Microsoft Exchange 通訊協定配置選項

若要從 Microsoft Windows Exchange 2007、2010、2013 及 2017 伺服器接收來自 SMTP、OWA 及訊息追蹤事件，請配置日誌來源以使用 Microsoft Exchange 通訊協定。

Microsoft Exchange 通訊協定是出埠/作用中通訊協定。

若要讀取日誌檔，包含管理共用 (C$) 的資料夾路徑需要管理共用 (C$) 的 NetBIOS 專用權。本端或網域管理者具有足夠的專用權，可存取管理共用上的日誌檔。

支援檔案路徑的 Microsoft Exchange 通訊協定欄位可讓管理者定義具有路徑資訊的磁碟機代號。例如，該欄位可以包含管理共用的 c$/LogFiles/ 目錄，或公用共用資料夾路徑的 LogFiles/目錄，但不能包含 c:/LogFiles 目錄。

重要事項: Microsoft Exchange 通訊協定不支援 Microsoft Exchange 2003 或 Microsoft 鑑別通訊協定 NTLMv2 階段作業。

下表說明 Microsoft Exchange 通訊協定的特定通訊協定專用參數:

表 1. Microsoft Exchange 通訊協定參數
參數	說明
通訊協定配置	Microsoft Exchange
日誌來源 ID	鍵入 IP 位址、主機名稱或名稱以識別日誌來源。
伺服器位址	Microsoft Exchange Server 的 IP 位址或主機名稱。
網域	鍵入 Microsoft Exchange Server 的網域。如果您的伺服器不在網域中，則此參數是選用的。
使用者名稱	鍵入存取 Microsoft Exchange Server 所需的使用者名稱。
密碼	鍵入存取 Microsoft Exchange Server 所需的密碼。
確認密碼	鍵入存取 Microsoft Exchange Server 所需的密碼。
SMTP 日誌資料夾路徑	用來存取 SMTP 日誌檔的目錄路徑。預設檔案路徑為 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/ProtocolLog 清除資料夾路徑時，會停用 SMTP 事件收集。
OWA 日誌資料夾路徑	存取 OWA 日誌檔的目錄路徑。預設檔案路徑為 Windows/system32/LogFiles/W3SVC1 清除資料夾路徑時，會停用 OWA 事件集合。
MSGTRK 日誌資料夾路徑	用來存取訊息追蹤日誌的目錄路徑。預設檔案路徑為 Program Files/Microsoft/Exchange Server/ TransportRoles/Logs/MessageTracking 在獲指派 Hub Transport、Mailbox 或 Edge Transport 伺服器角色的 Microsoft Exchange 2017 或 2010 伺服器上提供訊息追蹤。
使用自訂檔案型樣	選取這個勾選框來配置自訂檔案型樣。維持不勾選此勾選框，以使用預設檔案型樣。
MSGTRK 檔案型樣	用來識別及下載 MSTRK 日誌的正規表示式 (regex)。會處理符合檔案型樣的所有檔案。預設檔案型樣為 `MSGTRK\d+-\d+\.(?:log\|LOG)$` 會處理符合檔案型樣的所有檔案。
MSGTRKMD 檔案型樣	用來識別及下載 MSGTRKMD 日誌的正規表示式 (regex)。會處理符合檔案型樣的所有檔案。預設檔案型樣為 `MSGTRKMD\d+-\d+\.(?:log\|LOG)$` 會處理符合檔案型樣的所有檔案。
MSGTRKMS 檔案型樣	用來識別及下載 MSGTRKMS 日誌的正規表示式 (regex)。會處理符合檔案型樣的所有檔案。預設檔案型樣為 `MSGTRKMS\d+-\d+\.(?:log\|LOG)$` 會處理符合檔案型樣的所有檔案。
MSGTRKMA 檔案型樣	用來識別及下載 MSGTRKMA 日誌的正規表示式 (regex)。會處理符合檔案型樣的所有檔案。預設檔案型樣為 `MSGTRKMA\d+-\d+\.(?:log\|`
SMTP 檔案型樣	用來識別及下載 SMTP 日誌的正規表示式 (regex)。會處理符合檔案型樣的所有檔案。預設檔案型樣為 `*\.(?:log\|LOG)$` 會處理符合檔案型樣的所有檔案。
OWA 檔案型樣	用來識別及下載 OWA 日誌的正規表示式 (regex)。會處理符合檔案型樣的所有檔案。預設檔案型樣為 `*\.(?:log\|LOG)$` 會處理符合檔案型樣的所有檔案。
強制讀取檔案	如果清除勾選框，當 QRadar® 偵測到修改時間或檔案大小的變更時，日誌檔會是唯讀的。
遞迴	如果您想要檔案型樣搜尋子資料夾，請使用此選項。依預設，勾選框已選取。
SMB 版本	選取您要使用的 SMB 版本。 AUTO 自動偵測用戶端和伺服器同意使用的最高版本。 SMB1 強制使用 SMB1。 SMB1 使用 jCIFS.jar (Java™ ARchive) 檔案。重要事項: 不再支援 SMB1 。所有管理者都必須更新現有的配置，才能使用 SMB2 或 SMB3。 SMB2 強制使用 SMB2。 SMB2 使用 jNQ.jar 檔案。 SMB3 強制使用 SMB3。 SMB3 使用 jNQ.jar 檔案。附註: 在建立具有特定 SMB 版本 (例如: SMBv1、 SMBv2及 SMBv3) 的日誌來源之前，請確定伺服器上執行的 Windows OS 支援指定的 SMB 版本。您也需要驗證在指定的 Windows Server 上是否已啟用 SMB 版本。如需哪些 Windows 版本支援哪些 SMB 版本的相關資訊，請造訪 Microsoft TechNet 網站 (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ )。如需如何在 Windows 及 Windows Server 中偵測、啟用及停用 SMBv1、 SMBv2及 SMBv3 的相關資訊，移至 Microsoft 支援網站 (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server)。
輪詢間隔 (秒)	鍵入輪詢間隔，這是查詢日誌檔以檢查新資料的間隔秒數。預設值為 10 秒。
節流控制事件數/秒	Microsoft Exchange 通訊協定每秒可以轉遞的事件數上限。
檔案編碼	日誌檔中事件所使用的字元編碼。