none
咨询 希望Get-MessageTrackingLog 能够搜索到所有邮件传输信息 RRS feed

  • 问题

  • 需求:想通过  Get-MessageTrackingLog   命令记录用户所有的邮件信息。

    目前已知此命令默认只记录30天,大小限制为1GB 

    1. 如何修改默认配置,(如修改30天限制,文件大小限制,log保存路径等阈值)实现邮件信息的永久记录。

    2. 其次  Get-MessageTrackingLog 所获取的日志信息有哪些,保存路径是哪里? 

    3. 如果对上述阈值进行修改,是否会对Exchange服务有影响?


    2019年11月12日 8:38

答案

  • Set-TransportService <ServerIdentity>

    设置的命令行

    -MessageTrackingLogPath <LocalFilePath>

    保存的路径

    -MessageTrackingLogMaxFileSize <Size>

    最大大小

    -MessageTrackingLogMaxAge <dd.hh:mm:ss>

    保存的天数

    具体可以参考exchange的白皮书关于 Set-TransportService 中各个参数的作用。

    还有一点需要提醒你的是,保存所有的邮件路由日志是好想法

    可实际下来,如果量够大,半年后,那个文件夹就打不开了,查询会卡死,超过50G的日志打开的时间就很恐怖了

    你也不想日志都保留了,可惜用不了是吧。

    我们目前把日志都吐到ELK系统里去,在那里查询30天之前的收发记录,至少邮箱系统不吃力。推荐下。


    • 已编辑 Salavie 2019年11月14日 9:03
    • 已标记为答案 ice9898 2019年11月15日 8:18
    2019年11月14日 9:02

全部回复

  • 你好,

    根据你的问题给出以下几点:

    1. 可以通过以下命令来修改邮件跟踪日志相关设置:

    Set-TransportService <ServerIdentity> -MessageTrackingLogPath <LocalFilePath> -MessageTrackingLogMaxFileSize <Size> -MessageTrackingLogMaxDirectorySize <Size> -MessageTrackingLogMaxAge <dd.hh:mm:ss>


    如果将MessageTrackingLogMaxAge这个参数设置为00:00:00,并且设置足够大的总日志文件大小,可以一直保留日志。

    设置完成后可以通过以下命令检查:

    Get-TransportService <ServerIdentity> | Format-List MessageTrackingLog*


    具体配置信息请参考:配置邮件跟踪Set-TransportService

    2. 通过Get-MessageTrackingLog这个命令,你可以获取到的日志信息有:邮件传输活动发生的时间(Timestamp)、客户端主机名(Clienthostname)、收件人邮件地址(Recipients)、发送者邮件地址(Sender)、邮件主题(Messagesubject)、邮件活动类型(Eventid)等。了解更多其他日志信息,请参考:邮件跟踪

    可以通过在命令中设置部分你已知的条件,来获得对应的邮件活动其他日志信息,比如指定一个要查找的活动时间范围,根据收件人地址、发送者地址、邮件主题,来获得邮件活动的活动类型,发生的时间等等。您可以查看这篇文章了解如何搜索邮件跟踪日志

    Get-MessageTrackingLog -Start <DateTime> -Recipients <RecipientAddress > -Sender <SenderAddress> -MessageSubject <Subject> | select Timestamp,EventID,Source,ConnectorID|sort-object Timestamp


    邮件跟踪日志默认保存在Exchange安装路径下的TransportRoles\Logs\MessageTracking文件夹,比如C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking

    3. 如果设置过程无误,一般不会产生其他影响。但请保证您有足够的空间用来存放邮件跟踪日志。

    此致,

    Vera Shen


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年11月13日 7:11
  • 您好,

    想要修改日志存储的路径,具体需要更改哪个参数? 使用Get-TransportService 命令会看到很多路径信息,具体要更哪些路径信息?

    其次是否需要修改日志大小的参数?

    综上所述,我们的需求是希望保持所有的邮件跟踪日志,都需要做那些变更和参数上的修改。(日志路径在其他盘符)

    2019年11月13日 10:29
  • Set-TransportService <ServerIdentity>

    设置的命令行

    -MessageTrackingLogPath <LocalFilePath>

    保存的路径

    -MessageTrackingLogMaxFileSize <Size>

    最大大小

    -MessageTrackingLogMaxAge <dd.hh:mm:ss>

    保存的天数

    具体可以参考exchange的白皮书关于 Set-TransportService 中各个参数的作用。

    还有一点需要提醒你的是,保存所有的邮件路由日志是好想法

    可实际下来,如果量够大,半年后,那个文件夹就打不开了,查询会卡死,超过50G的日志打开的时间就很恐怖了

    你也不想日志都保留了,可惜用不了是吧。

    我们目前把日志都吐到ELK系统里去,在那里查询30天之前的收发记录,至少邮箱系统不吃力。推荐下。


    • 已编辑 Salavie 2019年11月14日 9:03
    • 已标记为答案 ice9898 2019年11月15日 8:18
    2019年11月14日 9:02
  • 您好,ELK不太了解,能够给个和Exchange 集成的文档连接。
    2019年11月15日 8:24
  • ELK平台部署网上搜吧,我也不是很懂。

    我们用的是 filebeat 吐日志给 Logstash, 然后开发会根据我们要求在 kibana展现。

    你去其他地方,找个懂ELK的应该就很容易了,这里估计不好找,我也不是很懂ELK。

    2019年11月15日 9:01
  • 很高兴你的问题得到了解决。这边对此类问题做一个总结,希望能帮助到其他有需要的人。

    需要达到的期望
    ==========================================
    永久保存邮件跟踪日志,并且修改日志存储路径。

    方法及总结
    ==========================================
    修改日志保留路径、永久保留日志、更改日志文件最大大小,都是使用的Set-TransportService这条命令:

    Set-TransportService <ServerIdentity> -MessageTrackingLogPath <LocalFilePath> -MessageTrackingLogMaxFileSize <Size> -MessageTrackingLogMaxDirectorySize <Size> -MessageTrackingLogMaxAge <dd.hh:mm:ss>



    其中:


    1. 修改日志存储路径的参数为MessageTrackingLogPath,邮件跟踪日志默认保存在Exchange安装路径下的TransportRoles\Logs\MessageTracking文件夹。

    2. 控制日志文件最大大小的参数是MessageTrackingLogMaxFileSize,控制最大日志保留时间的参数是MessageTrackingLogMaxAge,要想保留所有日志文件,要设置足够大的MessageTrackingLogMaxDirectorySize,并且把MessageTrackingLogMaxAge这个参数值设为00:00:00,还要保证您用来存放日志的盘空间足够大。

    此致,

    Vera Shen


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年11月15日 11:19