Microsoft Exchange のログ・ソースの構成

IBM® QRadar® は、Microsoft Exchange イベントを自動的に検出することはありません。Microsoft Exchange のイベント・データを統合するには、イベント・ログの収集元となるインスタンスごとにログ・ソースを作成する必要があります。

始める前に

Exchange Server 上のログ・フォルダー・パスに管理共有 (C$) が含まれている場合、NetBIOS アクセス権を持つユーザーにローカルまたはドメインの管理者権限が付与されていることを確認します。

このタスクについて

OWA、SNMP、および MSGTRK のフォルダー・パス・フィールドは、ドライブ名とパス情報を使用してデフォルトのファイル・パスを定義します。Microsoft Exchange Server 上のログ・ファイルの場所を変更した場合は、必ずログ・ソース構成に正しいファイル・パスを指定してください。Microsoft Exchange プロトコルは、イベント・ログの OWA、SMTP、および MSGTRK フォルダーのサブディレクトリーを読み取ることができます。

ディレクトリー・パスは、以下の形式で指定できます。

手順

  1. 「管理」タブをクリックします。
  2. ナビゲーション・メニューで、「データ・ソース」をクリックします。
  3. 「ログ・ソース」アイコンをクリックします。
  4. 「ログ・ソース名」フィールドにログ・ソースの名前を入力します。
  5. 「ログ・ソースの説明」フィールドにログ・ソースの説明を入力します。
  6. 「ログ・ソース・タイプ」リストで、「Microsoft Exchange Server」を選択します。
  7. 「プロトコル構成」リストで「Microsoft Exchange」を選択します。
  8. ログ・ソース・パラメーターを構成します。
    Microsoft Exchange ログ・ソース・パラメーターの詳細
    パラメーター 説明
    ログ・ソース ID QRadar ユーザー・インターフェース内の Windows Exchange イベント・ソースを識別する IP アドレスまたはホスト名。
    サーバー・アドレス Microsoft Exchange Server の IP アドレス。
    SMTP ログ・フォルダーのパス SMTP ログ・ファイルにアクセスするためのディレクトリー・パス。以下のいずれかのディレクトリー・パスを使用します。
    • Microsoft Exchange 2003 の場合は、c$/Program Files/Microsoft/Exchange Server/TransportRoles/Logs/ProtocolLog/ を使用します。
    • Microsoft Exchange 2007 の場合は、c$/Program Files/Microsoft/Exchange Server/TransportRoles/Logs/ProtocolLog/ を使用します。
    • Microsoft Exchange 2010 の場合は、c$/Program Files/Microsoft/Exchange Server/V14/TransportRoles/Logs/ProtocolLog/ を使用します。
    • Microsoft Exchange 2013 の場合は、c$/Program Files/Microsoft/Exchange Server/V15/TransportRoles/Logs/ProtocolLog/ を使用します。
    • Microsoft Exchange 2016 の場合は、c$/Program Files/Microsoft/Exchange Server/V15/TransportRoles/Logs/ProtocolLog/ を使用します。
    OWA ログ・フォルダーのパス OWA ログ・ファイルにアクセスするためのディレクトリー・パス。以下のいずれかのディレクトリー・パスを使用します。
    • Microsoft Exchange 2003 の場合は、c$/WINDOWS/system32/LogFiles/W3SVC1/ を使用します。
    • Microsoft Exchange 2007 の場合は、c$/WINDOWS/system32/LogFiles/W3SVC1/ を使用します。
    • Microsoft Exchange 2010 の場合は、c$/inetpub/logs/LogFiles/W3SVC1/ を使用します。
    • Microsoft Exchange 2013 の場合は、c$/inetpub/logs/LogFiles/W3SVC1/ を使用します。
    • Microsoft Exchange 2016 の場合は、c$/inetpub/logs/LogFiles/W3SVC1/ を使用します。
    MSGTRK ログ・フォルダーのパス メッセージ・トラッキング・ログ・ファイルにアクセスするためのディレクトリー・パス。メッセージ・トラッキングを使用できるのは、ハブ・トランスポート、メールボックス、またはエッジ・トランスポート・サーバーのロールが割り当てられている Microsoft Exchange 2007 サーバーのみです。以下のいずれかのディレクトリー・パスを使用します。
    • Microsoft Exchange 2007 の場合は、c$/Program Files/Microsoft/Exchange Server/TransportRoles/Logs/MessageTracking/ を使用します。
    • Microsoft Exchange 2010 の場合は、c$/Program Files/Microsoft/Exchange Server/V14/TransportRoles/Logs/MessageTracking/ を使用します。
    • Microsoft Exchange 2013 の場合は、c$/Program Files/Microsoft/Exchange Server/V15/TransportRoles/Logs/MessageTracking/ を使用します。
    • Microsoft Exchange 2016 の場合は、c$/Program Files/Microsoft/Exchange Server/V15/TransportRoles/Logs/MessageTracking/ を使用します。
    ファイル読み取りの強制 (Force File Read) プロトコルにログ・ファイルの読み取りを強制します。このチェック・ボックスはデフォルトで選択されます。このチェック・ボックスをクリアすると、ログ・ファイルの読み取りは、ログ・ファイル変更日時またはファイル・サイズの属性が変更された場合に行われます。
  9. 残りのパラメーターを構成します。
  10. 「保存」をクリックします。
  11. 「管理」タブで「変更のデプロイ」をクリックします。
親トピック: Microsoft Exchange Server