Microsoft Exchange プロトコルの構成オプション
Microsoft Windows Exchange 2007、2010、2013、および 2017 サーバーから SMTP、OWA、およびメッセージ・トラッキング・イベントからイベントを受信するには、Microsoft Exchange プロトコルを使用するようにログ・ソースを構成します。
Microsoft Exchange プロトコルは、アウトバウンド/アクティブ・プロトコルです。
ログ・ファイルを読み取るには、管理共有 (C$) を含むフォルダー・パスに、管理共有 (C$) に対する NetBIOS 特権が必要です。ローカル管理者またはドメイン管理者は、管理共有でログ・ファイルにアクセスするための十分な特権があります。
ファイル・パスをサポートする Microsoft Exchange プロトコルのフィールドにより、管理者はパス情報を含むドライブ名を定義できます。 例えば、管理共有の場合はフィールドに c$/LogFiles/ ディレクトリーを指定でき、公開共有フォルダー・パスの場合は LogFiles/ ディレクトリーを指定できますが、c:/LogFiles ディレクトリーを指定することはできません。
| パラメーター | 説明 |
|---|---|
| プロトコル構成 | Microsoft Exchange |
| ログ・ソース ID | ログ・ソースを識別するための IP アドレス、ホスト名、または名前を入力します。 |
| サーバー・アドレス | ご使用の Microsoft Exchange Server の IP アドレスまたはホスト名。 |
| ドメイン | Microsoft Exchange Server のドメインを入力します。 サーバーがドメイン内にない場合は、このパラメーターはオプションです。 |
| Username | Microsoft Exchange サーバーへのアクセスに必要なユーザー名を入力します。 |
| パスワード | Microsoft Exchange サーバーへのアクセスに必要なパスワードを入力します。 |
| パスワードの確認 | Microsoft Exchange サーバーへのアクセスに必要なパスワードを入力します。 |
| SMTP ログ・フォルダーのパス | SMTP ログ・ファイルにアクセスするためのディレクトリー・パス。 デフォルトのファイル・パスは Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog です。 このフォルダー・パスをクリアすると、SMTP イベント収集が無効になります。 |
| OWA ログ・フォルダーのパス | OWA ログ・ファイルにアクセスするためのディレクトリー・パス。 デフォルトのファイル・パスは Windows/system32/LogFiles/W3SVC1 です。 このフォルダー・パスをクリアすると、OWA イベント収集が無効になります。 |
| MSGTRK ログ・フォルダーのパス | メッセージ・トラッキング・ログにアクセスするためのディレクトリー・パス。 デフォルトのファイル・パスは Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking です。 メッセージ・トラッキングは、ハブ・トランスポート、メールボックス、またはエッジ・トランスポート・サーバーの役割が割り当てられている Microsoft Exchange 2017 または 2010 サーバーで使用可能です。 |
| カスタム・ファイル・パターンの使用 | カスタム・ファイル・パターンを構成するには、このチェック・ボックスを選択します。 デフォルトのファイル・パターンを使用する場合はこのチェック・ボックスをクリアのままにします。 |
| MSGTRK ファイル・パターン | MSTRK ログを識別してダウンロードするために使用する正規表現 (regex)。 このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| MSGTRKMD ファイル・パターン | MSGTRKMD ログを識別してダウンロードするために使用する正規表現 (regex)。 このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| MSGTRKMS ファイル・パターン | MSGTRKMS ログを識別してダウンロードするために使用する正規表現 (regex)。 このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| MSGTRKMA ファイル・パターン | MSGTRKMA ログを識別してダウンロードするために使用する正規表現 (regex)。 このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは |
| SMTP ファイル・パターン | SMTP ログを識別してダウンロードするために使用する正規表現 (regex)。 このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| OWA ファイル・パターン | OWA ログを識別してダウンロードするために使用する正規表現 (regex)。 このファイル・パターンに一致するすべてのファイルが処理されます。 デフォルトのファイル・パターンは このファイル・パターンに一致するすべてのファイルが処理されます。 |
| ファイル読み取りの強制 (Force File Read) | このチェック・ボックスがクリアされている場合、 QRadar が変更時刻またはファイル・サイズの変更を検出したときにのみログ・ファイルが読み取られます。 |
| 再帰的 (Recursive) | ファイル・パターンでサブフォルダーを検索するようにしたい場合は、このオプションを使用します。 このチェック・ボックスはデフォルトで選択されます。 |
| SMB バージョン | 使用する SMB のバージョンを選択します。
注: 特定の SMB バージョン (例えば、 SMBv1、 SMBv2、および SMBv3) のログ・ソースを作成する前に、指定された SMB バージョンが、サーバー上で稼働している Windows OS によってサポートされていることを確認してください。 また、指定された Windows Server で SMB バージョンが有効になっていることも確認する必要があります。
どの Windows バージョンがどの SMB バージョンをサポートするかについて詳しくは、 Microsoft TechNet Web サイト (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ) を参照してください。 Windows および Windows Server で SMBv1、 SMBv2、および SMBv3 を検出、有効化、および無効化する方法について詳しくは、以下を参照してください。 Microsoft サポート Web サイト (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server) にアクセスします。 |
| ポーリング間隔 (秒) | ポーリング間隔 (新規データを確認するためのログ・ファイルに対する照会から次の照会までの間の秒数) を入力します。 デフォルトは 10 秒です。 |
| スロットル・イベント数/秒 | Microsoft Exchange プロトコルが 1 秒当たりに転送できるイベントの最大数。 |
| ファイルのエンコード (File Encoding) | ログ・ファイルのイベントで使用する文字エンコード。 |