Общие сведения о ведении журнала протокола
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-11-23
Ведение журнала протокола предназначено для записи SMTP-диалогов, происходящих между почтовыми серверами при доставке сообщений. Эти SMTP-диалоги ведутся в соединителях отправки и получения, настроенных на серверах Microsoft Exchange Server 2010 с установленной ролью транспортного сервера-концентратора или пограничного транспортного сервера. Можно использовать ведение журнала протокола для диагностики неполадок при обработке потока почтовых сообщений.
По умолчанию ведение журнала протокола отключено на всех соединителях отправления и соединителях приема. Ведение журнала протокола включается и отключается для каждого соединителя. Прочие параметры ведения журнала протокола задаются для каждого типа соединителя на уровне всего сервера. Все соединители приема на транспортном сервере-концентраторе или пограничном транспортном сервере совместно используют одни и те же файлы журнала протокола и параметры журнала протокола. Указанные файлы и параметры журнала протокола отделены от файлов журнала протокола соединителя отправки и параметров журнала протокола на одном и том же сервере.
Следующие параметры доступны для журналов протокола всех соединителей отправления и приема на пограничном транспортном сервере или транспортном сервере-концентраторе:
- Параметр, указывающий местоположение файлов журнала протокола соединителя отправления или приема.
- Параметр, указывающий максимальный размер файлов журнала протокола соединителя отправления или приема. Значение по умолчанию: 10 мегабайт (МБ).
- Параметр, указывающий максимальный размер каталога, содержащего файлы журнала протокола соединителя отправления или приема. Размер по умолчанию — 250 МБ.
- Параметр, указывающий максимальное время хранения файлов журнала протокола соединителя отправления или приема. Время хранения по умолчанию равно 30 дням.
По умолчанию в целях облегчения контроля за свободным местом на диске, используемого файлами журнала, сервер Exchange 2010 использует циклическое ведение журнала для ограничения размера журналов протокола на основе размера файлов и времени их хранения.
На всех транспортных серверах-концентраторах существует специальный соединитель отправления, называемый внутриорганизационным. Этот соединитель создается неявно, является невидимым и не требует управления. Внутриорганизационный соединитель отправления используется для ретрансляции сообщений в следующие назначения.
- На другие транспортные серверы-концентраторы в организации Exchange, в том числе транспортные серверы-концентраторы Exchange 2007.
- Серверам Exchange Server 2003 в организации Exchange
- Пограничным транспортным серверам в организации Exchange
По умолчанию ведение журнала протокола для внутриорганизационного соединителя отправления отключено. Можно включить или отключить ведение журнала протокола для внутриорганизационного соединителя отправки с помощью параметра IntraOrgConnectorProtocolLoggingLevel командлета Set-TransportServer. При включении ведения журнала протокола для внутриорганизационного соединителя отправки записи ведутся в журналах протокола соединителя отправки, настроенных на транспортном сервере-концентраторе.
Необходимы сведения о задачах управления, связанных с ведением журнала протокола? См. раздел Управление транспортными серверами.
Структура файлов журнала протокола
По умолчанию файлы протокола размещаются в следующих папках:
- Файлы журнала протокола соединителя получения C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive
- Файлы журнала протокола соединителя отправки C:\Program Files\Microsoft\Exchange Server\V14TransportRoles\Logs\ProtocolLog\SmtpSend
Имена файлов журнала в каждом каталоге журнала протокола должны иметь следующий вид: prefixyyyymmdd-nnnn.log. Заполнители обозначают следующее:
- Заполнитель prefix имеет значение SEND для соединителей отправления и значение RECV для соединителей приема.
- Заполнитель ггггммдд — это дата в формате UTC (Coordinated Universal Time) создания файла журнала. Заполнитель гггг = год, мм = месяц, а дд = день.
- Заменитель nnnn представляет собой порядковый номер, который каждый день начинается со значения 1.
Сведения записываются в файл журнала до тех пор, пока размер файла не достигнет заданного наибольшего значения, и не откроется новый файл журнала, имеющий следующий порядковый номер. Это процесс повторяется на протяжении всего дня. При циклическом ведении журнала, когда каталог журнала протокола достигает заданного наибольшего размера или когда файл журнала достигает заданного наибольшего срока хранения, удаляются самые старые файлы журнала.
Файлы журнала протокола представляют собой текстовые файлы в формате данных с разделителями-запятыми (CSV). Каждый файл журнала протокола снабжен заголовком, содержащим следующие сведения:
- #Software Название программного обеспечения, создавшего файл журнала протокола. Обычно это значение равно Microsoft Exchange Server.
- #Version Номер версии программного обеспечения, создавшего файл журнала протокола. Текущее значение — 14.0.0.0.
- #Log-Type Значение типа журнала в данном поле равно «SMTP Receive Protocol Log» или «SMTP Send Protocol Log».
- #Date Дата и время создания файла журнала в формате UTC. Дата и время UTC представлены в формате ISO 8601: гггг-мм-ддTчч:мм:сс.fffZ, где гггг = год, мм = месяц, дд = день, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, а Z означает «Зулу», что является другим обозначением UTC.
- #Fields Разделенные запятыми имена полей, используемые в файлах журнала протокола.
Сведения, записываемые в журнал протокола
В журнале протокола каждое событие хранится в отдельной строке. Сведения, хранящиеся в каждой строке, сгруппированы по полям. Поля разделяются запятыми. В следующей таблице описаны поля, используемые для классификации каждого протокола.
Поля, используемые для классификации каждого события протокола
Имя поля | Описание |
---|---|
date-time |
Дата и время события протокола в формате ISO 8601. Значение имеет следующий формат: гггг-мм-ддTчч:мм:сс.fffZ, где гггг = год, мм = месяц, дд = день, чч = часы, мм = минуты, сс = секунды, fff = доли секунды, а Z означает «Зулу», что является другим обозначением UTC. |
connector-id |
Различающееся имя (DN) соединителя, связанного с SMTP-событием. |
session-id |
Идентификатор GUID, уникальный для каждого сеанса SMTP, но идентичный для каждого события, связанного с сеансом SMTP. |
sequence-number |
Значение счетчика, которое начинается с 0 и увеличивается на единицу для каждого события в рамках одного SMTP-сеанса. |
local-endpoint |
Локальная конечная точка SMTP-сеанса. Она включает в себя IP-адрес и номер порта TCP в формате <IP-адрес>:<порт>. |
remote-endpoint |
Удаленная конечная точка SMTP-сеанса. Она включает в себя IP-адрес и номер порта TCP в формате <IP-адрес>:<порт>. |
event |
Одиночный символ, представляющий событие протокола. Для события возможны следующие значения.
|
data |
Текстовые данные, связанные с SMTP-событием. |
context |
Дополнительные содержательные сведения, которые могут быть связаны с SMTP-событием. |
Одиночный SMTP-диалог, отражающий отправку или получение одиночного сообщения электронной почты, формирует несколько SMTP-событий. Указанные SMTP-события приводят к созданию нескольких строк, подлежащих записи в журнал протокола. Несколько SMTP-диалогов, отражающих отправку или прием нескольких сообщений электронной почты, могут произойти одновременно. При этом попеременно создаются записи журнала протокола из различных SMTP-диалогов. Можно использовать поля идентификатора сеанса и порядкового номера для сортировки записей журнала протокола по SMTP-диалогам.