Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A:
2016 2019 Subscription Edition
O registo de controlo de mensagens é um registo detalhado de toda a atividade à medida que o correio flui através do pipeline de transporte em servidores de Caixa de Correio e servidores de Transporte Edge. É possível usar o controle de mensagens para análise forense de mensagens, análise de fluxo de mensagens, relatórios e solução de problemas.
Por predefinição, o Exchange utiliza o registo circular para limitar o registo de controlo de mensagens com base no tamanho do ficheiro e na idade do ficheiro para ajudar a controlar o espaço no disco rígido utilizado pelos ficheiros de registo. Para configurar o registo de controlo de mensagens, veja Configurar o controlo de mensagens.
Pesquisar no log de controle de mensagens
Os registos de controlo de mensagens contêm grandes quantidades de dados à medida que as mensagens são movidas através de um servidor de Caixa de Correio ou de um servidor de Transporte Edge. Quando se trata de pesquisar os registos de controlo de mensagens, tem opções:
Get-MessageTrackingLog: os administradores podem utilizar este cmdlet da Shell de Gestão do Exchange para procurar informações sobre mensagens no registo de controlo de mensagens através de um vasto leque de critérios de filtro. Para saber mais, confira Logs de rastreamento de mensagens de pesquisa.
Relatórios de entrega para administradores: os administradores podem utilizar o separador Relatórios de entrega no centro de administração do Exchange ou os cmdlets Search-MessageTrackingReport e Get-MessageTrackingReport subjacentes na Shell de Gestão do Exchange para procurar informações sobre mensagens enviadas ou recebidas por uma caixa de correio específica na organização. Para obter mais informações, veja Relatórios de entrega para administradores.
Estrutura dos arquivos de log de controle de mensagens
Por predefinição, os ficheiros de registo de controlo de mensagens existem em %ExchangeInstallPath%TransportRoles\Logs\MessageTracking. A pasta contém ficheiros de registo com nomes diferentes, mas todos seguem a convenção MSGTRKServiceyyyyMMdd-nnnn.logde nomenclatura . Os diferentes nomes dos ficheiros de registo são descritos na tabela seguinte.
| Nome do arquivo | Servidores | Descrição |
|---|---|---|
MSGTRK |
Servidores de Caixa de Correio e servidores de Transporte de Borda | Arquivos de log para o Serviço de Transporte. |
MSGTRKMA |
Servidores Caixa de Correio | Arquivos de log para as aprovações e rejeições no transporte moderado. Para saber mais, confira Gerenciar a aprovação de mensagens. |
MSGTRKMD |
Servidores Caixa de Correio | Arquivos de log de mensagens entregues a caixas de correio pelo serviço de Entrega de Transporte de Caixa de Correio. |
MSGTRKMS |
Servidores Caixa de Correio | Arquivos de log de mensagens enviadas de caixas de correio pelo serviço de Entrega de Transporte de Caixa de Correio. |
Os outros marcadores de posição nos nomes dos ficheiros de registo representam as seguintes informações:
yyyyMMdd é a data de hora universal coordenada (UTC) quando o ficheiro de registo foi criado. aaaa = ano, MM = mês e dd = dia.
nnnn é um número de instância que começa no valor 1 todos os dias para cada registo.
As informações são escritas no ficheiro de registo até que o ficheiro atinja o tamanho máximo. Em seguida, é aberto um novo ficheiro de registo com um número de instância incrementado (o primeiro ficheiro de registo é -1, o seguinte é -2, etc.). O registo circular elimina os ficheiros de registo mais antigos de um serviço quando uma das seguintes condições for verdadeira:
Um ficheiro de registo atinge a idade máxima.
A pasta de registo de controlo de mensagens atinge o tamanho máximo.
Observações:
O tamanho máximo da pasta de registo de controlo de mensagens é calculado como o tamanho total de todos os ficheiros de registo que têm o mesmo prefixo de nome. Os outros ficheiros que não seguem a convenção de prefixo de nome não são contabilizados no cálculo do tamanho total da pasta. Mudar o nome de ficheiros de registo antigos ou copiar outros ficheiros para a pasta de registo de controlo de mensagens pode fazer com que a pasta exceda o tamanho máximo especificado.
Nos servidores da Caixa de Correio, o tamanho máximo da pasta de registo de controlo de mensagens é três vezes superior ao valor especificado. Embora os ficheiros de registo de controlo de mensagens sejam gerados pelos quatro serviços diferentes e tenham quatro prefixos de nome diferentes, a quantidade e frequência dos dados escritos no registo de transporte moderado (
MSGTRKMA) é insignificante em comparação com os outros três registos.
Os arquivos de log de controle de mensagens são arquivos de texto que contêm dados no formato de arquivo de CSV (valores separados por vírgula). Cada arquivo de log de controle de mensagens possui um cabeçalho com as seguintes informações:
#Software: o valor é
Microsoft Exchange Server.#Version: Número da versão do servidor Exchange que criou o ficheiro de registo de controlo de mensagens. O valor utiliza o formato
15.01.nnnn.nnn.#Log-Type: o valor é
Message Tracking Log.#Date: a data/hora UTC em que o ficheiro de registo foi criado. A data/hora UTC é representada no formato de data/hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, em que aaaa = ano, MM = mês, dd = dia, T indica o início do componente de hora, hh = hora, mm = minuto, ss = segundo, fff = frações de um segundo, e Z significa Zulu, que é outra forma de denotar UTC.
#Fields: nomes de campo delimitados por vírgulas que são utilizados nos ficheiros de registo de controlo de mensagens.
Os campos nos arquivos de log de controle de mensagens
O log de controle de mensagens armazena cada evento de mensagem em uma única linha no log. As informações de evento de mensagens são organizadas por campos, que são separados por vírgulas. Geralmente, o nome do campo é suficientemente descritivo para determinar o tipo de informação que ele contém. Contudo, alguns campos podem estar em branco, ou o tipo de informação no campo pode mudar com base no tipo de evento de mensagem e no serviço que gravou o evento. As descrições gerais dos campos que são utilizados para classificar cada evento de controle de mensagens são explicadas na tabela seguinte.
| Nome do campo | Descrição |
|---|---|
| date-time | A data e a hora UTC do evento de controle de mensagens. A data/hora UTC é representada no formato de data/hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, em que aaaa = ano, MM = mês, dd = dia, T indica o início do componente de hora, hh = hora, mm = minuto, ss = segundo, fff = frações de um segundo, e Z significa Zulu, que é outra forma de denotar UTC. |
| client-ip | O endereço IPv4 ou IPv6 do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
| client-hostname | O nome de host ou FQDN do servidor de mensagens ou cliente de mensagens que enviou a mensagem. |
| server-ip | O endereço IPv4 ou IPv6 do servidor de origem ou de destino. |
| server-hostname | O nome de host ou FQDN do servidor de destino. |
| source-context | Informações extras associadas ao campo source. Por exemplo:CatContentConversion 250 2.0.0 OK;ClientSubmitTime:<UTC> |
| connector-id | O nome do conector Enviar ou do conector Receber que aceitou a mensagem. Por exemplo, ServerName\ ConnectorName ou ConnectorName. |
| source | O componente de transporte do Exchange responsável pelo evento. Estes valores são descritos na secção Valores de origem na secção registo de controlo de mensagens mais à frente neste tópico. |
| event-id | O tipo de evento de mensagem. Estes valores são descritos na secção Tipos de eventos na secção registo de controlo de mensagens mais à frente neste tópico. |
| internal-message-id | Um identificador de mensagem atribuído pelo servidor Exchange que está atualmente a processar a mensagem. O ID de mensagem interna de uma mensagem é diferente no registo de controlo de mensagens de todos os servidores exchange envolvidos na transmissão da mensagem. Um valor de exemplo é 73014444033. |
| message-id | O valor do campo de cabeçalho Message-Id: no cabeçalho da mensagem. Se o campo de cabeçalho Message-Id: não existir ou estiver em branco, o Exchange atribui um valor arbitrário. Esse valor é constante durante o tempo de vida da mensagem. Para mensagens criadas no Exchange, o valor está no formato <GUID@ServerFQDN>, incluindo os parênteses angulares (< >). Por exemplo, <4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>. Outros sistemas de mensagens podem usar sintaxe ou valores diferentes. |
| network-message-id | Um valor de ID de mensagem exclusivo que persiste nas cópias da mensagem que podem ser criadas devido à bifurcação ou à expansão do grupo de distribuição. Um valor de exemplo é 1341ac7b13fb42ab4d4408cf7f55890f. |
| recipient-address | Os endereços de email dos destinatários da mensagem. Vários endereços de email são separados pelo caractere de ponto-e-vírgula (;). |
| recipient-status | O destinatário status para cada destinatário separado pelo caráter de ponto e vírgula (;). Os valores de status são apresentados para os destinatários na mesma ordem que os valores no campo recipient-address. Exemplo status valores incluem:Toou CcBcc 250 2.1.5 Recipient OK 550 4.4.7 QUEUE.Expired;<ErrorText> |
| total-bytes | O tamanho total da mensagem em bytes, incluindo todos os anexos. |
| recipient-count | O número total de destinatários na mensagem. |
| related-recipient-address | Este campo é utilizado com eventos EXPANDIR, REDIRECIONAR e RESOLVER para apresentar outros endereços de e-mail de destinatários associados à mensagem. |
| reference | Esse campo contém informações adicionais para tipos específicos de eventos. Por exemplo: DSN: contém a ligação do relatório, que é o valor Message-Id da notificação de status de entrega associada (também conhecida como DSN, mensagem de devolução, relatório de entrega sem êxito ou NDR) se for gerado um DSN subsequente a este evento. Se esta for uma mensagem DSN, o campo Referência contém o valor Message-Id da mensagem original para a qual o DSN foi gerado. EXPANDIR: contém o valor related-recipient-address das mensagens relacionadas. RECEBER: pode conter o valor message-Id da mensagem relacionada se a mensagem tiver sido gerada por outros processos, por exemplo, regras de diário ou de caixa de entrada. SEND: contém o valor Internal-Message-Id de quaisquer mensagens DSN. LIMITAÇÃO: contém o motivo pelo qual a mensagem foi limitada. TRANSFERÊNCIA: contém o valor Internal-Message-Id da mensagem que está a ser forkada. Mensagem gerada pelas regras da caixa de entrada: contém o valor Internal-Message-Id da mensagem de entrada que fez com que a regra da caixa de entrada gerasse a mensagem de saída. Mensagens com fork: pode conter o valor Internal-Message-Id . Para outros tipos de eventos, este campo está normalmente em branco. |
| message-subject | O assunto da mensagem encontrado no campo de cabeçalho Subject:. O controlo de assuntos de mensagens é controlado pelo parâmetro MessageTrackingLogSubjectLoggingEnabled no cmdlet Set-TransportService . Por padrão, o acompanhamento dos assuntos da mensagem está habilitado. |
| sender-address | O endereço de e-mail especificado no campo Sender: header (Remetente: cabeçalho) ou no campo De: header (De: cabeçalho) se o campo Remetente: não existir. |
| return-path | O endereço de e-mail de devolução especificado pelo comando MAIL FROM que enviou a mensagem. Embora este campo nunca esteja vazio, pode ter o valor de endereço do remetente nulo representado como <>. |
| message-info | Informações adicionais sobre a mensagem. Por exemplo: A data-hora de origem da mensagem em UTC para eventos DELIVER e SEND . A data e a hora de origem é o momento em que a mensagem entrou pela primeira vez na organização do Exchange. A data/hora UTC é representada no formato de data/hora ISO 8601: aaaa-MM-ddThh:mm:ss.fffZ, em que aaaa = ano, MM = mês, dd = dia, T indica o início do componente de hora, hh = hora, mm = minuto, ss = segundo, fff = frações de um segundo, e Z significa Zulu, que é outra forma de denotar UTC. Erros de autenticação. Por exemplo, poderá ver o valor 11a e o tipo de autenticação que foi utilizado quando ocorreu o erro de autenticação. |
| directionality | A direção da mensagem. Os valores de exemplo incluem Incoming, Undefinede Originating. |
| tenant-id | Este campo não é utilizado em organizações do Exchange no local. |
| original-client-ip | O endereço IPv4 ou IPv6 do cliente original. |
| original-server-ip | O endereço IPv4 ou IPv6 do servidor original. |
| custom-data | Este campo contém dados relacionados com tipos de eventos específicos. Por exemplo, o agente da Regra de Transporte utiliza este campo para registar o GUID da regra de fluxo de correio (também conhecida como regra de transporte) ou a política DLP que agiu na mensagem. Para obter mais informações, veja Ver relatórios de deteção de políticas DLP. |
| transport-traffic-type | No Exchange no local, este campo está em branco ou tem o valor Email. |
| log-id | Um identificador exclusivo para uma linha no registo de controlo de mensagens. Este campo não é importante nas organizações do Exchange no local. |
| versão do esquema | Número da versão do servidor Exchange que criou a entrada no registo de controlo de mensagens. O valor utiliza o formato 15.01.nnnn.nnn. |
Tipos de eventos no log de controle de mensagens
Vários tipos de eventos no campo event-id são usados para classificar os eventos de mensagens no log de controle de mensagens. Alguns eventos de mensagens aparecem em apenas um tipo de arquivo de log de controle de mensagens, enquanto outros aparecem em todos os tipos de arquivos de log de controle de mensagens. Os tipos de eventos usados para classificar cada evento de mensagem são explicados na tabela a seguir.
| Nome do evento | Descrição |
|---|---|
| AGENTINFO | Esse evento é usado por agentes de transporte para registrar dados personalizados. |
| BADMAIL | Uma mensagem enviada pelo diretório de Retirada ou pelo diretório de Repetição que não pode ser entregue nem retornada. |
| CLIENTSUBMISSION | Foi enviada uma mensagem a partir da Caixa de Saída de uma caixa de correio. |
| DEFER | A entrega da mensagem foi atrasada. |
| DELIVER | Uma mensagem foi entregue a uma caixa de correio local. |
| DELIVERFAIL | Um agente tentou entregar a mensagem numa pasta que não existe na caixa de correio. |
| DROP | Uma mensagem foi removida sem uma notificação de status de entrega (também conhecida como uma DSN, mensagem de devolução, notificação de falha na entrega ou NDR). Por exemplo:
|
| DSN | Uma notificação de status de entrega (DSN) foi gerada. |
| DUPLICATEDELIVER | Uma mensagem duplicada foi entregue ao destinatário. A duplicação poderá ocorrer se um destinatário for membro de vários grupos de distribuição aninhados. As mensagens duplicadas são detectadas e removidas pelo repositório de informações. |
| DUPLICATEEXPAND | Durante a expansão do grupo de distribuição, um destinatário duplicado foi detectado. |
| DUPLICATEREDIRECT | Um destinatário alternativo para a mensagem já era um destinatário. |
| EXPAND | Um grupo de distribuição foi expandido. |
| FAIL | Falha na entrega da mensagem. Os valores de exemplo incluem SMTP, DNS, QUEUE e ROUTING. |
| HADISCARD | A mensagem de sombra foi descartada após a cópia primária ser entregue para o próximo salto. Para obter mais informações, veja Redundância sombra no Exchange Server. |
| HARECEIVE | A mensagem de sombra foi recebida pelo servidor no DAG (grupo de disponibilidade do banco de dados) local ou site do Active Directory. |
| HAREDIRECT | Uma mensagem de sombra foi criada. |
| HAREDIRECTFAIL | Falha ao criar uma mensagem de sombra. Os detalhes são armazenados no campo source-context. |
| INITMESSAGECREATED | Uma mensagem foi enviada a um destinatário moderado e, portanto, ela foi enviada à caixa de correio de arbitragem para aprovação. Para saber mais, confira Gerenciar a aprovação de mensagens. |
| LOAD | Uma mensagem foi carregada com êxito durante a inicialização. |
| MODERATIONEXPIRE | Um moderador para um destinatário moderado nunca aprovou ou rejeitou a mensagem e, portanto, ela expirou. Para saber mais sobre destinatários moderados, confira Gerenciar a aprovação de mensagens. |
| MODERATORAPPROVE | Um moderador para um destinatário moderado aprovou a mensagem e, portanto, ela foi entregue ao destinatário moderado. |
| MODERATORREJECT | Um moderador para um destinatário moderado rejeitou a mensagem e, portanto, ela não foi entregue ao destinatário moderado. |
| MODERATORSALLNDR | Todos os pedidos de aprovação enviados a todos os moderadores de um destinatário moderado não foram entregues e resultaram em relatórios de entrega sem entrega (também conhecidos como NDRs ou mensagens de devolução). |
| NOTIFYMAPI | Uma mensagem foi detectada na Caixa de Saída de uma caixa de correio no servidor local. |
| NOTIFYSHADOW | Uma mensagem foi detectada na Caixa de Saída de uma caixa de correio no servidor local, e uma cópia de sombra da mensagem precisa ser criada. |
| POISONMESSAGE | Uma mensagem foi colocada na fila de mensagens suspeitas ou removida dessa fila. |
| PROCESS | A mensagem foi processada com êxito. |
| PROCESSMEETINGMESSAGE | Uma mensagem de reunião foi processada pelo serviço de Entrega de Transporte de Caixa de Correio. |
| RECEIVE | A SMTP recebeu uma mensagem do componente de receção do serviço de transporte ou dos diretórios Recolha ou Repetição (origem: SMTP), ou foi enviada uma mensagem de uma caixa de correio para o serviço Submissão de Transporte da Caixa de Correio (origem: STOREDRIVER). |
| REDIRECT | Uma mensagem foi redirecionada para um destinatário alternativo após uma pesquisa do Active Directory. |
| RESOLVE | Os destinatários de uma mensagem foram resolvidos para um endereço de email diferente após uma pesquisa do Active Directory. |
| RESUBMIT | Uma mensagem foi reenviada automaticamente a partir da Rede Segura. Para obter mais informações, consulte Rede de Segurança no Exchange Server. |
| RESUBMITDEFER | Uma mensagem reenviada a partir da Rede Segura foi adiada. |
| RESUBMITFAIL | Uma mensagem reenviada da Rede Segura falhou. |
| SEND | Uma mensagem foi enviada por SMTP entre serviços de transporte. |
| SUBMIT | O serviço de Envio de Transporte de Caixa de Correio transmitiu com êxito a mensagem para o serviço de Transporte. Para eventos SUBMIT, a propriedade source-context contém os seguintes detalhes:
|
| SUBMITDEFER | A transmissão de mensagens do serviço de Envio de Transporte da Caixa de Correio para o serviço de Transporte foi adiada. |
| SUBMITFAIL | A transmissão de mensagem do serviço de Envio de Transporte da Caixa de Correio para o serviço de Transporte falhou. |
| SUPPRESSED | A transmissão de mensagem foi suprimida. |
| THROTTLE | A mensagem foi limitada. |
| TRANSFER | Os destinatários foram movidos para uma mensagem bifurcada devido à conversão do conteúdo, limites de destinatário de mensagem ou agentes. As origens incluem ROUTING ou QUEUE. |
Os valores de origem no log de controle de mensagens
Os valores no campo source no log de controle de mensagens indicam o componente de transporte que é responsável pelo evento de controle de mensagens. A tabela a seguir descreve os valores do campo source.
| Valor de origem | Descrição |
|---|---|
| ADMIN | A origem do evento foi intervenção humana. Por exemplo, um administrador usou o Visualizador de Filas para excluir uma mensagem ou enviou arquivos de mensagens usando o diretório de Repetição. |
| AGENT | A origem do evento foi um agente de transporte |
| APPROVAL | A origem do evento foi a estrutura de aprovação que é usada com destinatários moderados. Para saber mais, confira Gerenciar a aprovação de mensagens. |
| BOOTLOADER | A origem do evento foi mensagens não processadas que havia no servidor no momento da inicialização. Isso está relacionado ao tipo de evento LOAD. |
| DNS | A origem do evento foi DNS. |
| DSN | A origem do evento foi uma notificação de status de entrega (também conhecida como DSN, mensagem de devolução, relatório de entrega sem êxito ou NDR). |
| GATEWAY | A origem do evento foi um conector Externo. Para obter mais informações, veja Conectores Externos. |
| MAILBOXRULE | A origem do evento foi uma regra de caixa de entrada. Para saber mais, confira o artigo sobre regras de caixa de entrada. |
| MEETINGMESSAGEPROCESSOR | A origem do evento foi um processador de mensagens de reuniões que atualiza calendários com base em atualizações de reunião. |
| ORAR | A origem do evento foi um ORAR (Destinatário Alternativo Solicitado pelo Remetente). Pode ativar ou desativar o suporte para ORAR em Conectores de receção com o parâmetro OrarEnabled nos cmdlets New-ReceiveConnector ou Set-ReceiveConnector . |
| PICKUP | A origem do evento foi o diretório de Retirada. Para obter mais informações, veja Diretório de Recolha e Diretório de Repetição. |
| POISONMESSAGE | A origem do evento foi o identificador de mensagens suspeitas. Para obter mais informações sobre mensagens venenosas e a fila de mensagens venenosas, consulte Filas e mensagens nas filas |
| PUBLICFOLDER | A origem do evento foi uma pasta pública habilitada para email. |
| QUEUE | A origem do evento foi uma fila. |
| REDUNDANCY | A origem do evento foi a redundância de sombra. Para obter mais informações, veja Redundância sombra no Exchange Server. |
| RESOLVER | A origem do evento era o componente de resolução de destinatários do categorizador no serviço transporte. Para obter mais informações, veja Resolução de destinatários no Exchange Server. |
| ROUTING | A origem do evento foi o componente de resolução de roteamento do categorizador no serviço de transporte. |
| SAFETYNET | A origem do evento foi a Rede Segura. Para obter mais informações, consulte Rede de Segurança no Exchange Server. |
| SMTP | A mensagem foi enviada pelo componente de envio ou recebimento SMTP do serviço de transporte. |
| STOREDRIVER | A origem do evento foi um envio MAPI de uma caixa de correio no servidor local. |
Entradas de exemplo no log de controle de mensagens
Uma mensagem sem eventos enviada entre dois usuários gera várias entradas no log de controle de mensagens. Você pode ver os resultados usando o cmdlet Get-MessageTrackingLog. Para saber mais, confira Logs de rastreamento de mensagens de pesquisa.
Este é um exemplo das entradas de registo de controlo de mensagens criadas quando o utilizador chris@contoso.com envia com êxito uma mensagem de teste ao utilizador michelle@contoso.com. Os dois usuários têm caixas de correio no mesmo servidor.
EventId Source Sender Recipients MessageSubject
------- ------ ------ ---------- --------------
NOTIFYMAPI STOREDRIVER {}
RECEIVE STOREDRIVER chris@contoso.com {michelle@contoso.com} test
SUBMIT STOREDRIVER chris@contoso.com {michelle@contoso.com} test
HAREDIRECT SMTP chris@contoso.com {michelle@contoso.com} test
RECEIVE SMTP chris@contoso.com {michelle@contoso.com} test
AGENTINFO AGENT chris@contoso.com {michelle@contoso.com} test
SEND SMTP chris@contoso.com {michelle@contoso.com} test
DELIVER STOREDRIVER chris@contoso.com {michelle@contoso.com} test
Problemas de segurança relacionados ao log de controle de mensagens
Nenhum conteúdo de mensagem é armazenado no log de controle de mensagens. Por padrão, a linha de assunto de uma mensagem de email é armazenada no log de controle de mensagens. Poderá ter de desativar o registo de assuntos para cumprir os requisitos de segurança ou privacidade acrescidos. Para obter instruções sobre como desativar o registo de assuntos, veja Configurar o controlo de mensagens.