Welche Datenquellen gibt es ?

Folgende Informationsquellen können bei der Exchange Nutzung angefragt werden. Die gewonnenen Daten müssen jedoch mit Zusatzprogrammen dann zusammengeführt werden. Einige Schnittstellen sind weniger gut geeignet, da deren Informationsgehalt für viele Reports nicht genutzt werden.

Folgende Quellen können z.B. genutzt werden:

Message Tracking Logs

Alle Exchange Server protokollieren die übertragenen Nachrichten in Textdateien. Diese liegen auf dem jeweiligen Server in einem Verzeichnis. Sie enthalten unter anderem:

  • Zeitstempel
  • Absender
  • Empfänger
  • Größe der Nachricht
  • Betreff (nur wenn aktiviert)
  • Statusinformationen

Diese Information wird z.B.: von Exchange selbst für die Nachrichtenverfolgung heran gezogen, d.h. wenn ein Administrator wissen möchte, welchen Weg eine Nachricht genommen hat, dann kann er im Exchange System Manager diese Dateien über alle Server hinweg durchsuchen lassen und erhält tabellarisch die Stationen der Mail.

Diese Datenquelle ist auch der erste Anlaufpunkt, um Auswertungen bezüglich des Datenvolumens für übertragene Nachrichten durchzuführen. Aufgrund der Form und dem Dateninhalt ist es denkbar, dass die Daten auch durch Tools ausgewertet werden, welche ansonsten die Logdateien von Webservern auswerten.

Exchange Management API und WebDAV

Die Management API bzw. den Zugriff per MAPI/WebDAV ist eine Auswertung auf den Informationsspeichern möglich. Über diese Schnittstellen kann der aktuelle Stand von bestimmten Kennzahlen abgefragt werden, z.B.

  • Größe einer Mailbox
  • Anzahl der Mails je Ordner
  • Zugriffberechtigungen
  • Größe und Anzahl von Objekten in öffentlichen Ordnern

Allerdings sind diese immer Momentaufnahmen und keine historischen oder Trenddaten. Zudem muss das Programm zur Auswertung sehr weit reichende Berechtigungen auf die abzufragenden Postfächer haben. Über diese Schnittstelle ist sogar ein Zugriff bis auf die Inhalte möglich, z.B.: um Berichte über Dateitypen in Anlagen zu erstellen.

Daher wird diese Quelle oft von periodisch laufenden Programmen genutzt, die die Daten auslesen und in einer Datenbank für spätere Auswertungen durch weniger privilegierte Konten gespeichert.

Performance Counter

Windows kennt das System der Performance Counter, welche statistische Werte für eine Vielzahl von Prozessen bereit stellen. Sie eignen sich z.B.: für die Überwachung des Systems selbst. Eine Auswahl der Counter

  • Aktive SMTP-Verbindungen
  • Anzahl der aktuell angemeldeten Benutzer
  • Länge der Warteschlangen im System

Auch diese Counter sind nicht historisch, sondern stellen eine Momentaufnahme dar. Ein Rückschluss auf einzelne Benutzer oder Postfächer ist nicht möglich

Eventlog Überwachung

Eine weitere mögliche Quelle ist das Eventlog selbst. Je nach Aktivierung können hier z.B. überwacht werden:

  • An/Abmeldungen
  • Zugriffe auf Ordner
  • Löschen von Ordnern

Allerdings ist diese Überwachung erst über das Exchange Diagnoseprotokoll einzuschalten und zusätzliche Programme sind erforderlich, um die Meldungen zeitnahe aus dem Eventlog zu extrahieren und zur Auswertung bereit zu stellen. Sie enthalten meist keine Informationen über die Datenmenge aber eignen sich gut, um aktive Mailboxen und die zeitliche Verteilung der Nutzung zu erkennen.

Netzwerkanalyse

Ein von Exchange und dem Server unabhängige Quelle kann das Netzwerk selbst sein. Jeder Anwender, der auf Exchange zugreift aber auch die Kommunikation von Exchange selbst erfolgt über das Netzwerk und ist damit sowohl inhaltlich als auch vom Volumen her zu erfassen. Über eine Analyse der Datenströme können die verschiedenen Endgeräte (IP-Adressen) ermittelt werden.

Gesendete und übertragene Bytes
Hilfreich, wenn ein Monitor alle Pakete zu und vom Exchange Server und den Clients erfasst und aufzeigt.

  • Zeitliche Verteilung der Nutzung
  • Verteilung der Protokolle

Hierüber ist es dann indirekt möglich, die Belastung durch einzelne Endgeräte zu erfassen, d.h. welcher Anwender arbeitet wie intensiv mit dem Server.

IIS-Log

Viele Zugriffe auf Exchange 2000/2003 erfolgen über den Windows IIS-Dienst. Der Webserver schreibt eben falls Zugriffsprotokolle die eine Auswertung nach Anwender und Anwendung ermöglichen.

  • Aussagen zur Benutzung des Outlook Web Access, z.B.: Zeitliche Verteilung, Auswertungen nach Benutzer
  • Aussagen zu ActiveSync Anwendern

Diese Protokolle enthalten jedoch keine Informationen über Zugriffe mit Outlook über MAPI/RPC.