Microsoft DHCP 协议配置选项

要从 Microsoft DHCP 服务器接收事件，请配置日志源以使用 Microsoft DHCP 协议。

Microsoft DHCP 协议是活动的出站协议。

要读取日志文件，包含管理共享 (C$) 的文件夹路径需要对管理共享 (C$) 具有 NetBIOS 特权。本地或域管理员具有足够的特权来访问管理共享上的日志文件。

支持文件路径的 Microsoft DHCP 协议的字段允许管理员使用路径信息定义盘符。例如，该字段可以包含管理共享的 c$/LogFiles/ 目录或公共共享文件夹路径的 LogFiles/ 目录，但不能包含 c:/LogFiles 目录。

限制: Microsoft DHCP 协议不支持 Microsoft 认证协议 NTLMv2 。

注意：有关安装 SMB Trail 和相关协议的更多信息，请参阅安装 SMB Tail 和相关协议。

下表描述了 Microsoft DHCP 协议的特定于协议的参数:

表 1. Microsoft DHCP 协议参数
参数	描述
协议配置	微软 DHCP
日志源标识	输入日志源唯一的唯一主机名或其他标识。
服务器地址	Microsoft DHCP 服务器的 IP 地址或主机名。
域	输入 Microsoft DHCP 服务器的域。如果您的服务器不在域中，那么此参数是可选的。
用户名	输入访问 DHCP 服务器所需的用户名。
Password	输入访问 DHCP 服务器所需的密码。
确认密码	输入访问服务器所需的密码。
文件夹路径	DHCP 日志文件的目录路径。缺省值为 `/WINDOWS/system32/dhcp/`
文件模式	用于标识事件日志的正则表达式 (regex)。日志文件必须包含一周中某一天的三字符缩写。使用下列其中一个文件模式: 中文： IPv4 文件模式: `DhcpSrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`。 IPv6 文件模式: `DhcpV6SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`。混合 IPv4 和 IPv6 文件模式: `Dhcp.*SrvLog-(?:Sun\|Mon\|Tue\|Wed\|Thu\|Fri\|Sat)\.log`。波兰语: IPv4 文件模式: `DhcpSrvLog-(?:Pią\|Pon\|Sob\|Wto\|Śro\|Czw\|Nie)\.log` IPv6 文件模式: `DhcpV6SrvLog-(?:Pt\|Pon\|So\|Wt\|Śr\|Czw\|Nie)\.log`
递归	如果希望文件模式搜索子文件夹，请选择此选项。
SMB 版本	选择要使用的 SMB 版本。自动时，某些队列管理器会使用自动超时设置。自动检测到客户机和服务器同意使用的最高版本。 SMB1 强制使用 SMB1。 SMB1 使用 jCIFS.jar (Java™ ARchive) 文件。重要信息: 不再支持 SMB1 。所有管理员都必须更新现有配置以使用 SMB2 或 SMB3。 SMB2 强制使用 SMB2。 SMB2 使用 jNQ.jar 文件。 SMB3 强制使用 SMB3。 SMB3 使用 jNQ.jar 文件。注: 在创建具有特定 SMB 版本 (例如: SMBv1， SMBv2和 SMBv3) 的日志源之前，请确保服务器上运行的 Windows 操作系统支持指定的 SMB 版本。您还需要验证是否在指定的 Windows Server 上启用了 SMB 版本。有关哪个 Windows 版本支持哪个 SMB 版本的更多信息，请访问 Microsoft TechNet 网站 ( https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ )。有关如何在 Windows 和 Windows Server 中检测、启用和禁用 SMBv1、 SMBv2 和 SMBv3 的更多信息，请访问 Microsoft 支持网站 ( https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server )。
轮询时间间隔 (以秒计)	查询日志文件以查找新数据之间的秒数。最小轮询时间间隔为 10 秒。最大轮询时间间隔为 3600 秒。
调速事件数/秒	DHCP 协议每秒可以转发的最大事件数。最小值为 100 EPS。最大值为 20,000 EPS。
文件编码	日志文件中的事件所使用的字符编码。
文件排除列表	阻止某些文件目录打开的正则表达式的列表。该列表每行包含一个正则表达式。当文件或目录与其中一个正则表达式匹配时，该文件或目录不会打开。当文件正在使用时，其他应用程序可能无法使用该文件。使用此参数可防止锁定这些文件或防止协议访问特定文件。该模式不适用于完整文件夹路径。它仅适用于路径中列出的最终目录。该模式适用于在 "文件夹路径" 目录中找到的所有文件或目录。以下列表是此参数的缺省值: `/j50.*\.log` `dhcp\.mdb` `dhcp\.tmp` `j50\.chk`.
已启用	如果未启用此选项，那么日志源不会收集事件，并且日志源不会计入许可证限制中。
可信性	可信性是日志源创建的事件的完整性或有效性的表示。分配给日志源的可信性值可以根据传入事件增加或减少，也可以作为对用户创建的事件规则的响应进行调整。来自日志源的事件的可信性将影响攻击量级的计算，并可以增大或减小攻击量级值。
目标事件收集器	指定用于轮询远程日志源的 QRadar Event Collector。在分布式部署中使用此参数可通过将轮询任务移至 Event Collector 来提高控制台系统性能。
结合事件	当同一事件在短时间间隔内多次发生时，增加事件计数。合并事件提供了一种方法来查看和确定在日志活动选项卡上发生单个事件类型的频率。取消选中此复选框时，将单独查看事件，而不会捆绑事件。新的和自动发现的日志源将从管理选项卡上的系统设置配置继承此复选框的值。您可以使用此复选框来覆盖单个日志源的系统设置的缺省行为。