Office 365中的郵件跟蹤(Exchange Online)
消息跟蹤不允許您查看到郵件的內容。不過,它可以提供很多關於電子郵件的重要數據:
發件人和收件人
發送和接收日期
主題和大小
事件的狀態和細節。狀態字段中有六個可能的值:提交,失敗,掛起,隔離,過濾為垃圾郵件和未知。
用於發送消息的IP地址
消息ID是標識消息的唯一編號。如果郵件發送給多個收件人,則會在郵件追蹤搜索中為每個收件人顯示一次,但所有這些條目將具有相同的郵件ID和不同的郵件追蹤ID
本地Exchange中的郵件跟蹤日誌與Office 365中的郵件跟蹤之間存在一些顯著差異。最重要的一點是,郵件跟蹤日誌是可以直接訪問的簡單文本文件,並可用於備份目的而復制,但也可以刪除手動。
郵件跟蹤日誌和Office 365郵件跟蹤之間的差異
郵件跟蹤日誌(本地Exchange) | 消息跟蹤(Exchange Online) | |
---|---|---|
訪問 | PowerShell,或者 - 一個文本編輯器。 | PowerShell,EAC。 |
大小限制 | 對於設置目錄中的所有消息跟蹤日誌文件,默認情況下都是可配置的1000 MB。 | 沒有已知的大小限制。 |
查詢限制 | 默認情況下,最早的文件被覆蓋前的30天。可以增加(或減少)。 | 易於訪問的消息跟蹤為7天,“歷史搜索”為90天 - 結果只能在可下載的CSV文件中查看。 |
可用性 | 有關消息的所有數據在發送或接收後立即可用。 | 小於4小時的消息可能無法使用。 |
延遲 | 所有搜索立即開始 | 搜索超過七天的電子郵件可能需要幾個小時。搜索請求甚至開始處理之前需要一些時間。 |
消息跟蹤的實際應用
消息跟蹤使得可以了解某些消息發生了什麽,即使它們沒有被發送,或被刪除。這種信息有不同的用途:
查找並解決郵件傳遞問題 - 郵件追蹤的最基本和“傳統”的目的。每當用戶或客戶報告某些消息似乎丟失時,管理員就可以找到問題的根本。當然,快速找到正確的消息取決於用戶提供的信息量。
監視郵件流 - 由於消息跟蹤收集關於在組織內處理的所有消息的數據,所以可以使用結果來收集統計數據。
檢查您的郵件流規則是否按照他們應該的方式工作 - 配置郵件流規則時不會犯錯,特別是在大型組織中,以及不同規則之間可能存在沖突時。由於消息跟蹤詳細信息提供了有關故障的詳細信息,因此您將能夠確定哪些郵件流規則存在錯誤。
消息取證 - 盡管消息跟蹤日誌和消息跟蹤結果不會讓管理員進入電子郵件的內容,但有關發件人,收件人,日期,時間和郵件大小的信息可能會非常有價值,例如的訴訟。如果一個重要的電子郵件在訴訟舉行之前被清除,或者激活了保留策略,則日誌可以作為重要證據。
跟蹤消息所需的權限
與Office 365中的任何操作一樣,消息跟蹤搜索需要特定的權限或角色
安全管理員
安全閱讀器
僅查看收件人
合規管理員
數據丟失預防
默認情況下,角色組織組織管理 具有所有必需的權限
有兩種方法可以跟蹤Office 365中的消息 - PowerShell和EAC。我們來看看他們。
使用PowerShell進行Office 365消息跟蹤
您可以使用PowerShell搜索本地服務器上的郵件跟蹤日誌,並在Exchange Online中跟蹤郵件。雖然這種經驗在某種程度上是相似的,但也有一些差異值得一提。
本地Exchange只有一個用於獲取感興趣的數據的cmdlet:Get-MessageTrackingLog。在Office 365中,通訊員cmdlet是Get-MessageTrace。兩個cmdlet都立即執行,但Get-MessageTrackingLog搜索所有現有日誌時,Exchange Online對等設備只能返回七天。對於較老的消息,還有另一個cmdlet啟動“歷史搜索”(有關該文章後面部分的cmdlet)。
Get-MessageTrace不需要任何額外的參數; 但是,如果您不添加任何內容,它將返回有關您的租戶在過去48小時內處理的所有消息的信息。通常,這會為您提供太多數據用於診斷目的。要了解特定電子郵件發生的情況,您需要縮小查詢範圍。例如:
Get-MessageTrace -RecipientAddress <user’s address> -StartDate 11/07/2017 -EndDate 11/14/2017
此cmdlet顯示在定義的日期之間定向到用戶的所有郵件流。如果沒有提供所有必需的細節,請更改結果的格式並指定您需要的屬性,例如FromIP或Size
Get-MessageTrace -RecipientAddress <user’s address> -StartDate 11/07/2017 -EndDate 11/14/2017 | Format-list -Property Received,SenderAddress,Status,MessageTraceId
該列表為您提供了足夠的信息來找到正確的信息。為了檢查發生了什麽,例如,為什麽交付失敗,您將需要Get-MessageTraceDetail。從前面的cmdlet的結果中查找並復制消息跟蹤標識,而不是在管道中使用它:
Get-MessageTrace -RecipientAddress <user’s address> -StartDate 11/07/2017 -EndDate 11/14/2017 -Status Failed | Get-MessageTraceDetail
正如您可以輕松看到的,由於郵件流規則,交付失敗。這是您應該總是花一秒鐘才能正確命名郵件流規則的原因之一。像“規則1”這樣的名字可能不會告訴你什麽,即使你是過去制定規則的人。
為超過一周的電子郵件運行郵件跟蹤是不可能的,它需要運行歷史搜索。要開始搜索,請運行Start-HistoricalSearch。所需的參數是:StartDate,EndDate,ReportTitle和ReportType(MessageTrace或MessageTraceDetail)。請確保您還指定了-NotifyAddress字段,以便在準備就緒後立即收到報告。如果未指定-NotifyAddress參數,則通過EAC訪問報告的唯一方法。此外,縮小搜索範圍以僅包含所需數據很重要,因為歷史搜索可能需要幾個小時。
Start-HistoricalSearch -ReportTitle "Trace1" -ReportType MessageTrace -SenderAddress [email protected] -StartDate 11/01/2017 -EndDate 11/07/2017 -NotifyAddress [email protected]
要檢查在過去十天內開始的任何搜索的狀態,請使用Get-HistoricalSearch。
在Office 365中使用EAC進行郵件跟蹤
本地Exchange不允許通過Exchange管理中心進行郵件跟蹤。在Office 365中,EAC支持消息跟蹤,並提供相當舒適的體驗。盡管通常我更喜歡使用PowerShell管理Exchange Online,但我必須說在這種情況下,EAC似乎非常有效地完成工作。
要訪問消息跟蹤,請輸入Exchange管理中心:
在EAC中,轉到郵件流 > 消息跟蹤
在這個窗口中,您可以輸入您想要生成的報告的標準。要搜索7天前發送或接收的電子郵件信息,您需要在日期範圍字段中選擇自定義。然後,相應地輸入開始和結束日期和時間。請記住,無論您使用EAC還是PS,跟蹤舊郵件都被視為歷史搜索。這意味著你將不得不等待你的報告。生成報告可能需要幾個小時。如果您追蹤過去七天的消息,單擊搜索將打開一個窗口,結果如下:
如果要查看所選電子郵件的詳細信息,請雙擊該電子郵件,然後打開一個新窗口:
在這個窗口中,你可以檢查消息發生了什麽。在上面的示例中,您可以看到由於傳輸規則而導致投遞失敗。您可以輕松地檢查哪個傳輸規則導致問題並解決問題。
回到主消息跟蹤窗口中,單擊查看待處理或已完成的跟蹤將顯示您執行的歷史搜索列表。如果您使用PowerShell啟動了歷史搜索,但未能指定-NotifyAddress參數,則這是下載包含報告的csv文件的唯一方法。
下載的報告為CSV格式。每行顯示關於單個電子郵件的信息。為了使報告更具可讀性,您可以在Excel或其他電子表格中打開它。
Office 365中的郵件跟蹤(Exchange Online)