Microsoft Exchange Server Message Tracking Mimarisi , Exchange Server üzerinden gönderilen her bir e-posta için izleme günlüklerini tutmaktadır. Exchange Server üzerinden gönderilen bir ileti, ne zaman, hangi kullanıcıdan gönderildi, ileti içeriğinde bulunan alıcılar, ileti ekleri, eklerin boyutları, eklerin türüne kadar bir çok telemetri verisine Microsoft Exchange Server Message Tracking olay günlüklerinden öğrenebiliriz.
Microsoft Exchange Server Message Tracking günlük dosyaları yukarıda paylaşmış olduğumuz yolda circular logging teknolojisi ile saklamaktadır. Exchange Server Logging Dizini Değiştirme konu başlığı ile paylaşmış olduğumuz makalemiz de bu yolun nasıl değiştirildiğini sizlere paylaşmıştık.
Microsoft Exchange Server Message Tracking mimarisi Exchange Server Mailbox Role ve Exchange Server Edge Role üzerinde e-posta trafiğinin (SMTP Trafik) ayrıntılı olarak izlenebilmesi için kullanılmaktadır.
Microsoft Exchange Server Message Tracking özelliği message forensics (adli sorgular), posta akışı analizi, raporlama ve sorun giderme için kullanılmaktadır.
Microsoft Exchange Server üzerinde performans problemleri yaşanmaması ve e-posta trafik bilgilerinin sağlıklı kalması için Exchange server Message Tracking Log dizin değişikliğini önermekteyiz.
Microsoft Exchange Server Message Tracking mimarisi var sayılan değer de aktif durumdadır ve varsayılan değerler Microsoft Exchange Server Organizasyon büyüklüğüne ve kuruluşun ihtiyaçları göz önünde bulundurularak ince ayarlar yapılması gerekmektedir.
Exchange Server Message Tracking Mimari makalesi içinde yer alan bilgiler aşağıda listelenmiştir.
1. Microsoft Exchange Server Message Tracking Mimari için arama yapmak
Microsoft Exchange Server Message Tracking olay günlükleri Exchange Server Mailbox Server ve Exchange Server Edge Server üzerin kullanılmaktadır. Message Tracking olay günlükleri Exchange Server e-posta sistemine bağlı olarak büyük miktarda veri içerebilir. Doğru ayarlanmamış ve varsayılan değerlerde bırakılmış Exchange Message Tracking ayarları Exchange Organizasyonları için problem oluşturmaktadır.
Bu problemler ; Exchange Message Tracking olay günlüklerini arama süresinin uzun vakitler alması, bu zaman kaybında aranılan olay günlüklerinin bozulması, kaybolmasına ve arama işleminin sağlıksız sonuçlanmasına neden olabilir.
Exchange Server Delivery reports
Exchange Control Panel üzerinde Mail Flow sekmesi altında Delivery Reports bölümünü kullanabilir ve Message Tracking olay günlüklerine ulaşabilirsiniz. Yeni Exchange Message Tracking arayüzü eski Message Tracking mimarisine göre daha sade ve de daha kolay izleme işlemlerine sahiptir. Delivery Reports bölümünde almış olduğumuz raporlar bizler için yeterli gelmezse ve özel bir arama yapmak istiyorsak yada özel raporlar almak istiyorsak Exchange Shell ile Exchange Message Tracking logları üzerinde aramalar yapmalıyız.
1.Exchange Server Message Tracking Mimari Dosya Türleri
Message Tracking Log varsayılan değerde %ExchangeInstallPath%TransportRoles\Logs\MessageTracking altında saklanmakta ve bir rapor almak istediğimiz zaman Exchange Shell aracını kullanarak raporlar almaktayız.
Microsoft Exchange Server Message Tracking Mimari
Exchange Server Message Tracking Log ‘ları aşağıda ki değişmez ön ek formatında saklanmaktadır.
- MSGTRK dosyaları Mailbox servers ve Edge Transport servers üzerinde saklanmakta ve Transport service ‘nin olaylarını saklamaktadır.
- MSGTRKMA dosyaları Mailbox servers üzerinde saklanmakta ve kabul edilen ve ret edilen posta olaylarını saklamaktadır.
- MSGTRKMD dosyaları Mailbox servers üzerinde saklanmakta ve Mailbox Transport Delivery hizmeti tarafından posta kutularına teslim edilen posta olaylarını saklamaktadır.
- MSGTRKMS dosyaları Mailbox servers üzerinde saklanmakta ve Mailbox Transport Submission service tarafından posta kutularından gönderilen posta olaylarını saklamaktadır.
Exchange Server Message Tracking Log ‘ları yyyyaagg, günlük dosyasının oluşturulduğu eşgüdümlü evrensel saat (UTC) tarihi ile değişen yil, ay ve gün arka ek formatında saklanmaktadır.
Exchange Server Message Tracking Log File Size
Her Message Tracking Log dosyası belirlenen boyutta ve zaman formatında değişen bir sayı ile saklanmaktadır.
Örnek; Aynı gün için de MSGTRK için üretilen log dosyası 10 MB üzerine geldiği zaman MSGTRK-1, MSGTRK-2, MSGTRK-Xkadar olay günlüğü üretecektir.
2. Exchange Server Message Tracking Komutları
Exchange Control Panel üzerinde arama yaptığımız bir e-posta sorgusu bazen taleplerimize cevap vermeyebilir. Yapmış olduğumuz Microsoft Exchange Server Message Tracking sorgusu çok büyük olabilir yada kaynak, hedef, zaman, içerik gibi alt detaylara ihtiyacımız olabilir. Exchange Management Shell kullanılarak paylaşacak olduğumuz bu örnek komutlar aramalarımızı detaylandırabiliriz.
Exchange Server Message Tracking Raporları nı oluştururken dikkat etmeliyiz. Exchange Management Shell ile oluşturacak olduğumuz Message Tracking Raporlarında herhangi bir alt kırılım, detay yada hedef vermediğimiz zaman Message Tracking Rapor oluşturma süreleri uzayacak ve bu raporların oluşturulması sırasında da Microsoft Exchange Server üzerinde performans problemleri oluşacaktır.
Exchange Server Message Tracking Raporları küçük dosyalar değildir ve varsayılan değerde 30 Gün süre ile 10 MB büyüklüğünde ve Circulor Logging mimarisinde saklanmaktadır.
Message Tracking Rapor oluşturma işlemlerinde hedef, detay vermediğimiz zaman samanlıkda iğne arayacağız. Evet, o iğne varsa bulacağız ama bu işlemler uzun sürelerde tamamlanacak ve Exchange Server da bu işlemden yorulacaktır.
Örnek olarak, aşağıda paylaşmış olduğumuz komut gibi herhangi bir alt kırılım, detay vermeden çalıştırmış olduğumuz Exchange Message Tracking raporu bizlere en son 1000 e-posta hakkında detay verecektir.
Microsoft Exchange organizasyonu sahip olduğumuz organizasyon büyüklüğüne bağlı olarak 1000 tane e-postayı 1 saat içinde de gönderebilir 1 gün içinde de gönderebilir 1 ay içinde de gönderebilir.
Böylesine sıradan bir rapor çalıştırmak sağlıklı sonuçlar vermeyecek ve Exchange Serverlar gereksiz yere yorulacaktır. Bu sebepten ötürü Exchange Management Shell kullanarak hazırlamış olduğumuz her bir sorguda alt-kırılım vermeyi unutmayalım.
Çalıştıracak olduğumuz bu basit Message Tracking raporları da aşağıdaki gibi anlamsız olacaktır. Bu sebepten ötürü Message Tracking raporlarını çalıştırırken alt kırılım ve hedef verilmesi önemlidir.
Aşağıda ise alt kırılım ve detay verilmiş bir başka Message Tracking rapor örneği bulunmaktadır. Bu örnek de göndericinin belirli tarih aralığında gönderdiği hatalı iletileri bizlere gösterecektir.
Aşağıda paylaşmış olduğumuz bir başka Message Tracking Komutunda ise @pera.net.tr domainine gelen bütün iletileri görmekteyiz.
Aşağıda paylaşmış olduğumuz bir başka Message Tracking Komutunda ise @pera.net.tr domaini üzerinden giden bütün iletileri CSV formatında dışarıya çıkartmaktayız.
Aşağıda paylaşmış olduğumuz bir başka Message Tracking Komutunda ise @pera.net.tr domaini üzerinden Belirli zaman diliminde giden iletilerin kimin gönderdiği, Göndericisinin kim olduğu, Alıcısının kim olduğu ve Mesaj Başlığı nedir (Message Tracking raporları Mesaj içeriğini vermez) bu detayları CSV formatında dışarıya çıkartmaktayız.
Aşağıda paylaşmış olduğumuz bir başka Message Tracking Komutunda ise Exchange Organizasyonundan belirli tarihte gönderilen 1 MB üzerinde ki bütün iletilerin CSV formatında dışarıya çıkartmaktayız.
Aşağıda paylaşmış olduğumuz bir başka Message Tracking Komutunda ise Exchange Organizasyonunda Relay hakkı vermiş olduğumuz bir mail adresinin göndermiş olduğu iletileri bulmaktayız.
Exchange Server Message Tracking komutları örneklerde paylaştığım gibi daha net bilgiye (kim, nezaman, nereye, içerik gibi) ihtiyaç olduğu zaman sade ve hızlı raporlar almak için kullanılır. Eğer bu kırılımlara sahip değilsek, ihtiyaç yoksa bir mail gittimi, ulaştımı gibi sade bilgiye ihtiyaç varsa ilk bölümde bahsettiğimiz gibi Exchange Admin Center üzerinde bulunan Exchange Server Delivery reports bölümünü kullanmamız gerekmektedir.
Fakat son paylaşmış olduğum rapor da bir Relay adresinin göndermiş olduğu iletileri aradık. Exchange Server Delivery reports bölümünde Relay iletileri görülmemektedir. Bu örnekte Exchange Server Delivery reports ile Message Tracking raporları arasında ki en temel ayrım olarak örneklemek istedim.
2.1 Exchange Server Message Tracking Komut Parametreleri
Yukarıda örnek, benim sıklıkla kullanmış olduğum Exchange Server Message Tracking komutlarını sizlerle paylaştım. Aramış olduğunuz ileti çok daha detaylı yada sade olabilir. Bu tamamen yaşamış olduğunuz problem yada ihtiyaca bağlı olarak değişmektedir. Aşağıdaki Message Tracking Paremetreleri ile raporları genişletebilir yada daraltabilirsiniz.
- Date-time
- Client-ip
- Client-hostname
- Server-ip
- Server-hostname
- Source-context
- Connector-id
- Source
- Event-id
- Internal-message-id
- Message-id
- Network-message-id
- Recipient-address
- Recipient-status
- Total-bytes
- Recipient-count
- Related-recipient-address
- Reference
- Message-subject
- Sender-address
- Return-path
- Message-info
- Directionality
- Tenant-id
- Original-client-ip
- Original-server-ip
- Custom-data
- Transport-traffic-type
- Log-id
- Schema-version
- Agentinfo
- Badmail
- Clientsubmission
- Defer
- Deliver
- Deliverfail
- Drop
- Dsn
- Duplicatedeliver
- Duplicateexpand
- Duplicateredirect
- Expand
- Fail
- Hadiscard
- Hareceive
- Haredirect
- Haredirectfail
- Initmessagecreated
- Load
- Moderationexpire
- Moderatorapprove
- Moderatorreject
- Moderatorsallndr
- Notifymapi
- Notifyshadow
- Poisonmessage
- Process
- Processmeetingmessage
- Receive
- Redirect
- Resolve
- Resubmit
- Resubmitdefer
- Resubmitfail
- Send
- Submit
- Submitdefer
- Submitfail
- Suppressed
- Throttle
- Transfer
- Admin
- Agent
- Approval
- Bootloader
- Dns
- Dsn
- Gateway
- Mailboxrule
- Meetingmessageprocessor
- Orar
- Pickup
- Poisonmessage
- Publicfolder
- Queue
- Redundancy
- Resolver
- Routing
- Safetynet
- Smtp
- Storedriver
3. Exchange Server Message Tracking Mimari Yapılandırma
Exchange Server Mesaj izleme günlüğü (Exchange Server Message Tracking), Exchange Server Mailbox Role ve Exchange Server Edge Role ‘de e-posta trafiğinin (SMTP Trafik) ayrıntılı olarak izlenebilmesi için kullanılmaktadır. E-posta izleme günlüğü temel olarak e-posta gitti mi, ulaştı mı yada alındı mı gibi taleplerin ötesinde forensics, posta akışı analizi, raporlama ve sorun giderme için de kullanılmaktadır. Microsoft Exchange Server Message Tracking Arama Yapın bölümünde bunu belirtmiştik.
İkinci bölümde ise Exchange Server Message Tracking Komutlarını sizlere paylaştık temel olarak Exchange Control Panel üzerinde yapacak olduğumuz temel aramalara ek olarak Exchange Management Shell ile detaylı aramaları nasıl yapacağımızı sizler ile paylaştık. İkinci bölümün ana konusu da bu idi. Exchange Control Panel üzerinden temel aramaları gerçekleştirirken Exchange shell ile detay aramaları ve ECP ‘nin bizlere veremediği raporlara (Relay gibi) ulaşmıştık.
Exchange Server Message Tracking mimarisi e-posta akışının önemli olduğu Exchange organizasyonları için önemlidir ve özel ayarların yapılması gerekmektedir. Bu özel ayalar daha sağlıklı exchange server ‘larını bizlere sunacak ve ihtiyaç durumunda performans ile birlikte özel taleplerimizi de karşılayacaktır. Bu sebepten ötürü Exchange Server Message Tracking ayarlarında ince dokunuşlar yapacağız.
Exchange Server Transport Logs
Exchange Server Admin Center üzerinde her bir Exchange Server Mailbox Server yada Edge Server üzerinde Transport Logs özelliğini aktif yada pasif duruma getirebilir ve Exchange Message Tracking log dizin yolunu değiştirebilirsiniz. Exchange Server organizasyonu için de birden fazla Microsoft Exchange server var ise eğer Exchange Server Logging Dizini Değiştirme makalesinde toplu şekilde nasıl değiştirileceğini de sizlere paylaşmıştık.
Exchange server Kurulum işlemleri tamamlandıktan sonra var sayılan olarak bu özellik aktif durumdadır ve c:\Program Files\Microsoft\Exchange Server\Exchange Version\TransportRoles\Logs\Hub\ProtokolLog\ dizininde Exchange Message Tracking log’ ları saklanmaktadır.
Yukarıda paylaşmış olduğum komut ile Mailbox01 isimli sunucu üzerinde Exchange Message Tracking log kapalı duruma getirebilirsiniz.
3.1 Exchange Server Message Tracking Ayarları
Exchange Server Message Tracking Ayarları bölümünde Exchange Message Tracking özelinde ince ayarları yapacağız. Bu bölümde paylaşacak olduğumuz Exchange Management Shell çıktılarını ihtiyacınız çerçevesinde değiştirebilirsiniz.
Yukarıda paylaşmış olduğum Exchange shell ile komutun çalıştırılmış olduğu Exchange Server özelinde aşağıda ki değişiklikleri uyguladım.
- var sayılan değerde %ExchangeInstallPath%TransportRoles\Logs\MessageTracking dizini altında bulunan Message Tracking olay günlüklerini D:\Message Tracking Log bölümüne taşıdım.
- Message tracking log dosya boyutunu 20 MB olarak değiştirdim. Varsayılan değerde 10 MB’ dir.
- Message tracking log barınmış olduğu dizin boyutunu 1.5 GB olarak yükselttim. Varsayılan değerde 1 GB’ dir.
- Message tracking log dosyalarının 45 boyunca saklanmasını istedim. Varsayılan değerde 30 Gün.
Yukarıda paylaşmış olduğum Exchange shell ileile Exchange Organizasyonu içinde bulunan bütün Exchange Server ‘ların Message Tracking yapılandırma değerlerini görebilmekteyim.
Exchange Server Message Tracking Log File Size
Belirli bir Exchange server özelinde görmek isterseniz paylaşmış olduğum Exchange Management Shell komutuna -Identity paremetresini eklemeniz yeterlidir.
3.2 Exchange Server Message Tracking Circular Logging
Exchange Message Tracking log ‘ların önemini biliyoruz ve regülasyonlara uyumluysak bu logları saklamaktayız. Fakat, sahip olduğumuz Exchange server kaynakları da sınırlı ve sonsuz değildir ve bu verileri belirli bir süre kadar Microsoft Exchange Server üzerinde saklayabiliriz.
Varsayılan değer de bu süre 30 Gün olup olay günlükleri en fazla 10 MB olduğu zaman yeni bir dosya üreterek 45 Günlük döngüsel saklamayı yerine getirebilir.
Exchange Server MessageTracking Logs
Özet ile Exchange Message Tracking olay günlükleri Circular Logging mimarisinde döngüsel olarak saklanmaktadır.
10 MB Exchange Message Tracking dosya boyutu bizlere yeterli gelebilir. Zaten bu boyuta varıldığı zaman 30 Gün içinde yeni bir sıra numarası ekleyecek ve saklamaya devam edecek. Sahip olduğumuz veri depolama alanının özelliklerine göre bu boyutu düşürebilir yada arttırabiliriz.
Fakat 30 Günlük varsayılan süre banka, finans kuruluşu, sağlık gibi regülasyona bağlı kurumlar için yeterli gelmeye bilir. Exchange Message Tracking olay günlük boyutunu arttırabildiğimiz gibi saklanma süresini de değiştirebiliriz.
Fakat bu olay günlükleri yukarıda bahsetmiş olduğum kurumlar için kritiktir ve bu verilerin Exchange Server üzerinde saklanması önerilmez. Ayrıca bu türde ki kurumlar için bu süreler de yeterli değil en az 90 gün ve kurumun bağlı olduğu yasal tüzüğe bağlı olarak 180 gün gibi değerlere sahiptir. Bu süre Amerika da eski uyum yasalarına göre sağlık sektörü için 10 seneydi ve bu süre 5 sene olarak yeni uyum yasalarında değiştirildi.
Durum bu şekilde olunca biz bu verileri Microsoft Exchange server ‘dan alıo Log Collector gibi işi bu olan, verileri uzun süre saklayan, sakladığı zaman diliminde olay günlüğünün bozulmasına, değiştirilmesine engel olan ve bu değişiklikleri engelleyen, şifreleyen çözümlere ihtiyaç duymaktayız. Bu gibi ihtiyaçlar için bu verileri uzun süre saklayacak olan Azure Monitor gibi, Exchange Reporter gibi Log Collector yazılımlarına ihtiyaç duymaktayız.
Bu kuruluşlar için seçilecek olan Log Collector yazılımına bağlı olarak Exchange Message Tracking dosya saklama süresi en az zamana indirilmekte 7 gün gibi ve dosya boyutu da 1 – 5 MB seviyesine düşürülmektedir. Bu değişiklikler sonrasında Exchange server üzerinde Exchange Message Tracking olay günlükleri en az seviyede ve en az döngüde tutulacak, Microsoft Exchange Server üzerinde optimizasyon ve performans kazanımı olacaktır.
