Microsoft Exchange プロトコルの構成オプション
SMTP、OWA からのイベント、および Microsoft Windows Exchange 2007、2010、2013、2017 サーバーからのメッセージ追跡イベントを受信するには、Microsoft Exchange プロトコルを使用するようにログ・ソースを構成します。
Microsoft Exchange プロトコルはアウトバウンド/アクティブ・プロトコルです。
ログ・ファイル (管理共有 (C$) を含むフォルダー・パス) を読み取るには、管理共有 (C$) に対する NetBIOS 特権が必要です。ローカルまたはドメインの管理者は、管理共有にあるログ・ファイルにアクセスするための十分な特権を持っています。
ファイル・パスをサポートする Microsoft Exchange プロトコルのフィールドでは、管理者はドライブ名をパス情報付きで定義できます。例えば、管理共有の場合はフィールドに c$/LogFiles/ ディレクトリーを指定でき、公開共有フォルダー・パスの場合は LogFiles/ ディレクトリーを指定できますが、c:/LogFiles ディレクトリーを指定することはできません。
| パラメーター | 説明 |
|---|---|
| プロトコル構成 | Microsoft Exchange |
| ログ・ソース ID | ログ・ソースを識別するための IP アドレス、ホスト名、または名前を入力します。 |
| サーバー・アドレス | Microsoft Exchange サーバーの IP アドレスまたはホスト名。 |
| ドメイン |
Microsoft Exchange Server のドメインを入力します。 サーバーがドメイン内にない場合は、このパラメーターはオプションです。 |
| ユーザー名 | Microsoft Exchange サーバーへのアクセスに必要なユーザー名を入力します。 |
| パスワード | Microsoft Exchange サーバーへのアクセスに必要なパスワードを入力します。 |
| パスワードの確認 | Microsoft Exchange サーバーへのアクセスに必要なパスワードを入力します。 |
| SMTP ログ・フォルダーのパス |
SMTP ログ・ファイルにアクセスするためのディレクトリー・パス。 デフォルトのファイル・パスは Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog です。 このフォルダー・パスをクリアすると、SMTP イベント収集が無効になります。 |
| OWA ログ・フォルダーのパス | OWA ログ・ファイルにアクセスするためのディレクトリー・パス。 デフォルトのファイル・パスは Windows/system32/LogFiles/W3SVC1 です。 このフォルダー・パスをクリアすると、OWA イベント収集が無効になります。 |
| MSGTRK ログ・フォルダーのパス |
メッセージ・トラッキング・ログにアクセスするためのディレクトリー・パス。 デフォルトのファイル・パスは Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking です。 メッセージ・トラッキングは、ハブ・トランスポート、メールボックス、またはエッジ・トランスポート・サーバーのロールが割り当てられている Microsoft Exchange 2017 または 2010 サーバーで使用できます。 |
| カスタム・ファイル・パターンを使用 (Use Custom File Patterns) | カスタム・ファイル・パターンを構成するには、このチェック・ボックスを選択します。デフォルトのファイル・パターンを使用する場合はこのチェック・ボックスをクリアのままにします。 |
| MSGTRK ファイル・パターン |
MSTRK ログを識別してダウンロードするために使用する正規表現 (regex)。このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| MSGTRKMD ファイル・パターン |
MSGTRKMD ログを識別してダウンロードするために使用する正規表現 (regex)。このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| MSGTRKMS ファイル・パターン |
MSGTRKMS ログを識別してダウンロードするために使用する正規表現 (regex)。このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| MSGTRKMA ファイル・パターン |
MSGTRKMA ログを識別してダウンロードするために使用する正規表現 (regex)。このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは |
| SMTP ファイル・パターン |
SMTP ログを識別してダウンロードするために使用する正規表現 (regex)。このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| OWA ファイル・パターン |
OWA ログを識別してダウンロードするために使用する正規表現 (regex)。このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| ファイル読み取りの強制 (Force File Read) | このチェック・ボックスをクリアした場合、QRadar® が変更時刻またはファイル・サイズの変化を検出した場合にのみログ・ファイルが読み取られます。 |
| 再帰的 (Recursive) | ファイル・パターンでサブフォルダーを検索するようにしたい場合は、このオプションを使用します。このチェック・ボックスはデフォルトで選択されます。 |
| SMB バージョン |
使用する SMB のバージョンを選択します。
注: 特定の SMB バージョン (SMBv1、SMBv2、SMBv3 など) を使用してログ・ソースを作成する前に、指定した SMB バージョンが、サーバーで実行されている Windows OS によってサポートされていることを確認してください。また、指定した Windows Server で SMB バージョンが有効になっていることも確認する必要があります。
どの Windows バージョンがどの SMB バージョンをサポートしているかについて詳しくは、Microsoft TechNet Web サイト (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ) を参照してください。 Windows および Windows Server で SMBv1、SMBv2、および SMBv3 を検出、有効化、および無効化する方法について詳しくは、Microsoft サポートの Web サイト (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server) を参照してください。 |
| ポーリング間隔 (秒) | ポーリング間隔 (新規データを確認するためのログ・ファイルに対する照会から次の照会までの間の秒数) を入力します。デフォルトは 10 秒です。 |
| スロットル・イベント数/秒 | Microsoft Exchange プロトコルが 1 秒当たり転送できるイベントの最大数。 |
| ファイルのエンコード (File Encoding) | ログ・ファイルのイベントで使用する文字エンコード。 |