Nachrichtentracking

Microsoft Exchange kann so genannte Nachrichtenprotokolle anlegen. Das sollte nicht mit den Protokolldateien der Datenbank selbst verwechselt werden. Die Übertragungsprotokolle enthalten die Informationen, wer an wen welche Mail gesendet hat. Es wird je Tag eine Datei angelegt.

Details zum Tracking finden Sie auf:

Protokollierung einstellen

Das Nachrichtenprotokoll ist bei Exchange per Default deaktiviert. Die Server legen dazu Informationen zu allen übertragenen Nachrichten in Textdateien ab, die auch über Netzwerkfreigaben zu erreichen sind: je nach Version sind die Protokolle an unterschiedlichen Stellen zu aktivieren.

  • Exchange 5.5
    Exchange Administrator starten
    - Systemaufsicht des Servers: Haltezeit für Logs einstellen (z.B. 30 Tage
    - MTA Standortkonfiguration Tracking aktivieren
    - IS Standortkonfiguration Tracking aktivieren
    - weitere Connectoren Tracking aktivieren
    Daten sammeln sich in der Freigabe "tracking.log"
  • Exchange 2000/2003
    Exchange System Manager
    - Eigenschaften des Servers: Tracking aktivieren
    - Eigenschaften des Servers: Haltezeit für Logs einstellen (z.B. 30 Tage)
    Daten liegen dann in der Freigabe "%servername%.log"
  • Exchange 2007
    Powerhell

Set-TransportServer -MessageTrackingLogEnabled <$true | $false>
Set-MailboxServer -MessageTrackingLogEnabled <$true | $false>
Set-TransportServer -MessageTrackingLogPath
Set-MailboxServer -MessageTrackingLogPath
Set-TransportServer -MessageTrackingLogMaxFileSize <FileSize>
Set-MailboxServer -MessageTrackingLogMaxFileSize  <FileSize>
Set-TransportServer -MessageTrackingLogMaxDirectorySize  <Size>
Set-MailboxServer -MessageTrackingLogMaxDirectorySize <Size>
Set-TransportServer -MessageTrackingLogMaxAge <age>
Set-MailboxServer -MessageTrackingLogMaxAge <age>
Set-TransportServer -MessageTrackingLogSubjectLoggingEnabled <$true|$false>
Set-MailboxServer -MessageTrackingLogSubjectLoggingEnabled <$true|$false>

Über die Freigabe greifen Tools zu, die den Laufweg einer Nachricht durch das System nach erfolgen. Leider hat daher auch jeder Benutzer recht viele Rechte. Allerdings muss das nicht jeder Anwender tun. Daher sollten Sie die Rechte auf diese Freigabe passend einstellen.

Weiterhin können und sollten Sie je Server einstellen, wie lange diese Dateien gehalten werden. Standard sind 7 Tage, d.h. nach einer Woche löscht Exchange die älteren Dateien alleine. Die Einstellungen erfolgt über den Exchange Administrator in der Konfiguration der Site bei der Systemaufsicht. Jede Mail produziert ca. 500 Byte umfang, so dass sie auch bei 1000 Nachrichten gerade mal 500 Kilobyte erreichen. So können sie auch 30 Tage oder mehr als Verfallszeit einstellen. Aber kontrollieren Sie diese Dateien und deren Größe.

Es gibt keine weiteren Protokolldateien seitens des Internet Mail Connectors oder anderen Dienste, die für eine einfache Auswertung herangezogen werden können.

Kompression

Ein Tipp am Rande. Die Protokolldateien landen auf ihrem Exchange Server und sind reine Textdateien. Sie sollten bei geringem Platz auf der Festplatte überlegen, das Verzeichnis zu komprimieren. Die Protokolldateien werden oft auf 1/4 des ursprünglichen Platzes verdichtet. Wer die Dateien mit einem Packer komprimiert, kommt oft auf noch geringere Dateigrößen. Das erlaubt es auch mehr als die üblichen 7 oder 30 letzten Tage zu archivieren.

Das Format Protokolldateien

Die Protokolldateien sind einfache Textdateien, welche einen einfachen Datensatzaufbau haben:

  • Die Datei enthält Datensätze aber keine Überschriften bzw. Feldbezeichnungen
  • Die Datensätze sind durch einen Leerzeile (CR LF) voneinander getrennt
  • Die einzelnen Felder sind durch einen Tabulator voneinander getrennt

Sie können mit entsprechenden Werkzeugen (z.B. Excel) die Datei problemlos öffnen und betrachten. Die Beschreibung der einzelnen Felder ist in der BPOSdokumentation beschrieben. Es gibt im Exchange 2000 und Exchange 5.5 Ressource Kit entsprechende Berichte (Lightversion von Seagate Crystal Reports) zur Auswertung. Die Formatbeschreibungen sind auf folgenden Seiten (Exchange 5.x, Exchange 2000/2003). Weitere Informationen zum Auswerten der Logs finden Sie auch unter Reporting.

In der Protokolldatei ist aber keine Information über den Inhalt der Mail oder Namen von Anlagen oder deren Inhalte verfügbar. Maximal der Betreff kann bei Exchange 2000/2003 mit protokolliert werden. Wenn hierzu Informationen notwendig sind, dann kann ab Exchange 5.5 SP2 das so genannte Nachrichtenjournal  (Siehe auch Nachrichten Archivieren mit Exchange)

Nachverfolgen mit Exchange Administrator

Eine einfache schnelle Auswertung ist mit dem Exchange Administrator möglich. ��ber den Menüpunkt "Extras - Nachrichtenstatus" können die diese Protokolldateien dazu nutzen, den Verlauf einer Mail zu kontrollieren. Der Exchange Administrator liest dazu ihre Datei ein und wenn die Mail an einen anderen Server übergeben wurde, liest er auf diesem Server weiter. (Daher auch die Freigabe). So können Sie sehr genau nachvollziehen, wann eine Mail durch welches System gelaufen ist.

Seit Exchange 2000 SP3 und Exchange 2003 nutzt der Exchange System Manager nicht mehr die Freigabe, sondern fragt die Daten per WMI ab,

Entsprechend ist WMI in Firewall (speziell auf Windows XP mit SP2) freizuschalten. Siehe auch

  • 875605 How to troubleshoot WMI-related issues in Windows XP SP2

Für eine Abrechnung reichen diese Funktionen aber nicht aus. Hier ist eine andere Software gefragt. Siehe (MSXFAQ - Reporting)

Auswertung

Es gibt eine Menge von Auswerteprogrammen für die Exchange Quellen. Ein Muster finden Sie auf dem Exchange Team Blog

Und natürlich auf einigen anderen Seiten

Weitere Links