Exchange 2000/2003 Nachrichtentracking

Für andere Exchange Versionen siehe Nachrichtentracking mit Exchange 5.x und Nachrichtentracking mit Exchange 2007

Nachrichtentracking aktivieren

Das Nachrichtentracking ist per Default nicht aktiv und muss je Server aktiviert werden. Option kann auch die Protokollierung des Betreffs mit aktiviert werden. Problem hierbei ist die Vergrößerung der Protokolldateien und das Thema Datenschutz. Leider kann Exchange die Protokolle nicht direkt in eine ODBC-Quelle schreiben.

Wichtig ist hier auch die Einstellung der Haltezeit, d.h. wie lange die Systemaufsicht die Protokolldateien vorhält.

Diese Einstellung sind für jeden Server zu aktivieren. Allerdings können Sie sich die Arbeit zumindest über eine Exchange Systemrichtlinie erleichtern und zentralisieren.

Nachtracken

Die Nachverfolgung der Nachrichten erfolgt ebenfalls aus dem Exchange Systemmanager.

(Bitte Klicken)

Das Tracking startet immer bei einem Server. Wenn Sie den Absender können, dann ist dies der Ansatzpunkt für die Suche und das Tracking Center sucht den Homeserver dieses Benutzers als Startpunkt aus. Wenn Sie eher auf einem Connector Server eine durchlaufende Mail suchen, dann kann die Zieladresse in Verbindung mit dem passenden Startserver besser passen.

Das Tracking ist so ausgelegt, dass Sie zuerst eine Liste der Nachrichten sehen. Erst die Anwahl einer Nachricht sucht dann die passenden Details dazu heraus. Hierbei erkennt das Tracking Center aber auch, wenn die Nachricht zu einem anderen Server übertragen wurde und führt dort dann die Analyse weiter

Fehler beim Tracking.
Wenn Sie auch den Betreff mit aufzeichnen und dieser ein nicht-US-ASCII Zeichen enthält, so kodieren einige Mailserver diese als ISO8859 . (erkennbar an "=?ISO-8859-1?Q??=")
Das MessageTracking kann danach ankommende Meldungen nicht mehr anzeigen, obwohl die Daten im Log vorhanden sind. Auswertungen mit anderen Programmen sind daher möglich.
Ein Hotfix für Exchange 2003 ist angeblich verfügbar.

Datenbankformat

Die Protokolldateien liegen je Server in der Freigabe "%SERVERNAME%.log", die in der Regel auf C:\EXCHSRVR\%SERVERNAME.LOG verweist. Bei Exchange 5.5. haben hier leider JEDER:Lesen, so dass ohne entsprechende Anpassungen jeder Anwender hier eine Nachverfolgung starten könne. Erst mit Exchange 2003 ist dies geändert.

Die Trackinglogs von Exchange 2000 haben folgendes Format. Der Feldtrenner ist ein Tabulator. Bei Exchange 2000 SP3 und neuer kommt jedoch ein "Exchange Management Service" mit, der den Zugriff auf diese Informationen auch per WMI erlaubt.

Feld Name Format Beschreibung

1

Date

MM-DD-YYYY

Datum des Eintrags

2

Time

HH:MM:SS GMT

Uhrzeit in Greenwich Time

3

Client-IP

XXX.XXX.XXX.XXX

IP-Adresse des Clients

4

Client Host Name

String

Rechnername des Clients

5

Partner Name

String

Name des Nachrichtendienstes. Dies kann sein: SMTP, X400, MAPI, IMAP, POP3, STORE

6

Server Host Name

String

Server, der den Eintrag gemacht hat.

7

Server IP

XXX.XXX.XXX.XXX

IP-Adresse des Servers, der den Eintrag gemacht hat.

8

Recipient Address

String

Empfänger der Nachricht
(SMTP oder X.400 Adresse).

9

Event ID

Integer

Vorgang, z.B.
0 = Nachricht MTA Eingehend
1 = Probe MTA Eingehend
10 = MTA sendet Quittung
26 = Verteilerliste auflösen
1000 = Lokale Zustellung
1003 = Versand über Gateway
1004 = Empfang von Gateway

1023 = SMTP local delivery A message was successfully delivered by a store drive (logged by Advanced Queue).
1031 = End Outbound SMTP Transfer

Eine vollständige Liste ist in den Exchange Dokumentationen und der TechNet "

  • 821905 Message Tracking Event IDs in Exchange Server 2003
  • 246959 XADM: Message Tracking Event IDs and Description 2000

10

MSGID

String

Message ID

11

Priority

Integer

Priorität
-1= Low
0 = Normal
1 = Hoch

12

Recipient Report Status

Integer

Status für Quittungen
0 = Zugestellt
1 = Nicht zugestellt

13

Total Bytes

NNNNNNN

Größe der Nachricht in Bytes

14

Number Recipients

Integer

Anzahl der Empfänger

15

Origination Time

Integer

Zeit, wann die Nachricht das erste Mal in die Organisation gekommen ist.
In Verbindung mit Feld 2 (Time) kann die Laufzeit ermittelt werden.

16

Encryption

Integer

Verschlüsselung
0 = keine Verschlüsselung
1 = Nachricht ist signiert
2 = Nachricht ist verschlüsselt
Der Eintrag ist pro Nachricht, nicht pro Empfänger.

17

Service Version

String

Version des Dienstes, der den Eintrag erzeugt hat.

18

Linked MSGID

String

Alternative Message ID, wenn die Nachricht aus einem Fremdsystem gekommen ist. So können auch diese Nachrichten verfolgt werden.

19

Message Subject

String, base64 encoded if Loc.

Betreff der Nachricht auf 64 Zeichen gekürzt. Funktioniert nur, wenn auch die Protokollierung des Betreffs auf dem Server aktiviert wurde ! (nicht default)

20

Sender Address

String

Primäre Adresse der Absendermailbox.
Dies kann die SMTP, X.400, oder DN der Mailbox sein.

21

-

-

Warum, auch immer finde ich bei einigen Tracking Logs noch eine weitere Spalte mit einem "-", deren Funktion mir nicht bekannte ist. Es gibt keinen Header dazu.

Der Weg durch die Firma

Entsprechend findet man dann beim Routing durch eine Firma mehrere Events, die sich nacheinander im Logfile des Server finden. Wenn Sie ein paar Testmails senden, dann sehen Sie folgende Events.

Internet
->MB
MB->
Internet
MB->MB
Local
Site2Site
Sender
Site2Site
Receiver
Beschreibung (Siehe KB 821905)


1019
1025
1024
---
1033
1036



1023
1028

1027
1019
1025
1024
---
1033

1034
1020
1031

1027
1019
1025
1024
---
1033
1036



1023
1028

1027
1019
1025
1024
---
1033

1034
1020
1031


1019
1025
1024
---
1033
1036



1023
1028

SMTP submit message to store driver (SD)
SMTP submit message to Advanced Queuing (AQ)
SMTP A new message was submitted to AQ
SMTP submit message to the categorizer
--- Split bei mehreren Empfängern
SMTP message categorized and queued für routing
SMTP message queued für local delivery
SMTP message routed and queued für remote delivery
SMTP begin outbound transfer
SMTP end outbound transfer
SMTP local delivery
Store: local delivery

Ich habe mal Sonderfälle ausgelassen, aber im Grund sehen Sie sehr viele übereinstimmende Events.

  • 1027 und 1028
    Diese beiden Events kennzeichnen eine neue Mail aus einer Mailbox (ausgehend) und eine lokale Zustellung einer Mail
  • 1031/1019
    Diese beiden Events zeigen an, wenn eine Mail die aktuelle Umgebung per SMTP verlässt oder empfängt, wobei der 1019 auch anderweitig vorkommt. Es wird nicht zwischen "Internet" und SiteLinks" unterschieden.
  • 1019 ist immer dabei
    Dabei eignet sich jeder diese Events gut für Auswertungen nach Summen.

Wer also zuverlässig Mails nach Intern, SameOrg und Internet unterscheiden möchte, kann dies über das Messagetracking nur sehr schwer tun, sondern muss letztlich die Sender und Empfänger ermitteln und sich z.B. an den Event 1019 halten.

  • 821905 Message Tracking Event IDs in Exchange Server 2003

Weitere Links