MS Exchange具有消息跟踪日志,管理员可以使用这些日志获取消息传递详细信息并监视邮箱流量。这些日志在本地Exchange和Office 365环境中都可以使用。在内置Exchange服务器中,可以通过PowerShell访问这些日志Get-MessageTrackingLogcmdlet。在Office 365中,您可以通过Exchange Admin Center (EAC)访问它们。
消息跟踪日志的意义
以下是MS Exchange中消息跟踪日志的一些实际用途:
- 分析:消息跟踪日志存储通过服务器的每条消息的详细信息。因此,您可以使用这些日志进行分析——查看谁发送/接收的消息数量最多,某一天发送了多少消息,等等。
- 消息传递监视:您可以使用消息跟踪日志来查看消息传递问题。如果一条消息没有被传递,您可以在日志中找到它的详细信息。
- 电子邮件取证:电子邮件调查是最关键的之一电子邮件取证调查技术.消息跟踪日志可以帮助进行此类调查。假设,在一个组织中进行调查,有人从服务器上删除了一些重要的电子邮件。在这种情况下,您可以查看邮件跟踪日志,以了解被删除邮件的详细信息。
消息跟踪日志位置
消息跟踪日志是扩展名为。log的CSV文件。这些文件存储在Exchange Server的以下默认位置:
% ExchangeInstallPath % TransportRoles \ Logs \ MessageTracking
Exchange Server使用循环日志记录。这意味着当文件夹达到其最大大小或文件达到其最大年龄时,旧的日志文件将被覆盖。缺省情况下,最大文件夹大小为10gb,最大日志文件保存时间为30天。
Exchange服务器中的日志文件
消息跟踪日志中的重要字段
- 发件人,收件人,MessageSubject:显示发送方、接收方和消息主题的名称。
- 时间戳:事件发生的时间。
- TotalBytes:显示消息的大小。
- EventID RecipientStatus,而且MessageInfo:提供关于消息发生了什么的详细信息。
如何使用Get-MessageTrackingLog Cmdlet?
您可以使用Get-MessageTrackingLogCmdlet在消息跟踪日志中搜索消息传递细节。
注意:的Get-MessageTrackingLogcmdlet仅可用于内部Exchange Server。
您可以使用Get-MessageTrackingLog cmdlet通过使用广泛的参数和语法来生成自定义报告。其中一些参数是:
为了演示,我们在Exchange Server中运行以下命令:
Get-MessageTrackingLog - receivers ravi.singh@stellarinfo.com -Start " 03/04/2021 4:00:00 " -End " 03/04/2021 5:00:00 "
这获取了ravi.singh@stellarinfo.com(接收方)2021年3月4日4:00:00到5:00:00 AM之间的消息日志条目。在MessageSubject列中,可以看到每个条目的电子邮件主题。在EventId列中,用不同的值表示不同的事件类型。例如,RECEIVE表示特定的消息是由传输服务的SMTP接收组件或重播或拾取目录接收的。有关这些事件的详细信息,请参见微软的消息跟踪文档.
让我们来看Get-MessageTrackingLog cmdlet的另一个例子:
Get-MessageTrackingLog -Start (Get-Date).AddDays(-10) -ResultSize Unlimited | Where -Property收件人-NotLike "*HealthMailbox*"
该命令将从消息跟踪日志中获取最近10天的条目。的-属性接收者-不像"*HealthMailbox*"部分省略与“运行状况邮箱”相关的条目。
office365中的消息跟踪
在Office 365中,您可以通过EAC (Exchange Admin Center)查询消息跟踪日志。为此,请参见邮件流>消息跟踪.EAC提供了一个简单的搜索表单,您可以根据自己的需求填写该表单。
高级消息跟踪与Stellar报告和审计Exchange服务器
Exchange服务器的Stellar报告和审计员是一款高级软件,可帮助审计和监视Exchange Server邮箱。对于所有Exchange管理员来说,这是一个很有价值的工具,因为它可以创建多达142个关于不同Exchange活动的报告。
Stellar report & Auditor for Exchange Server为Exchange环境中的消息跟踪和分析提供了完整的解决方案。它还节省时间并使消息分析更加准确。
该软件有一个单独的类别邮箱流量报告。这些报告提供来自MS Exchange邮箱的流量流入和前景的详细信息。
以下报告是在邮箱流量下提供的:
- 按发件人划分的邮件数量:它提供了关于用户在特定时间段内发送的消息数量的详细信息。该报表包含邮箱地址、发送的邮件总数(包括内部邮件和外部邮件),以及根据发送的邮件总数显示前10名发件人的图表。
- 按发件人划分的邮件大小:该报告提供了关于不同用户发送的消息大小的详细信息。该报表包含邮箱地址、发送邮件的大小(包括内部和外部邮件的大小),以及根据发送邮件的总大小显示前10名发件人的图表。
- 按收件人划分的邮件数量:这提供了关于不同用户接收到的消息数量的详细信息。该报表包含邮箱地址、收到的电子邮件总数(包括内部和外部电子邮件),以及根据收到的电子邮件总数显示前10位收件人的图表。
- 按收件人划分的邮件大小:它提供了关于不同用户接收到的消息大小的详细信息。该报表包含邮箱地址、收到的邮件大小(包括内部和外部邮件的大小),以及根据收到的邮件的总大小显示前10位收件人的图表。
- 用户发送流量:该报表提供特定用户的发送流量详细信息,包括日期、发件人电子邮件地址、收件人姓名、邮件主题、邮件大小和ID。
- 用户接收流量:该报表提供特定用户的接收流量详细信息,包括日期、收件人邮箱地址、收件人姓名、邮件主题、邮件大小和ID。
Stellar报告和审计器使消息跟踪更准确和更容易,因为:
- 提供详细的电子邮件统计,警报,动态图表等。
- 允许管理员调度邮箱流量和其他与邮件相关的扫描和报告任务
- 通过用于邮箱流量监视的web界面提供对报表的远程访问
Stellar Reporter & Auditor for Exchange Server是一种用于Exchange监视和报告的高度先进的解决方案。它与Exchange Server 2016、2013、2010和2007兼容免费的至60天.试一试今天!
结论
Exchange Server中的消息跟踪日志有助于监视消息传递,生成用于分析的报告等。您可以使用Get-MessageTrackingLog cmdlet来访问这些日志。然而,执行这些cmdlet是耗时的,并且需要完整的技术知识。或者,你也可以使用专用的交换审计和监控软件,例如Exchange Server的Stellar Reporter & Auditor,简化了Exchange监控任务。您可以使用该软件生成各种报告(包括消息跟踪报告)、监视邮箱活动等。
