Exchange 2000/2003 Nachrichtentracking
Für andere Exchange Versionen siehe Nachrichtentracking mit Exchange 5.x und Nachrichtentracking mit Exchange 2007
Nachrichtentracking aktivieren
Das Nachrichtentracking ist per Default nicht aktiv und muss je Server aktiviert werden. Option kann auch die Protokollierung des Betreffs mit aktiviert werden. Problem hierbei ist die Vergrößerung der Protokolldateien und das Thema Datenschutz. Leider kann Exchange die Protokolle nicht direkt in eine ODBC-Quelle schreiben.
Wichtig ist hier auch die Einstellung der Haltezeit, d.h. wie lange die Systemaufsicht die Protokolldateien vorhält.
Diese Einstellung sind für jeden Server zu aktivieren. Allerdings können Sie sich die Arbeit zumindest über eine Exchange Systemrichtlinie erleichtern und zentralisieren.
Nachtracken
Die Nachverfolgung der Nachrichten erfolgt ebenfalls aus dem Exchange Systemmanager.
Das Tracking startet immer bei einem Server. Wenn Sie den Absender können, dann ist dies der Ansatzpunkt für die Suche und das Tracking Center sucht den Homeserver dieses Benutzers als Startpunkt aus. Wenn Sie eher auf einem Connector Server eine durchlaufende Mail suchen, dann kann die Zieladresse in Verbindung mit dem passenden Startserver besser passen.
Das Tracking ist so ausgelegt, dass Sie zuerst eine Liste der Nachrichten sehen. Erst die Anwahl einer Nachricht sucht dann die passenden Details dazu heraus. Hierbei erkennt das Tracking Center aber auch, wenn die Nachricht zu einem anderen Server übertragen wurde und führt dort dann die Analyse weiter
Fehler beim Tracking.
Wenn Sie auch den Betreff mit aufzeichnen und dieser ein nicht-US-ASCII
Zeichen enthält, so kodieren einige Mailserver diese als ISO8859 .
(erkennbar an "=?ISO-8859-1?Q??=")
Das MessageTracking kann danach ankommende Meldungen nicht mehr anzeigen,
obwohl die Daten im Log vorhanden sind. Auswertungen mit anderen Programmen
sind daher möglich.
Ein Hotfix für Exchange 2003 ist angeblich verfügbar.
Datenbankformat
Die Protokolldateien liegen je Server in der Freigabe "%SERVERNAME%.log", die in der Regel auf C:\EXCHSRVR\%SERVERNAME.LOG verweist. Bei Exchange 5.5. haben hier leider JEDER:Lesen, so dass ohne entsprechende Anpassungen jeder Anwender hier eine Nachverfolgung starten könne. Erst mit Exchange 2003 ist dies geändert.
Die Trackinglogs von Exchange 2000 haben folgendes Format. Der Feldtrenner ist ein Tabulator. Bei Exchange 2000 SP3 und neuer kommt jedoch ein "Exchange Management Service" mit, der den Zugriff auf diese Informationen auch per WMI erlaubt.
Feld | Name | Format | Beschreibung |
---|---|---|---|
1 |
Date |
MM-DD-YYYY |
Datum des Eintrags |
2 |
Time |
HH:MM:SS GMT |
Uhrzeit in Greenwich Time |
3 |
Client-IP |
XXX.XXX.XXX.XXX |
IP-Adresse des Clients |
4 |
Client Host Name |
String |
Rechnername des Clients |
5 |
Partner Name |
String |
Name des Nachrichtendienstes. Dies kann sein: SMTP, X400, MAPI, IMAP, POP3, STORE |
6 |
Server Host Name |
String |
Server, der den Eintrag gemacht hat. |
7 |
Server IP |
XXX.XXX.XXX.XXX |
IP-Adresse des Servers, der den Eintrag gemacht hat. |
8 |
Recipient Address |
String |
Empfänger der Nachricht |
9 |
Event ID |
Integer |
Vorgang, z.B. 0 = Nachricht MTA Eingehend 1 = Probe MTA Eingehend 10 = MTA sendet Quittung 26 = Verteilerliste auflösen 1000 = Lokale Zustellung 1003 = Versand über Gateway 1004 = Empfang von Gateway 1023 = SMTP local delivery A message was
successfully delivered by a store drive (logged by Advanced Queue). Eine vollständige Liste ist in den Exchange Dokumentationen und der TechNet "
|
10 |
MSGID |
String |
Message ID |
11 |
Priority |
Integer |
Priorität |
12 |
Recipient Report Status |
Integer |
Status für Quittungen |
13 |
Total Bytes |
NNNNNNN |
Größe der Nachricht in Bytes |
14 |
Number Recipients |
Integer |
Anzahl der Empfänger |
15 |
Origination Time |
Integer |
Zeit, wann die Nachricht das erste Mal in die Organisation gekommen ist. |
16 |
Encryption |
Integer |
Verschlüsselung |
17 |
Service Version |
String |
Version des Dienstes, der den Eintrag erzeugt hat. |
18 |
Linked MSGID |
String |
Alternative Message ID, wenn die Nachricht aus einem Fremdsystem gekommen ist. So können auch diese Nachrichten verfolgt werden. |
19 |
Message Subject |
String, base64 encoded if Loc. |
Betreff der Nachricht auf 64 Zeichen gekürzt. Funktioniert nur, wenn auch die Protokollierung des Betreffs auf dem Server aktiviert wurde ! (nicht default) |
20 |
Sender Address |
String |
Primäre Adresse der Absendermailbox. |
21 |
- |
- |
Warum, auch immer finde ich bei einigen Tracking Logs noch eine weitere Spalte mit einem "-", deren Funktion mir nicht bekannte ist. Es gibt keinen Header dazu. |
Der Weg durch die Firma
Entsprechend findet man dann beim Routing durch eine Firma mehrere Events, die sich nacheinander im Logfile des Server finden. Wenn Sie ein paar Testmails senden, dann sehen Sie folgende Events.
Internet ->MB |
MB-> Internet |
MB->MB Local |
Site2Site Sender |
Site2Site Receiver |
Beschreibung (Siehe KB 821905) |
---|---|---|---|---|---|
|
1027 |
1027 |
1027 |
|
SMTP submit
message to store
driver (SD) |
Ich habe mal Sonderfälle ausgelassen, aber im Grund sehen Sie sehr viele übereinstimmende Events.
- 1027 und 1028
Diese beiden Events kennzeichnen eine neue Mail aus einer Mailbox (ausgehend) und eine lokale Zustellung einer Mail - 1031/1019
Diese beiden Events zeigen an, wenn eine Mail die aktuelle Umgebung per SMTP verlässt oder empfängt, wobei der 1019 auch anderweitig vorkommt. Es wird nicht zwischen "Internet" und SiteLinks" unterschieden. - 1019 ist
immer dabei
Dabei eignet sich jeder diese Events gut für Auswertungen nach Summen.
Wer also zuverlässig Mails nach Intern, SameOrg und Internet unterscheiden möchte, kann dies über das Messagetracking nur sehr schwer tun, sondern muss letztlich die Sender und Empfänger ermitteln und sich z.B. an den Event 1019 halten.
- 821905 Message Tracking Event IDs in Exchange Server 2003
Weitere Links
- MTRACK Auswertung von Trackinglogs
- Exchange 5.5 Nachrichtentracking
- Nachrichtentracking mit Exchange 2007
- Exchange 2003: Exchange_MessageTrackingEntry Class
http://msdn.microsoft.com/en-us/library/aa143739(v=exchg.65).aspx - 246856 XADM: How to Enable Message Tracking in Exchange 2000 Server
- 246959 XADM: Message Tracking Event IDs and Description 2000
- 246965 XADM: Message Tracking Logs Field Descriptions in Exchange 2000 Server
- 262162 XADM: using the Message Tracking Center to Track a Message
- 317700 XADM: How to Change the Location of the Message Tracking Logs
- 841089 How to change the location of the message tracking logs in Exchange Server 2003
- 818017 XADM: Incorrect Origination Times Are Displayed in the Message Tracking Logs
- 823864 Improved Message Tracking Features in Exchange Server 2003
- 821905 Message Tracking Event IDs in Exchange Server 2003
- 821910 HOW TO: Troubleshoot für Exchange Server 2003 Transport Issues
- 875605 How to troubleshoot WMI-related issues in Windows XP SP2
- 895263 The expected e-mail messages are not found when you use Message Tracking Center in Exchange Server 2003
- http://msdn.Microsoft.com/library/en-us/wss/wss/_wmiref_msgtracking_xmlschema.asp
-
http://www.Microsoft.com/technet/treeview/default.asp?URL=/technet/
prodtechnol/exchange/exchange2000/maintain/monitor/15x2kada.asp (Feldbeschreibung für Time-Taken ist falsch) - Beschreibung der Felder
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/dnmes2k/html/e2k_cmpts.asp - Power-Shelling the Message Tracking logs on Exchange 2000/2003 http://gsexdev.blogspot.com/2006/05/power-shelling-message-tracking-logs.html