Konfigurationsoptionen für das Microsoft Exchange-Protokoll

Um Ereignisse von SMTP-, OWA-und Nachrichtenüberwachungsereignissen von Microsoft Windows Exchange 2007-, 2010-, 2013-und 2017-Servern zu empfangen, konfigurieren Sie eine Protokollquelle für die Verwendung des Microsoft Exchange-Protokolls.

Das Microsoft Exchange-Protokoll ist ein abgehendes/aktives Protokoll.

Zum Lesen der Protokolldateien benötigen Ordnerpfade, die eine administrative Freigabe (C$) enthalten, NetBIOS -Berechtigungen für die administrative Freigabe (C$). Lokale Administratoren oder Domänenadministratoren verfügen über ausreichende Berechtigungen, um auf Protokolldateien in administrativen Freigaben zuzugreifen.

Felder für das Microsoft Exchange-Protokoll, die Dateipfade unterstützen, ermöglichen Administratoren die Definition eines Laufwerkbuchstabens mit den Pfadinformationen. Das Feld kann beispielsweise das Verzeichnis c$/LogFiles/ für eine administrative Freigabe oder das Verzeichnis LogFiles/für einen öffentlichen Freigabeordnerpfad enthalten, aber nicht das Verzeichnis c:/LogFiles .

Wichtig: Das Microsoft Exchange-Protokoll unterstützt nicht das Microsoft Exchange 2003-oder Microsoft-Authentifizierungsprotokoll NTLMv2 -Sitzung.

In der folgenden Tabelle werden die protokollspezifischen Parameter für das Microsoft Exchange-Protokoll beschrieben:

Tabelle 1. Microsoft Exchange-Protokollparameter
Parameter	Beschreibung
Protokollkonfiguration	Microsoft Exchange
Log Source Identifier (Protokollquellenkennung)	Geben Sie die IP-Adresse, den Hostnamen oder den Namen für Ihre Protokollquelle ein.
Serveradresse	Die IP-Adresse oder der Hostname Ihres Microsoft Exchange-Servers.
Domäne	Geben Sie die Domäne für Ihren Microsoft Exchange-Server ein. Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.
Username	Geben Sie den Benutzernamen ein, der für den Zugriff auf Ihren Microsoft Exchange-Server erforderlich ist.
Password	Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Microsoft Exchange-Server erforderlich ist.
Bestätigungskennwort	Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Microsoft Exchange-Server erforderlich ist.
Pfad des SMTP-Protokollordners	Der Verzeichnispfad für den Zugriff auf die SMTP-Protokolldateien. Der Standarddateipfad ist Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog . Wenn der Ordnerpfad gelöscht ist, wird die SMTP-Ereigniserfassung inaktiviert.
Pfad des OWA-Protokollordners	Der Verzeichnispfad für den Zugriff auf OWA-Protokolldateien. Der Standarddateipfad ist Windows/system32/LogFiles/W3SVC1 . Wenn der Ordnerpfad gelöscht ist, ist die OWA-Ereigniserfassung inaktiviert.
MSGTRK-Protokollordnerpfad	Der Verzeichnispfad für den Zugriff auf Nachrichtenüberwachungsprotokolle. Der Standarddateipfad ist Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking . Die Nachrichtenüberwachung ist auf Microsoft Exchange 2017-oder 2010-Servern verfügbar, denen die Serverrolle Hub Transport, Mailbox oder Edge Transport zugeordnet ist.
Muster für angepasste Datei verwenden	Wählen Sie dieses Kontrollkästchen aus, um angepasste Dateimuster zu konfigurieren. Lassen Sie das Kontrollkästchen abgewählt, um die Standarddateimuster zu verwenden.
MSGTRK-Dateimuster	Der reguläre Ausdruck (regex), der zum Identifizieren und Herunterladen der MSTRK-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet. Das Standarddateimuster ist `MSGTRK\d+-\d+\.(?:log\|LOG)$` . Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.
MSGTRKMD-Dateimuster	Der reguläre Ausdruck (regex), mit dem die MSGTRKMD-Protokolle identifiziert und heruntergeladen werden. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet. Das Standarddateimuster ist `MSGTRKMD\d+-\d+\.(?:log\|LOG)$` . Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.
MSGTRKMS-Dateimuster	Der reguläre Ausdruck (regex), mit dem die MSGTRKMS-Protokolle identifiziert und heruntergeladen werden. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet. Das Standarddateimuster ist `MSGTRKMS\d+-\d+\.(?:log\|LOG)$` . Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.
MSGTRKMA-Dateimuster	Der reguläre Ausdruck (regex), der zum Identifizieren und Herunterladen der MSGTRKMA-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet. Das Standarddateimuster ist `MSGTRKMA\d+-\d+\.(?:log\|` .
SMTP-Dateimuster	Der reguläre Ausdruck (regex), der zum Identifizieren und Herunterladen der SMTP-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet. Das Standarddateimuster ist `*\.(?:log\|LOG)$` . Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.
OWA-Dateimuster	Der reguläre Ausdruck (regex), der zum Identifizieren und Herunterladen der OWA-Protokolle verwendet wird. Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet. Das Standarddateimuster ist `*\.(?:log\|LOG)$` . Alle Dateien, die dem Dateimuster entsprechen, werden verarbeitet.
Lesen der Datei erzwingen	Wenn das Kontrollkästchen abgewählt ist, wird die Protokolldatei nur gelesen, wenn QRadar eine Änderung der geänderten Zeit oder Dateigröße feststellt.
Rekursiv	Verwenden Sie diese Option, wenn das Dateimuster Unterordner durchsuchen soll. Standardmäßig ist das Kontrollkästchen aktiviert.
SMB-Version	Wählen Sie die Version von SMB aus, die Sie verwenden wollen. AUTO Erkennt automatisch die höchste Version, die der Client und der Server verwenden. SMB1 Erzwingt die Verwendung von SMB1. SMB1 verwendet die Datei jCIFS.jar (Java™ ARchive). Wichtig: SMB1 wird nicht mehr unterstützt. Alle Administratoren müssen vorhandene Konfigurationen aktualisieren, um SMB2 oder SMB3verwenden zu können. SMB2 Erzwingt die Verwendung von SMB2. SMB2 verwendet die Datei jNQ.jar . SMB3 Erzwingt die Verwendung von SMB3. SMB3 verwendet die Datei jNQ.jar . Hinweis: Bevor Sie eine Protokollquelle mit einer bestimmten SMB-Version erstellen (z. B. SMBv1, SMBv2und SMBv3), stellen Sie sicher, dass die angegebene SMB-Version von dem Windows-Betriebssystem unterstützt wird, das auf Ihrem Server ausgeführt wird. Außerdem müssen Sie überprüfen, ob SMB-Versionen auf dem angegebenen Windows-Server aktiviert sind. Weitere Informationen dazu, welche Windows-Version welche SMB-Versionen unterstützt, finden Sie auf der Website Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ). Weitere Informationen zum Erkennen, Aktivieren und Inaktivieren von SMBv1, SMBv2und SMBv3 unter Windows und Windows Server Rufen Sie die Microsoft Support-Website auf (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Abfrageintervall (in Sekunden)	Geben Sie das Abfrageintervall ein, d. h. die Anzahl Sekunden zwischen Abfragen der Protokolldateien, die auf neue Daten geprüft werden sollen. Der Standardwert beträgt 10 Sekunden.
Regulierungsereignisse/Sek.	Die maximale Anzahl von Ereignissen, die das Microsoft Exchange-Protokoll pro Sekunde weiterleiten kann.
Dateiverschlüsselung	Die Zeichencodierung, die von den Ereignissen in Ihrer Protokolldatei verwendet wird