S小魚仔S 網誌搜尋

2016年9月20日 星期二

S小魚仔S Exchange Server 2013 ECP 設定 使用者 信箱委派

透過 Exchange 2013 設定  ECP「信箱委派」可以讓「A使用者」開啟「B使用者」信箱。
PS
 「無法寄信」只能「瀏覽」和「設定」規則。

詳細設定方法如下

登入 Excahnge「控制台(ECP)

1. 點選「收件者
2. 點選「信箱
3. 尋找「B使用者
4. 點選「B使用者

點選「信箱委派
完整存取權」加入「A使用者

登入 「Web OWA」(A使用者)

點選「開啟另一個信箱」(B使用者)

完成開啟「B使用者」信箱

2016年9月19日 星期一

S小魚仔S Outlook 郵件標頭分析 (Message Header Analyzer)

微軟提供「Remote Connectivity Analyzer」,分析「郵件標頭」(Message Header Analyzer)。

點選 Outlook「郵件」=>「檔案

點選「內容

複製「網際網路標題

將內容「貼上」Message Analyzer

接著就會自動幫您分析「郵件標頭


參考資料
Testconnectivity.microsoft.com」-「Remote Connectivity Analyzer

2016年9月12日 星期一

S小魚仔S 停止轉送不需要 Windows Event Log 送往 Splunk Log Server

因客戶端「Splunk Log Server」 收集過多「Windows Event Log」造成「Splunk Log Server」流量不足,修改「inputs.conf」檔案,減少不必要「Windows Event ID」送往「Splunk Log Server」。
PS 
C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf
C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf

首先我們必須要搞清楚Splunk for Forwarder Agent」運作機制。

inputs.conf」在「default」和「local」資料夾都有,執行優先權為「local」>「default」,所以我們只需要編輯「local\inputs.conf」即可,設定前還是需要看一下「default\inputs.conf」。

檢查「default\inputs.conf」不做設定

WinEventLog://Security」(Windows 安全性 Log)
disabled=1」表示「LOG不轉送
blacklist1 =EventCode="4662".....」表示不轉送「Windows Event ID=4462」,這一行語法就是我們需要的。
index = wineventlog」,預設安裝「Splunk for warder agent」就會自動帶上「索引值」。

接下來設定「local\inputs.conf



我們會看到「disabled = 0」表示「LOG 執行轉送」,在「WinEventLog://Security」(Windows 安全性 Log),下行貼上「blacklist3 =EventCode="4662"」,就可以停止轉送「Windows Event ID=4462」。
PS
local\inputs.conf」設定檔 與「default\inputs.conf」設定檔「blacklist」編號「不能重複」。


注意「default\inputs.conf」與「local\inputs.conf」會合併處理,優先權是「local\inputs.conf」先執行。

完成上述設定,重新啟動「Splunk for warder Agent」服務。

1.「cd C:\Program Files\SplunkUniversalForwarder\bin
2.「splunk restart

2016年9月7日 星期三

S小魚仔S Wireshark 抓網路封包 基本配置(一)

Wireshark」這一套軟體在業界是非常好用的封包分析軟體,「Wireshark」安裝「下一步」到底,不多介紹。

安裝完成,點選「Wireshark Legacy」圖示

點選「Interface List

勾選「實體網卡」在「Packets」會發現有「流量數據」表示這張網卡有「封包數據傳輸」。

點選「Options

1.  選擇「網卡
2. 使用「混雜模式」(將來自接口的所有數據都捕獲)
3. 數據封包「存放路徑
4. 以多個檔名來存放「文件
PS
當您資料量封包需要抓取「1天以上」建議使用此「功能」。
5. 滿足設定「封包數量」 或「時間」 停止抓取
6. 管理網卡

7. 封包窗口「顯示
Update List Of Packets In Real Time = 抓取封包會「即時顯示
Automatically Scroll During Live Capture = 抓取封包會「滾動卷軸
Hide Capture Info Dialog =  不顯示用來抓取封包流量的「網卡」。

8. 名稱解析「選項」 
Resolve Mac Address = 解析 「第二層」MAC 地址 所屬「廠商
Resolve Network-Layer Names = 解析 「第三層」 IP 對應 「主機名稱」 或 「網域名稱」,透過該主機「DNS」進行解析,會出現大量 DNS 解析,可能會造成封包壅塞,請自行評估。
Resolve Transport-Layer Name = 「TCP/UDP」 端口號對應的「應用程序」名稱
Use External Network Name Resolver = 設定外部操作系統指定的名稱「解析程序」如「DNS」..等


Wireshark 在抓取「封包」分為「三」主視窗

Packet List」目前抓取所有數據、包含「封包」、「時間」、「來源 IP」、「目的 IP」、「溝通協議」..等

Packet Details」顯示「封包」內容,展開可以看到「數據」全部

Packet Bytes」顯示「封包」未經過處理的「格式

在擷取封包並不會顯示「無線 (Wireless)」封包,必須「啟用」「View」=>「Wireless Toolbar

設定 完成「Wireless Toolbar」顯示

透過「Filter」可以篩選需要瀏覽封包如「DNS」,輸入完成需要點「Apply

 點選「資料夾」圖示,進行「存檔

點選該「圖示」表示不要即時「捲動視窗

在「Packet Details」視窗,可將需要數據如「Total Length」加入「Packet List」視窗

設定結果如下圖

點選「Total Length」欄位 => 「右鍵」=>「Remove Column」即可進行移除


以前上「網路課程」老師曾經說過,電腦只認識「0101010」二進制,「Wireshark」Packet Bytes 視窗 就可以顯示「二進制」表示法。

點選「右鍵」=>「Bits View

神奇事情發生..這就是「0」與「1」 完美結合,只要您看得懂就行。

基本配置 和 介紹 就到這邊嚕,之後有時間再繼續寫..