Options de configuration du protocole Microsoft DHCP

Pour recevoir des événements des serveurs DHCP de Microsoft, configurez une source de journal pour utiliser le protocole DHCP de Microsoft.

Le protocole Microsoft DHCP est un protocole sortant actif.

Pour lire les fichiers journaux, les chemins de dossier qui contiennent un partage administratif (C$) nécessitent des privilèges NetBIOS sur celui-ci. Les administrateurs locaux ou de domaine disposent de privilèges suffisants pour accéder aux fichiers journaux sur les partages administratifs.

Les zones du protocole Microsoft DHCP qui prennent en charge les chemins de fichier permettent aux administrateurs de définir un identificateur d'unité avec les informations de chemin. Par exemple, la zone peut contenir le répertoire c$/LogFiles/ pour un partage d'administration ou le répertoire LogFiles/ pour un chemin de dossier de partage public, mais ne peut pas contenir le répertoire c:/LogFiles .

Restriction: Le protocole d'authentification Microsoft NTLMv2 n'est pas pris en charge par le protocole Microsoft DHCP.

Remarque : pour plus d'informations sur l'installation de SMB Trail et des protocoles dépendants, voir Installation de SMB Tail et des protocoles dépendants.

Le tableau suivant décrit les paramètres spécifiques au protocole Microsoft DHCP:

Tableau 1. Paramètres du protocole Microsoft DHCP
Paramètre	Descriptif
Configuration du protocole	DHCP Microsoft
Identificateur de source de journal	Entrez un nom d'hôte unique ou un autre identificateur unique pour la source de journal.
Adresse du serveur	Adresse IP ou nom d'hôte de votre serveur Microsoft DHCP.
Domaine	Entrez le domaine de votre serveur Microsoft DHCP. Ce paramètre est facultatif si votre serveur n'est pas situé dans un domaine.
Nom d'utilisateur	Entrez le nom d'utilisateur requis pour accéder au serveur DHCP.
Mot de passe	Entrez le mot de passe requis pour accéder au serveur DHCP.
Confirmer le mot de passe	Entrez le mot de passe requis pour accéder au serveur.
Chemin du dossier	Chemin d'accès au répertoire contenant les fichiers journaux DHCP. La valeur par défaut est `/WINDOWS/system32/dhcp/`.
Modèle de fichier	Expression régulière (regex) identifiant les journaux d'événements. Les fichiers journaux doivent contenir une abréviation d'un jour de la semaine de trois caractères. Utilisez l'un des masques de fichiers suivants : Anglais : Modèle de fichier IPv4 : `DhcpSrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Modèle de fichier IPv6 : `DhcpV6SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Modèle de fichier IPv4 et IPv6 mixte : `Dhcp.*SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Polonais : Modèle de fichier IPv4 : `DhcpSrvLog-(?:Pią\|Pon\|Sob\|Wto\|Śro\|Czw\|Nie)\.log` Modèle de fichier IPv6 : `DhcpV6SrvLog-(?:Pt\|Pon\|So\|Wt\|Śr\|Czw\|Nie)\.log`
Récursif	Sélectionnez cette option si vous souhaitez que le modèle de fichier effectue une recherche dans les sous-dossiers.
Version SMB	Sélectionnez la version de SMB que vous souhaitez utiliser. AUTO Détecte automatiquement la version la plus élevée que le client et le serveur acceptent d'utiliser. SMB1 Impose l'utilisation de SMB1. SMB1 utilise le fichier jCIFS.jar (Java™ ARchive). Important: SMB1 n'est plus pris en charge. Tous les administrateurs doivent mettre à jour les configurations existantes pour utiliser SMB2 ou SMB3. SMB2 Impose l'utilisation de SMB2. SMB2 utilise le fichier jNQ.jar. SMB3 Force l'utilisation de SMB3. SMB3 utilise le fichier jNQ.jar. Remarque: avant de créer une source de journal avec une version SMB spécifique (par exemple: SMBv1, SMBv2et SMBv3), vérifiez que la version SMB spécifiée est prise en charge par le système d'exploitation Windows qui s'exécute sur votre serveur. Vous devez également vérifier que les versions SMB sont activées sur le serveur Windows spécifié. Pour plus d'informations sur les versions de Windows compatibles avec les différentes versions de SMB, consultez le site web de Microsoft TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ). Pour plus d'informations sur la détection, l'activation et la désactivation de SMBv1, SMBv2, et SMBv3 dans Windows et Windows Server, consultez le site web d'assistance de Microsoft ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ).
Intervalle d'interrogation (en secondes)	Nombre de secondes entre les requêtes émises vers les fichiers journaux pour rechercher de nouvelles données. L'intervalle d'interrogation minimal est de 10 secondes. L'intervalle d'interrogation maximal est de 3 600 secondes.
Evénements de régulation/seconde	Nombre maximal d'événements que le protocole DHCP peut transmettre par seconde. La valeur minimale est 100 EPS. La valeur maximale est 20 000 EPS.
Codage du fichier	Codage de caractères utilisé par les événements dans votre fichier journal.
Liste d'exclusion de fichiers	Liste d'expressions régulières qui empêchent l'ouverture de certains répertoires de fichiers. La liste inclut une expression régulière par ligne. Lorsqu'un fichier ou un répertoire correspond à l'une des expressions régulières, ce fichier ou ce répertoire ne s'ouvre pas. Lorsqu'un fichier est utilisé, il se peut que d'autres applications ne puissent pas l'utiliser. Utilisez ce paramètre pour empêcher le verrouillage de ces fichiers ou pour empêcher le protocole d'accéder à des fichiers spécifiques. Le modèle ne s'applique pas au chemin de dossier complet. Elle s'applique uniquement au répertoire final qui est répertorié dans le chemin d'accès. Le modèle s'applique à tous les fichiers ou répertoires qui se trouvent dans le répertoire du chemin de dossier. La liste suivante est la valeur par défaut de ce paramètre: `/j50.*\.log` `dhcp\.mdb` `dhcp\.tmp` `j50\.chk`.
Activé	Lorsque cette option est désactivée, la source de journal ne collecte pas les événements et n'est pas comptabilisée dans la limite de licence.
Crédibilité	La crédibilité est une représentation de l'intégrité ou de la validité des événements créés par une source de journal. La valeur de crédibilité affectée à une source de journal peut augmenter ou diminuer en fonction des événements entrants ou être réglée en réponse aux règles d'événements créées par les utilisateurs. La crédibilité des événements des sources de journal contribue au calcul de l'ampleur des infractions et peut augmenter ou diminuer la valeur de gravité d'une infraction.
Collecteur d'événements cible	Indique le collecteur d'événements QRadar qui interroge la source du journal éloigné. Utilisez ce paramètre dans un déploiement réparti pour améliorer les performances du système Console en transférant la tâche d'interrogation à un collecteur d'événements.
Evénements en coalescence	Augmente le nombre d'événements lorsque le même événement se produit plusieurs fois durant un intervalle de temps réduit. Les événements regroupés offrent la possibilité d'afficher et de déterminer la fréquence avec laquelle un type d'événement unique se produit dans l'onglet Activité du journal. Lorsque cette case est décochée, les événements s'affichent individuellement et ne sont pas regroupés. Les sources de journal nouvelles et détectées automatiquement héritent de la valeur de cette case de la configuration de Paramètres système dans l'onglet Admin. Vous pouvez utiliser cette case pour ignorer le comportement par défaut des paramètres système d'une source de journal individuelle.