Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Microsoft Exchange Server

Der JSA DSM für Microsoft Exchange Server sammelt Exchange-Ereignisse durch Abfragen von Ereignisprotokolldateien.

In der folgenden Tabelle sind die Spezifikationen für den Microsoft Exchange Server DSM aufgeführt:

Tabelle 1: Microsoft Exchange Server

Spezifikation

Wert

Hersteller

Microsoft

DSM-Name

Exchange Server

RPM-Dateiname

DSM-MicrosoftExchange-JSA_version-build_number.noarch.rpm

Unterstützte Versionen

Microsoft Exchange 2003

Microsoft Exchange 2007

Microsoft Exchange 2010

Microsoft Exchange 2013

Microsoft Exchange 2016

Protokolltyp

WinCollect für Microsoft Exchange 2003

Microsoft Exchange-Protokoll für Microsoft Exchange 2007, 2010, 2013 und 2016.

Aufgezeichnete JSA-Ereignistypen

Outlook Web Access-Ereignisse (OWA)

SMTP-Ereignisse (Simple Mail Transfer Protocol)

Message Tracking Protocol-Ereignisse (MSGTRK)

Automatisch erkannt?

Nein

Inklusive Identität?

Nein

Weitere Informationen

Microsoft-Website (http://www.microsoft.com)

Führen Sie die folgenden Schritte aus, um Microsoft Exchange Server in JSA zu integrieren:

  1. Wenn automatische Updates nicht aktiviert sind, laden Sie die neueste Version des Microsoft Exchange Server DSM RPM aus den Juniper Downloads herunter.

  2. Konfigurieren Sie Ihr Microsoft Exchange Server DSM-Gerät so, dass die Kommunikation mit JSA möglich ist.

  3. Erstellen Sie eine Microsoft Exchange Server DSM-Protokollquelle in der JSA-Konsole .

Konfigurieren von Microsoft Exchange Server für die Kommunikation mit JSA

Stellen Sie sicher, dass die Firewalls, die sich zwischen dem Exchange-Server und dem Remotehost befinden, Datenverkehr an den folgenden Ports zulassen:

  • TCP-Port 13 für Microsoft Endpoint Mapper.

  • UDP-Port 137 für den NetBIOS-Namensdienst.

  • UDP-Port 138 für den NetBIOS-Datagrammdienst.

  • TCP-Port 139 für den NetBIOS-Sitzungsdienst.

  • TCP-Port 445 für Microsoft-Verzeichnisdienste zum Übertragen von Dateien über eine Windows-Freigabe.

  1. Konfigurieren Sie OWA-Protokolle.

  2. Konfigurieren Sie SMTP-Protokolle.

  3. Konfigurieren Sie MSGTRK-Protokolle.

Konfigurieren von OWA-Protokollen auf dem Microsoft Exchange Server

Um Ihren Microsoft Exchange Server für die Kommunikation mit JSA vorzubereiten, konfigurieren Sie Outlook Web Access (OWA)-Ereignisprotokolle.

  1. Melden Sie sich bei Ihrem Microsoft Internet Information System (IIS) Manager an.

  2. Wählen Sie auf dem Desktop Start > Ausführen aus.

  3. Geben Sie den folgenden Befehl ein:

    inetmgr

  4. Klicken Sie auf OK.

  5. Erweitern Sie in der Menüstruktur Lokaler Computer.

  6. Wenn Sie IIS 6.0-Manager für Microsoft Server 2003 verwenden, führen Sie die folgenden Schritte aus:

    1. Erweitern Sie Websites.

    2. Klicken Sie mit der rechten Maustaste auf Standardwebsite, und wählen Sie Eigenschaften aus.

    3. Wählen Sie in der Liste Aktives Protokollformat die Option W3C aus.

    4. Klicken Sie auf Eigenschaften.

    5. Klicken Sie auf die Registerkarte Erweitert.

    6. Aktivieren Sie in der Liste der Eigenschaften die Kontrollkästchen Methode (cs-method) und Protokollversion (cs-version)

    7. Klicken Sie auf OK.

  7. Wenn Sie IIS 7.0-Manager für Microsoft Server 2008 R2 oder IIS 8.5 für Microsoft Server 2012 R2 verwenden, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Protokollierung.

    2. Wählen Sie in der Liste Format die Option W3C aus.

    3. Klicken Sie auf Felder auswählen.

    4. Aktivieren Sie in der Liste der Eigenschaften die Kontrollkästchen Methode (cs-method) und Protokollversion (cs-version)

    5. Klicken Sie auf OK.

Aktivieren von SMTP-Protokollen auf Microsoft Exchange Server 2003, 2007 und 2010

Aktivieren Sie SMTP-Ereignisprotokolle, um Microsoft Exchange Server 2003, 2007 und 2010 für die Kommunikation mit JSA vorzubereiten.

  1. Starten Sie die Exchange-Verwaltungskonsole.

  2. Wählen Sie zum Konfigurieren des Empfangsconnectors eine der folgenden Optionen aus:

    • Wählen Sie für Edge-Transport-Server in der Konsolenstruktur die Option Edge-Transport aus, und klicken Sie auf die Registerkarte Empfangsconnectors .

    • Wählen Sie für Hub-Transport-Server in der Konsolenstruktur Serverkonfiguration > Hub-Transport aus, wählen Sie den Server aus, und klicken Sie dann auf die Registerkarte Empfangsconnectors .

  3. Wählen Sie Ihren Empfangsconnector aus, und klicken Sie auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Allgemein .

  5. Wählen Sie in der Liste Protokollprotokollierebene die Option Ausführlich aus.

  6. Klicken Sie auf Übernehmen.

  7. Klicken Sie auf OK.

  8. Um Ihren Sendeconnector zu konfigurieren, wählen Sie eine der folgenden Optionen aus:

    • Wählen Sie für Edge-Transport-Server in der Konsolenstruktur Edge-Transport aus, und klicken Sie auf die Registerkarte Connectors senden .

    • Wählen Sie für Hub-Transport-Server in der Konsolenstruktur Organisationskonfiguration > Hub-Transport aus, wählen Sie Ihren Server aus, und klicken Sie dann auf die Registerkarte Sendeconnectors .

  9. Wählen Sie Ihren Sendeconnector aus und klicken Sie auf Eigenschaften.

  10. Klicken Sie auf die Registerkarte Allgemein .

  11. Wählen Sie in der Liste Protokollprotokollierebene die Option Ausführlich aus.

  12. Klicken Sie auf Übernehmen.

  13. Klicken Sie auf OK.

Aktivieren von SMTP-Protokollen auf Ihrem Microsoft Exchange Server 2013 und 2016

Um Microsoft Exchange Server 2013 und 2016 für die Kommunikation mit JSA vorzubereiten, aktivieren Sie SMTP-Ereignisprotokolle.

  1. Starten Sie die Exchange-Verwaltungskonsole.

  2. Um den Empfangsconnector zu konfigurieren, wählen Sie Nachrichtenfluss >Empfangsconnectors aus.

  3. Wählen Sie Ihren Empfangsanschluss aus und klicken Sie auf Bearbeiten.

  4. Klicken Sie auf die Registerkarte Allgemein .

  5. Wählen Sie in der Liste Protokollprotokollierebene die Option Ausführlich aus.

  6. Klicken Sie auf Speichern.

  7. Um den Sendeconnector zu konfigurieren, wählen Sie Nachrichtenfluss >Sendeconnectors aus

  8. Wählen Sie Ihren Sendeconnector aus und klicken Sie auf Bearbeiten.

  9. Klicken Sie auf die Registerkarte Allgemein .

  10. Wählen Sie in der Liste Protokollprotokollierebene die Option Ausführlich aus.

  11. Klicken Sie auf Speichern.

Konfigurieren von MSGTRK-Protokollen für Microsoft Exchange 2003, 2007 und 2010

Nachrichtenverfolgungsprotokolle, die von Microsoft Exchange Server erstellt werden, beschreiben detailliert die Nachrichtenaktivität, die auf Ihrem Microsoft Exchange Server stattfindet, einschließlich der Nachrichtenpfadinformationen.

MSGTRK-Protokolle sind bei Installationen von Microsoft Exchange 2007 oder Exchange 2010 standardmäßig aktiviert. Die folgenden Konfigurationsschritte sind optional.

So aktivieren Sie MSGTRK-Ereignisprotokolle:

  1. Starten Sie die Exchange-Verwaltungskonsole.

  2. Konfigurieren Sie den Empfangsconnector basierend auf dem Servertyp:

    • Für Edge-Transport-Server: Wählen Sie in der Konsolenstruktur die Option Edge-Transport aus, und klicken Sie auf Eigenschaften.

    • Für Hub-Transport-Server: Wählen Sie in der Konsolenstruktur die Option Serverkonfiguration >Hub-Transport aus, wählen Sie dann den Server aus, und klicken Sie auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Protokolleinstellungen .

  4. Aktivieren Sie das Kontrollkästchen Nachrichtenverfolgung aktivieren .

  5. Klicken Sie auf Übernehmen.

  6. Klicken Sie auf OK.

    MSGTRK-Ereignisse sind jetzt auf Ihrem Exchange Server aktiviert.

Konfigurieren von MSGTRK-Protokollen für Exchange 2013 und 2016

In den von Microsoft Exchange Server erstellten Nachrichtenverfolgungsprotokollen wird die Nachrichtenaktivität, die auf dem Exchange Server stattfindet, einschließlich der Informationen zum Nachrichtenpfad, detailliert beschrieben.

  1. Starten Sie die Exchange-Verwaltungskonsole.

  2. Klicken Sie auf Server >Server.

  3. Wählen Sie den Postfachserver aus, den Sie konfigurieren möchten, und klicken Sie dann auf Bearbeiten.

  4. Klicken Sie auf Transportprotokolle.

  5. Konfigurieren Sie im Abschnitt Nachrichtenverfolgungsprotokoll die folgenden Parameter:

    Parameter

    Beschreibung

    Aktivieren des Nachrichtenverfolgungsprotokolls

    Aktivieren oder deaktivieren Sie die Nachrichtenverfolgung auf dem Server.

    Protokollpfad für die Nachrichtenverfolgung

    Der von Ihnen angegebene Wert muss sich auf dem lokalen Exchange-Server befinden. Wenn der Ordner nicht vorhanden ist, wird er erstellt, wenn Sie auf Speichern klicken.

  6. Klicken Sie auf Wenn Sie das Microsoft Exchange Server-Protokoll verwenden, müssen Sie bestimmte Parameter verwenden

Microsoft Exchange Server-Protokollquellenparameter für Microsoft Exchange

Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie der JSA-Konsolemithilfe des Microsoft Exchange Server-Protokolls eine Microsoft Exchange-Protokollquelle hinzu.

Wenn Sie das Microsoft Exchange Server-Protokoll verwenden, müssen Sie bestimmte Parameter verwenden.

In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um Microsoft Exchange Server-Ereignisse von Microsoft Exchange zu erfassen:

Tabelle 2: Microsoft Exchange Server-Protokollquellenparameter für den Microsoft Exchange DSM

Parameter

Wert

Typ der Protokollquelle

Microsoft Exchange Server

Protokollkonfiguration

Microsoft Exchange

Protokollquellen-ID

Die IP-Adresse oder der Hostname zur Identifizierung der Windows Exchange-Ereignisquelle in der JSA-Benutzeroberfläche .

SMTP-Protokollordnerpfad

Der Verzeichnispfad für den Zugriff auf die SMTP-Protokolldateien. Verwenden Sie einen der folgenden Verzeichnispfade:

  • Verwenden Sie für Microsoft Exchange 2003 c$/Programme/Microsoft/Exchange Server/TransportRoles/ Logs/ProtocolLog/ .

  • Verwenden Sie für Microsoft Exchange 2007 c$/Programme/Microsoft/Exchange Server/TransportRoles/Logs/ProtocolLog/.

  • Verwenden Sie für Microsoft Exchange 2010 c$/Programme/Microsoft/Exchange Server/V14/ TransportRoles/Logs/ProtocolLog/.

  • Verwenden Sie für Microsoft Exchange 2013 c$/Programme/Microsoft/Exchange Server/V15/ TransportRoles/Logs/ProtocolLog/.

  • Verwenden Sie für Microsoft Exchange 2016 c$/Programme/Microsoft/Exchange Server/V15/ TransportRoles/Logs/ProtocolLog/.

Pfad des OWA-Protokollordners

Der Verzeichnispfad für den Zugriff auf die OWA-Protokolldateien. Verwenden Sie einen der folgenden Verzeichnispfade:

  • Verwenden Sie für Microsoft Exchange 2003 c$\WINDOWS\system32\LogFiles\W3SVC1\.

  • Verwenden Sie für Microsoft Exchange 2007 c$\WINDOWS\ system32\LogFiles\W3SVC1\.

  • Verwenden Sie für Microsoft Exchange 2010 c$/inetpub/logs/ LogFiles/W3SVC1/.

  • Verwenden Sie für Microsoft Exchange 2013 c$/inetpub/logs/ LogFiles/W3SVC1/.

  • Verwenden Sie für Microsoft Exchange 2016 c$/inetpub/logs/ LogFiles/W3SVC1/.

MSGTRK-Protokollordnerpfad

Der Verzeichnispfad für den Zugriff auf Protokolldateien für die Nachrichtenverfolgung. Die Nachrichtenverfolgung ist nur auf Microsoft Exchange 2007-Servern verfügbar, denen die Serverrolle Hub-Transport, Postfach oder Edge-Transport zugewiesen ist. Verwenden Sie einen der folgenden Verzeichnispfade:

  • Verwenden Sie für Microsoft Exchange 2007 c$/Programme/Microsoft/Exchange Server/TransportRoles/ Logs/MessageTracking/.

  • Verwenden Sie für Microsoft Exchange 2010 c$/Programme/Microsoft/Exchange Server/V14/ TransportRoles/Logs/MessageTracking/.

  • Verwenden Sie für Microsoft Exchange 2013 c$/Programme/Microsoft/Exchange Server/V15/ TransportRoles/Logs/MessageTracking/.

  • Verwenden Sie für Microsoft Exchange 2016 c$/Programme/Microsoft/Exchange Server/V15/ TransportRoles/Logs/MessageTracking/.

Beispiele für Ereignismeldungen

Verwenden Sie diese Beispielereignismeldungen, um eine erfolgreiche Integration mit JSA zu überprüfen.

Hinweis:

Fügen Sie die Nachrichtenformate aufgrund der Formatierung in einen Texteditor ein, und entfernen Sie dann alle Wagenrücklauf- oder Zeilenvorschubzeichen.

Microsoft Exchange Server-Beispielnachricht bei Verwendung des Microsoft Exchange-Protokolls

Das folgende Beispiel zeigt ein send externes Ereignis.

SourceIp=10.91.5.110 AgentDevice=WindowsExchange AgentLogFile=MSGTRK2018112722-1.LOG AgentLogFormat =MSGTRK date-time=2018-11-27T22:40:02.966Z client-ip =10.4.11.100 client-hostname=testHostName server-ip =192.168.25.195 server-hostname =qradar.example.test source-context=;250 2.0.0 OK b139-v6si456977itb.104 - gsmtp;ClientSubmitTime: connector-id=Outbound Mail source=SMTP event-id =SENDEXTERNAL internal-messageid= 64441689310559 message-id=<admin4@qradar.domain.test> network-message-id=0fd591fe-1cc4-47f0-0bbc -08d654b944f3 recipient-address=admin3@qradar.domain.test recipient-status=250 2.1.5 OK b139- v6si45 6977itb.104 - gsmtp total-bytes=7249 recipient-count=1 related-recipient-address= reference= messag e-subject=Receipt sender-address =admin1@qradar.domain.test return-path=admin2@ qradar.domain.test message-info=2018-11-27T22:40:02.194Z;SRV=testHostName.BLAH.BLAH.BLAH:TOTAL-FE= 0.006|SMR=0.004(SMRPI=0.002(SMRPI-FrontendProxyAgent=0.002))|SMS=0.001;SRV=testHostName.BLAH.BLAH. BLAH:TOTAL-HUB=0.765|SMR=0.103(SMRDE=0.001|SMRC=0.101(SMRCL=0.101))|CAT=0.030(CATOS=0.005(CATSM=0. 005(CATSM-Unified Group Post Sent Item Routing Agent=0.004))|CATRESL=0.002|CATORES=0.020(CATRS=0. 020(CATRS-Transport Rule Agent=0.001(X-ETREX=0.001)|CATRS-Index Routing Agent=0.017)))|QDE=0.120| SMSC=0.127(X-SMSDR=0.120)|SMS=0.382 directionality=Originating tenant-id= original-client-ip= ori ginal-server-ip= custom-data=S:E2ELatency=0.771;S:ExternalSendLatency=0.141;S:ToEntity=Internet;S :FromEntity=Internet;S:MsgRecipCount=1;S:IncludeInSla=True;S:Microsoft.Exchange.Transport.MailRec ipient.RequiredTlsAuthLevel=Opportunistic;S:Microsoft.Exchange.Transport.MailRecipient.EffectiveT lsAuthLevel=EncryptionOnly;S:IsSmtpResponseFromExternalServer=True;S:DeliveryPriority=Normal;S:Or iginalFromAddress=admin1@qradar.domain.test;S:AccountForest=BLAH.BLAH.BLAH transport-traffic-type =Email log-id=755ab09c-9c04-44aa-8b07-08d654b94568 schema-version=15.01.1261.039

Tabelle 3: Hervorgehobene Felder

JSA-Feldname

Name des hervorgehobenen Nutzlastfelds

Ereignis-ID

categoAgentLogFormat + event-id

Nutzername

sender-address

Quell-IP

client-ip

Ziel-IP

server-ip

Zugehörige Dokumentation