Microsoft DHCP プロトコルの構成オプション

Microsoft DHCP サーバーからイベントを受信するには、Microsoft DHCP プロトコルを使用するようにログ・ソースを構成します。

Microsoft DHCP プロトコルは、アクティブなアウトバウンド・プロトコルです。

ログ・ファイルを読み取るには、管理共有 (C$) を含むフォルダー・パスに、管理共有 (C$) に対する NetBIOS 特権が必要です。ローカル管理者またはドメイン管理者は、管理共有でログ・ファイルにアクセスするための十分な特権があります。

ファイル・パスをサポートする Microsoft DHCP プロトコルのフィールドにより、管理者はパス情報を使用してドライブ名を定義できます。例えば、このフィールドには、管理共有の場合は c$/LogFiles/ ディレクトリー、公開共有フォルダー・パスの場合は LogFiles/ ディレクトリーを含めることができますが、 c:/LogFiles ディレクトリーを含めることはできません。

制約事項: Microsoft 認証プロトコル NTLMv2 は、Microsoft DHCP プロトコルではサポートされません。

注： SMB Trailと依存プロトコルのインストールについての詳細は、 SMB Tailと依存プロトコルのインストールを参照してください。

以下の表で、Microsoft DHCP プロトコル用のプロトコル固有のパラメーターについて説明します。

表 1. Microsoft DHCP プロトコルのパラメーター
パラメーター	説明
プロトコル構成	Microsoft DHCP
ログ・ソース ID	ログ・ソースに対して固有である、固有ホスト名または他の識別子を入力します。
サーバー・アドレス	ご使用の Microsoft DHCP サーバーの IP アドレスまたはホスト名。
ドメイン	Microsoft DHCP サーバーのドメインを入力します。サーバーがドメイン内にない場合は、このパラメーターはオプションです。
Username	DHCP サーバーへのアクセスに必要なユーザー名を入力します。
パスワード	DHCP サーバーへのアクセスに必要なパスワードを入力します。
パスワードの確認	サーバーへのアクセスに必要なパスワードを入力します。
フォルダーのパス	DHCP ログ・ファイルのディレクトリー・パス。デフォルトは `/WINDOWS/system32/dhcp/` です。
ファイル・パターン	イベント・ログを識別する正規表現。ログ・ファイルには必ず 3 文字の省略形の曜日が入ります。以下のいずれかのファイル・パターンを使用してください。英語: IPv4 ファイル・パターン: `DhcpSrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`。 IPv6 ファイル・パターン: `DhcpV6SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`。 IPv4 と IPv6 の混合ファイル・パターン: `Dhcp.*SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`。ポーランド語: IPv4 ファイル・パターン: `DhcpSrvLog-(?:Pią\|Pon\|Sob\|Wto\|Śro\|Czw\|Nie)\.log` IPv6 ファイル・パターン: `DhcpV6SrvLog-(?:Pt\|Pon\|So\|Wt\|Śr\|Czw\|Nie)\.log`
再帰的 (Recursive)	ファイル・パターンでサブフォルダーを検索する場合は、このオプションを選択します。
SMB バージョン	使用する SMB のバージョンを選択します。自動 (AUTO) クライアントとサーバーが使用することに同意する最高バージョンを自動検出します。 SMB1 SMB1 の使用を強制します。 SMB1 は jCIFS.jar (Java™ ARchive) ファイルを使用します。重要: SMB1 はサポートされなくなりました。 SMB2 または SMB3 を使用するには、すべての管理者が既存の構成を更新する必要があります。 SMB2 SMB2 の使用を強制します。 SMB2 は jNQ.jar ファイルを使用します。 SMB3 SMB3 の使用を強制します。 SMB3 は jNQ.jar ファイルを使用します。注: 特定の SMB バージョン (例えば、 SMBv1、 SMBv2、および SMBv3) のログ・ソースを作成する前に、指定された SMB バージョンが、サーバー上で稼働している Windows OS によってサポートされていることを確認してください。また、指定された Windows Server で SMB バージョンが有効になっていることも確認する必要があります。どのWindowsバージョンがどのSMBバージョンをサポートしているかについての詳細は、マイクロソフトのウェブサイト TechNet ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ )をご覧ください。 WindowsおよびWindows Serverにおける SMBv1、 SMBv2、 SMBv3 の検出、有効化、無効化の方法については、マイクロソフトのサポートウェブサイト（ https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server ）を参照のこと。
ポーリング間隔 (秒)	新規データを確認するためのログ・ファイルに対する照会から次の照会までの間の秒数。最小ポーリング間隔は 10 秒です。最大ポーリング間隔は 3,600 秒です。
スロットル・イベント数/秒	DHCP プロトコルが 1 秒当たり転送できるイベントの最大数。最小値は 100 EPS です。最大値は 20,000 EPS です。
ファイルのエンコード (File Encoding)	ログ・ファイルのイベントで使用する文字エンコード。
ファイル除外リスト	特定のファイル・ディレクトリーが開かないようにする正規表現のリスト。リストには、1 行につき 1 つの正規表現が含まれます。ファイルまたはディレクトリーが正規表現の 1 つと一致すると、そのファイルまたはディレクトリーは開きません。ファイルが使用中の場合、他のアプリケーションがそのファイルを使用できない可能性があります。このパラメーターを使用して、これらのファイルがロックされないようにしたり、プロトコルが特定のファイルにアクセスできないようにしたりします。このパターンは、絶対フォルダー・パスには適用されません。これは、パスにリストされている最終ディレクトリーにのみ適用されます。このパターンは、フォルダー・パスのディレクトリー内にあるすべてのファイルまたはディレクトリーに適用されます。以下のリストは、このパラメーターのデフォルト値です。 `/j50.*\.log` `dhcp\.mdb` `dhcp\.tmp` `j50\.chk`.
有効	このオプションが有効にされていない場合、ログ・ソースはイベントを収集しないため、ライセンス制限にカウントされません。
信頼性	信頼性は、ログ・ソースによって作成されたイベントの整合性または有効性を表します。ログ・ソースに割り当てられている信頼性値は、着信イベントに基づいて増減されたり、ユーザーが作成したイベント規則に対応して調整されたりする場合があります。ログ・ソースからのイベントの信頼性は、オフェンスのマグニチュードの計算に反映され、オフェンスのマグニチュード値を増大または減少させる場合があります。
ターゲット・イベント・コレクター	リモート・ログ・ソースをポーリングする QRadar イベント・コレクターを指定します。分散デプロイメントでは、コンソールのシステム・パフォーマンスを向上させるために、このパラメーターを使用してポーリング・タスクをイベント・コレクターに移動します。
イベントの統合	同じイベントが短い時間間隔内で複数回発生するとイベント数が増大します。統合されたイベントを使用することで、単一のイベント・タイプが発生する頻度を「ログ・アクティビティー」タブで表示し判別できます。このチェック・ボックスがクリアされている場合、イベントは個別に表示され、イベントのバンドルは行われません。自動的に検出された新規のログ・ソースは、「管理」タブの「システム設定」構成から、このチェック・ボックスの値を継承します。このチェック・ボックスを使用して、個々のログ・ソースに対するシステム設定のデフォルトの動作をオーバーライドできます。