PowerBI從Exchange跟蹤日誌中分析數據和KPI展示

不少企業都有用Exchange Server來構建本身的企業郵箱，但作郵件統計的時候，自帶的Exchange toolboxs老是不能很友好的展現出您想查詢或統計的結果，要麼就是藉助的第三方的反垃圾網關設備來完成郵件的查詢和統計，今天我將採用PowerBI Desktop來實現查詢，統計和本身檢索的功能，僅僅只是利用跟蹤日誌。

在這裏個人環境是Exchange Server 2013，傳輸的日誌默認在傳輸角色服務器Exchange安裝所在盤符的以下位置

C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking

但這裏只須要「MSGTRK+日期.log」文件

在這些日誌文件中每個字段表示什麼含義，能夠參考https://technet.microsoft.com/zh-cn/library/bb124375(v=exchg.160).aspx

若是您發現沒有這些日誌那麼須要檢查以下位置是否開啓跟蹤日誌

接下來說利用這些傳輸日誌從多種維度來分析Exchange用戶使用的狀況，在這裏我將MessageTracking目錄複製到一個單獨的位置，打開PowerBI獲取文件夾爲數據

在更多選項中選擇文件——文件夾

選擇文件夾所在位置

點擊組合下的合併和編輯

點擊肯定

點擊肯定後會彈出一個編輯查詢的對話框

勾選視圖中的編輯欄

接下來在空白處右鍵新建查詢——空查詢，一個名爲Var_LogFolder的文件化變量

設置E:\MessageTracking日誌存放路徑

並將這個查詢1重命名爲Var_LogFolder

回到MessageTracking表點擊源進行設置，將文件獲取路徑改成空查詢設定的變量名Var_LogFolder，這樣變量名指向的跟蹤日誌所在目錄位置，這樣會自動加載跟蹤日誌所在目錄的所有日誌文件

接下來選擇第一列，而後點擊刪除其餘列

接下來合併二進制文件

而後雙點合併好的二進制文件

接下來把後面的步驟都刪除掉（點擊紅色的X刪除）

接下來定義每一列的數據類型爲文本

接下來刪除最前面4行

輸入4，肯定

接下來將第一行用做標題

接下來選擇第一列，將第一列的數據類型從文本改爲日期/時間

接下來仍是選擇第一列，點擊複製列

將複製到最後一列的標題重命名爲Date

將total-bytes和recipient-count和Date這3列設置數據類型爲整數

接下來將recipient-address設置爲計數行

點擊recipient-address旁邊的符號，選擇擴展到新行

選擇第一列，執行刪除錯誤

最後關閉並應用

等待加載完成

接下來就能夠開始建立可視化視圖了

先建立一個切片器，該切片器主要以日期爲主

選擇列表

在改切片器裏開啓所有和取消單選（容許多選）

接下來再建立一個堆積條形圖，統計郵件總計數，message-id是計數（非重複）

選擇爲非重複

接下來再建立一個堆積柱形圖，統計外發郵件總計

• event-id是郵件事件類型，這個類型選擇DELIVER表示郵件已傳遞到本地郵箱

一樣的方法建立一個接收郵件排行榜，source是計數

• source是負責事件的Exchange傳輸組件，這個類型選擇STOREDRIVER表示事件源是來自本地郵箱服務器上提交的MAPI（若是您的單位Exchange綁定了多個郵件域名，那麼sender-address這裏是或關係）

接下來建立接收件總計大小，total-bytes是求和

• total-bytes：以字節爲單位的郵件總大小，包括全部附件；

• event-id是郵件事件類型，這個類型選擇DELIVER表示郵件已傳遞到本地郵箱

接下來建立內部用戶發送郵件排行榜，message-id是計數（非重複）(若是您的單位Exchange綁定了多個郵件域名，那麼sender-address這裏是或關係)

• sender-address：Sender: 頭字段中指定的電子郵件地址，若是 Sender: 字段不存在，則爲 From: 頭字段中指定的電子郵件地址；

• message-id：郵件頭中 Message-Id: 頭字段的值。若是 Message-Id: 頭字段不存在或爲空，則 Exchange 爲其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中建立的郵件，該值的格式爲 <GUID@ServerFQDN>，包括尖括號 (< >)。例如，<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>。其餘郵件系統可能使用不一樣的語法或值；

• event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

接下來建立內部用戶發送郵件總數(若是您的單位Exchange綁定了多個郵件域名，那麼sender-address這裏是或關係)

• event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

• message-id：郵件頭中 Message-Id: 頭字段的值。若是 Message-Id: 頭字段不存在或爲空，則 Exchange 爲其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中建立的郵件，該值的格式爲 <GUID@ServerFQDN>，包括尖括號 (< >)。例如，<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>。其餘郵件系統可能使用不一樣的語法或值；

• sender-address：Sender: 頭字段中指定的電子郵件地址，若是 Sender: 字段不存在，則爲 From: 頭字段中指定的電子郵件地址；

接下來建立外部用戶對內發送郵件排行榜(若是您的單位Exchange綁定了多個郵件域名，那麼sender-address這裏是且關係)

• event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

• message-id：郵件頭中 Message-Id: 頭字段的值。若是 Message-Id: 頭字段不存在或爲空，則 Exchange 爲其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中建立的郵件，該值的格式爲 <GUID@ServerFQDN>，包括尖括號 (< >)。例如，<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>。其餘郵件系統可能使用不一樣的語法或值；

• sender-address：Sender: 頭字段中指定的電子郵件地址，若是 Sender: 字段不存在，則爲 From: 頭字段中指定的電子郵件地址；

接下來再建立一個外部用戶對內發送郵件總數(若是您的單位Exchange綁定了多個郵件域名，那麼sender-address這裏是且關係)

• event-id是郵件事件類型，這個類型選擇RECEIVE表示郵件由傳輸服務的 SMTP 接收組件接收或由分揀或重播目錄發送（源：SMTP），或郵件已從郵箱提交至郵箱傳輸提交服務（源：STOREDRIVER）

• message-id：郵件頭中 Message-Id: 頭字段的值。若是 Message-Id: 頭字段不存在或爲空，則 Exchange 爲其分配一個任意值。該值在郵件生存期內是常量。對於在 Exchange 中建立的郵件，該值的格式爲 <GUID@ServerFQDN>，包括尖括號 (< >)。例如，<4867a3d78a50438bad95c0f6d072fca5@mailbox01.contoso.com>。其餘郵件系統可能使用不一樣的語法或值；

• sender-address：Sender: 頭字段中指定的電子郵件地址，若是 Sender: 字段不存在，則爲 From: 頭字段中指定的電子郵件地址；

那麼這個頁面要暫時的都基本OK了，接下來我進行下美化和排版

按照這樣的方法再建立其餘頁，例如發送和接受統計

按月統計

查詢功能，能夠看到本身輸入查詢關鍵字來對日誌進行檢索查詢到您想看到的信息

好比我輸入一個收件人地址，那麼改收件人的全部主題和發送給誰的查詢結果就顯示在下面了，很是簡單

這樣定製化的Exchange信息檢索統計分析是否是頗有用而且能夠本身想怎麼定製就怎麼定製，神器啊~關鍵是隻須要拿到跟蹤日誌便可分析。