Tracking-Nachrichten in Exchange 2013-Protokolldateien - einfach und schnell!

Tracking-Nachrichten in Exchange 2013-Protokolldateien - einfach und schnell!

Die riesige Skalierbarkeit von Microsoft Exchange trägt schwerwiegende Nachteile zusätzlich zu all seinen Vorteilen. Einer dieser Nachteile - Schwierigkeiten bei der Nachricht von Log-Dateien zu verfolgen. Durch mehrere Transportserver haben, vorbei an jede Nachricht durch jede Mailbox-Server und lassen Sie es auf der Spur in den Protokollen.

Heute habe ich Ihnen helfen, zumindest teilweise in der Nachrichten versuchen wird in Exchange 2013 zu verfolgen.

Exchange 2013 Mail Flow / Transport Pipeline im folgenden Bild beschrieben:

 Exchange-2013 Nachrichtenfluss und Transport-Pipeline

Die Nachrichtenverfolgung in Exchange 2013

Mein Ansatz zur Nachricht in Exchange-Tracking-System ist folgende:

  1. Wir bekommen ID der Botschaft, die wir daran interessiert sind, mit Hilfe von Get-MessageTrackingLog.
  2. Mit Log Parser 2.2 bekommen wir für bestimmte Nachricht detailliert.

Warum können wir nur Get-MessageTrackingLog nicht verwenden (diese Cmdlets sehr schnelle Such auf mehreren Servern durchführen können)? Get-MessageTrackingLog haben nur eine unangenehme Eigenschaft: es Datensätze zurück, die Protokolle mit einigen Timestamp, und dieser Zeitmarke berechnet mit einer Genauigkeit von Sekunden, während in der Textprotokolle Aufzeichnungen auf ein Tausendstel einer Sekunde genau gespeichert sind. Sobald viele Aktionen sehr schnell durchgeführt werden, sind wir nicht in der Lage eine Chronologie der Ereignisse zu bauen.

Deshalb haben wir Log-Dateien durch Log Parser 2.2 passieren. Es ist eine universelle Textdateien -Parser von Microsoft, die SQL-Abfragen annehmen kann.

Suche Nachrichten mit Get-MessageTrackingLog

Es gibt ein schönes Cmdlets Get-MessageTrackingLog innerhalb von Exchange 2013 Es Nachrichtenverfolgungsprotokollen mit einigen Filtern sucht. Die detaillierte Beschreibung der Filter siehe unter:

Hier ist ein Beispiel, wie Sie mit Get-MessageTrackingLog für Message-ID zu finden:

Использование Get-MessageTrackingLog для поиска MessageId

Kopieren Sie Nachrichten-ID und ziehen weiter.

Die Verwendung von Log Parser 2.2 und Log Parser Studio

Zunächst einmal müssen wir Log Parser 2.2 und Log Parser Studio (GUI für Log Parser 2.2) zu installieren. Links:

Installieren Sie beide Programme und starten Sie Log Parser Studio - LPS.exe.

Geben Sie Pfade für Protokolle (nützliche Artikel zu diesem Thema: Moving Exchange 2013 logs from default folders with Powershell):

Einrichten Log Parser Studio

Nehmen Sie eine Notiz: Wir weisen Ordner auf beiden Servern protokolliert!

Dann neue Abfrage erstellen und die folgenden Protokolldateien Typ - EELLOG. Sortieren nach - Zeitstempel .

SELECT * 
FROM '[LOGFILEPATH]'
WHERE message-id = '<MessageId>'
ORDER BY [#Fields: date-time]

Führen Sie die Abfrage und erhalten die Ergebnisse:

Tracking messages in Exchange 2013 log files - easy and quick!

Log-Analyse

Jetzt können Sie sehen, welchen Weg der Brief ging, und vielleicht die Ursache des Fehlers zu finden. In den meisten Fällen müssen Sie die folgenden Felder zu überprüfen:

  • client-ip
  • client-hostname
  • server-ip
  • server-hostname
  • connector-id
  • source
  • event-id

Die letzten beiden Felder genannten source und event-id - erzählen Sie uns über Aktionen auf die Nachricht ausgeführt. Hilfe, diese Felder in der Analyse, können Sie in diesem Artikel erhalten:

https://technet.microsoft.com/en-us/library/bb124375(v=exchg.150).aspx 

https://technet.microsoft.com/de-de/library/bb124375(v=exchg.160).aspx - auf Deutsch

Für Ihre und meine Bequemlichkeit, hier ist die nützlichsten Informationen.

Mögliche Werte des event-id Feld

EreignisnameBeschreibung

AGENTINFO

Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren.

BADMAIL

Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.

CLIENTSUBMISSION

Eine Nachricht wurde aus dem Postausgang eines Postfachs übermittelt.

DEFER

Die Nachrichtenzustellung wurde verzögert.

DELIVER

Eine Nachricht wurde an ein lokales Postfach zugestellt.

DSN

Eine Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde generiert.

DROP

Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel:

  • Die Moderation von Genehmigungsanforderungsnachrichten wurde abgeschlossen.

  • Spamnachrichten, die ohne NDR im Hintergrund gelöscht wurden.

DUPLICATEDELIVER

Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.

DUPLICATEEXPAND

Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt.

DUPLICATEREDIRECT

Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger.

EXPAND

Eine Verteilergruppe wurde erweitert.

FAIL

Bei der Nachrichtenzustellung ist ein Fehler aufgetreten. Quellen sind u. a. SMTP, DNS, QUEUE und ROUTING.

HADISCARD

Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz.

HARECEIVE

Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen.

HAREDIRECT

Eine Shadow-Nachricht erstellt wurde.

HAREDIRECTFAIL

Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert.

INITMESSAGECREATED

Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.

LOAD

Eine Nachricht wurde erfolgreich beim Starten geladen.

MODERATIONEXPIRE

Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung.

MODERATORAPPROVE

Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde.

MODERATORREJECT

Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde.

MODERATORSALLNDR

Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten (auch als NDR bezeichnet) geführt hat.

NOTIFYMAPI

Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt.

NOTIFYSHADOW

Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden.

POISONMESSAGE

Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.

PROCESS

Die Nachricht wurde erfolgreich verarbeitet.

RECEIVE

Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: SMTP), oder eine Nachricht wurde aus einem Postfach an den Postfachtransport-Übermittlungsdienst gesendet (Quelle: STOREDRIVER).

REDIRECT

Eine Nachricht wurde nach einerActive Directory-Suche an einen alternativen Empfänger umgeleitet.

RESOLVE

Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst.

RESUBMIT

Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz.

RESUBMITDEFER

Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt.

RESUBMITFAIL

Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht.

SEND

Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet.

SUBMIT

Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details:

  • MDB   Die Postfachdatenbank-GUID.

  • Mailbox   Die Postfach-GUID.

  • Event   Die Ereignissequenznummer.

  • MessageClass   Der Typ der Nachricht. Beispiel: IPM.Note.

  • CreationTime   Datum / Uhrzeit des der Nachrichtenübermittlung.

  • ClientType   Beispiel: User, OWA oder ActiveSync.

SUBMITDEFER

Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt.

SUBMITFAIL

Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst.

SUPPRESSED

Die Nachrichtenübertragung wurde unterdrückt.

THROTTLE

Die Nachricht wurde eingeschränkt.

TRANSFER

Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben. Quellen sind u. a. ROUTING oder QUEUE.

 

Mögliche Werte der source Feld

EreignisnameBeschreibung

AGENTINFO

Dieses Ereignis wird von Transport-Agents verwendet, um benutzerdefinierte Daten zu protokollieren.

BADMAIL

Vom PICKUP-Verzeichnis oder Wiedergabeverzeichnis wurde eine Nachricht übermittelt, die nicht zugestellt oder zurückgegeben werden kann.

CLIENTSUBMISSION

Eine Nachricht wurde aus dem Postausgang eines Postfachs übermittelt.

DEFER

Die Nachrichtenzustellung wurde verzögert.

DELIVER

Eine Nachricht wurde an ein lokales Postfach zugestellt.

DSN

Eine Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde generiert.

DROP

Eine Nachricht ohne Benachrichtigung über den Zustellungsstatus (auch als DSN, Unzustellbarkeitsnachricht oder NDR bezeichnet) wurde gelöscht. Beispiel:

  • Die Moderation von Genehmigungsanforderungsnachrichten wurde abgeschlossen.

  • Spamnachrichten, die ohne NDR im Hintergrund gelöscht wurden.

DUPLICATEDELIVER

Eine doppelte Nachricht wurde dem Empfänger zugestellt. Eine Duplizierung kann ggf. erfolgen, wenn ein Empfänger Mitglied mehrerer geschachtelter Verteilergruppen ist. Doppelte Nachrichten werden vom Informationsspeicher erkannt und entfernt.

DUPLICATEEXPAND

Während der Aufgliederung der Verteilergruppe wurde ein doppelter Empfänger erkannt.

DUPLICATEREDIRECT

Ein alternativer Empfänger für die Nachricht war bereits ein Empfänger.

EXPAND

Eine Verteilergruppe wurde erweitert.

FAIL

Bei der Nachrichtenzustellung ist ein Fehler aufgetreten. Quellen sind u. a. SMTP, DNS, QUEUE und ROUTING.

HADISCARD

Eine Shadow-Nachricht wurde verworfen, nachdem die primäre Kopie an den nächsten Hop übermittelt wurde. Weitere Informationen finden Sie unter Shadow-Redundanz.

HARECEIVE

Eine Shadow-Nachricht wurde vom Server in der lokalen Database Availability Group (DAG) oder vom lokalen Active Directory-Standort empfangen.

HAREDIRECT

Eine Shadow-Nachricht erstellt wurde.

HAREDIRECTFAIL

Eine Shadow-Nachricht konnte nicht erstellt werden. Die Details werden im Feld source-context gespeichert.

INITMESSAGECREATED

Eine Nachricht wurde an einen moderierten Empfänger gesendet, weshalb die Nachricht zwecks Genehmigung an das Vermittlungspostfach gesendet wurde. Weitere Informationen finden Sie unter Verwalten der Nachrichtengenehmigung.

LOAD

Eine Nachricht wurde erfolgreich beim Starten geladen.

MODERATIONEXPIRE

Ei Moderator eines moderierten Empfängers hat die Nachricht weder genehmigt noch abgelehnt, weshalb sie abgelaufen ist. Weitere Informationen zu moderierten Empfängern finden Sie unter Verwalten der Nachrichtengenehmigung.

MODERATORAPPROVE

Ein Moderator eines moderierten Empfängers hat die Nachricht genehmigt, weshalb sie dem moderierten Empfänger zugestellt wurde.

MODERATORREJECT

Ein Moderator eines moderierten Empfängers hat die Nachricht abgelehnt, weshalb sie dem moderierten Empfänger nicht zugestellt wurde.

MODERATORSALLNDR

Alle Genehmigungsanforderungen, die an alle Moderatoren eines moderierten Empfängers gesendet wurden, waren unzustellbar, was zu Unzustellbarkeitsberichten (auch als NDR bezeichnet) geführt hat.

NOTIFYMAPI

Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt.

NOTIFYSHADOW

Im Postausgang eines Postfachs auf dem lokalen Server wurde eine Nachricht entdeckt. Eine Shadow-Kopie der Nachricht muss erstellt werden.

POISONMESSAGE

Eine Nachricht wurde in die Warteschlange für nicht verarbeitete Nachrichten aufgenommen oder aus ihr entfernt.

PROCESS

Die Nachricht wurde erfolgreich verarbeitet.

RECEIVE

Eine Nachricht wurde von der SMTP-Empfangskomponente des Transportdiensts oder dem PICKUP- oder Wiedergabeverzeichnis empfangen (Quelle: SMTP), oder eine Nachricht wurde aus einem Postfach an den Postfachtransport-Übermittlungsdienst gesendet (Quelle: STOREDRIVER).

REDIRECT

Eine Nachricht wurde nach einerActive Directory-Suche an einen alternativen Empfänger umgeleitet.

RESOLVE

Die Empfänger einer Nachricht wurden nach einer Active Directory-Suche in verschiedene E-Mail-Adressen aufgelöst.

RESUBMIT

Eine Nachricht wurde automatisch vom Sicherheitsnetz erneut übermittelt. Weitere Informationen finden Sie unter Sicherheitsnetz.

RESUBMITDEFER

Eine vom Sicherheitsnetz erneut übermittelte Nachricht wurde zurückgestellt.

RESUBMITFAIL

Fehler bei einer vom Sicherheitsnetz erneut übermittelten Nachricht.

SEND

Eine Nachricht wurde von SMTP zwischen Transportdiensten gesendet.

SUBMIT

Der Postfachtransport-Übermittlungsdienst hat die Nachricht erfolgreich an den Transportdienst übertragen. Für Ereignisse vom Typ SUBMIT enthält die Eigenschaft source-context die folgenden Details:

  • MDB   Die Postfachdatenbank-GUID.

  • Mailbox   Die Postfach-GUID.

  • Event   Die Ereignissequenznummer.

  • MessageClass   Der Typ der Nachricht. Beispiel: IPM.Note.

  • CreationTime   Datum / Uhrzeit des der Nachrichtenübermittlung.

  • ClientType   Beispiel: User, OWA oder ActiveSync.

SUBMITDEFER

Die Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst wurde zurückgestellt.

SUBMITFAIL

Fehler bei der Nachrichtenübermittlung vom Postfachtransport-Übermittlungsdienst zum Transportdienst.

SUPPRESSED

Die Nachrichtenübertragung wurde unterdrückt.

THROTTLE

Die Nachricht wurde eingeschränkt.

TRANSFER

Empfänger wurden aufgrund von Inhaltskonvertierung und Nachrichtenempfängerbeschränkungen oder von Agents in eine verzweigte Nachricht verschoben. Quellen sind u. a. ROUTING oder QUEUE.

 

 

Tags: exchange (de), exchange 2013 (de)

Drucken