Microsoft Exchange Server 日志源配置选项

使用此参考信息为 Microsoft Exchange Server 配置 WinCollect 插件。

受支持的版本

WinCollect 支持以下版本的 Microsoft Exchange:
  • 微软 Exchange 2003
  • 微软 Exchange 2007
  • 微软 Exchange 2010
  • Microsoft Exchange 2013
  • 微软 Exchange 2016
  • 微软 Exchange 2019
表 1. Microsoft Exchange Server 协议参数
参数 描述
日志源类型 Microsoft Exchange Server
协议配置 WinCollect 微软 Exchange
本地系统

WinCollect 代理程序必须安装在 Microsoft Exchange Server 上。

日志源使用本地系统凭证来收集事件并将其转发到 QRadar®
确保位于 Exchange Server 和远程主机之间的防火墙允许以下端口上的流量:
  • Microsoft Endpoint Mapper 的 TCP 端口 135。
  • NetBIOS 名称服务的 UDP 端口 137。
  • 用于 NetBIOS 数据报服务的 UDP 端口 138。
  • 用于 NetBIOS 会话服务的 TCP 端口 139。
  • 用于 Microsoft Directory Services 的 TCP 端口 445 ,用于跨 Windows 共享传输文件。

有关Microsoft Exchange日志源配置的更多信息,请发送电子邮件至 这个 IBM® QRadar DSM配置指南

表 2. Microsoft Exchange Server 事件的缺省 OWA 目录路径

WinCollect 监视的 Exchange Server OWA 事件日志由您在 WinCollect Exchange Server 日志源中指定的目录路径定义。 Microsoft Exchange 写入两个目录: W3SVC1W3SVC2。 Microsoft Exchange 插件监视 C:\inetpub\logs\LogFiles\ 目录下的所有递归文件。
集合类型 根日志目录
本地 C:\inetpub\logs\LogFiles\W3SVC1
远程 \\<Exchange Server IP address>\C$\inetpub\logs\LogFiles\W3SVC1
表 3. Microsoft Exchange Server 事件的缺省消息跟踪目录路径

WinCollect 监视的 Exchange Server 消息跟踪事件日志由您在 WinCollect Exchange Server 日志源中指定的目录路径定义。
集合类型 根日志目录
本地 C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking
远程 \\<Exchange Server IP address>\C$\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking
表 4。 Microsoft Exchange Server 事件的缺省 SMTP/Mail 目录路径

WinCollect 监视的 Exchange Server SMTP/Mail 事件日志由您在 WinCollect Exchange Server 日志源中指定的目录路径定义。
集合类型 根日志目录
本地 C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog
远程 \\<Exchange Server IP address>\C$\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog