Opções de configuração de protocolo Microsoft DHCP

Para receber eventos dos servidores Microsoft DHCP, configure uma fonte de log para usar o protocolo Microsoft DHCP.

O protocolo Microsoft DHCP é um protocolo de saída/ativo.

Para ler os arquivos de log, os caminhos de pastas que contiverem um compartilhamento administrativo (C$), solicite privilégios NetBIOS no compartilhamento administrativo (C$). Os administradores locais ou de domínio possuem privilégios suficientes para acessar os arquivos de log em compartilhamentos administrativos.

Os campos para o protocolo Microsoft DHCP que suportam caminhos de arquivos permitem que os administradores definam uma letra da unidade com as informações de caminho. Por exemplo, o campo pode conter o diretório c$/LogFiles/ para um compartilhamento administrativo ou o diretório LogFiles/ para um caminho de pasta de compartilhamento público, mas não pode conter o diretório c:/LogFiles.

Restrição: O protocolo de autenticação NTLMv2 da Microsoft não é suportado pelo protocolo Microsoft DHCP.

A tabela a seguir descreve os parâmetros específicos de protocolo para o protocolo Microsoft DHCP:

Tabela 1. Parâmetros do protocolo Microsoft DHCP
Parâmetro	Descrição
Configuração de protocolo	Microsoft DHCP
Identificador de Fonte de Log	Digite um nome de host exclusivo ou outro identificador exclusivo para a origem de log.
Endereço do Servidor	O endereço IP ou o nome do host do servidor DHCP Microsoft.
Domínio	Digite o domínio para o servidor DHCP Microsoft. Esse parâmetro será opcional se o servidor não estiver em um domínio.
Nome do usuário	Digite o nome do usuário que é necessário para acessar o servidor DHCP.
Senha	Digite a senha que é necessária para acessar o servidor DHCP.
Confirmar senha	Digite a senha que é necessária para acessar o servidor.
Caminho de pasta	O caminho do diretório para os arquivos de log DHCP. O padrão é `/WINDOWS/system32/dhcp/`
Padrão de arquivo	A expressão regular (regex)que identifica os logs de eventos. Os arquivos de log devem conter uma abreviação de três caracteres para um dia da semana. Use um dos padrões de arquivo a seguir: Inglês: Padrão de arquivo IPv4: `DhcpSrvLog-(?: Sun \| Mon \| Tue \| Wed \| Thu \| Fri \| Sat) \.log` . Padrão de arquivo IPv6: `DhcpV6SrvLog-(?: Sun \| Mon \| Tue \| Wed \| Thu \| Fri \| Sat) \.log` . Padrão de arquivo IPv4 e IPv6 combinados: `Dhcp.*SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`. Polonês: Padrão de arquivo IPv4: `DhcpSrvLog-(?:Pią\|Pon\|Sob\|Wto\|Śro\|Czw\|Nie)\.log` Padrão de arquivo IPv6: `DhcpV6SrvLog-(? :Pt \| Pon \| So \| Wt \| Śr \| Czw \| Nie) \.log`
Recursivo	Selecione esta opção se você desejar que o padrão do arquivo procure as subpastas.
Versão do SMB	Selecione a versão de SMB que você deseja usar. AUTO Detecta automaticamente para a versão mais alta que o cliente e o servidor concordam em usar. SMB1 Força o uso de SMB1. O SMB1 usa o arquivo jCIFS.jar (Java™ ARchive). Importante: O SMB1 não é mais suportado. Todos os administradores devem atualizar as configurações existentes para usar o SMB2 ou SMB3. SMB2 Força o uso de SMB2. O SMB2 usa o arquivo jNQ.jar. SMB3 Força o uso do SMB3. O SMB3 usa o arquivo jNQ.jar. Nota: Antes de criar uma origem de log com uma versão de SMB específica (por exemplo: SMBv1, SMBv2 e SMBv3), certifique-se de que a versão de SMB especificada seja suportada pelo S.O. Windows que está em execução em seu servidor. Também é preciso verificar se as versões de SMB estão ativadas no Windows Server especificado. Para obter informações adicionais sobre qual versão do Windows suporta quais versões de SMB, acesse o website Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ). Para obter informações adicionais sobre como detectar, ativar e desativar o SMBv1, SMBv2 e SMBv3 no Windows e Windows Server, acesse o website de suporte da Microsoft (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Intervalo de pesquisa (em segundos)	O número de segundos entre as consultas nos arquivos de log para verificar se há novos dados. O intervalo de pesquisa mínimo é de 10 segundos. O intervalo máximo de pesquisa é de 3.600 segundos.
Eventos do Regulador / s	O número máximo de eventos que o protocolo DHCP pode encaminhar por segundo. O valor mínimo é 100 EPS. O valor máximo é 20.000 EPS.
Codificação de Arquivo	A codificação de caracteres usada pelos eventos em seu arquivo de log.
Ativado	Quando essa opção não está ativada, a origem de log não coleta eventos e não é contada no limite de licença.
Credibilidade	credibilidade é uma representação da integridade ou da validade dos eventos que são criados por uma origem de log. O valor da credibilidade que é designado a uma origem de log pode aumentar ou diminuir com base nos eventos recebidos ou ajustados como uma resposta às regras de eventos criadas pelo usuário. A credibilidade dos eventos das origens de log contribui para o cálculo da magnitude da ofensa e pode aumentar ou diminuir o valor de magnitude de uma ofensa.
Coletor de eventos de destino	Especifica o QRadar Event Collector que pesquisa a origem de log remota. Use esse parâmetro em uma implementação distribuída para melhorar o desempenho do sistema do Console ao mover a tarefa de pesquisa para um Coletor de eventos.
Unindo Eventos	Aumenta a contagem de eventos quando o mesmo evento ocorre diversas vezes dentro de um curto intervalo de tempo. Os eventos unidos fornecem uma maneira de visualizar e determinar a frequência com que um tipo de evento único ocorre na guia Atividade de log. Quando essa caixa de seleção está desmarcada, os eventos são visualizados individualmente e não são empacotados. As origens de log novas e descobertas automaticamente herdam o valor dessa caixa de seleção das Configurações do sistema na guia Admin. É possível usar essa caixa de seleção para substituir o comportamento padrão das configurações do sistema para uma origem de log individual.