Remove From My Forums

get-messagetrackinglog, eventid

Frage
0

Anmelden
hallo zusammen,

ich brauche die MB die ein User erhalten hat. Leider sind manche Einträge mehrfach. Welche Wert muss ich nehmen bzw. filtern?

zb. 4 Zeile beginnt mit "loo" 17911 und letzten zwei Zeile 14169 sollten ein und das selbe Mail sein. Im Outlook habe ich dieses Mail mit 24KB

Get-MessageTrackingLog -Recipients user@company.com -start "11/17/2016 07:00" -end "11/17/2016 09:00" | ft timestamp,eventid,totalbytes,
sender

Chris
- Bearbeitet -- Chris -- Freitag, 18. November 2016 08:19
Freitag, 18. November 2016 08:18

Antworten

|

Zitieren

Antworten

0

Anmelden
Hallo,

HARECEIVE usw. muss drin stehen, sonst wissen wir ja nicht ob SafetyNet und ShadowRedundancy in einer DAG korrekt arbeitet. :-)

Deine unterschiedlichen Werte ergeben sich meiner Meinung nach aus der ContentConversion einer Mail, die Exchange durchführt. Bevor eine Mail deine Umgebung verlässt, wird sie konvertiert und damit in der Regel größer. Darum soll die maximale Nachrichtengröße auch kleiner sein, als die der Transportconfig.

Grüße Steve
- Als Antwort markiert -- Chris -- Freitag, 18. November 2016 17:49
Freitag, 18. November 2016 09:39

Antworten

|

Zitieren
0

Anmelden
> Hareceive und HADISCARD wird erzeugt wenn das Mail gelöscht und dadurch verschoben wird. Finde ich cool, dass das auch im TrackingLog protocolliert wird.

Nur dass das klar ist: Hier wird keine Use-Aktion protokolliert! User-Aktionen würden im Audit-Log stehen, wenn man die Protokollierung aktiviert hat.

Diese beiden Events sind für das von Steve erwähnte Saftynet des Transportdienstes.

Für eine Statistik ins Postfach, würde ich "DELIVER" nehmen (mit oder ohne Quelle "STOREDRIVER", kann ich gerade nicht testen). Für eine Statistik für SMTP würde ich eher TRANSFER / SMTP nehmen.

Die unterschiedlichen Größen kommen, wie Steve auch richtig schreibt, durch Inhaltskonvertierungen im MIME-Protokoll zu stande. Wenn die Texte/Anlagen BASE64 kodiert werden, wachseln sie um durchschnittlich 1/3.

Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)
- Als Antwort markiert -- Chris -- Freitag, 18. November 2016 17:49
Freitag, 18. November 2016 10:21

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
habe noch was gefunden

where auf EventID -eq "RECEIVE" oder DELIVER müsste passen?

https://technet.microsoft.com/de-de/library/bb124375(v=exchg.160).aspx

komischer Weise habe ich bei meiner Auswertung kein DELIVER dabei?

nur alles andere. Hareceive und HADISCARD wird erzeugt wenn das Mail gelöscht und dadurch verschoben wird. Finde ich cool, dass das auch im TrackingLog protocolliert wird.

RECEIVE

SUBMIT

RECEIVE

SUBMIT

RECEIVE

SUBMIT

HARECEIVE

HADISCARD

HAREDIRECT

RECEIVE

AGENTINFO

SEND

HAREDIRECT

RECEIVE

AGENTINFO

SEND

HARECEIVE

Chris
- Bearbeitet -- Chris -- Freitag, 18. November 2016 09:22
Freitag, 18. November 2016 09:05

Antworten

|

Zitieren
0

Anmelden
Hallo,

HARECEIVE usw. muss drin stehen, sonst wissen wir ja nicht ob SafetyNet und ShadowRedundancy in einer DAG korrekt arbeitet. :-)

Deine unterschiedlichen Werte ergeben sich meiner Meinung nach aus der ContentConversion einer Mail, die Exchange durchführt. Bevor eine Mail deine Umgebung verlässt, wird sie konvertiert und damit in der Regel größer. Darum soll die maximale Nachrichtengröße auch kleiner sein, als die der Transportconfig.

Grüße Steve
- Als Antwort markiert -- Chris -- Freitag, 18. November 2016 17:49
Freitag, 18. November 2016 09:39

Antworten

|

Zitieren
0

Anmelden
> Hareceive und HADISCARD wird erzeugt wenn das Mail gelöscht und dadurch verschoben wird. Finde ich cool, dass das auch im TrackingLog protocolliert wird.

Nur dass das klar ist: Hier wird keine Use-Aktion protokolliert! User-Aktionen würden im Audit-Log stehen, wenn man die Protokollierung aktiviert hat.

Diese beiden Events sind für das von Steve erwähnte Saftynet des Transportdienstes.

Für eine Statistik ins Postfach, würde ich "DELIVER" nehmen (mit oder ohne Quelle "STOREDRIVER", kann ich gerade nicht testen). Für eine Statistik für SMTP würde ich eher TRANSFER / SMTP nehmen.

Die unterschiedlichen Größen kommen, wie Steve auch richtig schreibt, durch Inhaltskonvertierungen im MIME-Protokoll zu stande. Wenn die Texte/Anlagen BASE64 kodiert werden, wachseln sie um durchschnittlich 1/3.

Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)
- Als Antwort markiert -- Chris -- Freitag, 18. November 2016 17:49
Freitag, 18. November 2016 10:21

Antworten

|

Zitieren
0

Anmelden

Robert,

DELIVE kommt leider nicht vor. Nur die Werte die ich oben kopiert habe
Chris

Freitag, 18. November 2016 17:51

Antworten

|

Zitieren
0

Anmelden

Robert,

DELIVE kommt leider nicht vor. Nur die Werte die ich oben kopiert habe

Chris

Oben in dem Screenshot sieht man doch aber DELIVER, oder?
Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

Samstag, 19. November 2016 12:35

Antworten

|

Zitieren
0

Anmelden

stimmt das war ein Test mit meinem User um überhaupt herauszufinden was da läuft. Bei dem betreffenden User (derzeit im Ausland) also nur mit Handy sync habe in keine DELIVER gefunden. vermutlich/vielleicht da er nicht mit Outlook arbeitet.
Chris

Samstag, 19. November 2016 12:48

Antworten

|

Zitieren
0

Anmelden

Das hat nichts mit dem Client zu tun (na ja, oder nur sehr wenig), da die Events vom Mailboxstore erzeugt werden.

"DELIVER" gibt es, wenn der User eine Mail erhält. Wo die herkommt ist egal, solange sie über einen Connector eingeliefert wird.
Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

Montag, 21. November 2016 08:58

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

get-messagetrackinglog, eventid

Frage

Antworten

Alle Antworten