Microsoft365でメールの送受信したログを確認する機能として「メッセージ追跡」があります。
「メッセージ追跡」で要約レポート、増補要約レポート、包括的レポートと種類があり、各レポートの違いは以下のとおりです。
要約レポート
GUI 上ですぐに確認できるるレポートです。
レポートは、20,000件の出力が可能です。
[送信者] [受信者] および [詳細なオプション] をすべて指定せずに、出力することが可能です。
90 日前まで指定が可能であり、最大で 10 日の範囲内での取得が可能です。
増補要約レポート
開始日を 90 日前まで指定可能です。
1 メール 1 行で出力し、100,000 件まで出力可能です。
そのため、出力した行数にて総数をカウントすることが可能です。
24 時間で 250 件までの制限があります。
レポートを出力する際は、[送信者] [受信者] および [メッセージ ID] のいずれかを指定する必要があります。
また、[送信者] および [受信者] を指定する場合に、*@conotoso.com と指定することで、特定のドメインのみに絞った出力も可能です。
包括的レポート
開始日を 90 日前まで指定可能です。
サーバー内の配送状態を記載するため、1 メール複数行で出力し、1,000 件まで出力可能です。
24 時間で 250 件までの制限があります。
詳細な配送経路を確認可能であり、エラーや配信不能等の調査等において、個別のメールの詳細ログを取得する用途で用いられるレポートとなります。
レポートを出力する際は、[送信者] [受信者] および [メッセージ ID] のいずれかを指定する必要があります。
エラー内容など詳細な情報が記載されているため、主にメールが届かないとった調査などの際に用いられます。
包括的レポートを取得するには?
包括的レポートを取得する場合、送信に失敗したメール、受信に失敗したメールに限定して取得したほうがいいと思いますので、メールの一意の値である [メッセージID] を指定するのが望ましいです。
以下に[メッセージID]を確認し、包括的レポートを取得する手順をご紹介したいと思います。
包括的レポートはメール送受信の直後の検索ではログが取得できないため、送受信後 5 時間程度経過後に検索を実施してください。
メッセージ ID の確認手順
対象のメールアイテムのヘッダー情報、または、要約レポートからメッセージ ID を確認することができます。
ヘッダー情報から確認する場合は、メールが受信できていることが前提となりますので、受信したメールで何かおかしな点があり確認したい場合などに用いられます。
要約レポートから確認する場合は、送信に失敗、受信に失敗しメールの受信ができていない場合に用いられます。
要約レポートでは、過去 90 日以内で最大 10 日間の範囲で検索の条件に指定することが可能であるため、90 日を超えてしまった場合は取得することはできません。
メールヘッダーから確認する手順
Outlook on the webの場合
1. Outlook on the web の画面を開きます。
2. メールヘッダーを確認したいメールを選択します。
3. メール画面右上の […] > [表示] > [メッセージの詳細の表示] をクリックします。
4. 表示されたメッセージ ヘッダー全文をコピーし、メモ帳等にペーストします。
5. ペーストしたヘッダー情報より [Ctrl + F] などで [Message-ID] を検索します。
デスクトップ版 Outlook クライアントの場合
1. Outlook を起動し、ヘッダーを確認したいメールをダブルクリックします。
2. 別ウィンドウでメールの画面が開きますので、画面左上の [ファイル] タブをクリックします。
3. [プロパティ] をクリックし、表示されるプロパティウィンドウの [インターネットヘッダー] に記載されているメッセージ全文をコピーし、メモ帳等にペーストします。
4. ペーストしたヘッダー情報より [Ctrl + F] などで [Message-ID] を検索します。
要約レポートから確認する手順
1. 管理者アカウントで Exchange 管理センター (https:/admin.exchange.microsoft.com/) へサインインします。
2. 左側のメニューから [メールフロー] > [メッセージ追跡] をクリックします。
3. [+ 追跡の開始] をクリックします。
4. [時間の範囲] をメールの送信日時を含む範囲に指定します。
※ スライダーになっている場合は、[カスタムの時間範囲] をクリックしてください。
※ [タイム ゾーン] は (UTC + 09:00) Japan Standard Time (Tokyo) を指定します。
※ 任意で送信者や受信者を指定することも可能です。
5. [レポートの種類を選択] に [要約レポート] を指定し、[検索] をクリックします。
6. [メッセージ追跡の検索結果] より、該当のメールをクリックします。
7. [詳細情報] 内の [メッセージ ID] を確認します。
※ 山かっこ (< >) を含む形式です。
包括的レポート取得手順
1. 管理者アカウントで Exchange 管理センター (https:/admin.exchange.microsoft.com/) へサインインします。
2. 左側のメニューから [メールフロー] > [メッセージ追跡] をクリックします。
3. [+ 追跡の開始] をクリックします。
4. 下記のように各項目を指定します。
・[送信者] : 空欄
・[受信者] : 空欄
・ [タイム ゾーン] : (UTC + 09:00) Japan Standard Time (Tokyo)
・ [開始日] : 開始日
・ [終了日] : 終了日
開始日、終了日は事象発生日を挟むように + 1 日程度広く設定します。
・[詳細な検索オプション] : [メッセージID] にて、該当メールアイテムのメッセージ ID を入力します。
※ メッセージ ID は <> を含めて指定します。
・[レポートの種類を選択] をクリックし、[包括的レポート] にチェックを入れます。
5. [次へ] をクリックし、[レポートをダウンロードできる状態になると、下記のメールアドレスに通知が送信されます*] にレポート生成完了後の通知をする内部のメールアドレスを任意で入力します。
※ 生成完了までに 2 ~ 6 時間程度の時間を要する場合があります。
6. [レポートの準備] > [閉じる] をクリックします。
[通知メール] よりファイルをダウンロードする手順
検索が完了すると、指定したメールアドレス宛に以下の内容のメールが届きます。
~~~~~
件名 : Your requested Contoso Search is now available
内容 :
Dear customer, Your request for Fabrikam Search submitted on **/**/**** **:**:** ** has been processed. You can access the report here.
Thank you,
Microsoft Office 365 Reporting
~~~~~
本文の "here" の部分がリンクになっています。 "here" をクリックすることで、該当の詳細レポートの CSV ファイルのダウンロードが可能です。
リンクを展開しログを取得する場合には、メール受信を行われるアカウントが Exchange Online 管理者権限をもつ必要があります。
[メッセージの追跡] 画面上よりファイルをダウンロードする手順
1. 管理者権限を持つユーザーにて、Microsoft 365 管理センター ( https://admin.microsoft.com) にアクセスします。
2. 左メニューの [・・・すべてを表示] をクリックし [管理センター] より [Exchange] をクリックします。
3. 左側のメニューから [メールフロー] > [メッセージ追跡] をクリックします。
4. [ダウンロード可能なレポート] をクリックすると、メッセージの追跡作業の進行状態が確認できます。
作業が終了すると [状態] が [完了] 表示になります。
※ 該当ログがない場合は [メッセージ] に [0] と表示され、CSV ファイルは生成されません。
5. [状態] が [完了] になっている該当アイテムをクリックした後、[レポートのダウンロード] ボタンをクリックしてファイルをダウンロードします。
取得したレポートを「UTF-8」 で保存する手順
取得したレポートは、件名などに 2 バイト文字が含まれていると文字化けするため、必要に応じて文字コードを UTF-8 に変更し文字化けを回避します。
なお、レポートの情報を変更して保存すると文字コードの変更ができなくなるため、ダウンロード後すぐに文字コード変更作業を実行することをおすすめします。
(a). CSV ファイルを右クリックし、[プログラムから開く] - [メモ帳] の順にクリックします
(b). 開いたメモ帳で [ファイル] - [名前を付けて保存] の順にクリックします。
(c). ファイルの種類で「すべてのファイル」を選択します。
(d). 文字コードで「UTF-8 (BOM付き)」を選択します。
(e). [保存] をクリックします。
出力される情報
出力されたCSVファイルの各パラメーターについて、いくつか抜粋してご紹介したいと思います。
| 列名 | 日本語説明 | ポイント |
|---|---|---|
| date_time_utc | メッセージが Microsoft 365 に到達した日時 (UTC) | 最初にサービスが認識したタイミング |
| sender_address | 送信者メールアドレス | 差出人のSMTPアドレス |
| recipient_address | 受信者メールアドレス | 1 行に 1 受信者 |
| recipient_status | 配信ステータス | エラーコードやATPの動作記録など配信状況を示す内容が表示されます。 |
| message_subject | メール件名 | 最大 256 文字程度 |
| message_id | Internet Message-ID ヘッダ | <xxxxx@domain> 形式 |
| network_message_id | ネットワークメッセージID | 配布グループ展開後も共通になる GUID |
| total_bytes | メールサイズ (バイト) | 添付含む合計サイズ |
| directionality | メールの方向 |
|
| original_client_ip | 最初にメッセージを送信したクライアントの IP | 外部送信元のグローバルIPなど |
| connector_id | 使用したコネクタ名 | Inbound / Outbound コネクタ識別子 |
| related_recipient_address | メール処理中に “関連する別の受信者アドレス” を記録するためのフィールド | 配布グループから展開された場合に配布グループのアドレスや転送、リダイレクトされた場合に転送先のアドレスが記録されます。 |
| client_ip | メッセージを処理したクライアントのIP | Transport サービス内での IP |
| client_hostname | 上記クライアントのホスト名 | DNS 逆引き結果など |
| server_ip | メールを処理したサーバーの IP | Exchange Online 内部のサーバーIP |
| server_hostname | 上記サーバーのホスト名 | EXCH01 などのサーバー名 |
| source | イベントを生成したコンポーネント |
|
| source_context | どのエージェント(マルウェアフィルタ/スパムフィルタ/トランスポートルール等)が何をしたかの詳細 | SPAM フィルタリングのスコアやルール名などが記録されるケースもある |
| event_id | イベント種別 |
|
| custom_data | EOP が内部で実施した処理の詳細ログが JSON 形式などで格納 |
|
