Exchange 5.5 Nachrichtentracking

Für anderer Exchange Versionen siehe Nachrichtentracking mit Exchange 2000/2003 und Nachrichtentracking mit Exchange 2007

Nachrichtentracking aktivieren

Bei Exchange 5.5 ist die Aktivierung des Nachrichtentracking um einiges aufwändiger als bei Exchange 2000/2003. Die Einstellungen für das Nachrichtentracking stehen gleich an mehreren Stellen:

  • Systemaufsicht des Servers
    Globale Einstellungen für die Vorhaltezeit der Protokolldateien
  • MTA Standortkonfiguration, um alle Aktionen des MTA und damit verbundenen X.400 Connectoren zu protokollieren
  • IS Standortortkonfiguration um alle Aktionen des Store zu protokollieren
  • Connectoren

    Der SMTP-Connector und MS-Mail Connector hat ebenso eine Option, die Protokollierung zu aktivieren. Auch einige Dritthersteller von Connectoren haben die Option eingebaut.

Nachtracken

Die Nachverfolgung mit Hilfe der aufgezeichneten Dateien erfolgt über den Exchange Administrator. Über das Menü "Extra - Nachrichtenstatus" wird die Verfolgung gestartet:

Der Exchange Administrator startet sofort ein Suchfenster, um nach Empfängern und Senden zu suchen. Wenn Sie dies abbrechen, dann kommen Sie zu der eigentlichen Maske. Hier müssen Sie nun definieren, was sie suchen.

Entweder sie nutzen die "Suchen" Schaltfläche um nach Empfänger oder Sender eine Auswahl zu treffen oder sie nutzen die "Erweiterte  Suche", um z.B. Nachrichten über Connectoren oder von bestimmten Servern zu verfolgen.

Im unteren Teil werden die gefundenen Nachrichten aufgelistet und können ausgewählt und über "Nachforschen" weiter nach verfolgt  werden.

Datenbankformat

Die Protokolldateien liegen je Server in der Freigabe "tracking.log", die in der Regel auf C:\EXCHSRVR\TRACKING.LOG verweist. Bei Exchange 5.5. haben hier leider JEDER:Lesen, so dass ohne entsprechende Anpassungen jeder Anwender hier eine Nachverfolgung starten könne. Erst mit Exchange 2003 ist dies geändert.

Die Exchange 5.5 Logs unterscheiden sich von Exchange 2000 und haben folgendes Format (Siehe auch Q173280 XADM: Tracking Log Field Descriptions). Trennzeichen ist ein Tabulator.

Feld Name Format Beschreibung

1

MTS-ID

 

MessageID der Nachricht

2

Event ID

Integer

Vorgang, z.B.
0 = Nachricht MTA Eingehend
1 = Probe MTA Eingehend
10 = MTA sendet Quittung
26 = Verteilerliste auflösen
Weitere Events siehe nächste Liste

3

Zeitstempel

 

Uhrzeit des Events in GMT

4

Gatewayname

 

Name des Gateways. Das Feld ist leer, wenn kein Gateway involviert ist.

5

Partnername

 

Gegenstelle, z.B. MTA der Gegenstelle oder der lokale Informationsspeicher

6

Remote ID

 

MessageID des entfernten Systems

7

Originator

 

DN des Absenders

8

Priority

Integer

Priorität
-1= Low
0 = Normal
1 = Hoch

9

Länge

 

Länge der Nachricht in Bytes

10

Sekunden

0

nicht genutzt und daher immer 0

11

Kosten

1

nicht genutzt und daher immer 1

12

Betreff

 

In der Regel leer oder die Message ID einer Quittung

13

Empfänger#

 

Anzahl der Empfänger

14

Empfänger

 

Auflistung der Empfänger. Dieses Feld ist von den vorherigen Feldern durch ein LF getrennt !!

Für weitere Auswertungen sind die EVENT-IDs interessant: (Quelle: KB174078 XADM: Tracking Log Event Numbers für Exchange 4.)

Event# Event Type Description

0

Message transfer in

The message was received from a server,connector, or gateway.

1

Probe transfer in

An X.400 Probe was received from a gateway, link, or MTA.

2

Report transfer in

A delivery receipt or NDR was received from a server, connector, or gateway.

4

Message submission

The message was sent by the client.

5

Probe Submission

An X.400 Probe was received from a user.

6

Probe transfer out

An X.400 Probe was sent to a gateway, link, or MTA

7

Message transfer out

The message was sent to a server, connector, or gateway.

8

Report transfer out

A delivery receipt or NDR was sent to a server, connector, or gateway.

9

Message delivered

The message was delivered to a mailbox or public folder.

10

Report delivered

A delivery receipt or NDR was delivered to a mailbox.

26

Distribution list expansion

A recipient distribution list was expanded so the message could be sent to different addresses.

28

Message redirected

The message was sent to a mailbox other than those of the recipients.

29

Message rerouted

The message was routed to an alternate path.

31

Downgrading

An X.400 message was downgraded to 1984 format prior to relay.

33

Report absorption

The number of delivery receipts or NDRs exceeded a threshold, and the reports were deleted.

34

Report generation

A delivery receipt or NDR was created.

43

Unroutable report discarded

A delivery receipt or NDR could not be routed and was deleted from the queue.

50

Gateway deleted message

The Administrator deleted an X.400 message queued für a gateway.

51

Gateway deleted probe

The Administrator deleted an X.400 probe queued für a gateway.

52

Gateway deleted report

The administrator deleted an X.400 report queued für a gateway.

1000

Local Delivery

The sender and recipient are on the same server.

1001

Backbone transfer in

Mail was received from another MAPI system across a connector or gateway.

1002

Backbone transfer out

Mail was sent to another MAPI system across a connector or gateway.

1003

Gateway transfer out

The message was sent through a gateway.

1004

Gateway transfer in

The message was received from a gateway.

1005

Gateway report transfer in

A delivery receipt or NDR was received from a gateway.

1006

Gateway report transfer out

A delivery receipt or NDR was sent  through a gateway.

1007

Gateway report generation

A gateway generated an NDR für a message.

1010

SMTP Queued Outbound

Outbound mail was queued für delivery by the Internet Mail Service.

1011

SMTP Transferred out

Outbound Outbound mail was transferred to an Internet recipient.

1012

SMTP Received

Inbound Inbound mail was received from by the Internet Mail Service.

1013

SMTP Transferred in

Inbound Mail received by the Internet Mail Service was transferred to the Information Store

1014

SMTP Message Rerouted

An Internet message is being rerouted or forwarded to the proper location.

1015

SMTP Report Transferred In

A delivery receipt or NDR was received by the Internet Mail Service.

1016

SMTP Report Transferred Out

A delivery receipt or NDR was sent to the Internet Mail Service.

1017

SMTP Report Generated

A delivery receipt or NDR was created.

1018

SMTP Report Absorbed

The receipt or NDR could not be delivered, and was absorbed. (It is not possible to send an NDR für an NDR.)

Eine Mail kann dabei mehrere Events generieren, da Sie ja durch mehrere Stationen läuft. Um z.B. ein Maß der internen und externen Mails zu erhalten, kann man z.B. alle Mails mit einem 1000er Events (Lokale Zustellung) aufaddieren und

Weitere Links