opciones de configuración del protocolo Microsoft DHCP

Para recibir sucesos de servidores DHCP de Microsoft, configure un origen de registro para utilizar el protocolo DHCP de Microsoft.

El protocolo DHCP de Microsoft es un protocolo de salida activo.

Para leer los archivos de registro, las vías de acceso de carpeta que contienen una compartición administrativa (C$), requieren privilegios NetBIOS en la compartición administrativa (C$). Los administradores locales o de dominio tienen privilegios suficientes para acceder a los archivos de registro en las comparticiones administrativas.

Los campos para el protocolo DHCP de Microsoft que dan soporte a vías de acceso de archivo permiten a los administradores definir una letra de unidad con la información de vía de acceso. Por ejemplo, el campo puede contener el directorio c$/LogFiles/ para una compartición administrativa, o el directorio LogFiles/ para una vía de acceso de carpeta de compartición pública, pero no puede contener el directorio c:/LogFiles .

Restricción: el protocolo de autenticación de Microsoft NTLMv2 no está soportado por el protocolo DHCP de Microsoft.

Nota: Para obtener más información sobre la instalación de SMB Trail y los protocolos dependientes, consulte Instalación de SMB Tail y el protocolo dependiente.

La tabla siguiente describe los parámetros específicos de protocolo para el protocolo DHCP de Microsoft:

Tabla 1. Parámetros del protocolo Microsoft DHCP
Parámetro	Descripción
Configuración de protocolo	DHCP de Microsoft
Identificador de origen de registro	Escriba un nombre de host exclusivo u otro identificador exclusivo para el origen de registro.
Dirección del servidor	La dirección IP o el nombre de host del servidor DHCP de Microsoft.
Dominio	Escriba el dominio del servidor DHCP de Microsoft. Este parámetro es opcional si el servidor no está en un dominio.
Nombre de usuario	Escriba el nombre de usuario necesario para acceder al servidor DHCP.
Contraseña	Escriba la contraseña necesaria para acceder al servidor DHCP.
Confirmar contraseña	Escriba la contraseña necesaria para acceder al servidor.
Vía de acceso de la carpeta	Vía de acceso de los archivos de registro de DHCP. El valor predeterminado es `/WINDOWS/system32/dhcp/`
File Pattern	Expresión regular (regex) que identifica registros de sucesos. Los archivos de registro deben contener una abreviatura correspondiente a un día de la semana y formada por tres caracteres. Utilice uno de los patrones de archivo siguientes: Inglés: Patrón de archivo IPv4 : `DhcpSrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Patrón de archivo IPv6 : `DhcpV6SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Patrón de archivo IPv4 y IPv6 mixto: `Dhcp.*SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Polaco: IPv4 : `DhcpSrvLog-(?:Pią\|Pon\|Sob\|Wto\|Śro\|Czw\|Nie)\.log` IPv6 : `DhcpV6SrvLog-(?:Pt\|Pon\|So\|Wt\|Śr\|Czw\|Nie)\.log`
Recursivo	Seleccione esta opción si desea que el patrón de archivo busque en las subcarpetas.
Versión de SMB	Seleccione la versión de SMB que desea utilizar. AUTO Detecta automáticamente la versión más alta que el cliente y el servidor aceptan utilizar. SMB1 Fuerza el uso de SMB1. SMB1 utiliza el archivo jCIFS.jar (Java™ ARchive). Importante: SMB1 ya no está soportado. Todos los administradores deben actualizar las configuraciones existentes para utilizar SMB2 o SMB3. SMB2 Fuerza el uso de SMB2. SMB2 utiliza el archivo jNQ.jar . SMB3 Fuerza el uso de SMB3. SMB3 utiliza el archivo jNQ.jar . Nota: Antes de crear un origen de registro con una versión de SMB específica (por ejemplo: SMBv1, SMBv2y SMBv3), asegúrese de que la versión de SMB especificada esté soportada por el sistema operativo Windows que se ejecuta en el servidor. También debe verificar que las versiones de SMB están habilitadas en el servidor Windows especificado. Para obtener más información sobre qué versión de Windows es compatible con qué versiones SMB, visite el sitio web de Microsoft TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ). Para obtener más información sobre cómo detectar, activar y desactivar SMBv1, SMBv2, y SMBv3 en Windows y Windows Server, visite el sitio web de soporte de Microsoft ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ).
Intervalo de sondeo (en segundos)	Número de segundos entre consultas a los archivos de registro para comprobar si hay datos nuevos. El intervalo de sondeo mínimo es de 10 segundos. El intervalo de sondeo máximo es de 3.600 segundos.
Sucesos de regulador/seg.	El número máximo de sucesos que el protocolo DHCP puede reenviar por segundo. El valor mínimo es 100 EPS. El valor máximo es 20.000 EPS.
Codificación de archivo	Codificación de caracteres que es utilizada por en los sucesos contenidos en el archivo de registro.
Lista de exclusión de archivos	Una lista de expresiones regulares que impiden que se abran determinados directorios de archivos. La lista incluye una expresión regular por línea. Cuando un archivo o directorio coincide con una de las expresiones regulares, ese archivo o directorio no se abre. Cuando un archivo está en uso, es posible que otras aplicaciones no puedan utilizarlo. Utilice este parámetro para impedir el bloqueo de estos archivos o para impedir que el protocolo acceda a archivos específicos. El patrón no se aplica a la vía de acceso de carpeta completa. Sólo se aplica al directorio final que se lista en la vía de acceso. El patrón se aplica a todos los archivos o directorios que se encuentran en el directorio de la vía de acceso de carpeta. La lista siguiente es el valor predeterminado para este parámetro: `/j50.*\.log` `dhcp\.mdb` `dhcp\.tmp` `j50\.chk`.
Habilitado	Cuando esta opción no está habilitada, el origen de registro no recopila sucesos y no se contabiliza para el límite de licencias.
Credibilidad	La credibilidad es una representación de la integridad o validez de los sucesos creados por un origen de registro. El valor de credibilidad que se asigna a un origen de registro puede aumentar o disminuir de acuerdo con los sucesos entrantes o se puede ajustar en respuesta a reglas de suceso creadas por el usuario. La credibilidad de los sucesos procedentes de los orígenes de registro contribuye al cálculo de la magnitud del delito y puede aumentar o disminuir el valor de magnitud de un delito.
Recopilador de sucesos de destino	Especifica el recopilador de sucesos de QRadar que sondea el origen de registro remoto. Utilice este parámetro en un despliegue distribuido para mejorar el rendimiento del sistema mediante la asignación de la tarea de sondeo a un recopilador de sucesos.
Fusionar sucesos	Aumenta el recuento de sucesos cuando el mismo suceso ocurre varias veces en un intervalo de tiempo corto. Los sucesos fusionados proporcionan una manera de ver y determinar la frecuencia con la que un mismo tipo de suceso aparece en el panel Actividad de registro. Cuando esta casilla no está seleccionada, los sucesos se visualizan por separado y no se agrupan. Los orígenes de registro nuevos y descubiertos automáticamente heredan el valor de esta opción tal como está definida en la configuración de Valores del sistema en el panel Administración. Puede utilizar esta casilla para alterar temporalmente el comportamiento predeterminado de los valores del sistema para un origen de registro individual.