Options de configuration du protocole Microsoft Exchange

Pour recevoir des événements des serveurs SMTP, OWA et des événements de suivi des messages des serveurs Microsoft Windows Exchange 2007, 2010, 2013 et 2017, configurez une source de journal pour utiliser le protocole Microsoft Exchange.

Le protocole Microsoft Exchange est un protocole actif / sortant.

Pour lire les fichiers journaux, les chemins de dossier qui contiennent un partage administratif (C$) nécessitent des privilèges NetBIOS sur celui-ci. Les administrateurs locaux ou de domaine disposent de privilèges suffisants pour accéder aux fichiers journaux sur les partages administratifs.

Les zones du protocole Microsoft Exchange qui prennent en charge les chemins de fichier permettent aux administrateurs de définir un identificateur d'unité avec les informations de chemin. Par exemple, la zone peut contenir le répertoire c$/LogFiles/ (en cas de partage administratif) ou le répertoire LogFiles/ (en cas d'accès à un dossier de partage public) mais ne peut pas contenir le répertoire c:/LogFiles.

Important: Le protocole Microsoft Exchange ne prend pas en charge le protocole d'authentification Microsoft Exchange 2003 ou Microsoft NTLMv2 Session.
Le tableau suivant décrit les paramètres spécifiques au protocole Microsoft Exchange:
Tableau 1. Paramètres du protocole Microsoft Exchange
Paramètre Descriptif
Configuration du protocole Microsoft Exchange
Identificateur de source de journal Entrez l'adresse IP, le nom d'hôte ou un nom pour identifier votre source de journal.
Adresse du serveur Adresse IP ou nom d'hôte de votre serveur Microsoft Exchange.
Domaine

Entrez le domaine de votre serveur Microsoft Exchange.

Ce paramètre est facultatif si votre serveur n'est pas situé dans un domaine.
Nom d'utilisateur Entrez le nom d'utilisateur requis pour accéder à votre serveur Microsoft Exchange.
Mot de passe Entrez le mot de passe requis pour accéder à votre serveur Microsoft Exchange.
Confirmer le mot de passe Entrez le mot de passe requis pour accéder à votre serveur Microsoft Exchange.
Chemin du dossier du journal SMTP

Chemin d'accès au répertoire pour accéder aux fichiers journaux SMTP.

Le chemin de fichier par défaut est Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog

Lorsque le chemin de dossier est vide, la collecte d'événements SMTP est désactivée.
Chemin du dossier de journal OWA

Chemin d'accès au répertoire pour accéder aux fichiers journaux OWA.

Le chemin de fichier par défaut est Windows/system32/LogFiles/W3SVC1

Lorsque le chemin de dossier est vide, la collecte d'événements OWA est désactivée.
Chemin du dossier du journal MSGTRK

Chemin d'accès au répertoire pour accéder aux journaux de suivi des messages.

Le chemin de fichier par défaut est Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking

Le suivi des messages est disponible sur les serveurs Microsoft Exchange 2017 ou 2010 auxquels est affecté le rôle de serveur Hub Transport, Mailbox ou Edge Transport.
Utiliser les modèles de fichiers personnalisés Cochez cette case pour configurer des modèles de fichiers personnalisés. Laissez la case décochée pour utiliser les modèles de fichiers par défaut.
Modèle de fichier MSGTRK

Expression régulière (regex) utilisée pour identifier et télécharger les journaux MSTRK. Tous les fichiers correspondant au modèle de fichier sont traités.

Le modèle de fichier par défaut est MSGTRK\d+-\d+\.(?:log|LOG)$

Tous les fichiers correspondant au modèle de fichier sont traités.
Modèle de fichier MSGTRKMD

Expression régulière (regex) utilisée pour identifier et télécharger les journaux MSGTRKMD. Tous les fichiers correspondant au modèle de fichier sont traités.

Le modèle de fichier par défaut est MSGTRKMD\d+-\d+\.(?:log|LOG)$

Tous les fichiers correspondant au modèle de fichier sont traités.
Modèle de fichier MSGTRKMS

Expression régulière (regex) utilisée pour identifier et télécharger les journaux MSGTRKMS. Tous les fichiers correspondant au modèle de fichier sont traités.

Le modèle de fichier par défaut est MSGTRKMS\d+-\d+\.(?:log|LOG)$

Tous les fichiers correspondant au modèle de fichier sont traités.
Modèle de fichier MSGTRKMA

Expression régulière (regex) utilisée pour identifier et télécharger les journaux MSGTRKMA. Tous les fichiers correspondant au modèle de fichier sont traités.

Le modèle de fichier par défaut est MSGTRKMA\d+-\d+\.(?:log|
Modèle de fichier SMTP

Expression régulière (regex) utilisée pour identifier et télécharger les journaux SMTP. Tous les fichiers correspondant au modèle de fichier sont traités.

Le modèle de fichier par défaut est *\.(?:log|LOG)$

Tous les fichiers correspondant au modèle de fichier sont traités.
Modèle de fichier OWA

Expression régulière (regex) utilisée pour identifier et télécharger les journaux OWA. Tous les fichiers correspondant au modèle de fichier sont traités.

Le modèle de fichier par défaut est *\.(?:log|LOG)$

Tous les fichiers correspondant au modèle de fichier sont traités.
Forcer la lecture du fichier Si la case n'est pas cochée, le fichier journal est en lecture seule lorsque QRadar détecte une modification de l'heure modifiée ou de la taille du fichier.
Récursif Si vous souhaitez que le modèle de fichier recherche des sous-dossiers, utilisez cette option. Par défaut, cette case est cochée.
Version SMB

Sélectionnez la version de SMB que vous souhaitez utiliser.

AUTO
Détecte automatiquement la version la plus élevée que le client et le serveur acceptent d'utiliser.
SMB1
Impose l'utilisation de SMB1. SMB1 utilise le fichier jCIFS.jar (Java™ ARchive).
Important: SMB1 n'est plus pris en charge. Tous les administrateurs doivent mettre à jour les configurations existantes pour utiliser SMB2 ou SMB3.
SMB2
Impose l'utilisation de SMB2. SMB2 utilise le fichier jNQ.jar.
SMB3
Force l'utilisation de SMB3. SMB3 utilise le fichier jNQ.jar.
Remarque: avant de créer une source de journal avec une version SMB spécifique (par exemple: SMBv1, SMBv2et SMBv3), vérifiez que la version SMB spécifiée est prise en charge par le système d'exploitation Windows qui s'exécute sur votre serveur. Vous devez également vérifier que les versions SMB sont activées sur le serveur Windows spécifié.

Pour plus d'informations sur la version de Windows qui prend en charge les versions SMB, accédez au site Web Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Pour plus d'informations sur la manière de détecter, d'activer et de désactiver SMBv1, SMBv2et SMBv3 sous Windows et Windows Server, accédez au site Web de support Microsoft (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Intervalle d'interrogation (en secondes) Entrez l'intervalle d'interrogation, qui correspond au nombre de secondes entre les requêtes dans les fichiers journaux pour rechercher de nouvelles données. La valeur par défaut est de 10 secondes.
Evénements de régulation/seconde Nombre maximal d'événements que le protocole Microsoft Exchange peut transmettre par seconde.
Codage du fichier Codage de caractères utilisé par les événements dans votre fichier journal.