MS Exchange具有消息跟踪日志,管理员可以使用这些日志获取消息传递详细信息并监视邮箱流量。这些日志在本地Exchange和Office 365环境中都可用。在本地Exchange服务器中,您可以通过PowerShell使用Get-MessageTrackingLogcmdlet。在Office 365中,您可以通过Exchange Admin Center (EAC)访问它们。
消息跟踪日志的意义
以下是MS Exchange中邮件跟踪日志的一些实际用途:
- 分析:消息跟踪日志存储通过服务器的每条消息的详细信息。因此,您可以使用这些日志进行分析——查看谁发送/接收了最多数量的消息,在特定的一天发送了多少消息,等等。
- 消息传递监控:您可以使用消息跟踪日志来查看消息传递问题。如果消息未发送,您可以在日志中找到其详细信息。
- 电子邮件取证:电子邮件调查是其中最关键的一项电子邮件取证调查技术。消息跟踪日志可以帮助进行此类调查。假设,在一个组织中进行调查,有人从服务器上删除了一些重要的电子邮件。在这种情况下,您可以检查邮件跟踪日志,以了解有关已删除电子邮件的详细信息。
消息跟踪日志定位
消息跟踪日志为CSV文件,扩展名为。log。这些文件存储在Exchange服务器的以下默认位置:
% ExchangeInstallPath % TransportRoles \ Logs \ MessageTracking
Exchange Server使用循环日志记录。这意味着当文件夹达到其最大大小或文件达到其最大使用年限时,旧的日志文件将被覆盖。缺省情况下,文件夹最大容量为10gb,日志文件最大保存时间为30天。
Exchange服务器中的日志文件
消息跟踪日志中的重要字段
- 发件人,收件人,messagessubject:显示发送者、接收者和消息主题的名称。
- 时间戳:时间:事件发生的时间
- TotalBytes:显示消息的大小。
- EventID RecipientStatus,和MessageInfo:提供有关消息发生了什么的详细信息。
如何使用Get-MessageTrackingLog命令?
你可以使用Get-MessageTrackingLog在消息跟踪日志中搜索消息传递详细信息。
注意:的Get-MessageTrackingLogcmdlet仅可用于本地Exchange Server。
您可以使用Get-MessageTrackingLog cmdlet通过使用广泛的参数和语法来生成自定义报告。这些参数包括:
为了演示,我们在Exchange Server中运行以下命令:
Get-MessageTrackingLog -收件人ravi.singh@stellarinfo.com -Start " 03/04/2021 4:00:00 " -End " 03/04/2021 5:00:00 "
这获取了2021年3月4日ravi.singh@stellarinfo.com(收件人)凌晨4:00:00至5:00:00之间的消息日志条目。在messagessubject列中,您可以看到每个条目的电子邮件主题。在EventId列中,有不同的事件类型,用不同的值表示。例如,RECEIVE表示传输服务的SMTP接收组件或重放或拾取目录接收到特定的消息。有关这些事件的详细信息,请参阅微软的消息跟踪文档。
让我们看另一个Get-MessageTrackingLog命令Let的例子:
Get-MessageTrackingLog -Start (Get-Date).AddDays(-10) -ResultSize Unlimited | Where -Property receivers -NotLike "*HealthMailbox*"
该命令将从消息跟踪日志中获取最近10天的条目。的其中-属性收件人-不像“*HealthMailbox*”部分省略了与“运行状况邮箱”相关的条目。
消息跟踪在Office 365
在Office 365中,您可以使用Exchange Admin Center (EAC)搜索邮件跟踪日志。为此,请访问邮件流>消息跟踪。EAC提供了一个简单的搜索表单,您可以根据自己的需求进行填写。
先进的消息跟踪与恒星报告和审计的交换服务器
恒星的报告和审计的交换服务器是一款高级软件,可以帮助审计和监控Exchange Server邮箱。对于所有Exchange管理员来说,它是一个很有价值的工具,因为它可以为不同的Exchange活动创建多达142个报告。
Stellar Reporter & Auditor for Exchange Server为Exchange环境中的消息跟踪和分析提供了完整的解决方案。它还节省了时间,使消息分析更加准确。
该软件有一个单独的类别邮箱流量报告。这些报告提供来自MS Exchange邮箱的流量流入和前景的详细信息。
邮箱流量下提供以下报告:
- 发送者留言数:它提供了用户在特定时间段内发送消息的详细信息。报表中包含邮箱地址、发送邮件总数(包括内部邮件和外部邮件)以及发送邮件总数排名前10位的图表。
- 按发件人划分的讯息大小:此报告提供有关不同用户发送的消息大小的详细信息。报表中包含邮箱地址、发送邮件大小(包括内部邮件大小和外部邮件大小),以及根据发送邮件总量排名前10位的邮件发送者图表。
- 接收方留言数:这提供了关于不同用户接收到的消息数量的详细信息。报表中包含邮箱地址、总接收邮件数(包括内部邮件和外部邮件)以及按总接收邮件数排名前10位的邮件接收方曲线图。
- 按接收人划分的讯息大小:它提供了关于不同用户接收到的消息大小的详细信息。报表中包含邮箱地址、接收邮件大小(包括内部邮件大小和外部邮件大小)以及按照接收邮件总大小排名前10位的邮件接收方图表。
- 用户发送流量:报表提供特定用户的发送流量明细,包括发送日期、发件人邮箱地址、收件人姓名、邮件主题、大小、ID等。
- 用户接收流量:该报表提供了特定用户的接收流量详细信息,包括日期、收件人邮箱地址、收件人姓名、邮件主题、大小和ID。
恒星报告和审计使消息跟踪更准确,更容易,因为它:
- 提供详细的电子邮件统计,警报,动态图形等。
- 允许管理员调度邮箱流量和其他与邮件相关的扫描和报告任务
- 通过用于邮箱流量监控的web界面提供对报表的远程访问
Stellar Reporter & Auditor for Exchange Server是一个非常先进的Exchange监控和报告解决方案。它与Exchange Server 2016、2013、2010和2007兼容免费的最多可达60天。试一试今天!
结论
Exchange Server中的消息跟踪日志有助于监视消息交付,生成用于分析的报告等。您可以使用Get-MessageTrackingLog命令来访问这些日志。但是,执行这些cmdlet非常耗时,并且需要具备完整的技术知识。或者,您可以使用专用的交换审计和监控软件,例如用于Exchange Server的Stellar Reporter & Auditor,简化了Exchange监控任务。您可以使用该软件生成各种报告(包括消息跟踪报告)、监视邮箱活动等。
