Отслеживание сообщений в Microsoft Exchange 2010. Get-MessageTrackingLog

Журнал отслеживания сообщений содержит подробные сведения об обмене сообщениями с компьютером с сервером Microsoft Exchange Server 2010 и установленной ролью транспортного сервера-концентратора, сервера почтовых ящиков или пограничного транспортного сервера. Журналы отслеживания сообщений используются для исследования сообщений, анализа потока почты, создания отчетов и устранения неполадок.

Для выполнения всех задач настройки отслеживания сообщений на транспортном сервере-концентраторе или пограничном транспортном сервере можно использовать командлет Set-TransportServer. Для выполнения всех задач настройки отслеживания сообщений на сервере почтовых ящиков можно использовать командлет Set-MailboxServer. Для серверов, на которых установлена роль транспортного сервера-концентратора или сервера почтовых ящиков, можно использовать командлет Set-TransportServer или Set-MailboxServer.

По умолчанию файлы журналов отслеживания сообщений хранятся в каталоге C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\MessageTracking
Подробнее тут — https://technet.microsoft.com/ru-ru/library/bb124375(v=exchg.141)

Найти полученные сообщения пользователем vasya@daun.ru с адреса admin@vasiliy.ru с 12.12.2016 по 13.12.2016:

Get-MessageTrackingLog -EventId "Receive" -ResultSize Unlimited -Sender "admin@vasiliy.ru" -Recipient "vasya@daun.ru" -start "12/12/2016" -end "13/12/2016"

| Format-List в конце выдаст полную информацию по каждому найденному сообщению.

Where-Object позволяет искать по маске:

Get-MessageTrackingLog -EventId "Receive" -ResultSize Unlimited | Where-Object {$_.sender -like "*@.sobaka.com"} | Format-Table -AutoSize

Поиск по отправителю и получателю:

Get-MessageTrackingLog -Start "3/15/2017" -End "3/17/2017" -ResultSize Unlimited -Recipients "test1@domain.ru" -Sender "test2@domain12.ru" |  select-object timestamp, eventid, messageid, sender, recipients, messagesubject | Out-GridView

Поиск писем и экспорт в CSV-файл:

Get-MessageTrackingLog -Start "7/22/2017" -End "7/26/2017" -ResultSize Unlimited -Recipients "test@domain.ru" |  select-object timestamp,eventid,sender,recipients,messagesubject | Export-Csv -Path "C:\scripts\Exchange\test.csv" -Encoding Default -Delimiter ";"