Exchange2010 Nachrichtenverfolgung: Suche mit Wildcards (Teil 1)

In der Toolbox im Exchange-Server 2010 gibt es zur Nachrichtenverfolgung den Verfolgungsprotokoll-Explorer.
Aber es gibt auch die Möglichkeit in der Konsole zu suchen – in diesem Fall die Exchange-Management-Shell. Wie mächtig die Suche im MessageTrackingLog in der Exchange-Management-Shell sein kann, zeigt die Möglichkeit einer Suche mit Wildcards.

Aber beginnen wir erst einmal am Anfang.
In der Toolbox der Exchange-Management-Console kann man konfortabel nach Mails suchen. Die Felder sind selbsterklärend und geben auch einen Hinweis auf die verfügbaren Möglichkeiten (wie z.B.: im Feld EventID).
Lediglich das Suchen mit Wildcards wird nicht unterstützt.

Dazu können wir aber die Exchange-Management-Shell verwenden.
Das tolle an der GUI des Verfolgungsprotokoll-Explorers ist die Vorgabe des Shell-Befehls unterhalb der Eingabefelder in der GUI Der Inhalt lässt sich einfach per Drag-n-Drop in die Exchange-Management-Shell kopieren und hilft ungemein bei den ersten „Gehversuchen“ in der Shell.
Exchange verfolgung_small

Machen wir eine einfache Abfrage:
Zum einfachen Auslesen des Verfolgungsprotokolls (Messagetracking) gibt es den Befehl

Diesen Befehl kann man mit der EventID („SEND“, „RECEIVE“, „DELIVER“ usw.), einer „Start“- und „End“-Zeit (Datum/Uhrzeit) , sowie mit Empfänger- („Recipients“) und/oder Sender-Angaben (SENDER) erweitert werden. Allerdings können die Sender und Empfänger auch hier nicht mit Wildcards angegeben werden. Dazu später mehr.
Eine Besonderheit gibt es noch bei der Datumsangabe.
Gibt man als Endzeitpunkt z.B.: den 21.12.2014 an, so endet sdie Suche am 21.12.2014 um 0:00Uhr. Das bedeutet, dass der 21.12.2014 gar nicht mehr zur Suche verwendet wird. Möchte man alle Mails des 21.12.2014 ebenfalls durchsucht haben, so muss man hier den 22.12.2014 als Enddatum angeben.
Oder man gibt dem Datum noch eine Uhrzeit mit an (z.B.: 21.12.2014 22:15).
Eine Abfrage über eMails vom 18.12.2014 0:00 Uhr bis 21.12.2014 22:15Uhr sähe dann so aus

Um die Ausgabe zu kürzen, könnte weiter gefiltert werden. Möchte man nur nach gesendeten Mails suchen, wäre hier der Parameter -eventid „SEND“ einzusetzen. Möchte man nur nach empfangenen Mails suchen, hieße der Parameter -eventid „RECEIVE“.
Standardmäßig ist die Anzahl der augegebenen Zeilen begrenzt. Umgehen kann man diese Grenze mit der Angabe des Parameters „-resultsize unlimited“.
Möchte man nach einer bekannten Mailadresse suchen, kann man hier noch die Sendeadresse mit dem Parameter -sender „mail@mail.tld“ und/oder die Empfängeradresse mit -recipients „mail@mail.tld“ angeben.

Um mit Wildcards zu suchen, was der Befehl „Get-MessageTrackingLog“ so erstmal nicht unterstützt, kann man die Ausgabe an Folgebefehle mit „|“ weiterleiten.
Beispiel:
Suche zwischen 18. und 21.12.2014 bis 14 Uhr in den empfangenen Mails nach allen Adressen von gmx.de/net/com/..
So würde der Befehl wie folgt aussehen.

Zu beachten wäre hier hauptsächlich, dass man die Suche nicht bereits mit dem Get-Befehl im Vorfeld zu sehr einschränkt. Der Teil mit „| where…“ kann nur auf die Ausgabe des vorangegangenen Befehls angewendet werden.
Möchte man die gleiche Suche über alle empfangenen UND gesendeten Mails starten, darf der voranstehende Get-Befehl nicht die eventid begrenzen.
Demnach müsste der Befehl wie folgt angepasst werden:

Da jetzt alle eventid´s ausgegeben werden könnte man diese noch auf „SEND“ und „RECEIVE“ begrenzen.

So hat man jetzt schon mal ein mächtiges Tool für die Suche an die Hand bekommen.