Opzioni di configurazione del protocollo Microsoft Exchange

Per ricevere gli eventi da SMTP, OWA e gli eventi di tracciamento dei messaggi da Microsoft Windows Exchange 2007, 2010, 2013 e 2017 server, configurare una fonte di log per utilizzare il protocollo Microsoft Exchange.

Il protocollo Microsoft Exchange è un protocollo in uscita / attivo.

Per leggere i file di log, i percorsi delle cartelle che contengono una condivisione amministrativa (C$), richiedono privilegi NetBIOS sulla condivisione amministrativa (C$). Gli amministratori locali o di dominio dispongono di privilegi sufficienti per accedere ai file di log sulle condivisioni amministrative.

I campi per il protocollo Microsoft Exchange che supportano i percorsi dei file consentono agli amministratori di definire una lettera drive con le informazioni sul percorso. Ad esempio, il campo può contenere la directory c$/LogFiles/ per una condivisione di gestione o la directory LogFiles/per un percorso di cartella di condivisione pubblica, ma non può contenere la directory c:/LogFiles .

Importante: Il protocollo Microsoft Exchange non supporta Microsoft Exchange 2003 o il protocollo di autenticazione Microsoft NTLMv2 Session.
La seguente tabella descrive i parametri specifici del protocollo per il protocollo Microsoft Exchange:
Tabella 1. Parametri di protocollo Microsoft Exchange
Parametro Descrizione
Configurazione protocollo Microsoft Exchange
Identificativo origine log Digitare l'indirizzo IP, il nome host o il nome per identificare la tua origine log.
Indirizzo server L'indirizzo IP o il nome host del tuo server Microsoft Exchange.
Dominio

Digitare il dominio per il tuo server Microsoft Exchange.

Questo parametro è facoltativo se il tuo server non è in un dominio.
Nome utente Digitare il nome utente necessario per accedere al proprio server Microsoft Exchange.
Password Digitare la password necessaria per accedere al tuo server Microsoft Exchange.
Conferma password Digitare la password necessaria per accedere al tuo server Microsoft Exchange.
Percorso cartella di registrazione SMTP

Il percorso di directory per accedere ai file di log SMTP.

Il percorso file predefinito è Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

Quando il percorso della cartella è chiaro, la raccolta eventi SMTP è disabilitata.
Percorso cartella di log OWA

Il percorso di directory per accedere ai file di log OWA.

Il percorso file predefinito è Windows/system32/LogFiles/W3SVC1

Quando il percorso della cartella è chiaro, la raccolta eventi OWA è disabilitata.
Percorso cartella di registrazione di MSGTRK

Il percorso di directory per accedere ai log di traccia dei messaggi.

Il percorso file predefinito è Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking

Il tracking dei messaggi è disponibile su server Microsoft Exchange 2017 o 2010 che vengono assegnati il ruolo del server Hub Transport, Mailbox o Edge Transport.
Utilizzare Modelli di file personalizzati Selezionare questa casella di controllo per configurare modelli di file personalizzati. Lasciare la casella di controllo chiara per utilizzare i modelli di file predefiniti.
Modello di file MSGTRK

L'espressione regolare (regex) che viene utilizzata per identificare e scaricare i log MSTRK. Tutti i file che corrispondono allo schema di file vengono elaborati.

Lo schema di file predefinito è MSGTRK\d+-\d+\.(?:log|LOG)$

Tutti i file che corrispondono allo schema di file vengono elaborati.
Modello di file MSGTRKMD

L'espressione regolare (regex) che viene utilizzata per identificare e scaricare i log di MSGTRKMD. Tutti i file che corrispondono allo schema di file vengono elaborati.

Lo schema di file predefinito è MSGTRKMD\d+-\d+\.(?:log|LOG)$

Tutti i file che corrispondono allo schema di file vengono elaborati.
Modello di file MSGTRKMS

L'espressione regolare (regex) che viene utilizzata per identificare e scaricare i log di MSGTRKMS. Tutti i file che corrispondono allo schema di file vengono elaborati.

Lo schema di file predefinito è MSGTRKMS\d+-\d+\.(?:log|LOG)$

Tutti i file che corrispondono allo schema di file vengono elaborati.
Modello di file MSGTRKMA

L'espressione regolare (regex) che viene utilizzata per identificare e scaricare i log di MSGTRKMA. Tutti i file che corrispondono allo schema di file vengono elaborati.

Lo schema di file predefinito è MSGTRKMA\d+-\d+\.(?:log|
Modello di file SMTP

L'espressione regolare (regex) che viene utilizzata per identificare e scaricare i log SMTP. Tutti i file che corrispondono allo schema di file vengono elaborati.

Lo schema di file predefinito è *\.(?:log|LOG)$

Tutti i file che corrispondono allo schema di file vengono elaborati.
Modello di file OWA

L'espressione regolare (regex) che viene utilizzata per identificare e scaricare i log OWA. Tutti i file che corrispondono allo schema di file vengono elaborati.

Lo schema di file predefinito è *\.(?:log|LOG)$

Tutti i file che corrispondono allo schema di file vengono elaborati.
Leggi file di forza Se la casella di spunta è deselezionata, il file di log viene letto solo quando QRadar rileva una modifica nell'ora di modifica o nella dimensione del file.
Ricorsivo Se si desidera che lo schema di file ricerca le sottocartelle, utilizzare questa opzione. Per impostazione predefinita, la casella di controllo è selezionata.
Versione SMB

Selezionare la versione di SMB che si desidera utilizzare.

AUTO
Auto - rileva la versione più alta che il client e il server accettano di utilizzare.
SMB1
Costringe l'uso di SMB1. SMB1 utilizza il file jCIFS.jar (Java™ ARchive).
Importante: SMB1 non è più supportato. Tutti gli amministratori devono aggiornare le configurazioni esistenti per utilizzare SMB2 o SMB3.
SMB2
Costringe l'uso di SMB2. SMB2 usa il file jNQ.jar .
SMB3
Costringe l'uso di SMB3. SMB3 utilizza il file jNQ.jar .
Nota: Prima di creare un'origine log con una versione SMB specifica (ad esempio: SMBv1, SMBv2e SMBv3), assicurarsi che la versione SMB specificata sia supportata dall'OS di Windows in esecuzione sul proprio server. È inoltre necessario verificare che le versioni SMB siano abilitate sul Windows Server specificato.

Per ulteriori informazioni su quale versione di Windows supporta quali versioni SMB, visitare il sito Web Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Per ulteriori informazioni su come rilevare, abilitare e disabilitare SMBv1, SMBv2e SMBv3 in Windows e Windows Server, vai al sito web di supporto Microsoft (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Intervallo di polling (in secondi) Digitare l'intervallo di polling, ovvero il numero di secondi tra le query ai file di log per verificare nuovi dati. Il default è 10 seconds.
Eventi di rottura / Sec Il numero massimo di eventi che il protocollo Microsoft Exchange può inoltrare al secondo.
Codifica dei file La codifica dei caratteri utilizzata dagli eventi nel tuo file di log.