Поиск в журналах отслеживания сообщений

  • Статья

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2015-03-09

В этом разделе описано использование консоли управления Exchange или командной консоли Exchange для поиска в журналах отслеживания сообщений.

Журнал отслеживания сообщений содержит подробные сведения о всей активности сообщения при передаче сообщений из компьютера или в компьютер Microsoft Exchange Server 2010 с установленной ролью транспортного сервера-концентратора, сервера почтовых ящиков или пограничного транспортного сервера. Для серверов Exchange с установленной ролью сервера клиентского доступа или сервера единой системы обмена сообщениями журналы отслеживания сообщений отсутствуют. Журналы отслеживания сообщений можно использовать для изучения сообщений, анализа потока почты, создания отчетов и устранения неполадок.

Чтобы в журналах отслеживания сообщений найти записи по специальным условиям поиска, вы можете использовать командлет Get-MessageTrackingLog в Командная консоль Exchange или средство отслеживания сообщений на панели элементов консоли управления Exchange.

Прежде чем приступить к работе

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе запись «Отслеживание сообщений» в разделе «Разрешения транспорта».

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange 2010, см. в разделе Общие сведения о разрешениях.

Когда вы выполняете поиск журнала отслеживания сообщений на транспортном сервере-концентраторе или на сервере почтовых ящиков, вы не можете получить доступ к журналам отслеживания сообщений на пограничном транспортном сервере. Если нужно выполнить поиск в журналах отслеживания сообщений на пограничном транспортном сервере, необходимо выполнить командлет Get-MessageTrackingLog или использовать средство отслеживания сообщений непосредственно на пограничном транспортном сервере.

Поиск в журналах отслеживания сообщений зависит от службы поиска журналов транспорта Microsoft Exchange. Если отключите или остановите эту службу, то не сможете выполнять поиск журналов отслеживания сообщений. Однако остановка этой службы не затрагивает на другие компоненты в Exchange.

ВажноВажно!
Вы не можете скопировать файлы журналов отслеживания сообщений с сервера, на котором выполняется Microsoft Exchange, а затем выполнить по ним поиск с помощью командлета Get-MessageTrackingLog или средства отслеживания сообщений. Кроме того, если сохранить имеющийся журнал отслеживания сообщения, изменение даты и времени файла журнала отслеживания сообщений нарушит логику запросов, которую Exchange использует для поиска в журналах отслеживания сообщений.

Условия поиска в журнале отслеживания сообщений

Несмотря на то, что у каждой записи в журнале отслеживания сообщений имеется множество полей данных, не каждое из этих полей может быть использовано в качестве фильтра поиска. Кроме того, Командная консоль Exchange предоставляет более гибкий поиск благодаря множеству фильтров поиска, доступных для использования с командлетом Get-MessageTrackingLog.

Общие фильтры поиска, используемые с командлетом Get-MessageTrackingLog

Фильтры поиска, описанные в следующем списке, доступны для использования с командлетом Get-MessageTrackingLog в Командная консоль Exchange:

ПримечаниеПримечание.
Если не указано иное, использование фильтра поиска, содержащего частичное значение или несколько значений, не поддерживается.

  • Получатели   Этот фильтр поиска использует поле адреса получателя. Нужно ввести полный адрес электронной почты получателя. Можно указать несколько получателей, используя в качестве разделителя запятую. Несколько отдельных получателей, которые включены в одно сообщение, регистрируются в журнале с помощью одной записи журнала отслеживания сообщений. Получатели нераспространенной группы рассылки регистрируются в журнале с помощью SMTP-адреса электронной почты группы рассылки.

  • Отправитель   Этот фильтр поиска использует поле «Отправитель». Нужно ввести полный адрес электронной почты отправителя. Поле «Отправитель» содержит адрес электронной почты отправителя, указанный в поле заголовка Sender: или в поле заголовка From:, если поле Sender: отсутствует.

  • Сервер   Этот параметр указывает сервер Exchange, содержащий журналы отслеживания сообщений, в которых выполняется поиск. Можно описать сервер с помощью одного из следующих значений:

    • Имя

    • Полное доменное имя (FQDN)

    • Различающееся имя (DN)

    • Устаревшее различающееся имя Exchange

    • GUID

  • Идентификатор события   Этот фильтр поиска использует поле «Идентификатор события». В средстве отслеживания сообщений значение EventID выбирается в раскрывающемся списке. В командлете Get-MessageTrackingLog нужно ввести значение EventID в виде текста. Однако значение должно полностью совпадать с одним из допустимых значений EventID. Идентификатор события — это классификация события, назначаемая каждой записи в журнале отслеживания сообщений. Далее приведены возможные значения параметра.

    • BADMAIL

    • DEFER

    • DELIVER

    • DSN

    • EXPAND

    • FAIL

    • POISONMESSAGE

    • RECEIVE

    • REDIRECT

    • RESOLVE

    • SEND

    • SUBMIT

    • TRANSFER

  • Идентификатор сообщения   Этот фильтр поиска использует поле «Идентификатор сообщения». Идентификатор сообщения является значением поля заголовка Message-ID:. Если поле заголовка Message-ID: не существует или пусто, назначается произвольное значение. Это значение остается постоянным на протяжении всего срока существования сообщения.

  • Внутренний идентификатор сообщения   Этот фильтр поиска использует поле «Внутренний идентификатор сообщения». Внутренний идентификатор сообщения является целым числом, идентифицирующим сообщение, и назначается сервером Exchange, который в данный момент обрабатывает это сообщение.

  • Тема. Данный параметр в командлете Get-MessageTrackingLog называется MessageSubject. Этот фильтр поиска использует поле темы сообщения. Частичные значения поддерживаются. Это тема сообщения, указанная в поле заголовка Subject:. Отслеживание тем сообщений управляется параметром MessageTrackingLogSubjectLoggingEnabled в командлете Set-TransportServer на транспортных серверах-концентраторах и на пограничных транспортных серверах и командлетом Set-MailboxServer на серверах почтовых ящиков. По умолчанию включена запись тем сообщений в журнал. Чтобы отключить запись тем сообщений в журнал, необходимо установить для параметра MessageTrackingLogSubjectLoggingEnabled значение $False.

  • Справка   Этот фильтр поиска использует поле справки. В этом поле содержится дополнительная информация об определенных типах событий. Для события уведомления о состоянии доставки поле справки содержит идентификатор MessageID: сообщения, вызвавшего уведомление о состоянии доставки. Для события SEND поле справки содержит идентификатор MessageID: любого из уведомлений о состоянии доставки. Для события TRANSFER поле справки содержит идентификатор MessageID: сообщения с ветвлением.

  • Начало   Этот фильтр поиска использует поле даты и времени для поиска записей в журнале отслеживания сообщений, которые начинаются с даты и времени, указанных в параметре End date and time. Этот фильтр можно использовать отдельно, чтобы извлечь все записи из журнала отслеживания сообщений после указанной даты и времени или начиная с момента, определяемого параметром End.

  • Окончание   Этот фильтр поиска использует поле даты и времени для поиска записей в журнале отслеживания сообщений до момента, определяемого датой и временем, указанными в параметре End. Этот фильтр можно использовать отдельно, чтобы извлечь все записи из журнала отслеживания сообщений до указанной даты и времени или до момента, определяемого параметром Start.

ПримечаниеПримечание.
Значения в поле даты и времени журнала отслеживания сообщений хранятся в формате UTC.

 Однако вводить дату и время в качестве условий поиска следует в региональном формате даты и времени, настроенном на компьютере, который используется для поиска. Средства поиска журнала отслеживания сообщений автоматически преобразуют дату и время в региональном формате к значениям в формате UTC. Результаты поиска автоматически преобразуются из формата UTC к значениям даты и времени в региональном формате для отображения. В поле даты и времени записываются дата и время конкретного события отслеживания сообщения. Дата и время поступления сообщения соответствуют дате и времени первого появления этого сообщения в организации Exchange. Дата и время поступления сообщения хранятся в поле сведений о сообщении для всех событий SEND и DELIVER.

Фильтры поиска, отличающиеся в консоли управления Exchange и в командной консоли Exchange

В Командная консоль Exchange командлет Get-MessageTrackingLog предоставляет дополнительную возможность управления числом отображаемых результатов поиска с помощью параметра ResultSize. По умолчанию отображается максимум 1000 результатов поиска. Однако это максимальное значение можно изменить. Кроме того, можно отобразить все результаты, если установить значение Unlimited. Средство отслеживания сообщений в консоли управления Exchange не предоставляет способа настройки максимального числа отображаемых результатов поиска.

Поиск в журналах отслеживания сообщений с помощью командной консоли Exchange

В следующей таблице приведены фильтры поиска, которые доступны при использовании командлета Get-MessageTrackingLog в командной консоли Exchange.

Фильтры поиска, доступные при использовании командлета Get-MessageTrackingLog

Фильтр поиска Соответствующее поле в журнале отслеживания сообщений

Завершить

дата и время

EventId

event-id

InternalMessageId

internal-message-id

ИдСообщения

message-id

MessageSubject

message-subject

Получатели

recipient-address

Ссылка

справка

ResultSize

Нет. Этот параметр ограничивает число отображаемых результатов поиска.

Sender

sender-address

Начало

дата и время

Все параметры, доступные в командлете Get-MessageTrackingLog, являются необязательными. Если выполнить командлет Get-MessageTrackingLog без параметров, будут отображены последние 1000 записей журнала отслеживания сообщений.

Использование командной консоли Exchange для поиска в журналах отслеживания сообщений

  • Выполните следующую команду:

    Get-MessageTrackingLog <SearchFilters>

    Например, чтобы в журнале отслеживания сообщений найти все записи с момента времени 3/28/2011 8:00 AM по момент 3/28/2011 5:00 PM для всех событий неудачной отправки с адреса pat@contoso.com, необходимо выполнить следующую команду:

    Get-MessageTrackingLog -ResultSize Unlimited -Start "3/28/2011 8:00AM" -End "3/28/2011 5:00PM" -EventId "Fail" -Sender "pat@contoso.com"

Управление выводом результатов поиска в журнале отслеживания сообщений в командной консоли Exchange

При выполнении поиска в журнале отслеживания сообщений с помощью командлета Get-MessageTrackingLog не все поля отображаются для каждого события отслеживания сообщений. В следующей таблице приведены поля, отображаемые по умолчанию при выполнении командлета Get-MessageTrackingLog.

Поля, отображаемые по умолчанию при выполнении командлета Get-MessageTrackingLog

Поле поиска Соответствующее поле в журнале отслеживания сообщений

EventId

event-id

Источник

message-source

Sender

sender-address

Получатели

recipient-address

MessageSubject

message-subject

Выводом результатов выполнения командлета Get-MessageTrackingLog можно управлять с помощью параметров вывода команды в Командная консоль Exchange, как описано в следующих рекомендациях.

  • Форматом вывода результатов поиска в журнале отслеживания сообщений можно управлять. Результаты можно отображать в форме списка или таблицы.

    ВажноВажно!
    Хотя вывод результатов поиска в форме таблицы является наглядным представлением данных, эта форма может оказаться неоптимальной. Если отображаемые в таблице поля имеют длинные значения, то эти значения усекаются в соответствии с размером столбцов таблицы. Усечение также производится при попытке одновременного отображения слишком большого числа полей. Значения полей всегда отображаются полностью при выводе результатов поиска в формате списка. Для просмотра большего числа столбцов также можно увеличить ширину окна Командная консоль Exchange по сравнению со стандартным значением 80 знаков. Настройка размера окна Командная консоль Exchange осуществляется в свойствах окна Командная консоль Exchange.

  • Отдельные поля результатов поиска в журнале отслеживания сообщений можно отображать или скрывать. Поддерживаются знаки шаблона (*).

  • Результаты поиска можно записать в файл.

Имена полей в результатах поиска, отображаемых при выполнении командлета Get-MessageTrackingLog аналогичны именам полей, используемым для поиска с помощью фильтров. Эти имена полей незначительно отличаются от фактических имен полей, которые хранятся в журнале отслеживания сообщений. В следующей таблице приведено сопоставление имен полей, используемых в журнале отслеживания сообщений и имен полей, используемых при выполнении командлета Get-MessageTrackingLog.

Сравнение имен полей, используемых в журнале отслеживания сообщений, и имен полей, используемых командлетом Get-MessageTrackingLog

Имя поля в журнале отслеживания сообщений Имя поля, используемое для фильтрации результатов выполнения командлета Get-MessageTrackingLog

дата и время

Timestamp

client-ip

ClientIp

client-hostname

ClientHostname

server-ip

ServerIp

server-hostname

ServerHostname

source-context

SourceContext

код соединителя

ConnectorId

source

Источник

event-id

EventId

internal-message-id

InternalMessageId

message-id

ИдСообщения

recipient-address

Получатели

recipient-status

RecipientStatus

total-bytes

TotalBytes

recipient-count

RecipientCount

related-recipient-address

RelatedRecipientAddress

справка

Ссылка

message-subject

MessageSubject

sender-address

Sender

return-path

ReturnPath

message-info

MessageInfo

Использование командной консоли Exchange для управления форматом вывода результатов поиска в журналах отслеживания сообщений

  • Выполните следующую команду:

    Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> <FieldNames> <OutputFileOptions>

    Например, чтобы найти в журналах отслеживания сообщений первые 1000 записей с событием Send, отобразить результаты поиска в формате списка, отобразить значения всех полей, начинающихся со слов Send и Receive, записать результаты в новый файл с именем «C:\send search.txt», необходимо выполнить следующую команду:

    Get-MessageTrackingLog -EventId "Send" | Format-List Send*,Receive* > "C:\send search.txt"

Поиск сообщения в журналах отслеживания сообщения на нескольких серверах с помощью командной консоли Exchange

Свойством сообщения, не изменяющимся по мере продвижения по организации Exchange, является значение поля заголовка MessageID:. В средствах просмотра очереди это значение называется InternetMessageId, а в средствах журнала отслеживания сообщений — MessageId. После определения значения поля MessageID: можно выполнить поиск сообщения в журналах отслеживания сообщений на каждом транспортном сервере-концентраторе или на сервере почтовых ящиков организации Exchange.

Использование командной консоли Exchange для поиска определенного сообщения в журнале отслеживания сообщений на всех транспортных серверах-концентраторах и серверах почтовых ящиков

  • Выполните следующую команду:

    Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "<messageid>" | Select-Object <commaseparatedfieldnames> | Sort-Object -Property <field>

    Например, чтобы найти все записи, относящиеся к сообщению с MessageID: равным ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com, в журналах отслеживания сообщений на всех транспортных серверах-концентраторах и серверах почтовых ящиков, отобразить поля date-time, server-hostname, client-hostname, source, event-id и recipient-address for each entry, а затем провести сортировку результатов по полю date-time, выполните следующую команду:

    Get-ExchangeServer | where {$_.isHubTransportServer -eq $true -or $_.isMailboxServer -eq $true} | Get-MessageTrackingLog -MessageId "ba18339e-8151-4ff3-aeea-87ccf5fc9796@contoso.com" | Select-Object Timestamp,ServerHostname,ClientHostname,Source,EventId,Recipients | Sort-Object -Property Timestamp

Дополнительные сведения о синтаксисе и параметрах см. в разделе get-MessageTrackingLog.

Для получения дополнительных сведений о результатах выполнения команд в Командная консоль Exchange см. раздел Использование PowerShell с Exchange 2010 (командная консоль Exchange).

Поиск в журналах отслеживания сообщений с помощью консоли управления Exchange

Использование консоли управления Exchange для поиска в журнале отслеживания сообщений

  1. Откройте консоль управления Exchange.

  2. Выберите в дереве консоли узел Элементы управления. В области результатов выберите Отслеживание сообщений. В области действий выберите Открыть средство.

  3. Выполните вход в Outlook Web App при отображении запроса.

  4. В списке Выберите область управления щелкните Моя организация и затем Отчеты в области навигации.

  5. Укажите критерий поиска в журнале отслеживания сообщений, настроив значения для следующих доступных параметров:

    • Почтовый ящик для поиска. Нажмите кнопку Обзор и выберите подходящий почтовый ящик.

    • Поиск сообщений, отправленных (кому). Щелкните этот параметр, если хотите выполнить поиск отправленных сообщений, а затем щелкните Выбор пользователей для выбора одного или нескольких пользователей.

    • Поиск сообщений, полученных от. Можете также щелкнуть этот параметр для поиска полученных сообщений, а затем щелкнуть элемент «Выбрать пользователя» для выбора получателя.

    • Искать в поле "Тема" следующие слова. Введите текст условий поиска, если хотите выполнить поиск сообщений с определенной темой.

  6. Щелкните элемент Поиск и просмотрите результаты в области Результаты поиска.

Дополнительные сведения

Дополнительные сведения см. в следующих разделах:

Общие сведения об отслеживании сообщений

Настройка отслеживания сообщений

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.