Realtracking - Datenfluss
Auf den Seiten Nachrichtentracking mit Exchange 2007 und Exchange 200x Nachrichtentracking habe ich schon einen Einblick in die Formate von Exchange 2000/2003 und 2007/2010 gegeben. Das Einlesen einer CSV-Datei (auch ohne Header) ist nicht schwer und mit Exchange 2007/2010 Powershell-Commandlets bekommen Sie auch schon die Feldbeschreibungen. Aber sie benötigen immer noch die IDs und deren Abfolge. Und da gibt es eine ganze Menge von Varianten, die sich aber schön in Teilstrecken aufteilen lassen. Allerdings hat sich das Routing von 2000/2003 und 2007/2010 speziell bei der Zustellung auf dem gleichen Server geändert, so dass die lokale Zustellung bei Exchange 2003 ein Sonderfall ist. Alle andere Mails landen irgendwann beim Transportdienst. Bei Exchange 2007/2010 ist das eben der Transport bei Exchange 2003/2000 der MTA.
Fälle
Entsprechend lassen sich Bereich herausarbeiten, die mehrere Fällen enthalten
- Client zum Transport
- Outlook zu Outlook auf dem selben Server
- Outlook via Mailbox zum Transport
- Pickup zu Transport
- OWA zum Transport
- ActiveSync zum Transport
- Transport zum Transport
- Versand über Internet Connector
- Versand über RoutingGroup Connector mit Exchange 2000/2003
- Versand über Site Link an anderem Exchange 2007/2010
- Versand über Foreign connector
- Empfang über Receive Connector
- Empfang über RoutingGroup Connector von Exchange 2000/2003
- Empfang über Site Link von anderem Exchange 2007/2010
- Empfang über Foreign connector
- Transport zum Client
- Zustellung in Postfach
- Sonderfälle
- Quittungen Erzeugung
- Beschränkungen durch Quotas
- Verarbeitung von Transport Regeln
- Aufteilen von Verteilern
- Message
Replay
(erneutes Senden, wenn Exchange Transport Cache einen Verlust befürchtet - Duplikate
deletion
Doppelte Mails (z.B.: durch Transport Cache) werden am Ziel wieder heraus gefiltert. - Journal
Wer Messagejournal aktiviert hat, wird erkennen, dass die Mail an einer stelle dupliziert und eine Kopie an das Journal gesendet wird.
Für jeden der Fälle müssen wir getrennt nach Exchange 2000/2003 und 2007/2010 die entsprechenden Events in einer Reihe aufschlüsseln. Keine ganz einfach Aufgabe. Und dann gilt es die einzelnen Bindfäden noch zusammen zu bringen.
Exchange 2003 Logs
Wenn Sie ein paar Testmails senden, dann sehen Sie folgende Events.
| Internet ->MB |
MB-> Internet |
MB->MB Local |
Site2Site Sender |
Site2Site Receiver |
Beschreibung (Siehe KB 821905) |
|---|---|---|---|---|---|
1019 1025 1024 --- 1033 1036 1023 1028 |
1027 1019 1025 1024 --- 1033 1034 1020 1031 |
1027 1019 1025 1024 --- 1033 1036 1023 1028 |
1027 1019 1025 1024 --- 1033 1034 1020 1031 |
1019 1025 1024 --- 1033 1036 1023 1028 |
SMTP submit
message to store
driver (SD) SMTP submit message to Advanced Queuing (AQ) SMTP A new message was submitted to AQ SMTP submit message to the categorizer --- Split bei mehreren Empfängern SMTP message categorized and queued for routing SMTP message queued for local delivery SMTP message routed and queued for remote delivery SMTP begin outbound transfer SMTP end outbound transfer SMTP local delivery Store: local delivery |
Ich habe mal Sonderfälle ausgelassen, aber im Grund sehen Sie sehr viele übereinstimmende Events.
- 1027 und 1028
Diese beiden Events kennzeichnen eine neue Mail aus einer Mailbox (ausgehend) und eine lokale Zustellung einer Mail - 1031/1019
Diese beiden Events zeigen an, wenn eine Mail die aktuelle Umgebung per SMTP verlässt oder empfängt, wobei der 1019 auch anderweitig vorkommt. Es wird nicht zwischen "Internet" und SiteLinks" unterschieden. - 1019 ist
immer dabei
Dabei eignet sich jeder diese Events gut für Auswertungen nach Summen.
Wer also zuverlässig Mails nach Intern, SameOrg und Internet unterscheiden möchte, kann dies über das Messagetracking nur sehr schwer tun, sondern muss letztlich die Sender und Empfänger ermitteln und sich z.B. an den Event 1019 halten.
- 821905 Message Tracking Event IDs in Exchange Server 2003
Exchange 2007/2010
Analog protokolliert Exchange 2007/2010 seine Vorgänge. Hier ist zu beachten, dass der Mailboxserver selbst an den Server nur eine Benachrichtigung gibt, die Sie auf dem Mailboxserver finden, auch wenn dieser keine HubTransport-Rolle hat. Allerdings gibt es hier nicht mehr die einfache numerische EventID, sondern die Felder "SOURCE" und EVENTID.
| Internet ->MB |
MB-> Internet |
MB->MB Local |
Site2Site Sender |
Site2Site Receiver |
Beschreibung (Siehe KB 821905) |
|---|---|---|---|---|---|
| RECEIVE SMTP RECEIVE MAILBOXRULE DELIVER STOREDRIVER |
RECEIVE STOREDRIVER TRANSFER ROUTING SEND SMTP SUBMIT STOREDRIVER |
RECEIVE STOREDRIVER DELIVER STOREDRIVER SUBMIT STOREDRIVER |
Mail vom
Store abgeholt
oder per SMTP Empfangen Route Per SMTP versendet Zugestellt Mail nach "gesendete Objekte" verschoben |
Die Logs in Exchange 2010 sind also sehr viel einfacher und überschaubarer. Wer hier Aber nicht per Powershell agiert, sondern direkt an die CSV-Dateien geht, wird feststellen, dass es hier immer zwei Dateien gibt. Am 26. Feb 2012 könnten Sie folgende Dateien finden
- MSGTRK20120226-1.LOG
Enthält das komplette Log mit allen einzelnen Schritte - MSGTRKM20120226-1.LOG
Enthält eine Zusammenfassung, in der es pro Mail nur genau eine Zeile gibt
Für Auswertungen nach dem Volumen würde also schon die zweite Datei ausreichend sein.
