Microsoft Exchange 协议配置选项

要接收来自 SMTP ， OWA 的事件以及来自 Microsoft Windows Exchange 2007,2010,2013 和 2017 服务器的消息跟踪事件，请配置日志源以使用 Microsoft Exchange 协议。

Microsoft Exchange 协议是出站/活动协议。

要读取日志文件，包含管理共享 (C$) 的文件夹路径需要对管理共享 (C$) 具有 NetBIOS 特权。本地或域管理员具有足够的特权来访问管理共享上的日志文件。

支持文件路径的 Microsoft Exchange 协议的字段允许管理员使用路径信息定义盘符。例如，该字段可以包含管理共享的 c$/LogFiles/ 目录或公共共享文件夹路径的 LogFiles/目录，但不能包含 c:/LogFiles 目录。

重要信息: Microsoft Exchange 协议不支持 Microsoft Exchange 2003 或 Microsoft 认证协议 NTLMv2 会话。

下表描述了 Microsoft Exchange 协议的特定于协议的参数:

表 1. Microsoft Exchange 协议参数
参数	描述
协议配置	Microsoft Exchange
日志源标识	输入 IP 地址，主机名或名称以标识日志源。
服务器地址	Microsoft Exchange 服务器的 IP 地址或主机名。
域	输入 Microsoft Exchange Server 的域。如果您的服务器不在域中，那么此参数是可选的。
用户名	输入访问 Microsoft Exchange Server 所需的用户名。
Password	输入访问 Microsoft Exchange 服务器所需的密码。
确认密码	输入访问 Microsoft Exchange 服务器所需的密码。
SMTP 日志文件夹路径	用于访问 SMTP 日志文件的目录路径。缺省文件路径为 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog 清除文件夹路径时，将禁用 SMTP 事件收集。
OWA 日志文件夹路径	用于访问 OWA 日志文件的目录路径。缺省文件路径为 Windows/system32/LogFiles/W3SVC1 清除文件夹路径时，将禁用 OWA 事件收集。
MSGTRK 日志文件夹路径	用于访问消息跟踪日志的目录路径。缺省文件路径为 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking 消息跟踪在 Microsoft Exchange 2017 或 2010 服务器上可用，这些服务器分配有 "中心传输" ， "邮箱" 或 "边缘传输" 服务器角色。
使用定制文件模式	选中此复选框以配置定制文件模式。取消选中此复选框以使用缺省文件模式。
MSGTRK 文件模式	用于标识和下载 MSTRK 日志的正则表达式 (regex)。将处理所有与文件模式匹配的文件。缺省文件模式为 `MSGTRK\d+-\d+\.(?:log\|LOG)$` 将处理所有与文件模式匹配的文件。
MSGTRKMD 文件模式	用于标识和下载 MSGTRKMD 日志的正则表达式 (regex)。将处理所有与文件模式匹配的文件。缺省文件模式为 `MSGTRKMD\d+-\d+\.(?:log\|LOG)$` 将处理所有与文件模式匹配的文件。
MSGTRKMS 文件模式	用于标识和下载 MSGTRKMS 日志的正则表达式 (regex)。将处理所有与文件模式匹配的文件。缺省文件模式为 `MSGTRKMS\d+-\d+\.(?:log\|LOG)$` 将处理所有与文件模式匹配的文件。
MSGTRKMA 文件模式	用于标识和下载 MSGTRKMA 日志的正则表达式 (regex)。将处理所有与文件模式匹配的文件。缺省文件模式为 `MSGTRKMA\d+-\d+\.(?:log\|`
SMTP 文件模式	用于标识和下载 SMTP 日志的正则表达式 (regex)。将处理所有与文件模式匹配的文件。缺省文件模式为 `*\.(?:log\|LOG)$` 将处理所有与文件模式匹配的文件。
OWA 文件模式	用于标识和下载 OWA 日志的正则表达式 (regex)。将处理所有与文件模式匹配的文件。缺省文件模式为 `*\.(?:log\|LOG)$` 将处理所有与文件模式匹配的文件。
强制文件读取	如果取消选中此复选框，那么当 QRadar 检测到修改时间或文件大小的更改时，日志文件将处于只读状态。
递归	如果希望文件模式搜索子文件夹，请使用此选项。缺省情况下，此复选框处于选中状态。
SMB 版本	选择要使用的 SMB 版本。 AUTO 自动检测到客户机和服务器同意使用的最高版本。 SMB1 强制使用 SMB1。 SMB1 使用 jCIFS.jar (Java™ ARchive) 文件。重要信息: 不再支持 SMB1 。所有管理员都必须更新现有配置以使用 SMB2 或 SMB3。 SMB2 强制使用 SMB2。 SMB2 使用 jNQ.jar 文件。 SMB3 强制使用 SMB3。 SMB3 使用 jNQ.jar 文件。注: 在创建具有特定 SMB 版本 (例如: SMBv1， SMBv2和 SMBv3) 的日志源之前，请确保服务器上运行的 Windows 操作系统支持指定的 SMB 版本。您还需要验证是否在指定的 Windows Server 上启用了 SMB 版本。有关哪些 Windows 版本支持哪些 SMB 版本的更多信息，请转至 Microsoft TechNet Web 站点 (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ )。有关如何在 Windows 和 Windows Server 中检测，启用和禁用 SMBv1， SMBv2和 SMBv3 的更多信息，转至 Microsoft 支持 Web 站点 (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server)。
轮询时间间隔 (以秒计)	输入轮询时间间隔，即查询日志文件以查找新数据之间的秒数。缺省值为 10 秒。
调速事件数/秒	Microsoft Exchange 协议每秒可转发的最大事件数。
文件编码	日志文件中的事件所使用的字符编码。