본문 바로가기
Exchange & Outlook/System Administration

Outlook 과 Exchange Server 접속상태 로그수집

by 강철 벼룩 2011. 2. 24.

▦ 아웃룩 로깅 설정

아웃룩의 문제해결 로깅을 사용하려면, 아웃룩을 다음과 같이 설정한다.

1. 아웃룩 2007
[도구] | [옵션] |[기타] |[고급 옵션] | [문제 해결 로깅 사용(아웃룩을 다시 시작해야 함)]을 체크하고 [확인]을 클릭해 창을 닫은 후 아웃룩을 재시작한다.

2. 아웃룩 2010
[파일] |[옵션] | [고급] | [문제 해결 로깅 사용(아웃룩을 다시 시작해야 함)]을 체크하고 [확인]을 클릭해 창을 닫은 후 아웃룩을 재시작한다.

[그림 1] Outlook 2010의 옵션

로깅을 설정한 후 MAPI(Exchange)와 POP3, SMTP 전송에 대해 충분한 시간동안 로그를 수집하도록 한다. 수집된 로그는 아웃룩을 종료하고 가져오도록 한다. 로그파일의 이름은 OPMLog.log이다.

 로그 파일의 위치는 운영체제에 따라 위치가 조금씩 다른곳에 위치 한다.

1. Windows 7과 Windows Vista

c:\사용자\사용자 이름\AppData\Local\Temp\Outlook Logging

2. Windows XP

c:\Documents and Settings\사용자 이름\Local Settings\Temp\Outlook Logging

▩ RPCTrace 수집

아웃룩과 익스체인지의 RPC 접속에 대한 트레이스를 수집하기 위한 절차는 다음과 같다.

1. 아웃룩을 종료한다.

2. 탐색기를 실행하고 "C:\Program Files\Microsoft Office\Office12" 로 이동한다.

3. 원본 olmapi32.dll / emsmdb32.dll 파일을 다른 이름으로 변경한다. (삭제하거나 덮어 씌우지 않도록 주의. Trace file 만든 이후 다시 원복해야 한다.)

4. 아래 압축 폴더의 레지스트리 파일 적용.

5. 아웃룩 실행 후 문제 재현

6. 아웃룩 종료 후  "C:\tmp" 폴더의 RPC Trace 파일 수집

7. 아웃룩 파일 복구 및 디버그 파일 제거, 레지스트리 삭제
레지스트리는 아래의 키를 삭제 하도록 한다.
 

[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\RPC]

"RpcTraceEnabled"=dword:00000001

"RpcdumptoFile"=dword:00000001

"RPCOutputDir"="c:\\tmp"


▒  Netmon 수집 (클라이언트, 서버 동시 작업)

아웃룩 클라이언트와 익스체인지 서버간의 네트워크 통신으로 주고 받는 패킷을 캡처한다.

1. L4 장비로 인해 어떤 서버로 로드 밸런싱될 지 알 수 없으므로, 클라이언트 PC의 Host 파일에 특정 CAS서버 ip를 설정한 후 재현 한다.

2. 클라이언트와 서버에서 동시에 Netmon을 실행해 패킷을 수집한다.

3. 클라이언트와 서버의 IP를 기록해 놓는다.