대: 쿼리 입력 및 쿼리 결과에 적용됩니다.
    • 시작 날짜: 날짜 및 시간입니다.
    • 종료 날짜: 날짜 및 시간입니다.

    새 EAC의 새 메시지 추적에 있는 사용자 지정 시간 범위입니다.

    사용자 지정 시간 범위 보기에서 쿼리를 저장하면 절대 날짜/시간 범위(예: 2023-05-06 13:00 to 2023-05-08 18:00)가 저장됩니다.

10일 이하의 경우 결과는 요약 보고서로 즉시 사용할 수 있습니다.

10일보다 약간 더 큰 날짜/시간 범위를 지정하는 경우:

  • 결과는 다운로드 가능한 CSV 파일( 고급 요약 보고서 또는 확장 보고서)으로만 사용할 수 있습니다.
  • 결과는 보관된 메시지 추적 데이터를 사용하여 준비됩니다. 보고서를 다운로드하는 데 몇 시간이 걸릴 수 있습니다. 다른 관리자가 동시에 보고서 요청을 제출한 수에 따라 대기 중인 요청에서 처리가 시작되기 전에 지연이 발생할 수도 있습니다.

자세한 검색 옵션

자세한 검색 옵션 섹션에서 다음 옵션을 사용할 수 있습니다.

  • 배달 상태: 다음 값을 사용할 수 있습니다.

    • 모두: 기본값입니다.
    • 배달됨: 메시지가 의도한 대상으로 성공적으로 전달되었습니다.
    • 확장됨: 그룹의 개별 구성원에게 배달하기 전에 메일 그룹 수신자가 확장되었습니다.
    • 실패: 메시지가 배달되지 않았습니다.
    • 보류 중*: 메시지 배달을 시도하거나 다시 시도 중입니다.
    • 격리됨*: 메시지가 격리되었습니다(스팸, 대량 메일 또는 피싱). 자세한 내용은 EOP에서 격리된 전자 메일 메시지를 참조하세요.
    • 스팸*으로 필터링됨: 메시지가 스팸으로 식별되었으며 거부되거나 차단되었습니다(격리되지 않음).
    • 상태 가져오기: 이 메시지는 최근에 Microsoft 365에서 받았지만 다른 상태 데이터는 아직 사용할 수 없습니다. 몇 분 내에 다시 확인할 수 있습니다.

    * 이 값은 10일 미만의 검색에서만 사용할 수 있습니다. 10일보다 오래된 데이터를 쿼리해야 하는 경우 Exchange Online PowerShell에서 Start-HistoricalSearch cmdlet을 사용합니다.

    참고

    보고된 배달 상태 값과 실제 및 보고된 배달 상태 값 사이에 5~10분 지연이 있을 수 있습니다.

  • 메시지 ID: 메시지 헤더의 메시지 ID 헤더 필드에 있는 인터넷 메시지 ID (클라이언트 ID라고도 함)입니다. 사용자는 이 값을 제공하여 특정 메시지를 조사할 수 있습니다.

    이 값은 메시지 수명을 나타내는 상수입니다. Microsoft 365 또는 Exchange에서 만든 메시지의 경우 메시지 ID 값은 각진 대괄호를 포함하여 형식 <GUID@ServerFQDN>을 사용합니다. 예를 들면 <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>와 같습니다. 다른 전자 메일 시스템에서는 다른 구문이나 값을 사용할 수 있습니다. 이 값은 고유해야 하지만 모든 전자 메일 시스템이 이 요구 사항을 엄격하게 따르는 것은 아닙니다. Message-ID: 헤더 필드가 없거나 외부 원본에서 들어오는 메시지에 대해 비어 있는 경우 임의의 값이 할당됩니다.

    메시지 ID를 사용하여 결과를 필터링하는 경우 각진 대괄호를 포함하여 전체 문자열을 포함해야 합니다.

  • 네트워크 메시지 ID: 네트워크 메시지 ID는 분기로 인해 생성될 수 있는 메시지의 복사본과 메시지 전송 프로세스에서 우선하는 고유한 메시지 ID 값입니다. 메시지의 특정 인스턴스 복사본에 대해서도 값이 다른 동적입니다. 따라서 인스턴스의 복사된 각 버전에는 다른 네트워크 메시지 ID 값이 있습니다.

    네트워크 메시지 ID메시지 ID의 차이점은 다음 표에 요약되어 있습니다.

    네트워크 메시지 ID 메시지 ID
    전자 메일 메시지의 특정 인스턴스 ID 전자 메일 메시지의 ID
    고유하며 메시지 분기로 인해 생성될 수 있는 메시지의 복사본 간에 유지됩니다. 메시지의 수명 동안 상수

    네트워크 메시지 ID에 대한 자세한 내용은 다음 정보를 참조하세요.

    네트워크 메시지 ID 값을 추적하고 Exchange Online에서 특정 메시지를 추적하는 데 사용하려면 다음 메시지 헤더를 사용합니다.

    • X-MS-Exchange-Organization-Network-Message-Id
    • X-MS-Office365-Filtering-Correlation-Id
    • X-MS-Exchange-CrossTenant-Network-Message-Id

    해당 헤더의 네트워크 메시지 ID 값을 사용하여 특정 메시지를 추가로 검색할 수 있습니다. 예:

    • 특정 보낸 사람에서 보낸 메시지입니다.
    • 특정 받는 사람에게 전달된 메시지입니다.
    • 지정된 기간 동안 전송된 메시지입니다.

    Exchange Online PowerShell에서 Get-MessageTrace cmdlet을 사용하여 네트워크 메시지 ID 값을 추적할 수도 있습니다.

    다음 예제에서는 네트워크 메시지 ID 값을 사용하여 2024년 6월 13일부터 2024년 6월 15일 사이에 보낸 john@contoso.com 메시지를 찾습니다.

    • MessageTraceID 매개 변수는 네트워크 메시지 ID 값을 사용합니다. 이 예제에서는 입니다2bbad36aa4674c7ba82f4b307fff549.
    • Get-MessageTrace 명령의 결과는 **Get-MessageTraceDetail cmdlet에 파이프됩니다. 결과를 통해 다음을 식별할 수 있습니다.
      • 네트워크 메시지 ID 값입니다.
      • 네트워크 메시지 ID 값이 검색하는 데 도움이 되는 특정 메시지입니다.
    Get-MessageTrace -MessageTraceId 2bbad36aa4674c7ba82f4b307fff549f -SenderAddress john@contoso.com -StartDate 06/13/2024 -EndDate 06/15/2024 | Get-MessageTraceDetail
    
  • 방향: 다음 값 중 하나를 선택합니다.

    • 모두: 기본값입니다.
    • 인바운드: 조직의 받는 사람에게 보낸 메시지입니다.
    • 아웃바운드: 조직의 사용자로부터 보낸 메시지입니다.
  • 원래 클라이언트 IP 주소: 전자 메일 보낸 사람의 클라이언트 컴퓨터 또는 디바이스의 IP 주소입니다. 이 필터를 사용하여 대량의 스팸 또는 맬웨어를 보내는 해킹된 컴퓨터를 조사할 수 있습니다. 메시지가 여러 보낸 사람에서 온 것처럼 보일 수 있지만 동일한 컴퓨터에서 모든 메시지를 생성할 가능성이 높습니다.

    참고

    클라이언트 IP 주소 정보는 10일 동안만 사용할 수 있으며 고급 요약 보고서 또는 확장 보고서 (다운로드 가능한 CSV 파일)에서만 사용할 수 있습니다.

보고서 유형

사용 가능한 보고서 유형은 다음과 같습니다.

  • 요약 보고서: 시간 범위가 10일 미만이고 다른 필터링 옵션이 필요하지 않은 경우 사용할 수 있습니다. 검색 을 선택한 직후에 결과를 사용할 수 있습니다. 보고서는 최대 20,000개 결과를 반환합니다.

    검색을 선택하여 메시지 추적을 시작합니다. 요약 보고서 출력 섹션에 설명된 대로 메시지 추적 검색 결과 페이지로 이동합니다.

    마지막 10개의 요약 보고서 쿼리는 메시지 추적 페이지의 자동 저장 쿼리 탭에서 사용할 수 있습니다.

  • 향상된 요약 보고서: 요약 보고서의 정보와 기타 세부 정보(예: 방향 및 원래 클라이언트 IP 주소)를 포함합니다. 다운로드 가능한 CSV 파일로만 사용할 수 있습니다. 보고서는 최대 100,000의 결과를 반환합니다.

  • 확장 보고서: 확장 요약 보고서와 동일한 정보와 포괄적인 라우팅 및 메시지 이벤트 세부 정보를 포함합니다. 다운로드 가능한 CSV 파일로만 사용할 수 있습니다. 이 보고서는 최대 1,000명의 결과를 반환합니다.

    향상된 요약 보고서확장 보고서에보낸 사람, 받는 사람 또는 메시지 ID와 관계없이 시간 범위에 관계없이 하나 이상의 필터링 옵션이 필요합니다.

    향상된 요약 보고서확장 보고서는 보관된 메시지 추적 데이터를 사용하여 준비됩니다. 보고서를 다운로드하는 데 몇 시간이 걸릴 수 있습니다. 다른 관리자가 동시에 보고서 요청을 제출한 수에 따라 대기 중인 요청에서 처리가 시작되기 전에 지연이 발생할 수도 있습니다.

    모든 날짜/시간 범위에 대해 향상된 요약 보고서 또는 확장 보고서를 선택할 수 있지만 보관된 데이터의 마지막 24시간은 일반적으로 사용할 수 없습니다.

    다운로드 가능한 CSV 파일의 최대 크기는 800MB입니다. 다운로드 가능한 보고서가 800MB를 초과하는 경우 Excel 또는 메모장에서 보고서를 열 수 없습니다.

    다음을 선택하면 선택한 필터링 옵션, 보고서에 대한 고유한(편집 가능한) 제목 및 메시지 추적이 완료될 때 알림을 받을 전자 메일 주소를 나열하는 요약 플라이아웃으로 이동됩니다(편집 가능하며 조직의 허용된 도메인 중 하나에 있어야 함).

    보고서 준비를 선택하여 메시지 추적을 제출합니다. 다운로드 가능한 보고서 탭에서 보고서의 상태를 볼 수 있습니다 . 반환되는 데이터에 대한 자세한 내용은 향상된 요약 보고서확장 보고서 섹션을 참조하세요.

    참고

    Microsoft 365 SPF 레코드에 포함된 EOP 아웃바운드 보호 서버의 IP 주소는 메시지 추적 보고서 유형에 표시되지 않습니다. 이 조건은 아웃바운드 보호 서버가 개입되기 전에 메시지 추적 보고서가 생성되기 때문에 의도적으로 수행됩니다.

메시지 추적 결과

다양한 보고서 유형은 다양한 수준의 정보를 반환합니다. 다른 보고서에서 사용할 수 있는 정보는 다음 섹션에 설명되어 있습니다.

요약 보고서 출력

메시지 추적을 실행한 후 결과는 내림차순 날짜/시간(가장 최근 이벤트 먼저)을 기준으로 정렬됩니다.

요약 보고서에는 다음 정보가 포함되어 있습니다.

  • 날짜: 구성된 UTC 표준 시간대를 사용하여 서비스에서 메시지를 받은 날짜 및 시간입니다.
  • 보낸 사람: 보낸 사람의 이메일 주소(별칭도메인)입니다@.
  • 받는 사람: 받는 사람의 전자 메일 주소입니다. 메시지에 여러 수신자가 있는 경우 각 받는 사람은 별도의 줄에 있습니다. 받는 사람이 메일 그룹, 동적 메일 그룹 또는 메일 사용 보안 그룹인 경우 그룹은 첫 번째 수신자이며, 그 다음에는 각 그룹 구성원이 별도의 줄에 있습니다.
  • 제목: 메시지 제목 : 필드의 처음 256자입니다.
  • 상태: 이러한 값은 자세한 검색 옵션 섹션에 설명되어 있습니다 .

기본적으로 처음 250개 결과가 로드되고 쉽게 사용할 수 있습니다. 아래로 스크롤하면 다음 결과 일괄 처리가 로드될 때 최대 10,000까지 약간의 일시 중지가 발생합니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다.

전자 메일 탭에서 보기 변경을 클릭한 다음 압축 목록을 선택하여 목록에서 세로 간격을 줄일 수 있습니다.

검색 상자와 해당 값을 사용하여 특정 항목을 찾습니다. 와일드카드는 지원되지 않습니다.

나중에 저장하고 사용할 수 있는 고급 필터를 보려면 필터를 선택한 다음, 새 필터를 선택합니다. 열리는 사용자 지정 필터 플라이아웃에서 다음 정보를 입력합니다.

  • 필터 이름 지정: 고유한 이름을 입력합니다.

  • 다음 정보를 입력하여 필터 절을 추가합니다.

    • 필드: 다음 값 중에서 선택합니다.
      • 보낸 사람
      • 받는 사람
      • 제목
      • 상태
    • 연산자: 또는 로 시작을선택합니다.
    • : 검색할 값을 입력합니다.

    새 절 추가를 선택하고 필요에 따라 이전 단계를 여러 번 반복할 수 있습니다. 여러 절은 AND 논리(<Clause1> AND <Clause2>...)를 사용합니다.

    필터 절을 제거하려면 항목 옆에 있는 절 제거를 선택합니다.

    사용자 지정 필터 플라이아웃을 마쳤으면 저장을 선택합니다. 새 필터가 자동으로 로드되고 필터링된 결과가 메시지 추적 검색 결과 페이지에 표시됩니다. 이 결과는 필터 선택한 다음 목록의 사용자 지정 필터 섹션에서 기존 필터를 선택하는 것과 같습니다.

    기존 필터를 언로드하고 메시지 추적 검색 결과 페이지에 표시된 기본 정보로 돌아가려면 모든 필터 지우기를 선택합니다>.

메시지 추적 편집을 선택하여 검색 조건을 편집합니다.

결과 내보내기를 사용하여 표시된 결과를 CSV 파일로 내보냅니다.

새로 고침을 선택하여 결과를 새로 고칩니다.

관련 메시지 레코드는 동일한 메시지 ID를 공유하는 레코드입니다. 두 사람 사이에 전송된 단일 메시지라도 여러 레코드를 생성할 수 있습니다. 메일 그룹 확장, 전달, 메일 흐름 규칙(전송 규칙이라고도 함) 등의 영향을 받는 메시지가 표시되면 레코드 수가 증가합니다.

날짜 열 옆의 빈 영역에서 항목 옆에 표시되는 둥근 확인란을 선택합니다. 메시지 추적 결과 페이지에는 다음 작업이 표시됩니다.

메시지 ID에 대한 자세한 내용은 자세한 검색 옵션 섹션을 참조하세요.

메시지 추적 세부 정보

요약 보고서 출력에서 날짜 값 옆에 표시되는 라운드 확인란 이외의 행의 아무 곳이나 클릭하여 메시지에 대한 세부 정보를 볼 수 있습니다.

요약 보고서 메시지 추적에서 행을 클릭한 후 열리는 세부 정보 플라이아웃은 새 EAC를 생성합니다.

열리는 세부 정보 flout에는 요약 보고서에 없는 다음 정보가 포함됩니다.

  • 메시지 이벤트: 이 섹션을 확장한 후 서비스에서 메시지에 대해 수행하는 작업을 분류하는 데 도움이 되는 분류를 볼 수 있습니다. 발생할 수 있는 더 흥미로운 이벤트 중 일부는 다음과 같습니다.

    • 수신: 서비스에서 메시지를 받았습니다.
    • 보내기: 서비스에서 메시지를 보냈습니다.
    • 실패: 메시지를 배달하지 못했습니다.
    • 배달: 메시지가 사서함에 배달되었습니다.
    • 확장: 메시지가 확장된 메일 그룹으로 전송되었습니다.
    • 전송: 받는 사람이 콘텐츠 변환, 메시지 받는 사람 제한 또는 에이전트로 인해 순환된 메시지로 이동되었습니다.
    • 연기: 메시지 배달이 연기되었으며 나중에 다시 시도될 수 있습니다.
    • 해결됨: 메시지가 Active Directory 조회를 기반으로 새 받는 사람 주소로 리디렉션되었습니다. 이 이벤트가 발생하면 원래 받는 사람 주소가 메시지 추적의 별도 행에 메시지의 최종 배달 상태와 함께 나열됩니다.
    • DLP 규칙: 메시지에 DLP 규칙이 일치했습니다.
    • 민감도 레이블: 서버 쪽 레이블 지정 이벤트가 발생했습니다. 예를 들어 레이블은 암호화 작업을 포함하는 메시지에 자동으로 추가되거나 웹 또는 모바일 클라이언트를 통해 추가되었습니다. 이 작업은 Exchange 서버에서 완료되고 기록됩니다. Outlook을 통해 추가된 레이블은 이벤트 필드에 포함되지 않습니다.

    참고:

  • 추가 정보: 이 섹션을 확장한 후 다음 세부 정보를 볼 수 있습니다.

    • 메시지 ID: 이 값은 자세한 검색 옵션 섹션에 설명되어 있습니다 . 메시지 ID 값의 예는 입니다<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
    • 메시지 크기: 첨부 파일/사진/텍스트를 포함하여 보낸 메시지의 크기입니다.
    • IP에서: 메시지를 보낸 컴퓨터의 IP 주소입니다. Exchange Online에서 전송되는 아웃바운드 메시지의 경우 이 값은 비어 있습니다.
    • IP: 서비스에서 메시지를 배달하려고 시도한 IP 주소입니다. 메시지에 받는 사람이 여러 명인 경우 이러한 주소가 표시됩니다. Exchange Online으로 전송되는 인바운드 메시지의 경우 이 값은 비어 있습니다.

향상된 요약 보고서

향상된 요약 보고서는메시지 추적 페이지의 다운로드 가능한 보고서 탭에서 사용할 수 있습니다.

  • 다운로드할 수 있는 보고서에 상태완료
  • 다운로드할 수 없는 보고서에는 상태 값이 시작되지 않음 또는 진행 중입니다.

다음 정보는 고급 요약 보고서 CSV 파일에서 사용할 수 있습니다.

  • *origin_timestamp: 구성된 UTC 표준 시간대를 사용하여 서비스에서 메시지를 처음 받은 날짜와 시간입니다.
  • sender_address: 보낸 사람의 이메일 주소(별칭도메인)입니다@.
  • Recipient_status: 받는 사람에게 메시지를 배달하는 상태입니다. 메시지가 여러 받는 사람에게 전송된 경우 메일 주소>##<상태 형식 < 으로 모든 받는 사람 및 각 수신자의 해당 상태를 표시합니다>. 받는 사람 상태의 예는 다음과 같습니다.
    • ##Receive Send 는 서비스에서 메시지를 받고 의도한 대상으로 전송되었음을 의미합니다.
    • ##Receive, 실패 는 서비스에서 메시지를 받았지만 의도한 대상에 배달하지 못했음을 의미합니다.
    • ##Receive 배달 은 서비스에서 메시지를 받고 받는 사람의 사서함으로 배달되었음을 의미합니다.
  • message_subject: 메시지 제목 필드의 처음 256자입니다.
  • total_bytes: 첨부 파일을 포함한 메시지의 크기(바이트)입니다.
  • message_id: 이 값은 자세한 검색 옵션 섹션에 설명되어 있습니다. message_id 값의 예는 입니다<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • network_message_id: 분기 또는 메일 그룹 확장으로 인해 생성될 수 있는 메시지의 모든 복사본에 유지되는 고유한 메시지 ID 값입니다. network_message_id 값의 예는 입니다1341ac7b13fb42ab4d4408cf7f55890f.
  • original_client_ip: 보낸 사람의 SMTP 서버의 IP 주소입니다.
  • directionality: 메시지가 인바운드(조직으로) 전송되었는지 또는 아웃바운드(조직으로부터) 전송되었는지 여부를 나타냅니다.
  • connector_id: 원본 또는 대상 커넥터의 이름입니다. Exchange Online의 커넥터에 대한 자세한 내용은 Office 365에서 커넥터를 사용하여 메일 흐름 구성을 참조하세요.
  • *delivery_priority: 메시지가 음, 음 또는 정상 우선 순위로 전송되었는지 여부입니다.

* 이러한 속성은 고급 요약 보고서에서만 사용할 수 있습니다.

확장 보고서

확장 보고서는메시지 추적 페이지의 다운로드 가능한 보고서 탭에서 사용할 수 있습니다.

  • 다운로드할 수 있는 보고서에 상태완료
  • 다운로드할 수 없는 보고서에는 상태 값이 시작되지 않음 또는 진행 중입니다.

다음 정보는 고급 보고서 CSV 파일에서 사용할 수 있습니다.

  • client_ip: 메시지를 제출한 전자 메일 서버 또는 메시징 클라이언트의 IP 주소입니다.

  • client_hostname: 메시지를 제출한 전자 메일 서버 또는 메시징 클라이언트의 호스트 이름 또는 FQDN입니다.

  • server_ip: 원본 또는 대상 서버의 IP 주소입니다.

  • server_hostname: 대상 서버의 호스트 이름 또는 FQDN입니다.

  • source_context: 원본 필드와 연결된 추가 정보입니다. 예:

    • Protocol Filter Agent
    • 3489061114359050000
  • source: 이벤트를 담당하는 Exchange Online 구성 요소입니다. 예:

    • AGENT
    • MAILBOXRULE
    • SMTP
  • event_id: 이 값은 이 메시지에 대한 관련 레코드 찾기에 설명된 메시지 이벤트 값에 해당합니다.

  • internal_message_id: 현재 메시지를 처리 중인 Exchange Online 서버에서 할당한 메시지 식별자입니다.

  • recipient_address: 메시지 수신자의 이메일 주소입니다. 전자 메일 주소가 여러 개인 경우 세미콜론(;)으로 구분합니다.

  • recipient_count: 메시지의 총 수신자 수입니다.

  • related_recipient_address: 메시지와 연결된 다른 받는 사람의 이메일 주소를 표시하는 , REDIRECTRESOLVE 이벤트와 함께 EXPAND제공됩니다.

  • 참조: 이 필드에는 특정 유형의 이벤트에 대한 추가 정보가 포함되어 있습니다. 예:

    • DSN: 이 이벤트 이후에 DSN이 생성된 경우 연결된 배달 상태 알림(DSN, 비보유 보고서, NDR 또는 반송 메시지라고도 함)의 message_id 값인 보고서 링크를 포함합니다. 이 메시지가 DSN 메시지인 경우 이 필드에는 DSN이 생성된 원래 메시지의 message_id 값이 포함됩니다.

    • EXPAND: 관련 메시지의 related_recipient_address 값을 포함합니다.

    • RECEIVE: 메시지가 다른 프로세스(예: 받은 편지함 규칙)에 의해 생성된 경우 관련 메시지의 message_id 값을 포함할 수 있습니다.

    • SEND: DSN 메시지의 internal_message_id 값을 포함합니다.

    • TRANSFER: 포크되는 메시지의 internal_message_id 값을 포함합니다(예: 콘텐츠 변환, 메시지 받는 사람 제한 또는 에이전트).

    • MAILBOXRULE: 받은 편지함 규칙이 아웃바운드 메시지를 생성하게 한 인바운드 메시지의 internal_message_id 값을 포함합니다.

      다른 유형의 이벤트의 경우 이 필드(internal_message_id)는 비어 있습니다.

  • return_path: 메시지를 보낸 MAIL FROM 명령으로 지정된 반환 전자 메일 주소입니다. 이 필드는 비어 있지 않지만 null 보낸 사람 주소 값이 로 <>표시될 수 있습니다.

  • message_info: 메시지에 대한 추가 정보입니다. 예:

    • SEND 이벤트에 대한 DELIVER 메시지 원본 날짜-시간(UTC)입니다. 원본 날짜-시간은 메시지가 Exchange Online 조직에 처음 입력된 시간입니다. UTC 날짜-시간은 ISO 8601 날짜-시간 형식 yyyy-MM-ddThh:mm:ss.fffZ으로 표시됩니다. 여기서 yyyy = year, MM = month, dd = day는 T 시간 구성 요소의 시작을 나타내고, hh = hour, mm = minute, ss = second, fff = 초의 분수를 나타내며 ZZulu, UTC를 나타내는 또 다른 방법입니다.
    • 인증 오류입니다. 예를 들어 인증 오류가 발생했을 때 사용된 값 11a 과 인증 유형이 표시될 수 있습니다.
  • tenant_id: Exchange Online 조직을 나타내는 GUID 값입니다(예: 39238e87-b5ab-4ef6-a559-af54c6b07b42).

  • original_server_ip: 원래 서버의 IP 주소입니다.

  • custom_data: 특정 이벤트 유형과 관련된 데이터를 포함합니다. 자세한 내용은 다음 섹션을 참조하십시오.

custom_data 값

이벤트에 대한 AGENTINFOcustom_data 필드는 다양한 Exchange Online 에이전트에서 메시지 처리 세부 정보를 기록하는 데 사용됩니다. 더 흥미로운 에이전트 중 일부는 다음 섹션에 설명되어 있습니다.

스팸 필터 에이전트

로 시작하는 S:SFAcustom_data 값은 스팸 필터 에이전트에서 가져옵니다. 자세한 내용은 X-Forefront-Antispam-Report 메시지 헤더 필드를 참조하세요.

스팸에 대해 필터링된 메시지에 대한 custom_data 값의 예는 다음과 같습니다.

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

맬웨어 필터 에이전트

로 시작하는 S:AMAcustom_data 값은 맬웨어 필터 에이전트에서 가져옵니다. 키 세부 정보는 다음 표에 설명되어 있습니다.

설명
AMA=SUM|v=1| 또는 AMA=EV|v=1 메시지에 맬웨어가 포함된 것으로 확인되었습니다. SUM 는 맬웨어가 여러 엔진에서 검색되었을 수 있음을 나타냅니다. EV 은 특정 엔진에서 맬웨어가 검색되었음을 나타냅니다. 엔진이 맬웨어를 검색하면 후속 작업이 트리거됩니다.
Action=r 메시지가 대체되었습니다.
Action=p 메시지가 무시되었습니다.
Action=d 메시지가 지연되었습니다.
Action=s 메시지가 삭제되었습니다.
Action=st 메시지가 무시되었습니다.
Action=sy 메시지가 무시되었습니다.
Action=ni 메시지가 거부되었습니다.
Action=ne 메시지가 거부되었습니다.
Action=b 메시지가 차단되었습니다.
Name=<malware> 검색된 맬웨어의 이름입니다.
File=<filename> 맬웨어가 포함된 파일의 이름입니다.

맬웨어가 포함된 메시지에 대한 custom_data 값의 예는 다음과 같습니다.

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

전송 규칙 에이전트

로 시작하는S:TRAcustom_data 값은 메일 흐름 규칙(전송 규칙이라고도 함)에 대한 전송 규칙 에이전트에서 가져옵니다. 키 세부 정보는 다음 표에 설명되어 있습니다.

설명
ETR|ruleId=<guid> 일치된 규칙 ID입니다.
St=<datetime> 규칙 일치가 발생한 날짜 및 시간(UTC)입니다.
Action=<ActionDefinition> 적용된 작업입니다. 사용 가능한 작업 목록은 Exchange Online의 메일 흐름 규칙 작업을 참조하세요.
Mode=<Mode> 규칙의 모드입니다. 유효한 값은 다음과 같습니다.
  • 적용: 규칙에 대한 모든 작업이 적용됩니다.
  • 정책 팁으로 테스트:: 정책 팁 작업이 전송되지만 다른 적용 작업은 수행되지 않습니다.
  • 정책 팁 없이 테스트: 작업은 로그 파일에 나열되지만 보낸 사람이 어떤 방식으로든 알림을 받지 못하며 적용 작업이 수행되지 않습니다.</리?

메일 흐름 규칙의 조건과 일치하는 메시지에 대한 custom_data 값의 예는 다음과 같습니다.

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce