none
exchange2010sp3 是否有一些日志可以让管理员追溯一些事情 RRS feed

  • 问题

  • exchange2010sp3 是否有一些日志可以让管理员追溯一些事情

    比如

    某用户outlook不断弹窗要求输入用户名和密码(账号密码都正确没有锁定)

    管理员想知道某个用户哪个时间通过哪个ip的设备通过什么模式登录邮箱

    某用户一段时间下载邮件速度明显低于当时网络速度(下载邮件速度几kb/s,网络正常)

    作为管理员,是否可以在exchange服务器上通过日志查询到类似上面问题(包括但不限于)的日志,以提供解决问题(排除在客户端来监检查问题这个方法,只针对exchange服务端日志)?

    2018年2月10日 16:17

答案

  • 您好,

    针对问题1和2,我们可以通过IIS日志和RPC Client Access Server日志来查看用户登录的信息,包括客户端,访问的时间,IP地址及登录方式等。

    详情请参考以下例子:
    IIS log (默认位置: C:\inetpub\logs\LogFiles\W3SVC1, 针对OWA, IIS, ActiveSync, EWS等客户端):
    2017-03-28 02:33:25 fe80::cce2:b193:1b07:74f7%12 POST /owa/auth.owa &CorrelationID=<empty>;&cafeReqId=af09dd09-ada4-461d-8cd5-8d70860021af;&encoding=; 443 
    contoso\three fe80::cce2:b193:1b07:74f7%12 Mozilla/5.0+(Windows+NT+6.3;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 
    https://exc2016.contoso.com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fexc2016.contoso.com%2fowa%2f 302 0 0 31
    RPC client Access Log (默认位置: C:\Program Files\Microsoft\Exchange Server\V15\Logging\RPC Client Access,针对Outlook客户端)
    2017-03-28T03:16:17.456Z,2131,1,/o=Contoso/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae25789565b477f9abd43c5940c8f5b-test16,,
    OUTLOOK.EXE,14.0.6025.1000,Classic,192.168.0.51,,,ncacn_http,Client=MSExchangeRPC,97ba2552-352e-420c-a8fc-75fb789b5b73|ff2ecc61-9378-45a6-aa57-91c010db1757,"""{E0AA311E-7A89-4693-ADB1-22DB4E703E5E}""",
    OwnerLogon,0,00:00:00.1870000,"Logon: Owner, /o=Contoso/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae25789565b477f9abd43c5940c8f5b-test16 in 
    database 89e656e8-05c3-41f8-813b-4de95004dfe2 last mounted on EXC2016.contoso.com; 
    LogonId: 0",,,,test16@contoso.com,,

    针对问题3,我们可以通过Jetstress或者Exchange性能监控来查看服务器的运行状况。
    详情请参考:Performance Monitor Tips and Tricks with John Rodriguez


    此致,
    敬礼

    Allen Wang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年2月12日 7:03

全部回复

  • 您好,

    针对问题1和2,我们可以通过IIS日志和RPC Client Access Server日志来查看用户登录的信息,包括客户端,访问的时间,IP地址及登录方式等。

    详情请参考以下例子:
    IIS log (默认位置: C:\inetpub\logs\LogFiles\W3SVC1, 针对OWA, IIS, ActiveSync, EWS等客户端):
    2017-03-28 02:33:25 fe80::cce2:b193:1b07:74f7%12 POST /owa/auth.owa &CorrelationID=<empty>;&cafeReqId=af09dd09-ada4-461d-8cd5-8d70860021af;&encoding=; 443 
    contoso\three fe80::cce2:b193:1b07:74f7%12 Mozilla/5.0+(Windows+NT+6.3;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 
    https://exc2016.contoso.com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fexc2016.contoso.com%2fowa%2f 302 0 0 31
    RPC client Access Log (默认位置: C:\Program Files\Microsoft\Exchange Server\V15\Logging\RPC Client Access,针对Outlook客户端)
    2017-03-28T03:16:17.456Z,2131,1,/o=Contoso/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae25789565b477f9abd43c5940c8f5b-test16,,
    OUTLOOK.EXE,14.0.6025.1000,Classic,192.168.0.51,,,ncacn_http,Client=MSExchangeRPC,97ba2552-352e-420c-a8fc-75fb789b5b73|ff2ecc61-9378-45a6-aa57-91c010db1757,"""{E0AA311E-7A89-4693-ADB1-22DB4E703E5E}""",
    OwnerLogon,0,00:00:00.1870000,"Logon: Owner, /o=Contoso/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae25789565b477f9abd43c5940c8f5b-test16 in 
    database 89e656e8-05c3-41f8-813b-4de95004dfe2 last mounted on EXC2016.contoso.com; 
    LogonId: 0",,,,test16@contoso.com,,

    针对问题3,我们可以通过Jetstress或者Exchange性能监控来查看服务器的运行状况。
    详情请参考:Performance Monitor Tips and Tricks with John Rodriguez


    此致,
    敬礼

    Allen Wang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年2月12日 7:03
  • 首先感谢回复。

    针对第三个问题,可能是我的描述不够清晰

    原问题:某用户一段时间下载邮件速度明显低于当时网络速度(下载邮件速度几kb/s,网络正常)

    我的意思是指某个个别用户出现此情况,其他用户都是正常的。
    这样的情况是否可以在日志里查询到呢?

    比如这个用户下载邮件速度是多少,耗时多少,如果下载速度过慢是服务端原因导致的,是什么原因。是否可以看到类似的日志记录

    2018年2月12日 8:04
  • 据我所知,没有此类的日志记录。
    下载速度很大程度上取决于网络带宽,如果该问题只出现在同一客户端,我们可能会先检测网络情况。


    此致,
    敬礼

    Allen Wang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.


    Best Regards,
    Allen Wang


    Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.


    Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.

    2018年2月12日 10:01
  • 您好,

    是否还有其他问题呢?
    如果以上回复有帮助的话,请将其标记为解答。感谢配合!


    此致,
    敬礼

    Allen Wang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年2月13日 12:39
  • 那么exchange2010出了上面的那两个日志的路径,是否还有其他含有有效日志的地方呢?
    2018年2月14日 1:17
  • 还有些其他的日志,比如发送连接器和接收连接器日志:C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog。

    如果您还有其他需要,请随时联系我们。
    同时可以将有帮助的回复标记为解答,感谢配合。

    此致,
    敬礼

    Allen Wang


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年2月23日 4:21