Microsoft Exchange 프로토콜 구성 옵션

SMTP, OWA에서 이벤트를 수신하고 Microsoft Windows Exchange 2007, 2010, 2013및 2017서버에서 메시지 추적 이벤트를 수신하려면 Microsoft Exchange 프로토콜을 사용하도록 로그 소스를 구성하십시오.

Microsoft Exchange 프로토콜은 아웃바운드/활성 프로토콜입니다.

관리 공유 (C$) 를 포함하는 폴더 경로인 로그 파일을 읽으려면 관리 공유 (C$) 에 대한 NetBIOS 권한이 필요합니다. 로컬 또는 도메인 관리자에게는 관리 공유의 로그 파일에 액세스할 수 있는 충분한 권한이 있습니다.

관리자가 파일 경로를 지원하는 Microsoft Exchange 프로토콜의 필드를 사용하여 경로 정보가 있는 드라이브 이름을 정의할 수 있습니다. 예를 들어, 필드에 c$/LogFiles/ 디렉토리(관리 공유의 경우) 또는 LogFiles/ 디렉토리(공용 공유 폴더 경로의 경우)가 포함될 수 있지만 c:/LogFiles 디렉토리는 포함될 수 없습니다.

중요: Microsoft Exchange 프로토콜은 Microsoft Exchange 2003또는 Microsoft 인증 프로토콜 NTLMv2 세션을 지원하지 않습니다.
다음 표에서는 Microsoft Exchange 프로토콜에 대한 프로토콜 특정 매개변수를 설명합니다.
표 1. Microsoft Exchange 프로토콜 매개변수
매개변수 설명
프로토콜 구성 Microsoft Exchange
로그 소스 ID 로그 소스를 식별하는 데 필요한 IP 주소, 호스트 이름 또는 이름을 입력하십시오.
서버 주소 Microsoft Exchange 서버의 IP 주소 또는 호스트 이름입니다.
도메인

Microsoft Exchange 서버의 도메인을 입력하십시오.

서버가 도메인에 있지 않은 경우 이 매개변수는 선택사항입니다.
username Microsoft Exchange 서버에 액세스하는 데 필요한 사용자 이름을 입력하십시오.
비밀번호 Microsoft Exchange 서버에 액세스하는 데 필요한 비밀번호를 입력하십시오.
비밀번호 확인 Microsoft Exchange 서버에 액세스하는 데 필요한 비밀번호를 입력하십시오.
SMTP 로그 폴더 경로

SMTP 로그 파일에 액세스하기 위한 디렉토리 경로입니다.

기본 파일 경로는 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog입니다.

폴더 경로가 선택 취소된 경우 SMTP 이벤트 수집이 사용 안함으로 설정됩니다.
OWA 로그 폴더 경로

OWA 로그 파일에 액세스하기 위한 디렉토리 경로입니다.

기본 파일 경로는 Windows/system32/LogFiles/W3SVC1입니다.

폴더 경로가 선택 취소된 경우 OWA 이벤트 수집이 사용 안함으로 설정됩니다.
MSGTRK 로그 폴더 경로

메시지 추적 로그에 액세스하기 위한 디렉토리 경로입니다.

기본 파일 경로는 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking입니다.

메시지 추적은 허브 전송, 메일함 또는 에지 전송 서버 역할이 지정된 Microsoft Exchange 2017또는 2010서버에서 사용 가능합니다.
사용자 정의 파일 패턴 사용 사용자 정의 파일 패턴을 구성하려면 이 선택란을 선택하십시오. 기본 파일 패턴을 사용하려면 이 선택란을 선택 취소된 상태로 두십시오.
MSGTRK 파일 패턴

MSTRK 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRK\d+-\d+\.(?:log|LOG)$입니다.

파일 패턴과 일치하는 모든 파일이 처리됩니다.
MSGTRKMD 파일 패턴

MSGTRKMD 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMD\d+-\d+\.(?:log|LOG)$입니다.

파일 패턴과 일치하는 모든 파일이 처리됩니다.
MSGTRKMS 파일 패턴

MSGTRKMS 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMS\d+-\d+\.(?:log|LOG)$입니다.

파일 패턴과 일치하는 모든 파일이 처리됩니다.
MSGTRKMA 파일 패턴

MSGTRKMA 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 MSGTRKMA\d+-\d+\.(?:log|입니다.
SMTP 파일 패턴

SMTP 로그를 식별하고 처리하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 *\.(?:log|LOG)$입니다.

파일 패턴과 일치하는 모든 파일이 처리됩니다.
OWA 파일 패턴

OWA 로그를 식별하고 다운로드하는 데 사용되는 정규식(regex)입니다. 파일 패턴과 일치하는 모든 파일이 처리됩니다.

기본 파일 패턴은 *\.(?:log|LOG)$입니다.

파일 패턴과 일치하는 모든 파일이 처리됩니다.
파일 읽기 강제 실행 선택란을 선택 취소하면 QRadar 가 수정된 시간 또는 파일 크기의 변경을 발견할 때만 로그 파일을 읽습니다.
반복적 파일 패턴이 하위 폴더를 검색하게 하려면 이 옵션을 사용하십시오. 기본적으로 이 선택란은 선택되어 있습니다.
SMB 버전

사용할 SMB 버전을 선택하십시오.

AUTO로 설정된 경우
클라이언트 및 서버가 사용에 동의하는 가장 높은 버전으로 자동 감지합니다.
SMB1
SMB1을 강제로 사용하게 합니다. SMB1 은 jCIFS.jar (Java™ ARchive) 파일을 사용합니다.
중요: SMB1 은 더 이상 지원되지 않습니다. 모든 관리자는 SMB2 또는 SMB3을 사용하도록 기존 구성을 업데이트해야 합니다.
SMB2
SMB2를 강제로 사용하게 합니다. SMB2 는 jNQ.jar 파일을 사용합니다.
SMB3
SMB3을 강제로 사용하게 합니다. SMB3은 jNQ.jar 파일을 사용합니다.
참고: 특정 SMB 버전 (예: SMBv1, SMBv2및 SMBv3) 으로 로그 소스를 작성하기 전에 지정된 SMB 버전이 서버에서 실행 중인 Windows OS에서 지원되는지 확인하십시오. 또한 지정된 Windows 서버에서 SMB 버전이 사용 가능한지 확인해야 합니다.

SMB 버전을 지원하는 Windows 버전에 대한 자세한 정보는 Microsoft TechNet 웹 사이트 (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ) 로 이동하십시오.

Windows및 Windows 서버에서 SMBv1, SMBv2및 SMBv3 를 발견, 사용 및 사용 안함으로 설정하는 방법에 대한 자세한 정보를 보려면 Microsoft 지원 웹 사이트 (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server) 로 이동하십시오.
폴링 간격(초) 새 데이터를 확인하기 위해 로그 파일을 조회하는 간격(초)인 폴링 간격을 입력하십시오. 기본값은 10초입니다.
초당 이벤트 수 제한 Microsoft Exchange 프로토콜이 초당 전달할 수 있는 최대 이벤트 수입니다.
파일 인코딩 로그 파일에서 이벤트가 사용하는 문자 인코딩입니다.