exchange2013的搜索邮件跟踪日志功能

在exchange2013中 如何跟踪观察邮件传递情况？

邮件跟踪日志详细记录了邮件从邮箱服务器上的传输服务、邮箱服务器上的邮箱和边缘传输服务器来回传输产生的所有邮件活动。

您可以使用
Exchange 命令行管理程序中的 Get-MessageTrackingLog cmdlet
通过具体的搜索条件来搜索邮件跟踪日志条目。

必须运行 Microsoft Exchange 传输日志搜索服务才能搜索邮件跟踪日志。如果您禁用或停止运行此服务，则无法搜索邮件跟踪日志或生成送达报告。但是，停止运行此服务不会影响 Exchange 的其他功能。

Get-MessageTrackingLog cmdlet 的结果中显示的字段名称类似于邮件跟踪日志中使用的实际字段名称。最大的区别在于：

字段名称中没有短划线。例如 internal-message-id 显示为

InternalMessageId

。

date-time 字段显示为

Timestamp

。

recipient-address 字段显示为

Recipients

。

sender-address 字段显示为

Sender

。

邮件跟踪日志中的 date-time 字段以协调世界时 (UTC) 格式存储信息。但是，您应该使用用于执行搜索的计算机上的区域日期-时间格式输入 Start 或 End 参数的日期-时间搜索条件。

您无法复制其他 Exchange 服务器上的邮件跟踪日志并使用 Get-MessageTrackingLog cmdlet 进行搜索。此外，如果您手动保存一个现有的邮件跟踪日志文件，那么该文件的日期-时间时间戳的变化会破坏 Exchange 用来搜索邮件跟踪日志的查询逻辑。

Exchange 2013Get-MessageTrackingLog cmdlet 能够在同一 Active Directory 站点中的 Exchange 2007 和 Exchange 2010 服务器上搜索邮件跟踪日志。

若要搜索具体事件的邮件跟踪日志条目，请使用下列语法：

Get-MessageTrackingLog [-Server <ServerIdentity.] [-ResultSize <Integer> | Unlimited] [-Start <DateTime>] [-End <DateTime>] [-EventId <EventId>] [-InternalMessageId <InternalMessageId>] [-MessageId <MessageId>] [-MessageSubject <Subject>] [-Recipients <RecipientAddress1,RecipientAddress2...>] [-Reference <Reference>] [-Sender <SenderAddress>]

若要查看服务器上的 1000 条最新邮件跟踪日志条目，请运行下列命令：

Get-MessageTrackingLog

本示例为 FAIL 事件（其中邮件发件人为
pat@contoso.com）搜索本地服务器上介于 2013 年 3 月 28 日上午 8:00 到 2013 年 3 月 28 日下午 5:00 之间的所有邮件跟踪日志条目。

Get-MessageTrackingLog -ResultSize Unlimited -Start "3/28/2013 8:00AM" -End "3/28/2013 5:00PM" -EventId "Fail" -Sender "pat@contoso.com"

使用命令行管理程序控制邮件跟踪日志搜索输出

使用下列语法：

Get-MessageTrackingLog <SearchFilters> | <Format-Table | Format-List> [<FieldNames>] [<OutputFileOptions>]

本示例使用下列搜索条件搜索邮件跟踪日志：

返回前 1000 个 Send 事件的结果。

结果通过列表格式显示。

只显示以

Send

或

Recipient

开头的字段名称。

将输出结果写入名为

D:\Send Search.txt

的新文件。

Get-MessageTrackingLog -EventId Send | Format-List Send*,Recipient* > "D:\Send Search.txt"

具体详细：https://technet.microsoft.com/zh-cn/library/bb124926