Заметки о Windows и других программных продуктах Microsoft...

Выясняем, какие правила транспорта были применены к почтовому сообщению

Выясняем, какие правила транспорта были применены к почтовому сообщению

Правила транспорта (Transport Rules) в Exchange позволяют управлять почтовыми сообщениями на основании их свойств. С помощью правил можно перенаправлять сообщения, добавлять в заголовок необходимую информацию, отфильтровывать нежелательную почту и многое другое. Использование правил значительно облегчает администрирование почтовой системы, однако есть и обратная сторона. При большом количестве правил в них легко запутаться, и не всегда понятно, какие именно правила были применены к сообщению. О том, как это выяснить, и пойдет сегодня речь.

Итак, есть сообщение, к которому предположительно были применены некие правила транспорта. Задача — узнать, какие именно.

Первое, что требуется сделать — это найти требуемое сообщение в транспортных логах. Для поиска нужны исходные данные, такие как отправитель (Sender), получатель (Recipient), тема сообщения (Message subject), время отправки и т.п. Чем точнее будут указаны эти параметры, тем быстрее будет поиск.

Примечание. У меня в организации несколько серверов Exchange и поиск нужно провести по всем.

Ищем сообщение:

$servers = Get-ExchangeServer;
$start = (Get-Date).AddHours(-4);
$logs = foreach ($server in $servers) {Get-MessageTrackingLog -Server $server -Start $start -MessageSubject <Message subject> -Sender <Sender>};

Найденную информацию сортируем по времени и выводим в следующем виде:

$logs | sort timestamp | select eventid, source, messagesubject

В колонке EventID мы видим действие, которое было произведено с сообщением, а в колонке Source того, кто это действие произвел. Действию правил соответствует событие AGENTINFO.

Поиск нужного письма

 

Как видите, к нашему сообщению были применены правила транспорта, остается узнать, какие именно. Для этого воспользуемся следующей командой:

$logs | where {$_.eventid -eq ″AGENTINFO″} | fl messagesubject, messageid, eventdata

А теперь внимательно смотрим содержимое EventData. В ruleID находится идентификатор правила, а в action — произведенное им действие.

просмотр событий

 

Ну а поскольку ID нам известен, можем вывести и само правило:

Get-TransportRule -Identity <ruleID>

вывод правила

 
 
Комментарии

Пока нет комментариев.