Microsoft Exchange Server 日誌來源配置選項

使用此參照資訊來配置 Microsoft Exchange Server 的 WinCollect 外掛程式。

支援的版本

WinCollect 支援下列 Microsoft Exchange 版本:

Microsoft Exchange 2003
Microsoft Exchange 2007
Microsoft Exchange 2010
Microsoft Exchange 2013
Microsoft Exchange 2016
Microsoft Exchange 2019

表 1. Microsoft Exchange Server 通訊協定參數
參數	說明
日誌來源類型	Microsoft Exchange Server
通訊協定配置	WinCollect Microsoft Exchange
本端系統	WinCollect 代理程式必須安裝在 Microsoft Exchange Server 上。日誌來源使用本端系統認證來收集事件並將事件轉遞至 QRadar ®。

確保位於 Exchange Server 與遠端主機之間的防火牆容許下列埠上的資料流量:

TCP 埠 135 (適用於 Microsoft Endpoint Mapper)。
UDP 埠 137 ，用於 NetBIOS 名稱服務。
UDP 埠 138 ，適用於 NetBIOS 資料封包服務。
NetBIOS 階段作業服務的 TCP 埠 139。
TCP 埠 445 ，供 Microsoft Directory Services 透過 Windows 共用傳送檔案。

如需 Microsoft Exchange 日誌來源配置的相關資訊，請參閱 IBM® QRadar DSM 配置手冊。

表 2. Microsoft Exchange Server 事件的預設 OWA 目錄路徑。
WinCollect 所監視的 Exchange Server OWA 事件日誌是由您在 WinCollect Exchange Server 日誌來源中指定的目錄路徑所定義。 Microsoft Exchange 會寫入兩個目錄: W3SVC1 及 W3SVC2。 Microsoft Exchange 外掛程式會監視 C:\inetpub\logs\LogFiles\ 目錄下的所有遞迴檔案。
集合類型	根日誌目錄
本端	C:\inetpub\logs\LogFiles\W3SVC1
遠端	\\`<Exchange Server IP address>`\C$\inetpub\logs\LogFiles\W3SVC1

表 3. Microsoft Exchange Server 事件的預設訊息追蹤目錄路徑。
WinCollect 所監視的「Exchange Server 訊息追蹤」事件日誌是由您在 WinCollect Exchange Server 日誌來源中指定的目錄路徑所定義。
集合類型	根日誌目錄
本端	C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking
遠端	\\`<Exchange Server IP address>`\C$\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking

表 4. Microsoft Exchange Server 事件的預設 SMTP/Mail 目錄路徑。
WinCollect 所監視的 Exchange Server SMTP/Mail 事件日誌由您在 WinCollect Exchange Server 日誌來源中指定的目錄路徑定義。
集合類型	根日誌目錄
本端	C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog
遠端	\\`<Exchange Server IP address>`\C$\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog