Monitoraggio messaggi

Il log di rilevamento dei messaggi è un record dettagliato di tutte le attività mentre la posta scorre attraverso la pipeline di trasporto nei server Cassette postali e nei server Trasporto Edge. È possibile usare la verifica di messaggi per l'analisi forense dei messaggi, l'analisi del flusso di posta, la creazione di report e la risoluzione dei problemi.

Per impostazione predefinita, Exchange usa la registrazione circolare per limitare il log di rilevamento dei messaggi in base alle dimensioni e all'età dei file per controllare lo spazio su disco rigido usato dai file di log. Per configurare il log di rilevamento dei messaggi, vedere Configurare il rilevamento dei messaggi.

Ricerca nel registro di verifica messaggi

I log di rilevamento dei messaggi contengono grandi quantità di dati quando i messaggi si spostano attraverso un server Cassette postali o un server Trasporto Edge. Quando si tratta di eseguire ricerche nei log di rilevamento dei messaggi, sono disponibili opzioni:

  • Get-MessageTrackingLog: gli amministratori possono usare questo cmdlet di Exchange Management Shell per cercare nel log di rilevamento dei messaggi informazioni sui messaggi usando un'ampia gamma di criteri di filtro. Per ulteriori informazioni, vedere Registri di verifica messaggi di ricerca.

  • Report di recapito per gli amministratori: gli amministratori possono usare la scheda Rapporti di recapito nell'interfaccia di amministrazione di Exchange o i cmdlet Search-MessageTrackingReport e Get-MessageTrackingReport sottostanti in Exchange Management Shell per cercare informazioni sui messaggi inviati o ricevuti da una cassetta postale specifica dell'organizzazione. Per altre informazioni, vedere Report di recapito per gli amministratori.

Struttura dei file di registro di verifica messaggi

Per impostazione predefinita, i file di log di rilevamento dei messaggi sono presenti in %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. La cartella contiene file di log con nomi diversi, ma tutti seguono la convenzione MSGTRKServiceyyyyMMdd-nnnn.logdi denominazione . I diversi nomi di file di log sono descritti nella tabella seguente.

Nome del file Server Descrizione
MSGTRK Cassette postali e server Trasporto Edge File di registro per il servizio di trasporto.
MSGTRKMA Server Cassette postali File di registro per approvazioni e rifiuti nel trasporto moderato. Per ulteriori informazioni, vedere Gestione approvazione del messaggio.
MSGTRKMD Server Cassette postali File di registro per i messaggi recapitati alle cassette postali dal servizio Recapito alle cassette postali.
MSGTRKMS Server Cassette postali File di log per i messaggi inviati dalle cassette postali dal servizio Invio alle cassette postali.

Gli altri segnaposto nei nomi dei file di log rappresentano le informazioni seguenti:

  • yyyyMMdd è la data UTC (Coordinated Universal Time) quando è stato creato il file di log. aaaa = anno, MM = mese e dd = giorno.

  • nnnn è un numero di istanza che inizia al valore 1 ogni giorno per ogni log.

Le informazioni vengono scritte sul file di log fino a quando le dimensioni del file non raggiungono il valore massimo. A quel punto viene aperto un nuovo file di registro con un numero di istanze incrementato (il primo file di log è -1, il seguente è -2 e così via). La registrazione circolare elimina i file di log meno recenti per un servizio quando si verifica una delle condizioni seguenti:

  • Un file di registro raggiunge il limite di validità massimo.

  • La cartella del log di rilevamento dei messaggi raggiunge le dimensioni massime.

    Note:

    • La dimensione massima della cartella del log di rilevamento messaggi viene calcolata come dimensione totale di tutti i file di log con lo stesso prefisso del nome. Gli altri file che non seguono la convenzione di prefisso del nome non vengono conteggiati nel calcolo delle dimensioni totali della cartella. La ridenominazione di file di log precedenti o la copia di altri file nella cartella del log di rilevamento dei messaggi potrebbe causare il superamento delle dimensioni massime specificate per la cartella.

    • Nei server Cassette postali, la dimensione massima della cartella del log di rilevamento dei messaggi è tre volte superiore al valore specificato. Anche se i file di log di rilevamento dei messaggi vengono generati dai quattro servizi diversi e hanno quattro prefissi di nome diversi, la quantità e la frequenza dei dati scritti nel log di trasporto moderato (MSGTRKMA) sono trascurabili rispetto agli altri tre log.

I file di registro di verifica messaggi sono file di testo che contengono dati in formato CSV (Comma Separated Value). In ciascun file di registro di verifica messaggi è presente un'intestazione in cui sono contenute le seguenti informazioni:

  • #Software: il valore è Microsoft Exchange Server.

  • #Version: numero di versione del server Exchange che ha creato il file di log di rilevamento dei messaggi. Il valore usa il formato 15.01.nnnn.nnn.

  • #Log-Type: il valore è Message Tracking Log.

  • #Date: data e ora UTC in cui è stato creato il file di log. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: yyyy-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC.

  • #Fields: nomi di campi delimitati da virgole usati nei file di log di rilevamento messaggi.

Campi dei file di registro di verifica messaggi

Il registro di verifica messaggi archivia ciascun evento di messaggio su un'unica riga nel registro. Le informazioni sugli eventi dei messaggi sono organizzate in base ai campi e tali campi sono separati da virgole. Il nome del campo in genere è abbastanza descrittivo da consentire di determinare il tipo di informazione contenuta. Tuttavia, alcuni campi possono essere vuoti o il tipo di informazioni in essi contenute potrebbe cambiare in base al tipo di evento del messaggio e al servizio che ha registrato l'evento. Le descrizioni generali dei campi utilizzati per classificare ogni evento di verifica messaggi sono fornite nella tabella seguente.

Nome campo Descrizione
date-time Data/ora UTC dell'evento di verifica messaggi. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: yyyy-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC.
client-ip L'indirizzo IPv4 o IPv6 del server di messaggistica o del client di messaggistica che ha inviato il messaggio.
client-hostname Il nome host o il nome di dominio completo del server di messaggistica o del client di messaggistica che ha inviato il messaggio.
server-ip Indirizzo IPv4 o IPv6 del server di origine o di destinazione.
server-hostname Il nome host o il nome di dominio completo del server di destinazione.
source-context Informazioni aggiuntive associate al campo di origine. Ad esempio:
CatContentConversion
250 2.0.0 OK;ClientSubmitTime:<UTC>
connector-id Nome del connettore di invio o di ricezione che ha accettato il messaggio. Ad esempio, ServerName\ ConnectorName o ConnectorName.
source Componente di trasporto di Exchange responsabile dell'evento. Questi valori sono descritti nella sezione Valori di origine del log di rilevamento dei messaggi più avanti in questo argomento.
event-id Il tipo di evento di messaggio. Questi valori sono descritti nella sezione Tipi di evento nel log di rilevamento dei messaggi più avanti in questo argomento.
internal-message-id Identificatore del messaggio assegnato dal server Exchange che sta attualmente elaborando il messaggio.
L'internal-message-id di un messaggio è diverso nel log di rilevamento dei messaggi di ogni server Exchange coinvolto nella trasmissione del messaggio. Un valore di esempio è 73014444033.
message-id Valore del campo Message-Id: header nell'intestazione del messaggio. Se il campo Message-Id: header non esiste o è vuoto, Exchange assegna un valore arbitrario. Questo valore rimane immutato per tutta la durata del messaggio. Per i messaggi creati in Exchange, il valore è nel formato <GUID@ServerFQDN>, incluse le parentesi angolari (< >). Ad esempio, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Altri sistemi di messaggistica potrebbero utilizzare una sintassi o valori diversi.
network-message-id Un ID messaggio univoco che persiste tra le copie del messaggio che si possono creare a causa della biforcazione o dell'espansione del gruppo di distribuzione. Un valore di esempio è 1341ac7b13fb42ab4d4408cf7f55890f.
recipient-address Gli indirizzi di posta elettronica dei destinatari del messaggio. Gli indirizzi di posta elettronica multipli sono separati dal carattere punto e virgola (;).
recipient-status Stato del destinatario per ogni destinatario separato dal punto e virgola (;). I valori di stato sono presentati per i destinatari nello stesso ordine dei valori nel campo recipient-address. I valori di stato di esempio includono:
To, Cc o Bcc
250 2.1.5 Recipient OK
550 4.4.7 QUEUE.Expired;<ErrorText>
total-bytes Dimensioni totali del messaggio in byte, inclusi tutti gli allegati.
recipient-count Numero totale di destinatari nel messaggio.
related-recipient-address Questo campo viene usato con gli eventi EXPAND, REDIRECT e RESOLVE per visualizzare altri indirizzi di posta elettronica del destinatario associati al messaggio.
reference Questo campo contiene informazioni aggiuntive per i tipi specifici di eventi. Ad esempio:
DSN: contiene il collegamento al report, ovvero il valore Message-Id della notifica di stato del recapito associata (nota anche come DSN, messaggio di mancato recapito, report di mancato recapito o rapporto di mancato recapito) se viene generato un DSN dopo questo evento. Se si tratta di un messaggio DSN, il campo Riferimento contiene il valore Message-Id del messaggio originale per cui è stato generato il DSN.
EXPAND: contiene il valore related-recipient-address dei messaggi correlati.
RECEIVE: può contenere il valore Message-Id del messaggio correlato se il messaggio è stato generato da altri processi, ad esempio regole di inserimento nel journal o posta in arrivo.
SEND: contiene il valore Internal-Message-Id di tutti i messaggi DSN.
THROTTLE: contiene il motivo per cui il messaggio è stato limitato.
TRANSFER: contiene il valore Internal-Message-Id del messaggio che viene sottoposto a fork.
Messaggio generato dalle regole della posta in arrivo: contiene il valore Internal-Message-Id del messaggio in ingresso che ha causato la generazione del messaggio in uscita da parte della regola di posta in arrivo.
Messaggi con fork: potrebbe contenere il valore Internal-Message-Id .
Per altri tipi di eventi, questo campo è in genere vuoto.
message-subject L'oggetto del messaggio che si trova nel campo di intestazione Subject:. Il rilevamento degli oggetti messaggio è controllato dal parametro MessageTrackingLogSubjectLoggingEnabled nel cmdlet Set-TransportService . Per impostazione predefinita, la verifica degli oggetti dei messaggi è attivata.
sender-address Indirizzo di posta elettronica specificato nel campo Mittente: intestazione o Campo intestazione Da: se il campo Mittente: non esiste.
return-path Indirizzo di posta elettronica restituito specificato dal comando MAIL FROM che ha inviato il messaggio. Anche se questo campo non è mai vuoto, può avere il valore di indirizzo mittente Null rappresentato come <>.
message-info Ulteriori informazioni sul messaggio. Ad esempio:
Data e ora di origine del messaggio in formato UTC per gli eventi DELIVER e SEND . La data e l'ora di origine corrispondono alla data e all'ora in cui il messaggio entra per la prima volta nell'organizzazione Exchange. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: yyyy-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC.
Errori di autenticazione. Ad esempio, è possibile che vengano visualizzati il valore 11a e il tipo di autenticazione usati quando si è verificato l'errore di autenticazione.
directionality La direzione del messaggio. I valori di esempio includono Incoming, Undefinede Originating.
tenant-id Questo campo non viene usato nelle organizzazioni di Exchange locali.
original-client-ip L'indirizzo IPv4 o IPv6 del client originale.
original-server-ip L'indirizzo IPv4 o IPv6 del server originale.
custom-data Questo campo contiene dati correlati a tipi di evento specifici. Ad esempio, l'agente della regola di trasporto usa questo campo per registrare il GUID della regola del flusso di posta (nota anche come regola di trasporto) o i criteri DLP che hanno agito sul messaggio. Per altre informazioni, vedere Visualizzare i report di rilevamento dei criteri DLP.
transport-traffic-type In Exchange locale questo campo è vuoto o ha il valore Email.
log-id Identificatore univoco per una riga nel log di rilevamento dei messaggi. Questo campo non è importante nelle organizzazioni di Exchange locali.
schema-version Numero di versione del server Exchange che ha creato la voce nel log di rilevamento dei messaggi. Il valore usa il formato 15.01.nnnn.nnn.

Tipi di evento nel registro di verifica messaggi

Diversi tipi di evento nel campo event-id sono utilizzati per classificare gli eventi dei messaggi nel registro di verifica messaggi. Alcuni eventi dei messaggi appaiono in un solo tipo di file di registro di verifica messaggi mentre altri eventi appaiono in tutti i tipi di file di registro di verifica messaggi. I tipi di evento utilizzati per classificare ciascun evento di messaggio sono illustrati nella tabella seguente.

Nome evento Descrizione
AGENTINFO Questo evento viene utilizzato dagli agenti di trasporto per registrare i dati personalizzati.
BADMAIL Dalla directory di prelievo o dalla directory di riesecuzione è stato inviato un messaggio che non può essere recapitato né restituito.
CLIENTSUBMISSION È stato inviato un messaggio dalla posta in uscita di una cassetta postale.
DEFER Il recapito del messaggio è stato ritardato.
DELIVER Un messaggio è stato recapitato a una cassetta postale locale.
DELIVERFAIL Un agente ha tentato di recapitare il messaggio a una cartella che non esiste nella cassetta postale.
DROP Un messaggio è stato rimosso senza notifica sullo stato del recapito (nota anche come DSN, notifica di mancato recapito, rapporto di mancato recapito o NDR). Ad esempio:
  • Messaggi relativi alla richiesta di approvazione della moderazione completata.
  • I messaggi della posta indesiderata rimossi automaticamente senza NDR.
DSN È stata generata una notifica sullo stato del recapito (DSN, delivery status notification).
DUPLICATEDELIVER Al destinatario è stato recapitato un messaggio duplicato. La duplicazione può avvenire se un destinatario è membro di più gruppi di distribuzione nidificati. I messaggi duplicati vengono rilevati e rimossi dall'archivio informazioni.
DUPLICATEEXPAND Durante l'espansione del gruppo di distribuzione è stato rilevato un destinatario duplicato.
DUPLICATEREDIRECT Un destinatario alternativo per il messaggio era già un destinatario.
EXPAND Un gruppo di distribuzione è stato espanso.
FAIL Recapito del messaggio non riuscito. Le origini sono SMTP, DNS, QUEUE e ROUTING.
HADISCARD Un messaggio shadow è stato ignorato dopo il recapito della copia primaria al successivo hop. Per altre informazioni, vedere Ridondanza shadow in Exchange Server.
HARECEIVE Un messaggio shadow è stato ricevuto dal server nel gruppo di disponibilità del database (DAG) locale o nel sito Active Directory.
HAREDIRECT È stato creato un messaggio shadow.
HAREDIRECTFAIL Non è stato possibile creare un messaggio shadow. I dettagli vengono archiviati nel campo source-context.
INITMESSAGECREATED Un messaggio è stato inviato a un destinatario moderato, quindi il messaggio è stato inviato alla cassetta postale di arbitraggio per l'approvazione. Per ulteriori informazioni, vedere Gestione approvazione del messaggio.
LOAD Un messaggio è stato correttamente caricato all'avvio.
MODERATIONEXPIRE Un moderatore per un destinatario moderato non ha mai approvato o rifiutato il messaggio, che è quindi scaduto. Per ulteriori informazioni sui destinatari moderati, vedere Gestione approvazione del messaggio.
MODERATORAPPROVE Un moderatore per un destinatario moderato ha approvato il messaggio, che è stato quindi recapitato al destinatario moderato
MODERATORREJECT Un moderatore per un destinatario moderato ha rifiutato il messaggio, che non è stato quindi recapitato al destinatario moderato.
MODERATORSALLNDR Tutte le richieste di approvazione inviate a tutti i moderatori di un destinatario moderato non erano recapitabili e generavano report di mancato recapito (noti anche come rapporti di mancato recapito o messaggi di mancato recapito).
NOTIFYMAPI Un messaggio è stato rilevato nella cassetta di Posta in uscita di una cassetta posta sul server locale.
NOTIFYSHADOW Un messaggio è stato rilevato nella cassetta di Posta in uscita di una cassetta postale sul server locale ed è necessario creare una copia shadow del messaggio.
POISONMESSAGE Un messaggio è stato collocato nella coda dei messaggi non elaborabili o è stato rimosso da tale coda.
PROCESS Il messaggio è stato elaborato correttamente.
PROCESSMEETINGMESSAGE Un messaggio di riunione è stato elaborato dal servizio Recapito alle cassette postali.
RECEIVE Un messaggio è stato ricevuto dal componente di ricezione SMTP del servizio di trasporto o dalle directory pickup o replay (origine: SMTP) oppure è stato inviato un messaggio da una cassetta postale al servizio Invio trasporto cassette postali (origine: STOREDRIVER).
REDIRECT Un messaggio è stato reindirizzato a un destinatario alternativo dopo una ricerca in Active Directory.
RESOLVE I destinatari di un messaggio sono stati risolti in un indirizzo di posta elettronica diverso dopo una ricerca in Active Directory.
RESUBMIT Un messaggio è stato reinviato automaticamente da Rete sicura. Per altre informazioni, vedere Safety Net in Exchange Server.
RESUBMITDEFER Un messaggio reinviato da Rete sicura è stato ritardato.
RESUBMITFAIL Un messaggio reinviato da Rete sicura non è riuscito.
SEND Un messaggio è stato inviato tramite SMTP da un servizio di trasporto all'altro.
SUBMIT Il servizio Recapito alle cassette postali ha trasmesso correttamente il messaggio al servizio di trasporto. Per gli eventi SUBMIT, la proprietà source-context contiene i seguenti dettagli:
  • MDB: GUID del database delle cassette postali.
  • Cassetta postale: GUID della cassetta postale.
  • Evento: numero di sequenza dell'evento.
  • MessageClass: tipo di messaggio. Ad esempio, IPM.Note.
  • CreationTime: data e ora dell'invio del messaggio.
  • ClientType: ad esempio, User, OWAo ActiveSync.
SUBMITDEFER La trasmissione del messaggio dal servizio Recapito alle cassette postali al servizio di trasporto è stata ritardata.
SUBMITFAIL La trasmissione del messaggio dal servizio Recapito alle cassette postali al servizio di trasporto non è riuscita.
SUPPRESSED La trasmissione del messaggio è stata rimossa.
THROTTLE Il messaggio è stato limitato.
TRANSFER I destinatari sono stati spostati su un messaggio duplicato in seguito a una conversione del contenuto, a limitazioni dei destinatari del messaggio o ad agenti. Le origini sono ROUTING e QUEUE.

Valori dell'origine del registro di verifica messaggi

I valori del campo source nel registro di verifica messaggi indicano il componente del trasporto responsabile dell'evento di verifica messaggi. Nella seguente tabella vengono descritti i valori del campo source.

Valore di source Descrizione
ADMIN L'origine dell'evento era l'azione di un utente. Ad esempio, un amministratore ha utilizzato il Visualizzatore code per eliminare un messaggio o ha inviato i file dei messaggi utilizzando la directory di riesecuzione.
AGENT L'origine dell'evento era un agente di trasporto.
APPROVAL L'origine dell'evento è il framework di approvazione utilizzato con i destinatari moderati. Per ulteriori informazioni, vedere Gestione approvazione del messaggio.
BOOTLOADER L'origine evento sono messaggi non elaborati che esistono sul server in fase di avvio. Questo è correlato al tipo di evento LOAD.
DNS L'origine dell'evento era un DNS.
DSN L'origine evento era una notifica di stato del recapito (nota anche come DSN, messaggio di mancato recapito, report di mancato recapito o rapporto di mancato recapito).
GATEWAY L'origine dell'evento era un connettore esterno. Per altre informazioni, vedere Connettori esterni.
MAILBOXRULE L'origine dell'evento era una regola di Posta in arrivo. Per ulteriori informazioni, vedere Regole di Posta in arrivo.
MEETINGMESSAGEPROCESSOR L'origine evento è il processore dei messaggi di riunione, che aggiorna i calendari in base agli aggiornamenti delle riunioni.
ORAR L'origine dell'evento era un ORAR (Originator Requested Alternate Recipient). È possibile abilitare o disabilitare il supporto per ORAR nei connettori di ricezione usando il parametro OrarEnabled nei cmdlet New-ReceiveConnector o Set-ReceiveConnector .
PICKUP L'origine dell'evento era la directory di prelievo. Per altre informazioni, vedere Directory di ritiro e Directory di riproduzione.
POISONMESSAGE L'origine dell'evento era l'identificativo messaggio non elaborabile. Per altre informazioni sui messaggi non elaborabili e sulla coda dei messaggi non elaborabili, vedere Code e messaggi nelle code
PUBLICFOLDER L'origine dell'evento era la cartella pubblica abilitata alla posta.
QUEUE L'origine dell'evento era una coda.
REDUNDANCY L'origine dell'evento era la ridondanza shadow. Per altre informazioni, vedere Ridondanza shadow in Exchange Server.
RESOLVER L'origine evento è il componente di risoluzione del destinatario del classificatore nel servizio trasporto. Per altre informazioni, vedere Risoluzione dei destinatari in Exchange Server.
ROUTING L'origine dell'evento era il componente di risoluzione del routing del classificatore nel servizio di trasporto.
SAFETYNET L'origine dell'evento era Rete sicura. Per altre informazioni, vedere Safety Net in Exchange Server.
SMTP Il messaggio è stato inviato dal componente di invio o ricezione SMTP del servizio di trasporto.
STOREDRIVER L'origine dell'evento era un invio MAPI da una cassetta postale sul server locale.

Voci di esempio nel registro di verifica messaggi

Un messaggio senza eventi inviato tra due utenti genera più voci nel registro di verifica messaggi. È possibile visualizzare i risultati utilizzando il cmdlet Get-MessageTrackingLog. Per ulteriori informazioni, vedere Registri di verifica messaggi di ricerca.

Questo è un esempio delle voci del log di rilevamento messaggi create quando l'utente chris@contoso.com invia correttamente un messaggio di test all'utente michelle@contoso.com. Entrambi gli utenti hanno cassette postali sullo stesso server.

EventId    Source      Sender            Recipients             MessageSubject
-------    ------      ------            ----------             --------------
NOTIFYMAPI STOREDRIVER                   {}
RECEIVE    STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT     STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP        chris@contoso.com {michelle@contoso.com} test
RECEIVE    SMTP        chris@contoso.com {michelle@contoso.com} test
AGENTINFO  AGENT       chris@contoso.com {michelle@contoso.com} test
SEND       SMTP        chris@contoso.com {michelle@contoso.com} test
DELIVER    STOREDRIVER chris@contoso.com {michelle@contoso.com} test

Problemi relativi alla protezione per il registro di verifica messaggi

Nel registro di verifica messaggi non viene archiviato alcun contenuto del messaggio. Per impostazione predefinita, la riga dell'oggetto di un messaggio di posta elettronica è archiviata nel registro di verifica messaggi. Potrebbe essere necessario disabilitare la registrazione dei soggetti per rispettare requisiti di sicurezza o privacy maggiori. Per istruzioni su come disabilitare la registrazione dell'oggetto, vedere Configurare il rilevamento dei messaggi.