Opções de configuração de protocolo Microsoft Exchange

Para receber eventos de SMTP, OWA e eventos de rastreamento de mensagens dos servidores do Microsoft Windows Exchange 2007, 2010, 2013 e 2017, configure uma fonte de log para usar o protocolo Microsoft Exchange.

O protocolo Microsoft Exchange é um protocolo outbound / active.

Para ler os arquivos de log, os caminhos da pasta que contêm um compartilhamento administrativo (C$), requerem privilégios NetBIOS na parte administrativa (C$). Os administradores locais ou de domínio possuem privilégios suficientes para acessar arquivos de log em compartilhamentos administrativos.

Campos para o protocolo Microsoft Exchange que suportam caminhos de arquivo permitem que os administradores definam uma letra de unidade com as informações do caminho. Por exemplo, o campo pode conter o diretório c$/LogFiles/ para um compartilhamento administrativo ou o diretório LogFiles/ para um caminho de pasta de compartilhamento público, mas não pode conter o diretório c:/LogFiles.

Importante: O protocolo Microsoft Exchange não suporta o Microsoft Exchange 2003 ou o protocolo de autenticação Microsoft NTLMv2 Session.
A tabela a seguir descreve os parâmetros específicos do protocolo para o protocolo Microsoft Exchange:
Tabela 1. Parâmetros de protocolo Microsoft Exchange
Parâmetro Descrição
Configuração de protocolo Microsoft Exchange
Identificador de Fonte de Log Digite o endereço IP, o nome do host ou o nome para identificar a sua origem de log.
Endereço do Servidor O endereço IP ou o nome do host do seu servidor Microsoft Exchange.
Domínio

Digite o domínio para o seu servidor Microsoft Exchange.

Esse parâmetro será opcional se o servidor não estiver em um domínio.
Nome de usuário Digite o nome de usuário que é necessário para acessar o seu servidor Microsoft Exchange.
Senha Digite a senha que é necessária para acessar o seu servidor Microsoft Exchange.
Confirmar senha Digite a senha que é necessária para acessar o seu servidor Microsoft Exchange.
Caminho de pasta de Log SMTP

O caminho do diretório para acessar os arquivos de log SMTP.

O caminho de arquivo padrão é Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

Quando o caminho da pasta for limpo, a coleta de eventos SMTP estará desativada.
Caminho de pasta de log OWA

O caminho do diretório para acessar arquivos de log do OWA.

O caminho de arquivo padrão é Windows/system32/LogFiles/W3SVC1

Quando o caminho da pasta for limpo, a coleta de eventos do OWA será desativada.
Caminho de pasta de log MSGTRK

O caminho do diretório para acessar logs de rastreamento de mensagens.

O caminho de arquivo padrão é Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking

O rastreamento de mensagens está disponível no Microsoft Exchange 2017 ou 2010 servidores que são atribuídos a função de servidor de Transporte do Hub, Mailbox ou Edge Transport.
Use Padrões de Arquivos Personalizados Selecione essa caixa de seleção para configurar os padrões de arquivo customizado. Deixe a caixa de seleção desmarcada para usar os padrões de arquivo padrão.
Padrão de Arquivos MSGTRK

A expressão regular (regex) que é usada para identificar e fazer download dos logs MSTRK. Todos os arquivos que corresponderem ao padrão de arquivo são processados.

O padrão de arquivo padrão é MSGTRK\d+-\d+\.(?:log|LOG)$

Todos os arquivos que corresponderem ao padrão de arquivo são processados.
Padrão de Arquivos MSGTRKMD

A expressão regular (regex) que é usada para identificar e fazer download dos logs MSGTRKMD. Todos os arquivos que corresponderem ao padrão de arquivo são processados.

O padrão de arquivo padrão é MSGTRKMD\d+-\d+\.(?:log|LOG)$

Todos os arquivos que corresponderem ao padrão de arquivo são processados.
Padrão de Arquivos do MSGTRKMS

A expressão regular (regex) que é usada para identificar e fazer download dos logs MSGTRKMS. Todos os arquivos que corresponderem ao padrão de arquivo são processados.

O padrão de arquivo padrão é MSGTRKMS\d+-\d+\.(?:log|LOG)$

Todos os arquivos que corresponderem ao padrão de arquivo são processados.
Padrão de Arquivos MSGTRKMA

A expressão regular (regex) que é usada para identificar e fazer download dos logs MSGTRKMA. Todos os arquivos que corresponderem ao padrão de arquivo são processados.

O padrão de arquivo padrão é MSGTRKMA\d+-\d+\.(?:log|
Padrão de Arquivo SMTP

A expressão regular (regex) que é usada para identificar e fazer download dos logs SMTP. Todos os arquivos que corresponderem ao padrão de arquivo são processados.

O padrão de arquivo padrão é *\.(?:log|LOG)$

Todos os arquivos que corresponderem ao padrão de arquivo são processados.
Padrão de Arquivos OWA

A expressão regular (regex) que é usada para identificar e fazer download dos logs do OWA. Todos os arquivos que corresponderem ao padrão de arquivo são processados.

O padrão de arquivo padrão é *\.(?:log|LOG)$

Todos os arquivos que corresponderem ao padrão de arquivo são processados.
Forçar Leitura de Arquivo Se a caixa de seleção estiver desmarcada, o arquivo de log será somente leitura quando o QRadar detectar uma mudança no horário ou no tamanho do arquivo modificado
Recursivo Se você deseja que o padrão do arquivo procure subpastas, use essa opção. Por padrão, essa caixa de seleção é marcada.
Versão do SMB

Selecione a versão de SMB que você deseja usar.

AUTO
Detecta automaticamente para a versão mais alta que o cliente e o servidor concordam em usar.
SMB1
Força o uso de SMB1. SMB1 usa o arquivo jCIFS.jar (Java™ ARchive).
Importante: SMB1 não é mais suportado. Todos os administradores devem atualizar as configurações existentes para usar o SMB2 ou o SMB3.
SMB2
Força o uso de SMB2. O SMB2 usa o arquivo jNQ.jar.
SMB3
Força o uso do SMB3. O SMB3 usa o arquivo jNQ.jar.
Nota: Antes de criar uma fonte de log com uma versão SMB específica (por exemplo: SMBv1, SMBv2e SMBv3), certifica-se de que a versão SMB especificada é suportada pelo SO Windows que está em execução em seu servidor. Você também precisa verificar se as versões SMB estão ativadas no Windows Server especificado.

Para obter mais informações sobre qual versão do Windows suporta quais versões do SMB, acesse o website Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Para obter mais informações sobre como detectar, ativar e desativar o SMBv1, SMBv2e SMBv3 no Windows e Windows Server, ir para o website de suporte da Microsoft (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Intervalo de Polling (em segundos) Digite o intervalo de pesquisa, que é o número de segundos entre as consultas aos arquivos de log para verificação de novos dados. O padrão é 10 segundos.
Eventos do Regulador / s O número máximo de eventos que o protocolo Microsoft Exchange pode encaminhá por segundo.
Codificação de Arquivo A codificação de caracteres usada pelos eventos em seu arquivo de log.
Redefinir lista de arquivos rastreados OnEdit Ativar essa opção garante que, quando um campo nos parâmetros da fonte de log for editado e a fonte de log for salva, a lista atual de arquivos rastreados seja apagada e a leitura comece do início.