Tracking-Nachrichten in Exchange 2013-Protokolldateien - einfach und schnell!
Die riesige Skalierbarkeit von Microsoft Exchange trägt schwerwiegende Nachteile zusätzlich zu all seinen Vorteilen. Einer dieser Nachteile - Schwierigkeiten bei der Nachricht von Log-Dateien zu verfolgen. Durch mehrere Transportserver haben, vorbei an jede Nachricht durch jede Mailbox-Server und lassen Sie es auf der Spur in den Protokollen.
Heute habe ich Ihnen helfen, zumindest teilweise in der Nachrichten versuchen wird in Exchange 2013 zu verfolgen.
Exchange 2013 Mail Flow / Transport Pipeline im folgenden Bild beschrieben:
Die Nachrichtenverfolgung in Exchange 2013
Mein Ansatz zur Nachricht in Exchange-Tracking-System ist folgende:
- Wir bekommen ID der Botschaft, die wir daran interessiert sind, mit Hilfe von Get-MessageTrackingLog.
- Mit Log Parser 2.2 bekommen wir für bestimmte Nachricht detailliert.
Warum können wir nur Get-MessageTrackingLog nicht verwenden (diese Cmdlets sehr schnelle Such auf mehreren Servern durchführen können)? Get-MessageTrackingLog haben nur eine unangenehme Eigenschaft: es Datensätze zurück, die Protokolle mit einigen Timestamp, und dieser Zeitmarke berechnet mit einer Genauigkeit von Sekunden, während in der Textprotokolle Aufzeichnungen auf ein Tausendstel einer Sekunde genau gespeichert sind. Sobald viele Aktionen sehr schnell durchgeführt werden, sind wir nicht in der Lage eine Chronologie der Ereignisse zu bauen.
Deshalb haben wir Log-Dateien durch Log Parser 2.2 passieren. Es ist eine universelle Textdateien -Parser von Microsoft, die SQL-Abfragen annehmen kann.
Suche Nachrichten mit Get-MessageTrackingLog
Es gibt ein schönes Cmdlets Get-MessageTrackingLog innerhalb von Exchange 2013 Es Nachrichtenverfolgungsprotokollen mit einigen Filtern sucht. Die detaillierte Beschreibung der Filter siehe unter:
Hier ist ein Beispiel, wie Sie mit Get-MessageTrackingLog für Message-ID zu finden:
Kopieren Sie Nachrichten-ID und ziehen weiter.
Die Verwendung von Log Parser 2.2 und Log Parser Studio
Zunächst einmal müssen wir Log Parser 2.2 und Log Parser Studio (GUI für Log Parser 2.2) zu installieren. Links:
- https://www.microsoft.com/en-us/download/details.aspx?id=24659 - Log Parser 2.2
- https://gallery.technet.microsoft.com/office/Log-Parser-Studio-cd458765 - Log Parser Studio
Installieren Sie beide Programme und starten Sie Log Parser Studio - LPS.exe.
Geben Sie Pfade für Protokolle (nützliche Artikel zu diesem Thema: Moving Exchange 2013 logs from default folders with Powershell):
Nehmen Sie eine Notiz: Wir weisen Ordner auf beiden Servern protokolliert!
Dann neue Abfrage erstellen und die folgenden Protokolldateien Typ - EELLOG. Sortieren nach - Zeitstempel .
SELECT * FROM '[LOGFILEPATH]' WHERE message-id = '<MessageId>' ORDER BY [#Fields: date-time]
Führen Sie die Abfrage und erhalten die Ergebnisse:
Log-Analyse
Jetzt können Sie sehen, welchen Weg der Brief ging, und vielleicht die Ursache des Fehlers zu finden. In den meisten Fällen müssen Sie die folgenden Felder zu überprüfen:
- client-ip
- client-hostname
- server-ip
- server-hostname
- connector-id
- source
- event-id
Die letzten beiden Felder genannten source und event-id - erzählen Sie uns über Aktionen auf die Nachricht ausgeführt. Hilfe, diese Felder in der Analyse, können Sie in diesem Artikel erhalten:
https://technet.microsoft.com/en-us/library/bb124375(v=exchg.150).aspx
https://technet.microsoft.com/de-de/library/bb124375(v=exchg.160).aspx - auf Deutsch
Für Ihre und meine Bequemlichkeit, hier ist die nützlichsten Informationen.
Mögliche Werte des event-id Feld
Ereignisname | Beschreibung |
---|---|
AGENTINFO |
Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren. |
BADMAIL |
Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann. |
CLIENTSUBMISSION |
Eine Nachricht wurde aus dem Postausgang eines Postfachs übermittelt. |
DEFER |
Die Nachrichtenzustellung wurde verzögert. |
DELIVER |
Eine Nachricht wurde an ein lokales Postfach zugestellt. |
DSN |
Eine Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde generiert. |
DROP |
Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel:
|
DUPLICATEDELIVER |
Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt. |
DUPLICATEEXPAND |
Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt. |
DUPLICATEREDIRECT |
Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger. |
EXPAND |
Eine Verteilergruppe wurde erweitert. |
FAIL |
Bei der Nachrichtenzustellung ist ein Fehler aufgetreten. Quellen sind u. a. SMTP, DNS, QUEUE und ROUTING. |
HADISCARD |
Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz. |
HARECEIVE |
Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen. |
HAREDIRECT |
Eine Shadow-Nachricht erstellt wurde. |
HAREDIRECTFAIL |
Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert. |
INITMESSAGECREATED |
Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung. |
LOAD |
Eine Nachricht wurde erfolgreich beim Starten geladen. |
MODERATIONEXPIRE |
Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung. |
MODERATORAPPROVE |
Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde. |
MODERATORREJECT |
Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde. |
MODERATORSALLNDR |
Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten (auch als NDR bezeichnet) geführt hat. |
NOTIFYMAPI |
Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. |
NOTIFYSHADOW |
Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden. |
POISONMESSAGE |
Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt. |
PROCESS |
Die Nachricht wurde erfolgreich verarbeitet. |
RECEIVE |
Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: |
REDIRECT |
Eine Nachricht wurde nach einerActive Directory-Suche an einen alternativen Empfänger umgeleitet. |
RESOLVE |
Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst. |
RESUBMIT |
Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz. |
RESUBMITDEFER |
Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt. |
RESUBMITFAIL |
Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht. |
SEND |
Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet. |
SUBMIT |
Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details:
|
SUBMITDEFER |
Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt. |
SUBMITFAIL |
Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst. |
SUPPRESSED |
Die Nachrichtenübertragung wurde unterdrückt. |
THROTTLE |
Die Nachricht wurde eingeschränkt. |
TRANSFER |
Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben. Quellen sind u. a. ROUTING oder QUEUE. |
Mögliche Werte der source Feld
Ereignisname | Beschreibung |
---|---|
AGENTINFO |
Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren. |
BADMAIL |
Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann. |
CLIENTSUBMISSION |
Eine Nachricht wurde aus dem Postausgang eines Postfachs übermittelt. |
DEFER |
Die Nachrichtenzustellung wurde verzögert. |
DELIVER |
Eine Nachricht wurde an ein lokales Postfach zugestellt. |
DSN |
Eine Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde generiert. |
DROP |
Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel:
|
DUPLICATEDELIVER |
Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt. |
DUPLICATEEXPAND |
Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt. |
DUPLICATEREDIRECT |
Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger. |
EXPAND |
Eine Verteilergruppe wurde erweitert. |
FAIL |
Bei der Nachrichtenzustellung ist ein Fehler aufgetreten. Quellen sind u. a. SMTP, DNS, QUEUE und ROUTING. |
HADISCARD |
Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz. |
HARECEIVE |
Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen. |
HAREDIRECT |
Eine Shadow-Nachricht erstellt wurde. |
HAREDIRECTFAIL |
Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert. |
INITMESSAGECREATED |
Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung. |
LOAD |
Eine Nachricht wurde erfolgreich beim Starten geladen. |
MODERATIONEXPIRE |
Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung. |
MODERATORAPPROVE |
Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde. |
MODERATORREJECT |
Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde. |
MODERATORSALLNDR |
Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten (auch als NDR bezeichnet) geführt hat. |
NOTIFYMAPI |
Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. |
NOTIFYSHADOW |
Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden. |
POISONMESSAGE |
Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt. |
PROCESS |
Die Nachricht wurde erfolgreich verarbeitet. |
RECEIVE |
Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: |
REDIRECT |
Eine Nachricht wurde nach einerActive Directory-Suche an einen alternativen Empfänger umgeleitet. |
RESOLVE |
Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst. |
RESUBMIT |
Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz. |
RESUBMITDEFER |
Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt. |
RESUBMITFAIL |
Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht. |
SEND |
Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet. |
SUBMIT |
Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details:
|
SUBMITDEFER |
Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt. |
SUBMITFAIL |
Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst. |
SUPPRESSED |
Die Nachrichtenübertragung wurde unterdrückt. |
THROTTLE |
Die Nachricht wurde eingeschränkt. |
TRANSFER |
Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben. Quellen sind u. a. ROUTING oder QUEUE. |
exchange (de), exchange 2013 (de)
- Zugriffe: 7662