Exchange 5.5 Nachrichtentracking
Für anderer Exchange Versionen siehe Nachrichtentracking mit Exchange 2000/2003 und Nachrichtentracking mit Exchange 2007
Nachrichtentracking aktivieren
Bei Exchange 5.5 ist die Aktivierung des Nachrichtentracking um einiges aufwändiger als bei Exchange 2000/2003. Die Einstellungen für das Nachrichtentracking stehen gleich an mehreren Stellen:
- Systemaufsicht des Servers
Globale Einstellungen für die Vorhaltezeit der Protokolldateien
- MTA Standortkonfiguration, um alle Aktionen des MTA und damit verbundenen
X.400 Connectoren zu protokollieren
- IS Standortortkonfiguration um alle Aktionen des Store zu protokollieren
- Connectoren
Der SMTP-Connector und MS-Mail Connector hat ebenso eine Option, die Protokollierung zu aktivieren. Auch einige Dritthersteller von Connectoren haben die Option eingebaut.
Nachtracken
Die Nachverfolgung mit Hilfe der aufgezeichneten Dateien erfolgt über den Exchange Administrator. Über das Menü "Extra - Nachrichtenstatus" wird die Verfolgung gestartet:
Der Exchange Administrator startet sofort ein Suchfenster, um nach Empfängern und Senden zu suchen. Wenn Sie dies abbrechen, dann kommen Sie zu der eigentlichen Maske. Hier müssen Sie nun definieren, was sie suchen.
Entweder sie nutzen die "Suchen" Schaltfläche um nach Empfänger oder Sender eine Auswahl zu treffen oder sie nutzen die "Erweiterte Suche", um z.B. Nachrichten über Connectoren oder von bestimmten Servern zu verfolgen.
Im unteren Teil werden die gefundenen Nachrichten aufgelistet und können ausgewählt und über "Nachforschen" weiter nach verfolgt werden.
Datenbankformat
Die Protokolldateien liegen je Server in der Freigabe "tracking.log", die in der Regel auf C:\EXCHSRVR\TRACKING.LOG verweist. Bei Exchange 5.5. haben hier leider JEDER:Lesen, so dass ohne entsprechende Anpassungen jeder Anwender hier eine Nachverfolgung starten könne. Erst mit Exchange 2003 ist dies geändert.
Die Exchange 5.5 Logs unterscheiden sich von Exchange 2000 und haben folgendes Format (Siehe auch Q173280 XADM: Tracking Log Field Descriptions). Trennzeichen ist ein Tabulator.
| Feld | Name | Format | Beschreibung |
|---|---|---|---|
| 1 | MTS-ID | MessageID der Nachricht | |
| 2 | Event ID | Integer | Vorgang, z.B. 0 = Nachricht MTA Eingehend 1 = Probe MTA Eingehend 10 = MTA sendet Quittung 26 = Verteilerliste auflösen Weitere Events siehe nächste Liste |
| 3 | Zeitstempel | Uhrzeit des Events in GMT | |
| 4 | Gatewayname | Name des Gateways. Das Feld ist leer, wenn kein Gateway involviert ist. | |
| 5 | Partnername | Gegenstelle, z.B. MTA der Gegenstelle oder der lokale Informationsspeicher | |
| 6 | Remote ID | MessageID des entfernten Systems | |
| 7 | Originator | DN des Absenders | |
| 8 | Priority | Integer | Priorität -1= Low 0 = Normal 1 = Hoch |
| 9 | Länge | Länge der Nachricht in Bytes | |
| 10 | Sekunden | 0 | nicht genutzt und daher immer 0 |
| 11 | Kosten | 1 | nicht genutzt und daher immer 1 |
| 12 | Betreff | In der Regel leer oder die Message ID einer Quittung | |
| 13 | Empfänger# | Anzahl der Empfänger | |
| 14 | Empfänger | Auflistung der Empfänger. Dieses Feld ist von den vorherigen Feldern durch ein LF getrennt !! |
Für weitere Auswertungen sind die EVENT-IDs interessant: (Quelle: KB174078 XADM: Tracking Log Event Numbers for Exchange 4.)
| Event# | Event Type | Description |
|---|---|---|
| 0 | Message transfer in | The message was received from a server,connector, or gateway. |
| 1 | Probe transfer in | An X.400 Probe was received from a gateway, link, or MTA. |
| 2 | Report transfer in | A delivery receipt or NDR was received from a server, connector, or gateway. |
| 4 | Message submission | The message was sent by the client. |
| 5 | Probe Submission | An X.400 Probe was received from a user. |
| 6 | Probe transfer out | An X.400 Probe was sent to a gateway, link, or MTA |
| 7 | Message transfer out | The message was sent to a server, connector, or gateway. |
| 8 | Report transfer out | A delivery receipt or NDR was sent to a server, connector, or gateway. |
| 9 | Message delivered | The message was delivered to a mailbox or public folder. |
| 10 | Report delivered | A delivery receipt or NDR was delivered to a mailbox. |
| 26 | Distribution list expansion | A recipient distribution list was expanded so the message could be sent to different addresses. |
| 28 | Message redirected | The message was sent to a mailbox other than those of the recipients. |
| 29 | Message rerouted | The message was routed to an alternate path. |
| 31 | Downgrading | An X.400 message was downgraded to 1984 format prior to relay. |
| 33 | Report absorption | The number of delivery receipts or NDRs exceeded a threshold, and the reports were deleted. |
| 34 | Report generation | A delivery receipt or NDR was created. |
| 43 | Unroutable report discarded | A delivery receipt or NDR could not be routed and was deleted from the queue. |
| 50 | Gateway deleted message | The Administrator deleted an X.400 message queued for a gateway. |
| 51 | Gateway deleted probe | The Administrator deleted an X.400 probe queued for a gateway. |
| 52 | Gateway deleted report | The administrator deleted an X.400 report queued for a gateway. |
| 1000 | Local Delivery | The sender and recipient are on the same server. |
| 1001 | Backbone transfer in | Mail was received from another MAPI system across a connector or gateway. |
| 1002 | Backbone transfer out | Mail was sent to another MAPI system across a connector or gateway. |
| 1003 | Gateway transfer out | The message was sent through a gateway. |
| 1004 | Gateway transfer in | The message was received from a gateway. |
| 1005 | Gateway report transfer in | A delivery receipt or NDR was received from a gateway. |
| 1006 | Gateway report transfer out | A delivery receipt or NDR was sent through a gateway. |
| 1007 | Gateway report generation | A gateway generated an NDR for a message. |
| 1010 | SMTP Queued Outbound | Outbound mail was queued for delivery by the Internet Mail Service. |
| 1011 | SMTP Transferred out | Outbound Outbound mail was transferred to an Internet recipient. |
| 1012 | SMTP Received | Inbound Inbound mail was received from by the Internet Mail Service. |
| 1013 | SMTP Transferred in | Inbound Mail received by the Internet Mail Service was transferred to the Information Store |
| 1014 | SMTP Message Rerouted | An Internet message is being rerouted or forwarded to the proper location. |
| 1015 | SMTP Report Transferred In | A delivery receipt or NDR was received by the Internet Mail Service. |
| 1016 | SMTP Report Transferred Out | A delivery receipt or NDR was sent to the Internet Mail Service. |
| 1017 | SMTP Report Generated | A delivery receipt or NDR was created. |
| 1018 | SMTP Report Absorbed | The receipt or NDR could not be delivered, and was absorbed. (It is not possible to send an NDR for an NDR.) |
Eine Mail kann dabei mehrere Events generieren, da Sie ja durch mehrere Stationen läuft. Um z.B. ein Maß der internen und externen Mails zu erhalten, kann man z.B. alle Mails mit einem 1000er Events (Lokale Zustellung) aufaddieren und
Weitere Links
- Exchange 200x Nachrichtentracking
- Nachrichtentracking mit Exchange 2007
- 174078 XADM: Tracking Log Event Numbers for Exchange 4.0
- 317700 XADM: How to Change the Location of the Message Tracking Logs
- 173364 XADM: Exchange 5.0 and 5.5 Tracking Log Event Numbers
