Ведение журнала протокола

Область применения: Exchange Server 2013 г.

Протокол регистрирует беседы SMTP, которые происходят между серверами обмена сообщениями при доставке сообщений. Эти беседы SMTP выполняются в соединителях отправки и получения, которые существуют в интерфейсной транспортной службе на серверах клиентского доступа, транспортной службе на серверах почтовых ящиков и службе транспорта почтовых ящиков на серверах почтовых ящиков. Ведение журнала протокола можно использовать для диагностики неполадок, связанных с потоком обработки почты.

По умолчанию ведение журнала протоколов отключено на всех соединителях отправки и получения. Ведение журнала протоколов включено или отключено на каждом отдельном соединителе. Другие параметры ведения журнала протокола задаются для всех соединителей получения или всех соединителей отправки, которые существуют в каждой отдельной транспортной службе на сервере. Все соединители получения в транспортной службе используют одни и те же файлы журнала протокола и параметры журнала протокола. Эти файлы журнала протокола и параметры журнала протоколов отделены от параметров отправки файлов журнала протокола соединителя и журнала протоколов в транспортной службе на том же сервере.

Для журналов протоколов всех соединителей отправки или всех соединителей получения в каждой транспортной службе на сервере Exchange Server доступны следующие параметры.

  • Укажите расположение файлов журнала соединителя отправки или протокола соединителя получения.
  • Укажите максимальный размер для файлов журнала соединителя отправки или протокола соединителя получения. Значение по умолчанию — 10 мегабайт (МБ).
  • Укажите максимальный размер каталога, который содержит файлы журнала протокола отправки соединителя или соединителя получения. Значение по умолчанию — 250 МБ.
  • Укажите максимальный срок для файлов журнала протокола отправки соединителя или получения соединителя. Значение по умолчанию —— 30 дней.

По умолчанию Exchange использует циклическое ведение журнала, чтобы ограничить журналы протокола в зависимости от размера файла и возраста файла, чтобы управлять пространством на жестком диске, используемым файлами журнала.

Специальный соединитель отправки с именем соединитель отправки внутри организации существует в транспортной службе на каждом сервере почтовых ящиков и в службе внешнего транспорта на каждом сервере клиентского доступа. Этот соединитель неявно создан, невидим и не требует управления. Соединитель отправки внутри организации используется следующими транспортными службами:

  • Служба транспорта на серверах почтовых ящиков.
    • Ретранслирует сообщения в службу транспорта и транспортную службу почтовых ящиков на других серверах почтовых ящиков Exchange 2013 в организации.
    • Ретранслирует сообщения на другие транспортные серверы Exchange 2007 или Exchange 2010 Hub в организации.
    • Ретранслирует сообщения на пограничные транспортные серверы в сети периметра.
  • Транспортная служба переднего плана на серверах клиентского доступа. Передает сообщения в транспортную службу на серверах почтовых ящиков Exchange 2013 в организации.

Эквивалентный соединитель отправки с именем соединитель доставки почтовых ящиков Отправка существует в службе транспорта почтовых ящиков на каждом сервере почтовых ящиков. Этот соединитель также неявно создается, невидим и не требует управления. Соединитель доставки почтовых ящиков Отправка используется для ретрансляции сообщений в транспортную службу и транспортную службу почтовых ящиков на других серверах почтовых ящиков в организации.

По умолчанию ведение журнала протокола для соединителя отправки почтовых ящиков также отключено. Вы можете включить или отключить ведение журнала протокола для соединителя отправки почтовых ящиков с помощью параметра MailboxDeliveryConnectorProtocolLoggingLevel в командлете Set-MailboxTransportService . Если включить ведение журнала протокола для соединителя отправки почтовых ящиков, ведение журнала происходит в журналах протокола отправки соединителя для транспортной службы почтовых ящиков на сервере почтовых ящиков.

Структура файлов журнала протокола

По умолчанию файлы протокола размещаются в следующих папках:

  • Получение файлов журнала протокола соединителя для транспортной службы на серверах почтовых ящиков: %ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive

  • Получение файлов журнала протокола соединителя для транспортной службы почтовых ящиков на серверах почтовых ящиков: %ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpReceive

  • Получение файлов журнала протокола соединителя для транспортной службы переднего плана на серверах клиентского доступа: %ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive

  • Отправка файлов журнала протокола соединителя для транспортной службы на серверах почтовых ящиков: %ExchangeInstallPath%TransportRoles\Logs\Hub\ProtocolLog\SmtpSend

  • Отправка файлов журнала протокола соединителя для службы транспорта почтовых ящиков на серверах почтовых ящиков: %ExchangeInstallPath%TransportRoles\Logs\Mailbox\ProtocolLog\SmtpSend

  • Отправка файлов журнала протокола соединителя для транспортной службы переднего плана на серверах клиентского доступа: %ExchangeInstallPath%TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend

Соглашение об именовании файлов журнала в каждом каталоге журнала протокола — Prefixyyyymmdd-nnnn.log. Заполнители обозначают следующее:

  • Заполнитель префикс — SEND для соединителей отправки или RECV для соединителей получения.
  • Заполнитель yyymmdd — это дата создания файла журнала в формате UTC. Заполнитель yyyy = год, мм = месяц и дд = день.
  • Заполнитель nnnn — это номер экземпляра, начинающийся со значения 1 для каждого дня.

Данные записываются в файл журнала до тех пор, пока размер файла не достигнет максимально допустимого значения и не откроется новый файл журнала, имеющий следующий порядковый номер. Эта процедура выполняется круглосуточно. Циклическое ведение журнала удаляет самые старые файлы журналов, когда каталог журнала протокола достигает максимального указанного размера или когда файл журнала достигает максимального указанного возраста.

Файлы журнала протокола представляют собой текстовые файлы в формате данных с разделителями-запятыми (CSV). Каждый файл журнала протокола снабжен заголовком, содержащим следующие сведения:

  • #Software: имя программного обеспечения, создавшего файл журнала протокола. Как правило, значением является: Microsoft Exchange Server.

  • #Version: номер версии программного обеспечения, создавшего файл журнала протокола. Текущее значение — 15.0.0.0.

  • #Log-Type: значение типа журнала в этом поле, которое является журналом протокола получения SMTP или журналом протокола отправки SMTP.

  • #Date: дата и время создания файла журнала в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-мм-ддThh:mm:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.

  • #Fields: имена полей с разделителями-запятыми, используемые в файлах журнала протокола.

Сведения, записанные в журнал протокола

Журнал протокола хранит каждое событие протокола SMTP в одной строке в журнале протокола. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. В следующей таблице описаны поля, используемые для классификации каждого протокола.

Поля, используемые для классификации каждого события протокола

Имя поля Описание
date-time Дата и время события протокола в формате UTC. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: гггг-мм-ддThh:mm:ss.fffZ, где гггг = год, мм = месяц, дд = день, T указывает начало компонента времени, чч = час, мм = минута, ss = секунда, fff = доли секунды, а Z обозначает Zulu, что является еще одним способом обозначения UTC.
connector-id Различающееся имя (DN) соединителя, связанного с событием SMTP.
session-id GUID, уникальный для каждого сеанса SMTP, но одинаковый для каждого события, связанного с этим сеансом SMTP.
sequence-number Значение счетчика, которое начинается с 0 и увеличивается на единицу для каждого события в рамках одного SMTP-сеанса.
local-endpoint Локальная конечная точка SMTP-сеанса. Он состоит из IP-адреса и номера TCP-порта в <формате IP-адрес>:<порт>.
remote-endpoint Удаленная конечная точка SMTP-сеанса. Он состоит из IP-адреса и номера TCP-порта в <формате IP-адрес>:<порт>.
event Одиночный символ, представляющий событие протокола. Для события возможны следующие значения.
  • +:Подключения
  • -:Отключите
  • >:Отправить
  • <:Получить
  • *:Информация
data Текстовые данные, связанные с SMTP-событием.
context Дополнительные содержательные сведения, которые могут быть связаны с SMTP-событием.

Один диалог SMTP, представляющий отправку или получение одного сообщения электронной почты, создает несколько событий SMTP. Эти события SMTP вызывают запись нескольких строк в журнал протокола. Одновременно может происходить несколько бесед SMTP, представляющих отправку или получение нескольких сообщений электронной почты. При этом создаются записи журнала протокола из разных бесед SMTP, которые чередуются. Поля session-id и sequence-number можно использовать для сортировки записей журнала протокола по беседе SMTP.