邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 一款Exchange 2000/2003 日志分析系统使用教程 [打印本页]
作者: 钉子    时间: 2008-6-9 00:37
标题: 一款Exchange 2000/2003 日志分析系统使用教程
经常有朋友问我类似这几个问题:怎么才能统计出Exchange每天收发的邮件?如何分析出Exchange每天接收到多少封邮件?如何分析出Exchange每天向外面发送了多少封邮件?如何统计出每一个用户收发的邮件?在以往我们都会建议大家使用一些第三方开发的专业日志分析的软件,今天钉子给大家一款完全免费开源的Exchange 2000/2003 日志分析系统,并详细介绍它的使用方法.

首先我们来看看他们能实现什么样的功能:
[attach]4921[/attach]
(按日期统计结果)

[attach]4922[/attach]

(按用户统计结果)

[attach]4923[/attach]

(按用户根据收发邮件统计)

[attach]4924[/attach]

(按外部发件人排名统计)

[attach]4939[/attach]

(按日图形报表)

[attach]4940[/attach]

(按小时图形报表)
[attach]4925[/attach]

[attach]4926[/attach]

(详细的收发明细)

怎么样?看过上面的一个Demo图片,是否你也希望拥有这些统计分析的功能?接下来,我们来详细介绍这个系统的的使用方法.

一.实现原理与目标:

我们知道启用Exchange 的"邮件跟踪"功能后,将产生相关的日志,然后可以通过"邮件跟踪中心"这一个工具来进行诊断和分析邮件流向,但是很多人认为它能提供的信息有限.这个工具往被人忽视.

而刚刚我们看到的介绍的系统实现的功能Demo中,我们可以分析出类似于:发送内部和外部了多少邮件?每个用户发送和接收多少邮件?谁是接收和发送邮件最多的用户?每天是什么时段收发邮件是繁忙等等,这些问题的答案却全部来自于邮件跟踪日志,其实邮件跟踪日志记录着详细的邮件收发的各个阶段的信息(详细介绍请参考KB821905:Message tracking event IDs in Exchange Server 2003).

而我们今天使用的系统仅仅使用了两个事件ID,即1020及1028.其中1020记录了邮件发送的事件信息,比如邮件从内向外,或是内部多台服务器的传输情况;1028则记录了邮件存储的过程.也就是说一个用户收到的从外部或是内部发过来的邮件的情况.

我们使用的这个系统,首先使用VBS脚本程序将日志信息抓取出来后增加到系统使用的一个Accese数据库中.然后通过ASP的网页程序对这些数据库记录进行查询及展现.以实现不同的分析和统计功能.

二.系统安装

1.首先,我们需要确认已启用了Exchange 2000/2003的邮件跟踪功能.

A.启动 Exchange 系统管理器。
B.展开"管理组"->"管理一个管理组"->"服务器"->"Exchange计算机名",然后单击右键"属性" 。如下图:

[attach]4928[/attach]


C.找到"常规"选项卡。
D.勾选"启用主题日志记录和显示"和"启用邮件跟踪"两个复选框。如下图:

[attach]4927[/attach]

P.S:默认情况下, 跟踪日志位于 C:\ProgramFiles\Microsoft Files\Exchsrvr\ YourServerName .log 文件夹中。 每个日志使用用 yyyymmdd.log 的命名格式.

2.下载系统:

A.请到以下地址下载此分析系统:

http://www.5dmail.net/down/SoftList-3396.htm

P.S:我们提供了中文和英文两种语言.

B.解开系统,并存放在将要使用的网站的目录中.比如:C:\inetput\wwwwroot\

3.编辑Access数据表.

A.找到Access数据表文件(Trackinglog.mdb)

[attach]4929[/attach]

B.使用Access打开数据文件,在Domain数据库加入自己公司的邮件地址的后缀域名(邮件地址@后面了部分),比如:5dmail.net,并保存关闭.

[attach]4930[/attach]

[attach]4931[/attach]


4.编辑VBS文件

A.打开编辑FullpopT.VBS文件

[attach]4932[/attach]

B.在strComputerName = "Your Server" 中填入你Exchange 的计算机名称.

[attach]4933[/attach]

C..在strCnxn1 = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=d:\Trackinglog.mdb;"中填入数据库文件的完整正确的路径.

[attach]4934[/attach]

D.我们对IncrpopT.VBS.文件做相同的修改:

[attach]4935[/attach]


5.修改ASP文件:

A.用记事本打开Tracking.ASP文件,找到类似下面的内容,修改当数据库文件的完整正确的路径.:

dataConn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=c:\Trackinglog.mdb" 'make connection

[attach]4936[/attach]


B.其实的ASP文件也做类似的修改.

6.在IIS中为系统建立相应的网站或是虚拟目录:

[attach]4937[/attach]

6.检查一下IIS使用的中使用的用户,是否对Trackinglog.mdb文件有写入的权限。如果没有,请手动加入。以免出现IE打不开网页,出现错误。


三.系统使用

1.初次使用时,我们需要运行"FullpopT.VBS"脚本,将日志内容导入到数所库中.

[attach]4938[/attach]

2.今后可以将"IncrpopT.VBS"加入到计划任务中,比如每天或每十五分种运行一次,以同步更新日志内容到数的数据库中.

3.在IE中将安全级别设为最低.

[attach]4941[/attach]

4.访问IIS网站的路径,如 http://192.168.2.2/mtrackrs/Tracking.asp 来正式使用这个系统.

四.其它:

0.目前系统测试支持的Exchange Server版本为Exchange Sever 2000及Exchange Server 2003.


1.因为日报表和小时报表使用图形方式显示时使用到了一个第三方的Java Applet,这两个工具已经打包放在下载的程序包中,或是请从以下地址下载安装:

A.bar-charts下载及安装(http://www.graphscharts.com/bar-charts/):

http://www.graphscharts.com/bar-charts/bar-charts.zip

将Bar-charts.zip下载后解压得到barchart.class文件,将它COPY到系统ASP文件的目录下.

B.访问网页和客户端电脑需要安装JAVA环境,下载地址:

http://www.graphscharts.com/java/j2re-1_4_2_14-windows-i586-p-iftw.zip

2.FullpopT.VBS及IncrpopT.VBS是基于WMI的脚本,如果不支持或是不想使用WMI方式的朋友,可以使用另一个VBS---下载包中NonWmiScript目录下面的onepop.vbs,同样需要修改后再运行,主要有以下两处:

A. 修改strCnxn1 = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=d:\Trackinglog.mdb;" 为修改当数据库文件的完整正确的路径

B.set f = fso.getfolder("c:\logdir") --此为Exchange LOG文件的完整正确的路径如

[attach]4942[/attach]

3.这个系统是开源的.根据演示的功能,欢迎对ASP编程熟悉的朋友开发出来更多的功能.比如搜索等等.


欢迎大家使用这个系统,并将问题回复提交,一起讨论.
作者: tdk    时间: 2008-6-9 16:08
好东西
作者: northboy    时间: 2008-6-9 19:40
谢谢钉子的分享,感觉我很快就会用到!
作者: break.liu    时间: 2008-6-10 09:11
不 断 学 习! thanks nail gg
作者: cyuet    时间: 2008-6-10 11:32
真是好东西啊! 谢谢!!
作者: liu    时间: 2008-6-10 15:25
好东西,学习一下
作者: luyouyou    时间: 2008-6-10 16:09
我做了怎么不能浏览阿
作者: 钉子    时间: 2008-6-10 16:26
标题: 回复 7楼 的帖子
网页打开出错吗?会不会是没有改对应的数据库的所在目录。
作者: luyouyou    时间: 2008-6-10 16:32
每个文件都改了数据库目录, 就是显示不了网页
作者: 钉子    时间: 2008-6-10 17:32
标题: 回复 9楼 的帖子
刚刚远程帮Luyouyou看了一下,是没有Trackinglog.mdb文件有写入的权限造成的。所以在文档中加了:

6.检查一下IIS使用的中使用的用户,是否对Trackinglog.mdb文件有写入的权限。如果没有,请手动加入。
作者: luyouyou    时间: 2008-6-11 10:36
都做成功了 感谢钉子老大
作者: jhonlone    时间: 2008-6-11 16:54
强悍,拿来shishi
作者: 周杰伦    时间: 2008-6-12 13:53
不错的功能,支持一下!!!
作者: adehmily    时间: 2008-6-13 17:44
两个下载链接都不行啊,老总
作者: 钉子    时间: 2008-6-13 17:51
标题: 回复 14楼 的帖子
请多试几次。已经测试过可以下载 的。
作者: paomian8    时间: 2008-6-14 09:36
标题: 回复 1楼 的帖子
老大,几天下来记录就要9千多条。你这记录一多打开时间就会超出iis执行脚本时间限制,延长时间限制不能彻底的解决问题 。
如果有sql版估计才能解决问题,不然实用性不够,搞这个意义也不大了 :L :L
作者: ciscobbsnas    时间: 2008-6-16 10:45
这个东西不是一般的实用,多谢版主分享
作者: 绿林青年    时间: 2008-6-16 10:46
FullpopT.vbs和IncrpopT.vbs运行错误!
作者: powertang    时间: 2008-6-16 11:31
好东西,谢谢分享
作者: lhskying    时间: 2008-6-18 18:04
正合我目前的需求。谢谢钉子兄!
作者: erkil    时间: 2008-6-19 12:10
偶可不敢来砸场子。不过我太菜了。服务器上也不可能装ACCESS。所以我就在自己电脑上装了另一个SAWMILL,把日志拷下来分析。这个软件是共享的,只能用三十天。不过支持的日志的种类是蛮多的。最重要的是对我这种超级菜鸟来讲方便。

[ 本帖最后由 erkil 于 2008-6-19 12:12 编辑 ]
作者: 钉子    时间: 2008-6-19 12:12
没有必要在服务器上装Access,完全可以在自己电脑上改好后再传上去.
欢迎erkil把SAWMILL经使用经验写一个帖子来分享.
作者: 钉子    时间: 2008-6-19 12:14
标题: 回复 16楼 的帖子
如果需要SQL版,请大家不要坐享其成.程序给出来源码了,需要自己动手了.
作者: 钉子    时间: 2008-6-19 12:15
原帖由 绿林青年 于 2008-6-16 10:46 发表
FullpopT.vbs和IncrpopT.vbs运行错误!


请详细说明.
作者: lhskying    时间: 2008-6-20 17:25
已测试成功
注意点:

  将Bar-charts.zip下载后解压得到barchart.class文件,将它COPY到系统ASP文件的目录下===.就是放在Mtrackrs目录下
是没有Trackinglog.mdb文件有写入的权限造成的。
请见下图
作者: 钉子    时间: 2008-6-23 18:47
标题: 回复 25楼 的帖子
谢谢lhskying,我也来再提醒一下大家。IIS中用户要到Trackinglog.mdb数据库文件有写入的权限。
作者: zhybguo    时间: 2008-6-24 09:17
谢谢!
刚好可以看看我的日志!
作者: brucemagnum    时间: 2008-6-26 23:19
原帖由 paomian8 于 2008-6-14 09:36 发表
老大,几天下来记录就要9千多条。你这记录一多打开时间就会超出iis执行脚本时间限制,延长时间限制不能彻底的解决问题 。
如果有sql版估计才能解决问题,不然实用性不够,搞这个意义也不大了 :L :L


我的数据库已经一百多兆了,asp已经支持不住了。,

试着将那个vbs改了一下,已将数据导入sqlserver了,但是转那些query到sqlserver时,非常麻烦,看来只有自己重写程序了,好在已经有了这个idea。
作者: 钉子    时间: 2008-6-27 01:00
标题: 回复 28楼 的帖子
欢迎把For SQL的程序共享.
作者: joaquinsong    时间: 2008-6-27 10:23
修改的东西太多,涉及到VBS可能存在木马,还是用SMTPGATEWAY看更合适
!
作者: 抽象派    时间: 2008-6-27 14:32
这个好东西。一定要收藏。
作者: ntfanl    时间: 2008-6-30 18:29
基本上成功了,就是日报表和小时报表图显示不出来,
客户机上是不是要安装j2re-1_4_2_14-windows-i586-p-iftw.exe?但总是安装不成功,显示"当前的Internet连接代理设置不对,此安装程序无法继续.有关详细信息,请查阅安装说明"?另外我已将barchart.class拷入mtrackrs文件夹!

[ 本帖最后由 ntfanl 于 2008-6-30 18:33 编辑 ]
作者: yong_1983    时间: 2008-7-1 09:58
这个是要学习一下了,谢谢,对我很有用!
作者: brucemagnum    时间: 2008-7-8 22:31
原帖由 钉子 于 2008-6-27 01:00 发表
欢迎把For SQL的程序共享.


主要是将access移植到sqlserver上,难度是那些view需要更改

程序基本上不需要多大更改,主要是改数据库连接字串。还有需要加一个排序就可以了。

我已经改得差不多了。这两天就整理一下, 将数据库和代码上传。
作者: 钉子    时间: 2008-7-8 22:32
标题: 回复 34楼 的帖子
先谢谢,分担小弟工作。呵。
作者: brucemagnum    时间: 2008-7-9 05:08
原帖由 brucemagnum 于 2008-7-8 22:31 发表


主要是将access移植到sqlserver上,难度是那些view需要更改

程序基本上不需要多大更改,主要是改数据库连接字串。还有需要加一个排序就可以了。

我已经改得差不多了。这两天就整理一下, 将数据库和代码上 ...


修改完毕:  数据库平台sql2005
1  database name: exchangetracking  username: exchangetrackuser  password:  exchangetrackuser
2  自己修改程序中的数据库服务器的名字或该为ip address
3  将程序直接放到服务器上就好了
作者: autokyo    时间: 2008-7-9 11:30
OK 成功了  多谢分享
作者: 天擎    时间: 2008-8-27 16:56
原帖由 brucemagnum 于 2008-7-9 05:08 发表


修改完毕:  数据库平台sql2005
1  database name: exchangetracking  username: exchangetrackuser  password:  exchangetrackuser
2  自己修改程序中的数据库服务器的名字或该为ip address
3  将程序直接放 ...

请问一下,你的这个sql数据库文件,我恢复到SQL2005 express上面,怎么不能回复呀?非要用SQL2005吗?
作者: ali78    时间: 2008-8-28 10:39
居然有那么好的东西!!
作者: protostar    时间: 2008-8-29 12:16
这可真是个好东西啊。
作者: jin886    时间: 2008-9-11 11:14
exchange2007 上面适用吗?
作者: dinnes    时间: 2008-9-22 15:52
非常精典,我测试了很好。
作者: brucemagnum    时间: 2008-9-27 01:10
标题: 补充
when you met this error:

[Microsoft][ODBC SQL Server Driver]Timeout expired

You need to add the following code to every asp file just after you create the connection object
=============================
dataConn.ConnectionTimeout = 0
dataConn.CommandTimeout = 0
Server.ScriptTimeout = 600
==============================
作者: wensing    时间: 2008-9-27 11:54
好东西..谢谢分享呀..
作者: momofirst    时间: 2008-11-25 16:39
多谢!学习了!
作者: xgliu    时间: 2008-11-26 13:26
将Bar-charts.zip下载后解压得到barchart.class文件,将它COPY到系统ASP文件的目录下.
是放在郵件服器上,還是放在工作站上,具體放在什么目錄下?
作者: whisky513    时间: 2008-11-26 16:46
求助  我的日志內容怎么無法導入數據庫
VBS我也改了 也運行了
但是還是沒用
作者: 115775941    时间: 2008-11-27 22:21
怎么SQL版本的下载不下来?
ACCESS的确实不能用,我导入日志有300多M,反映太慢,还经常超时连接

能把SQL版本的修正下载连接吗
作者: 115775941    时间: 2008-11-27 22:41
原帖由 brucemagnum 于 2008-7-9 05:08 发表


修改完毕:  数据库平台sql2005
1  database name: exchangetracking  username: exchangetrackuser  password:  exchangetrackuser
2  自己修改程序中的数据库服务器的名字或该为ip address
3  将程序直接放 ...




不理解,麻烦有做好的给解释一下好吗?我网内又很多SQL2005的服务器,我随便找一个去做恢复行吗?刚才试了,提示不行
作者: xuebozhou    时间: 2008-12-2 08:24
看看是什么好东西
作者: xuebozhou    时间: 2008-12-2 08:55
钉子,系统为什么下不了啦?
作者: zengqiang    时间: 2008-12-3 08:52
呵呵,刚好用到,不知道行不行
作者: zengqiang    时间: 2008-12-3 08:52
下不了啊,怎么搞的
作者: youky    时间: 2008-12-4 14:37
好多软件都下载不了了,不知道怎么回事
作者: xuebozhou    时间: 2008-12-12 15:35
原帖由 ntfanl 于 2008-6-30 18:29 发表
基本上成功了,就是日报表和小时报表图显示不出来,
客户机上是不是要安装j2re-1_4_2_14-windows-i586-p-iftw.exe?但总是安装不成功,显示"当前的Internet连接代理设置不对,此安装程序无法继续.有关详细信息,请查阅安装 ...


我也碰到这个问题,这是什么原因。
跟IE的安全设置有没有关系呢?盼高人指教下。
作者: frank0815    时间: 2008-12-12 16:49
又学到东东了..
作者: 钉子    时间: 2008-12-17 12:04
有关下载问题,请看下帖回复:
http://www.5dmail.net/bbs/thread-180028-1-1.html
作者: firewall_78    时间: 2008-12-18 09:04
不错,正需要呢,学习了
作者: apuawv    时间: 2008-12-19 16:24
钉子老大,软件好像不能下载呢,我在下载链接里根本找不到下载地址。
作者: apuawv    时间: 2008-12-19 16:28
哦,看到了,谢谢,请忽略刚才的问题,
作者: apuawv    时间: 2008-12-19 16:30
哦,看到了,谢谢。
请忽略刚才的问题
作者: ysunbeam    时间: 2008-12-20 22:34
好强的日志分析器呀!
作者: 谎子    时间: 2008-12-26 21:17
标题: 运行FullT.VBS出现错误
将exchange日志文件导入SQL2005,运行脚本提示"[Microsoft][ODBC SQL Server Driver][SQL Server]对象名 ‘TrackingLogRaw‘无效。  代码 :80040E37  错误,请“钉子”帮忙看看。是什么问题。谢谢
作者: 115775941    时间: 2009-2-16 11:42
我导入到SQL 2005中的数据,邮件主题中有汉字的都变成乱码了,查询网页显示的邮件主题也是乱码,问题出现在哪里?
作者: smollion    时间: 2009-8-18 08:39
怎么没有下载了……
作者: lucksir9743    时间: 2009-8-18 18:37
不知道对服务器的性能会不会产生很大的影响
作者: 钉子    时间: 2009-8-19 01:04
标题: 回复 65楼 smollion 的帖子
有关下载问题,请看下帖回复:
http://www.5dmail.net/bbs/thread-180028-1-1.html
作者: pheedow    时间: 2009-12-11 13:09
谢谢钉子,您总能发一些大家实用的内容和软件; 多谢;
作者: yaozhaosheng    时间: 2009-12-14 12:06
支持一下 谢谢上面说的
作者: wdd_wander    时间: 2010-4-21 13:48
非常感谢钉子兄,先留着,以后可能用得着
作者: sundry    时间: 2010-5-5 11:15
确 实 不 错   。
作者: wjjb2008    时间: 2010-5-16 13:01
真适用 我喜欢
作者: dolphinluo66    时间: 2010-6-17 13:17
按照老大的说法做了,但是报错说页面已经删除,更名或暂时不可用。看了IIS权限也有啊,怎么回事呢
作者: 荖頭    时间: 2010-11-29 11:35
学会了,谢谢
作者: panjinxiangjun    时间: 2010-12-24 14:07
MVP就是MVP,真牛!
作者: zxlxl    时间: 2011-1-21 11:59
标题: 数据库导入问题
程序试用了是不错,但是有一个问题就是将日志导入到数据库时,会出现很多重复的记录,导致数据库很大,而且数据也不准确。我测试了一晚上第15会钟导入一次,到早上的时候数据库已经30多M了,经检查是将数据重复导入造成的。每导入一次数据不是只导入新的记录而是把所有以有的记录全都都导入了。所以造成数据越来越多。希望可以改进!



欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://news.5dmail.net/bbs/) Powered by Discuz! X3.2