Microsoft Exchange

Parser, který je součástí Logmanageru, umožňuje parsovat transportní logy z Microsoft Exchange (verze 2010 až 2019).

Transportní logy monitorují aktivitu zpráv, jak zprávy postupují přes jednotlivé služby uvnitř Microsoft Exchange a na serverech Edge Transport. Záznamy pro sledování zpráv můžete využít pro forenzní zprávy, analýzu toku pošty, hlášení a řešení problémů.

Aby bylo možné správně zpracovat logy ze zpráv Microsoft Exchange, je nutné splnit čtyři požadavky:

1. Zkontrolujte, zda máte zapnuto vytváření transportního logu dle dokumentace Microsoft Exchange. Některé verze vytvářejí transport log ve výchozím nastavení, jiné potřebují tuto volbu v konfiguraci nejdříve povolit. Postupujte podle dokumentace k Microsoft Exchange.

   Odkazy na Microsoft dokumentaci jednotlivých verzí:

   • Exchange 2019 - https://docs.microsoft.com/en-us/exchange/mail-flow/transport-logs/configure-message-tracking?view=exchserver-2019
   • Exchange 2016 - https://docs.microsoft.com/en-us/exchange/mail-flow/transport-logs/configure-message-tracking?view=exchserver-2016
   • Exchange 2013 - https://docs.microsoft.com/en-us/exchange/configure-message-tracking-exchange-2013-help
   • Exchange 2010 - https://docs.microsoft.com/cs-cz/samples/browse/?redirectedfrom=TechNet-Gallery

   Uložte si cestu k adresáři, kde jsou uloženy transport logy v textových souborech. Navrhovaný postup: Zkontrolujte obsah tohoto adresáře. Pokud zde již existuje mnoho log souborů, zálohujte stávající obsah do jiné složky a odstraňte z tohoto adresáře protokoly starší než 1 měsíc, než budete pokračovat krokem 2.

2. Nainstalujte Logmanager Beat agenta na Exchange server.

3. Přejděte do Zdroje/Beat agenti, vyhledejte pomocí hostname váš server, klikněte na ikonu modrého pera pro jeho úpravu a přidejte pravidlo pro sběr logů ze souboru logů:

   1. V Soubory logů – klikněte na zelené tlačítko + Přidat.
   2. Vyberte šablonu – Exchange.
   3. Do pole „Cesta k souboru“ vložte cestu k souboru, kde jsou umístěny textové logy, za nimiž následuje MSGTRK2*.LOG.
   4. Nemažte automaticky vytvořenou značku (tag) „exchange“ - díky této značce je Logmanager schopný logy automaticky a správně parsovat.
   5. Volitelně můžete přidat i své vlastní značky (značky oddělujte čárkou „,“).
   6. Klikněte na OK a následně na uložit. Pokud je cílový stav agenta Filebeat nastavený na auto, bude automaticky spuštěn po přijetí nové konfigurace (pokud již neběží).
   7. Volitelně můžete manuálně restartovat službu logmanager-orchestrator-service na zvoleném serveru pro urychlení načtení konfigurace.

Pokud smažete značku „exchange“ z konfigurace agenta, vaše data nebudou správně parsována.

Příklad správně nakonfigurovaného agenta: