Nachrichtenverfolgung

Artikel
04/04/2023

Das Nachrichtenverfolgungsprotokoll ist eine detaillierte Aufzeichnung aller Aktivitäten, wenn E-Mails die Transportpipeline auf Postfachservern und Edge-Transport-Servern durchlaufen. Sie können die Nachrichtenverfolgung für Nachrichtenforensik, Nachrichtenflussanalyse, Berichterstellung und Fehlerbehebung verwenden.

Standardmäßig verwendet Exchange die Zirkelprotokollierung, um das Nachrichtenverfolgungsprotokoll basierend auf der Dateigröße und dem Dateialter zu begrenzen, um den von den Protokolldateien verwendeten Festplattenspeicher zu steuern. Informationen zum Konfigurieren des Nachrichtenverfolgungsprotokolls finden Sie unter Konfigurieren der Nachrichtennachverfolgung.

Durchsuchen des Nachrichtenverfolgungsprotokolls

Nachrichtenverfolgungsprotokolle enthalten große Datenmengen, wenn Nachrichten über einen Postfachserver oder Edge-Transport-Server verschoben werden. Beim Durchsuchen der Nachrichtenverfolgungsprotokolle stehen Ihnen folgende Optionen zur Auswahl:

Get-MessageTrackingLog: Administratoren können dieses Exchange-Verwaltungsshell-Cmdlet verwenden, um das Nachrichtenverfolgungsprotokoll mithilfe einer Vielzahl von Filterkriterien nach Informationen zu Nachrichten zu durchsuchen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.
Übermittlungsberichte für Administratoren: Administratoren können die Registerkarte Übermittlungsberichte im Exchange Admin Center oder die zugrunde liegenden Cmdlets Search-MessageTrackingReport und Get-MessageTrackingReport in der Exchange-Verwaltungsshell verwenden, um die Nachrichtenverfolgungsprotokolle nach Informationen zu Nachrichten zu durchsuchen, die von einem bestimmten Postfach im organization gesendet oder empfangen werden. Weitere Informationen finden Sie unter Übermittlungsberichte für Administratoren.

Struktur der Protokolldateien der Nachrichtenverfolgung

Standardmäßig sind die Protokolldateien für die Nachrichtennachverfolgung in %ExchangeInstallPath%TransportRoles\Logs\MessageTrackingvorhanden. Der Ordner enthält Protokolldateien mit unterschiedlichen Namen, aber alle folgen der Namenskonvention MSGTRKServiceyyyyMMdd-nnnn.log. Die verschiedenen Protokolldateinamen werden in der folgenden Tabelle beschrieben.

Dateiname	Server	Beschreibung
`MSGTRK`	Postfachserver und Edge-Transport-Server	Protokolldateien für den Transportdienst.
`MSGTRKMA`	Postfachserver	Protokolldateien für die Genehmigungen und Ablehnungen im moderierten Transport. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
`MSGTRKMD`	Postfachserver	Protokolldateien für Nachrichten, die Postfächern vom Postfachtransport-Zustellungsdienst zugestellt werden.
`MSGTRKMS`	Postfachserver	Protokolldateien für Nachrichten, die Postfächern vom Postfachtransport-Übermittlungsdienst gesendet werden.

Die anderen Platzhalter in den Protokolldateinamen stehen für folgende Informationen:

yyyyMMddd ist das Koordinierte Datum der Weltzeit (UTC), an dem die Protokolldatei erstellt wurde. yyyy = Jahr, MM = Monat und TT = Tag.
Der Platzhalter nnnn ist eine Instanznummer, die mit dem Wert 1 für jeden Tag beginnt.

In die Protokolldatei werden solange Informationen geschrieben, bis die für die Datei festgelegte maximale Größe erreicht ist. Dann wird eine neue Protokolldatei mit der nächsthöheren Instanznummer geöffnet. Die zirkuläre Protokollierung löscht die ältesten Protokolldateien für einen Dienst, wenn eine der folgenden Bedingungen zutrifft:

Eine Protokolldatei erreicht ihr Höchstalter.
Der Ordner für Nachrichtenverfolgungsprotokolle erreicht seine maximal zulässige Größe.

Hinweise:
- Die maximale Größe des Nachrichtenverfolgungsprotokollordners wird als Gesamtgröße aller Protokolldateien berechnet, die das gleiche Namenspräfix aufweisen. Andere Dateien, die nicht der Namenspräfixkonvention entsprechen, werden in der Berechnung der Gesamtordnergröße nicht gezählt. Das Umbenennen alter Protokolldateien oder das Kopieren anderer Dateien in den Nachrichtenverfolgungsprotokollordner kann dazu führen, dass der Ordner seine angegebene maximale Größe überschreitet.
- Auf Postfachservern beträgt die maximale Größe des Nachrichtenverfolgungsprotokollordners das Dreifache des angegebenen Werts. Obwohl die Protokolldateien für die Nachrichtenverfolgung von den vier verschiedenen Diensten generiert werden und vier unterschiedliche Namenspräfixe aufweisen, ist die Menge und Häufigkeit der Daten, die in das moderierte Transportprotokoll (MSGTRKMA) geschrieben werden, im Vergleich zu den anderen drei Protokollen vernachlässigbar.

Bei den Protokolldateien der Nachrichtenverfolgung handelt es sich um Textdateien, die Daten im CSV-Format (Comma Separated Value, durch Komma getrennte Werte) enthalten. Jede Datei enthält eine Kopfzeile mit den folgenden Informationen:

#Software: Der Wert ist Microsoft Exchange Server.
#Version: Versionsnummer des Exchange-Servers, der die Protokolldatei zur Nachrichtenverfolgung erstellt hat. Der -Wert verwendet das Format 15.01.nnnn.nnn.
#Log-Type: Der Wert ist Message Tracking Log.
#Date: Das UTC-Datum und die Uhrzeit der Erstellung der Protokolldatei. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-MM-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, MM = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit zum Bezeichnen von UTC ist.
#Fields: Kommagetrennte Feldnamen, die in den Nachrichtenverfolgungs-Protokolldateien verwendet werden.

Felder in den Protokolldateien für die Nachrichtenverfolgung

Im Nachrichtenverfolgungsprotokoll werden die einzelnen Nachrichtenereignisse jeweils in einer einzelnen Zeile gespeichert. Die Nachrichtenereignisinformationen sind in Feldern organisiert, die durch Kommas voneinander getrennt sind. Anhand des Feldnamens kann im Allgemeinen festgestellt werden, welchen Informationstyp das jeweilige Feld enthält. Einige Felder können jedoch leer sein, oder die Art der Informationen im Feld kann sich basierend auf dem Nachrichtenereignistyp und dem Dienst, der das Ereignis aufgezeichnet hat, ändern. Allgemeine Beschreibungen der Felder, die zum Klassifizieren der einzelnen Protokollereignisse verwendet werden, werden in folgenden Tabelle erläutert.

Feldname	Beschreibung
date-time	Das UTC-Datum und die Uhrzeit des Nachrichtenverfolgungsereignisses. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-MM-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, MM = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit zum Bezeichnen von UTC ist.
client-ip	Die IPv4- oder IPv6-Adresse des Messagingservers oder -clients, der die Nachricht übermittelt hat.
client-hostname	Der Hostname oder FQDN des Messagingservers oder -clients, der die Nachricht übermittelt hat.
server-ip	Die IPv4- oder IPv6-Adresse des Quell- oder Zielservers.
server-hostname	Der Hostname oder FQDN des Zielservers.
source-context	Zusätzliche Informationen, die zum Feld source gehören. Zum Beispiel: `CatContentConversion` `250 2.0.0 OK;ClientSubmitTime:<UTC>`
connector-id	Der Name des Sendeconnectors oder Empfangsconnectors, der die Nachricht akzeptiert hat. Beispiel: ServerName\ ConnectorName oder ConnectorName.
source	Die Exchange-Transportkomponente, die für das Ereignis verantwortlich ist. Diese Werte werden weiter unten in diesem Thema im Abschnitt Quellwerte im Nachrichtenverfolgungsprotokoll beschrieben.
event-id	Der Nachrichtenereignistyp. Diese Werte werden weiter unten in diesem Thema im Abschnitt Ereignistypen im Nachrichtenverfolgungsprotokoll beschrieben.
internal-message-id	Eine Nachrichten-ID, die von dem Exchange-Server zugewiesen wird, der die Nachricht aktuell verarbeitet. Die interne Nachrichten-ID einer Nachricht unterscheidet sich im Nachrichtenverfolgungsprotokoll jedes Exchange-Servers, der an der Übertragung der Nachricht beteiligt ist. Ein Beispielwert ist `73014444033`.
message-id	Der Wert des Message-Id:-Headerfelds im Nachrichtenkopf. Wenn das Headerfeld Message-Id: nicht vorhanden oder leer ist, weist Exchange einen beliebigen Wert zu. Dieser Wert ist für die Lebensdauer der Nachricht konstant. Bei nachrichten, die in Exchange erstellt wurden, hat der Wert das Format `<GUID@ServerFQDN>`, einschließlich der spitzen Klammern (`< >`). Beispiel: `<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>`. Andere Messagingsysteme können eine andere Syntax oder andere Werte verwenden.
network-message-id	Ein eindeutiger Nachrichten-ID-Wert, der über Kopien der Nachricht hinweg beibehalten wird, die aufgrund einer Verteiler- oder Verteilergruppenerweiterung erstellt werden können. Ein Beispielwert ist `1341ac7b13fb42ab4d4408cf7f55890f`.
recipient-address	Die E-Mail-Adresse des Empfängers der Nachricht. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.
recipient-status	Der Empfänger status für jeden Empfänger, getrennt durch das Semikolonzeichen (;). Die Statuswerte werden für die Empfänger in derselben Reihenfolge wie die Werte im Feld recipient-address dargestellt. Beispiele für status Werte sind: `To`, `Cc` oder `Bcc` `250 2.1.5 Recipient OK` `550 4.4.7 QUEUE.Expired;<ErrorText>`
total-bytes	Die Gesamtgröße der Nachricht, einschließlich Anlagen, in Byte.
recipient-count	Gesamtzahl der Empfänger für die Nachricht.
related-recipient-address	Dieses Feld wird mit Ereignissen vom Typ EXPAND, REDIRECT, and RESOLVE verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.
reference	Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Zum Beispiel: DSN: Enthält den Berichtslink, bei dem es sich um den Nachrichten-ID-Wert der zugeordneten Übermittlung status Benachrichtigung (auch als DSN, Unzustellbarkeitsbericht oder NDR bezeichnet) handelt, wenn nach diesem Ereignis ein DSN generiert wird. Wenn es sich um eine DSN-Nachricht handelt, enthält das Feld Verweis den Wert message-ID der ursprünglichen Nachricht, für die der DSN generiert wurde. EXPAND: Enthält den related-recipient-address-Wert der dazugehörigen Nachrichten. RECEIVE: Kann den Message-Id-Wert der dazugehörigen Nachricht enthalten, wenn die Nachricht durch andere Prozesse generiert wird, z. B. Journal- oder Posteingangsregeln. SEND: Enthält den Internal-Message-Id-Wert beliebiger Benachrichtigungen über den Zustellungsstatus. THROTTLE: Enthält den Grund, warum die Nachricht eingeschränkt wurde. TRANSFER: Enthält den Internal-Message-Id-Wert der Nachricht, die verzweigt wird. Von Posteingangsregeln generierte Nachrichten: Enthält den Internal-Message-Id-Wert der eingehenden Nachricht, die bewirkt hat, dass die Posteingangsregel die ausgehende Nachricht generiert hat. Nachrichten aufgespalten: enthält möglicherweise die intern-Nachrichten-Id Wert. Für andere Ereignistypen ist dieses Feld zumeist leer.
message-subject	Der Betreff der Nachricht, der sich im Feld Betreff: befindet. Die Nachverfolgung von Nachrichtensubjekten wird durch den MessageTrackingLogSubjectLoggingEnabled-Parameter im Cmdlet Set-TransportService gesteuert. Die Nachrichtenbetreffverfolgung ist in der Standardeinstellung aktiviert.
sender-address	Die E-Mail-Adresse, die im Kopfzeilenfeld Absender: angegeben ist, oder das Kopfzeilenfeld Von: (falls das Kopfzeilenfeld Absender: nicht vorhanden ist).
return-path	Die rückgabe-E-Mail-Adresse, die durch den Befehl MAIL FROM angegeben wurde, der die Nachricht gesendet hat. Obwohl dieses Feld nie leer ist, kann der Null-Absenderadressenwert als `<>`dargestellt werden.
message-info	Weitere Informationen zur Nachricht. Zum Beispiel: Datum und Uhrzeit der Nachrichtenursprung in UTC für DELIVER - und SEND-Ereignisse . Datum/Uhrzeit der Ursprungsangabe ist der Zeitpunkt, zu dem die Nachricht zum ersten Mal in den Exchange-organization gelangt ist. Das UTC-Datum/Uhrzeit-Format wird im ISO 8601-Datums-/Uhrzeitformat dargestellt: yyyy-MM-ttThh:mm:ss.fffZ, Wobei yyyy = Jahr, MM = Monat, dd = Tag, T den Anfang der Zeitkomponente angibt, hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde und Z steht für Zulu, was eine andere Möglichkeit zum Bezeichnen von UTC ist. Authentifizierungsfehler. Beispielsweise werden der Wert `11a` und der Authentifizierungstyp angezeigt, der beim Auftreten des Authentifizierungsfehlers verwendet wurde.
directionality	Die Richtung der Nachricht. Beispielwerte sind `Incoming`, `Undefined`und `Originating`.
tenant-id	Dieses Feld wird in lokalen Exchange-Organisationen nicht verwendet.
original-client-ip	Die IPv4- oder IPv6-Adresse des ursprünglichen Clients.
original-server-ip	Die IPv4- oder IPv6-Adresse des ursprünglichen Servers.
custom-data	Dieses Feld enthält Daten im Zusammenhang mit bestimmten Ereignistypen. Der Transportregel-Agent verwendet dieses Feld beispielsweise, um die GUID der Nachrichtenflussregel (auch als Transportregel bezeichnet) oder DLP-Richtlinie aufzuzeichnen, die auf die Nachricht reagiert hat. Weitere Informationen finden Sie unter Anzeigen von Dlp-Richtlinienerkennungsberichten.
transport-traffic-type	In Exchange (lokal) ist dieses Feld ist leer oder hat den Wert `Email`.
log-id	Ein eindeutiger Bezeichner für eine Zeile im im Nachrichtenverfolgungsprotokoll. Dieses Feld ist in lokalen Exchange-Organisationen nicht wichtig.
schema-version	Versionsnummer des Exchange-Servers, der den Eintrag im Nachrichtenverfolgungsprotokoll erstellt hat. Der -Wert verwendet das Format `15.01.nnnn.nnn`.

Ereignistypen im Nachrichtenverfolgungsprotokoll

Verschiedene Ereignistypen im Feld event-id dienen zum Klassifizieren der Nachrichtenereignisse im Nachrichtenverfolgungsprotokoll. Einige Nachrichtenereignisse werden nur in einem Typ von Protokolldatei für die Nachrichtenverfolgung angezeigt, andere hingegen in allen. Die Ereignistypen, die zum Klassifizieren der einzelnen Nachrichtenereignisse verwendet werden, sind in Tabelle 1 beschrieben.

Ereignisname	Beschreibung
AGENTINFO	Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren.
BADMAIL	Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.
CLIENTSUBMISSION	Eine Nachricht wurde aus dem Postausgang eines Postfachs übermittelt.
DEFER	Die Nachrichtenzustellung wurde verzögert.
DELIVER	Eine Nachricht wurde an ein lokales Postfach zugestellt.
DELIVERFAIL	Ein Agent hat versucht, die Nachricht an einen Ordner zu übermitteln, der in dem Postfach nicht vorhanden ist.
DROP	Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel: Die Moderation von Genehmigungsanforderungsnachrichten wurde abgeschlossen. Spamnachrichten, die ohne NDR im Hintergrund gelöscht wurden.
DSN	Eine Benachrichtigung über den Zustellungsstatus wurde generiert.
DUPLICATEDELIVER	Eine doppelte Nachricht wurde an den Empfänger übermittelt. Duplizierung kann auftreten, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.
DUPLICATEEXPAND	Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt.
DUPLICATEREDIRECT	Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger.
EXPAND	Eine Verteilergruppe wurde erweitert.
FAIL	Fehler bei der Nachrichtenübermittlung. Zu den Quellen gehören SMTP, DNS, QUEUE und ROUTING.
HADISCARD	Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Schattenredundanz in Exchange Server.
HARECEIVE	Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen.
HAREDIRECT	Eine Shadow-Nachricht erstellt wurde.
HAREDIRECTFAIL	Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert.
INITMESSAGECREATED	Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
LOAD	Eine Nachricht wurde erfolgreich beim Starten geladen.
MODERATIONEXPIRE	Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung.
MODERATORAPPROVE	Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde.
MODERATORREJECT	Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde.
MODERATORSALLNDR	Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten (auch als NDR bezeichnet) geführt hat.
NOTIFYMAPI	Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt.
NOTIFYSHADOW	Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden.
POISONMESSAGE	Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.
PROCESS	Die Nachricht wurde erfolgreich verarbeitet.
PROCESSMEETINGMESSAGE	Eine Besprechungsnachricht wurde vom Postfachtransport-Zustellungsdienst verarbeitet.
RECEIVE	Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: `SMTP`), oder eine Nachricht wurde aus einem Postfach an den Postfachtransport-Übermittlungsdienst gesendet (Quelle: `STOREDRIVER`).
REDIRECT	Eine Nachricht wurde nach einer Active Directory-Suche an einen alternativen Empfänger umgeleitet.
RESOLVE	Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst.
RESUBMIT	Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Safety Net in Exchange Server.
RESUBMITDEFER	Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt.
RESUBMITFAIL	Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht.
SEND	Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet.
SUBMIT	Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details: MDB: Die Postfachdatenbank-GUID. Mailbox: Die Postfach-GUID. Event: Die Ereignissequenznummer. MessageClass: Der Typ der Nachricht. Beispiel: `IPM.Note`. CreationTime: Datum / Uhrzeit des der Nachrichtenübermittlung. ClientType: Beispiel: `User`, `OWA` oder `ActiveSync`.
SUBMITDEFER	Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt.
SUBMITFAIL	Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst.
SUPPRESSED	Die Nachrichtenübertragung wurde unterdrückt.
THROTTLE	Die Nachricht wurde eingeschränkt.
TRANSFER	Empfänger wurden aufgrund von Inhaltskonvertierung, Nachrichtenempfängergrenzwerten oder Agents in eine verzweigte Nachricht verschoben. Zu den Quellen gehören ROUTING oder QUEUE.

Quellwerte im Nachrichtenverfolgungsprotokoll

Die Werte im Feld source im Nachrichtenverfolgungsprotokoll geben die Transportkomponente an, die für das Nachrichtenverfolgungsereignis zuständig ist. In der folgenden Tabelle werden die Werte des Felds source beschrieben.

Wert von „source“	Beschreibung
ADMIN	Die Ereignisquelle war menschliches Eingreifen. Beispiel: Ein Administrator hat in der Warteschlangenanzeige eine Nachricht gelöscht oder Nachrichtendateien mithilfe des Wiedergabeverzeichnisses übermittelt.
AGENT	Die Ereignisquelle war ein Transport-Agent.
APPROVAL	Die Ereignisquelle war das Genehmigungssystem, das mit moderierten Empfänger verwendet wird. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.
BOOTLOADER	Die Ereignisquelle waren nicht verarbeitete Nachrichten, die auf dem Server beim Start vorhanden sind. Dies bezieht sich auf den Ereignistyp LOAD.
DNS	Die Ereignisquelle war DNS.
DSN	Die Ereignisquelle war eine Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet).
GATEWAY	Die Ereignisquelle war ein fremder Connector. Weitere Informationen finden Sie unter Fremdconnectors.
MAILBOXRULE	Die Ereignisquelle war eine Posteingangsregel. Weitere Informationen finden Sie unter Posteingangsregeln.
MEETINGMESSAGEPROCESSOR	Die Ereignisquelle war die Verarbeitung der Besprechungsnachrichten, die Kalender basierend auf Besprechungsaktualisierungen aktualisiert.
ORAR	Die Quelle war ein Originator Requested Alternate Recipient (ORAR, vom Absender angeforderter Alternativempfänger). Sie können die Unterstützung für ORAR für Empfangsconnectors mithilfe des OrarEnabled-Parameters in den Cmdlets New-ReceiveConnector oder Set-ReceiveConnector aktivieren oder deaktivieren.
PICKUP	Die Ereignisquelle war das PICKUP-Verzeichnis. Weitere Informationen finden Sie unter Pickup Directory und Replay Directory.
POISONMESSAGE	Die Ereignisquelle war die ID einer nicht verarbeitbaren Nachricht. Weitere Informationen zu nicht verarbeitbaren Nachrichten und der Warteschlange für nicht verarbeitbare Nachrichten finden Sie unter Warteschlangen und Nachrichten in Warteschlangen.
PUBLICFOLDER	Die Ereignisquelle war ein E-Mail-aktivierter öffentliche Ordner.
QUEUE	Die Ereignisquelle war eine Warteschlange.
REDUNDANCY	Die Ereignisquelle war Shadow-Redundanz. Weitere Informationen finden Sie unter Schattenredundanz in Exchange Server.
RESOLVER	Die Ereignisquelle war die Empfängerauflösungskomponente des Kategorisierungsmoduls im Transportdienst. Weitere Informationen finden Sie unter Empfängerauflösung in Exchange Server.
ROUTING	Die Ereignisquelle war die Routingauflösungskomponente des Kategorisierungsmoduls im Transportdienst.
SAFETYNET	Die Ereignisquelle war das Sicherheitsnetz. Weitere Informationen finden Sie unter Safety Net in Exchange Server.
SMTP	Die Nachricht wurde von der SMTP-Sende- oder SMTP-Empfangskomponente des Transportdiensts übermittelt.
STOREDRIVER	Die Ereignisquelle war eine MAPI-Übermittlung aus einem Postfach auf dem lokalen Server.

Beispieleinträge im Nachrichtenverfolgungsprotokoll

Eine ereignislose Nachricht, die zwischen zwei Benutzern gesendet wurde, generiert mehrere Einträge im Nachrichtenverfolgungsprotokoll. Sie können die Ergebnisse mit dem Cmdlet Get-MessageTrackingLog überprüfen. Weitere Informationen finden Sie unter Durchsuchen von Nachrichtenverfolgungsprotokollen.

Dies ist ein Beispiel für die Nachrichtenverfolgungsprotokolleinträge, die erstellt werden, wenn der Benutzer chris@contoso.com erfolgreich eine Testnachricht an den Benutzer michelle@contoso.comsendet. Beide Benutzer haben Postfächer auf demselben Server.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Sicherheitsüberlegungen zum Nachrichtenverfolgungsprotokoll

Im Nachrichtenverfolgungsprotokoll wird kein Nachrichteninhalt gespeichert. Standardmäßig wird die Betreffzeile einer E-Mail-Nachricht im Nachrichtenverfolgungsprotokoll gespeichert. Möglicherweise müssen Sie die Antragstellerprotokollierung deaktivieren, um erhöhte Sicherheits- oder Datenschutzanforderungen zu erfüllen. Anweisungen zum Deaktivieren der Betreffprotokollierung finden Sie unter Konfigurieren der Nachrichtennachverfolgung.

Freigeben über