PowerBI從Exchange跟蹤日誌中分析數據和KPI展現

很多企業都有用Exchange Server來構建自己的企業郵箱，但做郵件統計的時候，自帶的Exchange toolboxs總是不能很友好的展示出您想查詢或統計的結果，要麼就是藉助的第三方的反垃圾網關設備來完成郵件的查詢和統計，今天我將採用PowerBI Desktop來實現查詢，統計和自己檢索的功能，僅僅只是利用跟蹤日誌。

在這裡我的環境是Exchange Server 2013，傳輸的日誌默認在傳輸角色伺服器Exchange安裝所在盤符的如下位置

C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsMessageTracking

但這裡只需要「MSGTRK+日期.log」文件

在這些日誌文件中每一個欄位表示什麼含義，可以參考https://technet.microsoft.com/zh-cn/library/bb124375(v=exchg.160).aspx

如果您發現沒有這些日誌那麼需要檢查如下位置是否開啟跟蹤日誌

接下來講利用這些傳輸日誌從多種維度來分析Exchange用戶使用的情況，在這裡我將MessageTracking目錄複製到一個單獨的位置，打開PowerBI獲取文件夾為數據

在更多選項中選擇文件——文件夾

選擇文件夾所在位置

點擊組合下的合併和編輯

點擊確定

點擊確定後會彈出一個編輯查詢的對話框

勾選視圖中的編輯欄

接下來在空白處右鍵新建查詢——空查詢，一個名為Var_LogFolder的文件化變數

設置E:MessageTracking日誌存放路徑

並將這個查詢1重命名為Var_LogFolder

回到MessageTracking表點擊源進行設置，將文件獲取路徑改為空查詢設定的變數名Var_LogFolder，這樣變數名指向的跟蹤日誌所在目錄位置，這樣會自動載入跟蹤日誌所在目錄的全部日誌文件

接下來選擇第一列，然後點擊刪除其他列

接下來合併二進位文件

然後雙點合併好的二進位文件

接下來把後面的步驟都刪除掉（點擊紅色的X刪除）

接下來定義每一列的數據類型為文本

接下來刪除最前面4行

輸入4，確定

接下來將第一行用作標題

接下來選擇第一列，將第一列的數據類型從文本改成日期/時間

接下來還是選擇第一列，點擊複製列

將複製到最後一列的標題重命名為Date

將total-bytes和recipient-count和Date這3列設置數據類型為整數

接下來將recipient-address設置為計數行

點擊recipient-address旁邊的符號，選擇擴展到新行

選擇第一列，執行刪除錯誤

最後關閉並應用

等待載入完成

接下來就可以開始創建可視化視圖了

先創建一個切片器，該切片器主要以日期為主

選擇列表

在改切片器里開啟全部和取消單選（允許多選）

接下來再創建一個堆積條形圖，統計郵件總計數，message-id是計數（非重複）

選擇為非重複

接下來再創建一個堆積柱形圖，統計外發郵件總計

event-id是郵件事件類型，這個類型選擇DELIVER表示郵件已傳遞到本地郵箱

同樣的方法創建一個接收郵件排行榜，source是計數

source是負責事件的Exchange傳輸組件，這個類型選擇STOREDRIVER表示事件源是來自本地郵箱伺服器上提交的MAPI（如果您的單位Exchange綁定了多個郵件域名，那麼sender-address這裡是或關係）

接下來創建接收件總計大小，total-bytes是求和

total-bytes：以位元組為單位的郵件總大小，包括所有附件；

event-id是郵件事件類型，這個類型選擇DELIVER表示郵件已傳遞到本地郵箱

接下來創建內部用戶發送郵件排行榜，message-id是計數（非重複）(如果您的單位Exchange綁定了多個郵件域名，那麼sender-address這裡是或關係)

sender-address：Sender: 頭欄位中指定的電子郵件地址，如果 Sender: 欄位不存在，則為 From: 頭欄位中指定的電子郵件地址；

message-id：郵件頭中 Message-Id: 頭欄位的值。如果 Message-Id: 頭欄位不存在或為空，則 Exchange 為其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中創建的郵件，該值的格式為 ，包括尖括弧 ()。例如，。其他郵件系統可能使用不同的語法或值；

event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

接下來創建內部用戶發送郵件總數(如果您的單位Exchange綁定了多個郵件域名，那麼sender-address這裡是或關係)

event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

message-id：郵件頭中 Message-Id: 頭欄位的值。如果 Message-Id: 頭欄位不存在或為空，則 Exchange 為其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中創建的郵件，該值的格式為 ，包括尖括弧 ()。例如，。其他郵件系統可能使用不同的語法或值；

sender-address：Sender: 頭欄位中指定的電子郵件地址，如果 Sender: 欄位不存在，則為 From: 頭欄位中指定的電子郵件地址；

接下來創建外部用戶對內發送郵件排行榜(如果您的單位Exchange綁定了多個郵件域名，那麼sender-address這裡是且關係)

event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

message-id：郵件頭中 Message-Id: 頭欄位的值。如果 Message-Id: 頭欄位不存在或為空，則 Exchange 為其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中創建的郵件，該值的格式為 ，包括尖括弧 ()。例如，。其他郵件系統可能使用不同的語法或值；

sender-address：Sender: 頭欄位中指定的電子郵件地址，如果 Sender: 欄位不存在，則為 From: 頭欄位中指定的電子郵件地址；

接下來再創建一個外部用戶對內發送郵件總數(如果您的單位Exchange綁定了多個郵件域名，那麼sender-address這裡是且關係)

event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

message-id：郵件頭中 Message-Id: 頭欄位的值。如果 Message-Id: 頭欄位不存在或為空，則 Exchange 為其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中創建的郵件，該值的格式為 ，包括尖括弧 ()。例如，。其他郵件系統可能使用不同的語法或值；

sender-address：Sender: 頭欄位中指定的電子郵件地址，如果 Sender: 欄位不存在，則為 From: 頭欄位中指定的電子郵件地址；

那麼這個頁面要暫時的都基本OK了，接下來我進行下美化和排版

按照這樣的方法再創建其他頁，例如發送和接受統計

按月統計

查詢功能，可以看到自己輸入查詢關鍵字來對日誌進行檢索查詢到您想看到的信息

比如我輸入一個收件人地址，那麼改收件人的所有主題和發送給誰的查詢結果就顯示在下面了，非常簡單

這樣定製化的Exchange信息檢索統計分析是不是很有用並且可以自己想怎麼定製就怎麼定製，神器啊~關鍵是只需要拿到跟蹤日誌即可分析。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！