OWA / ActiveSync
此事件源提供移动设备用户属性和进入监控。
Rapid7的监控OWA/ActiveSync活动理解这些是IIS web应用程序。因此,您可以在收集器上配置一个目录监视器来监视运行Exchange软件的计算机的IIS日志,并查找匹配OWA/ActiveSync签名的web请求。
InsightIDR需要在日志中包含一个公网IP地址来生成一个Ingress事件并解析Ingress Activity。
通过无线网络的移动登录在入口地图上
移动供应商geoips不会显示在你的入口活动地图上,因为这些ip的地理位置通常是不准确的。通过无线网络的移动登录仍然会显示在你的入口地图上。
要设置OWA/ActiveSync,你需要:
另外:
在你开始之前
使用OWA/ActiveSync事件源,您需要以下内容:
- 确保外部端点与ActiveSync和ActiveSync服务器之间没有代理连接的设备。
- 如果有设备代理外部端点和ActiveSync服务器之间的连接,您需要一个x-forwarded-for报头。这将通过执行代理的设备为外部端点提供源IP。由于代理位于两个设备之间,并且它是直接连接到ActiveSync服务器而不是外部端点的代理,所以s-ip字段将具有代理的IP。
一个负载均衡器对OWA/ActiveSync的IP地址的影响
如果你在你的OWA/Exchange服务器前面有一个像Netscaler的负载均衡器,你可能会体验到所有用户的源IP是负载均衡器而不是真正的IP地址。检查故障排除步骤为了防止问题。
配置OWA/ActiveSync以支持数据检索您的收集器
您必须准备您的OWA和ActiveSync服务器来支持收集器的数据收集。
为了让收集器从Microsoft Outlook Web Access (OWA)和ActiveSync服务中获取日志,在服务器端执行以下步骤:
- 确定负责运行OWA/ActiveSync的IIS (Internet Information Services)进程生成的日志的目标文件夹。
- 注意:您不能在文件夹中嵌套日志。
- 确保IIS进程将预期的字段记录到日志文件中。
- 与也要在InsightIDR中输入的读凭据共享日志文件夹。
如何配置互联网信息服务(IIS)
执行以下步骤:
- 确定哪个服务器负责处理您希望由InsightIDR收集的OWA/ActiveSync客户端请求。
- 在该服务器上,从“开始”菜单启动IIS管理器。
- 单击日志记录图标。
- Logging模块显示IIS日志记录的位置,以及如何指定要记录日志的确切字段。记录日志文件夹,因为您需要在InsightIDR事件源中输入该文件夹。
- 单击选择字段按钮以选择要记录的适当字段。
为日志文件选择的字段必须精确匹配如下表所示,包括订单:
“日期”:
“时间”:
“s-ip”:
“cs方法”:
“cs-uri-stem”:
“cs-uri-query”:
“s-port”:
“cs-username”:
“c-ip”:
“cs(用户代理)":
“sc-status”:
“sc-substatus”:
“sc-win32-status”:
“x-forwarded-for”:
这是它们在日志文件中的样子:
1“日期”:“时间”:“s-ip”:“cs方法”:“cs-uri-stem”:“cs-uri-query”:“s-port”:“cs-username”:“c-ip”:“cs(用户代理)": "sc-status": "sc-substatus": "sc-win32-status": "x-forward -for":
- 单击好吧按钮以保存更改。
这是在日志旋转时写入每个日志文件开头的日志行:
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status时间
Windows文件系统配置
按照以下步骤配置日志文件夹,以允许Collector访问日志:
- 在Windows资源管理器中,右键单击IIS日志文件夹,然后单击属性.
- 在“高级共享”下的“属性”中单击共享此文件夹,然后单击权限按钮。
- 点击添加并提供将访问此目录的凭据。当建立OWA/ActiveSync事件源时,此证书的用户名和密码也将输入到InsightIDR中。
在InsightIDR中建立OWA/ActiveSync
您可以配置OWA事件源,通过UNC标记和提供在设置共享文件夹时使用的凭据来读取共享文件夹。UNC表示法是微软的通用命名约定,是描述网络资源位置的常用语法。
配置OWA为InsightIDR:
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击电子邮件& ActiveSync图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择发送未经过滤的日志.
- 配置您的默认域和任何高级事件源设置.
- 选择看目录作为你的收集的方法.
- 点击保存.
Format日志格式为ELFF格式
本文档详细介绍了IIS日志的不同日志格式:https://msdn.microsoft.com/en-us/library/ms525807 (v =应用程序). aspx.
InsightIDR仅支持IIS日志的W3C ELFF格式。日志必须按照指定的顺序具有正确的字段以上.任何附加字段都可以在日志中,但必须在sc-win32-status
字段。
其他字段在IIS 8.5版本中不起作用。
验证配置
完成以下步骤来查看日志,并确保事件正在进入收集器:
- 点击数据收集在InsightIDR的左侧菜单中,导航到事件源选项卡。找到刚刚创建的新事件源并单击查看原始日志按钮。如果您在框中看到日志消息,那么这表明日志正在流向收集器。
- 点击日志搜索在InsightIDR的左侧菜单中。
- 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。
日志至少需要7分钟才能出现在“日志搜索”中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。
解决OWA/ActiveSync的解析问题
如果来自OWA或ActiveSync的数据没有解析,您可以检查日志找出问题的原因。最常见的问题是:
取决于你使用的版本的具体问题:
一旦确定了问题,就可以在Exchange服务器中进行必要的更改来解决问题。
如何审查OWA或ActiveSync日志来识别解析问题
您可以查看原始日志或做日志搜索:
查看原始日志:
- 去>事件源
- 选择查看原始日志选项位于事件源下方
做一个日志搜索:
- 单击日志搜索选项在左边的菜单
- 查找OWA/ActiveSync事件源按事件源或类型进行筛选过滤字段
- 如果您看不到该事件源的任何日志,请转到>事件源
- 选择编辑选择您正在检查的事件源,并查看是否未经过滤的日志选项被选中(您应该重复此步骤,并在解决问题后再次单击该选项)
- 回到日志搜索查看此事件源的日志
- 使用搜索栏进行搜索
(字段,松散)
在事件源的日志中
在OWA或ActiveSync日志中,您可以按照下面的步骤来检查它们并识别解析问题。然后,您可以在交换服务器中进行必要的更改来解决这个问题。回顾以下常见问题,分析哪些操作适合你。
字段配置不正确
可能发生解析问题的一个常见原因是字段没有正确配置。为日志文件选择的字段必须与下面列表中显示的字段完全匹配,包括顺序:
“日期”:
“时间”:
“s-ip”:
“cs方法”:
“cs-uri-stem”:
“cs-uri-query”:
“s-port”:
“cs-username”:
“c-ip”:
“cs(用户代理)":
“sc-status”:
“sc-substatus”:
“sc-win32-status”:
“x-forwarded-for”:
这是它们在日志文件中的样子:
1“日期”:“时间”:“s-ip”:“cs方法”:“cs-uri-stem”:“cs-uri-query”:“s-port”:“cs-username”:“c-ip”:“cs(用户代理)": "sc-status": "sc-substatus": "sc-win32-status": "x-forward -for":
这是在日志旋转时写入每个日志文件开头的日志行:
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status时间
您也可以比较OWA或ActiveSync日志示例日志.
负载均衡器
如果您有一个负载均衡器,如Netscaler,在您的OWA/Exchange服务器前,您可能会体验到所有用户的源IP是负载均衡器,而不是真正的IP地址。
要解决这个问题,必须添加x-forwarded
标头到IIS日志。你可以在这里了解更多关于如何做到这一点:http://www.loadbalancer.org/blog/iis-and-x-forwarded-for-header/.
没有公网IP地址
的IP地址需要显示至少一个公共IPs-ip
或x-forwarded-for
头。如果您有问题,检查配置,并检查没有内部地址,而不是公共IP地址。
OWA/ActiveSync通过解析Ingress Activity工作。要产生Ingress事件,日志中应该有一个公网IP地址。如果负载平衡器后面有Exchange服务器,那么需要将真正的clientIP传递给Exchange服务器,以使其正常工作。
如果连接ActiveSync的外部端点与ActiveSync服务器之间存在MDM、负载均衡器或其他设备,则ActiveSync的IIS日志中的“源IP”会出错。这是因为它将指向中间设备的源IP,而不是外部端点的真实源IP。因此,你不会在你的地图上得到任何进入活动。
所有这些设备都有自己独特的方式在自定义HTTP请求字段中提供真正的源IP。要解决这个问题,请完成以下操作:
- 转到Exchange服务器,将其配置为高级日志记录,并将高级日志配置为与基本日志完全匹配。
- 将源IP(在本例中是中间设备)替换为设备添加的新字段,该字段表示外部端点的真实源IP。
IIS 7的高级日志记录
关于高级日志记录的微软文档位于这里:https://www.iis.net/learn/extensions/advanced-logging-module/advanced-logging-for-iis-custom-logging.
注意如何添加字段。将高级记录器输出的一些实际日志与基本记录器输出的日志进行比较。第一次可能必须对高级记录器做一些更改,以确保字段是您想要的,并且它们的顺序是正确的。
IIS 8.5+增强的日志记录
按照Load Balancer提供的说明来配置增强日志:http://www.loadbalancer.org/blog/iis-and-x-forwarded-for-header/.
你可以在这里了解增强日志:https://www.iis.net/learn/get-started/whats-new-in-iis-85/enhanced-logging-for-iis85.
字段排序如下:
“日期”:
“时间”:
“s-ip”:
“cs方法”:
“cs-uri-stem”:
“cs-uri-query”:
“s-port”:
“cs-username”:
“c-ip”:
“cs(用户代理)":
“sc-status”:
“sc-substatus”:
“sc-win32-status”:
“x-forwarded-for”:
这是它们在日志文件中的样子:
1“日期”:“时间”:“s-ip”:“cs方法”:“cs-uri-stem”:“cs-uri-query”:“s-port”:“cs-username”:“c-ip”:“cs(用户代理)": "sc-status": "sc-substatus": "sc-win32-status": "x-forward -for":
InsightIDR现在将附加到日志末尾的附加字段解析为真实的客户端IP地址(c-ip)。
解析的例子
1POST /Microsoft-Server-ActiveSync/default. aspx . aspx . aspx . aspx . aspx。东亚峰会用户= aguerlain&DeviceId = ApplF2LJR67BDTTQ&DeviceType = iPhone&Cmd = Sync&Log = V141_Fc1_Fid: 184 _ty: Em_Filt4_St: S_Sk: 1563581951 _sst4_sscmt4_srv: 1 a0c0d0s0e0r0a0sd_br1_bpr0_ldapc10_ldapl78_rpcc78_rpcl343_pk4126865394_s1_as: AllowedG_Mbx: BOSTONEX.tor.rapid7.com_Dc: CERVANTES.tor.rapid7.com_Throttle0_Budget: (A)康涅狄格州% 3 a0 % 2 changingconn % a0 % 2 cad % 3 A % 24空零% % 2 f % 242f1%25%2cCAS%3a%24null%2f%24null%2f3%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy% 5fe6b81费-9b12-4f8f-adfb-930df7769654%2cNorm_ 443 tor\\阿道夫216.55.6.70 Apple-iPhone5C1/1002.143 200 00 1677023.POST /Microsoft-Server-ActiveSync/Proxy/default. php文件。东亚峰会用户= aguerlain&DeviceId = ApplF2LJR67BDTTQ&DeviceType = iPhone&Cmd = Sync&Log = V141_Fc1_Fid: 184 _ty: Em_Filt4_St: S_Sk: 1563581951 _sst4_sscmt4_srv: 1 a0c0d0s0e0r0a0sd_br1_bpr0_ldapc10_ldapl78_rpcc78_rpcl343_pk4126865394_s1_as: AllowedG_Mbx: BOSTONEX.tor.rapid7.com_Dc: CERVANTES.tor.rapid7.com_Throttle0_Budget: (A)康涅狄格州% 3 a0 % 2 changingconn % a0 % 2 cad % 3 A % 24空零% % 2 f % 242f1%25%2cCAS%3a%24null%2f%24null%2f3%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy% 5fe6b81费-9b12-4f8f-adfb-930df7769654%2cNorm_ 443 tor\\阿道夫216.55.6.70 Apple-iPhone5C1/1002.143 200 00 1677045POST /Microsoft-Server-ActiveSync/default. aspx . aspx . aspx . aspx . aspx。东亚峰会Cmd = FolderSync&User = tor % 5 caguerlain&deviceid = androidc1474737936&DeviceType = Android&Log = PrxTo: laxex.tor.rapid7.com_LdapC7_LdapL30_Mbx: LAXEX.tor.rapid7.com_Dc: CERVANTES.tor.rapid7.com_Budget:康涅狄格州(D) % 3 a2 % 2 changingconn % 3 a0 % 2 cad % 3 % 24空% 2 f % 24空% 2 f1 % 25% 2 cca % 3 % 24空% 2 f % 24空% 2 f0 % 25% 2 24空出租车% 3 a % % 2 f % 24空% 2 f0 % 25% 2 crpc % 3 % 24零24空% 2 f0 % % 2 f % 25% 2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy% 5fe6b81fe- 9b12-4f8f-adfb-930df7769654%2cNorm%5bResources%3a(DC)CERVANTES.tor.rapid7.com(Health%3a-1%25%2cHistLoad%3a0)%2c%5d_ 443 tor\\aguerlain 206.29.182.233 Android/4.2.2-EAS-1.3 200 00 1290167POST /owa/auth。Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_8_2)+AppleWebKit/537.17+(KHTML89owa/auth /owa/authowa - 443 tor\\aguerlain 68.100.77.129 Mozilla/5.0+(兼容;+MSIE+9.0;+Windows+NT+6.1;+WOW641011发布时间:2013-10-29 01:53:25 POST /Microsoft-Server-ActiveSync/default东亚峰会Cmd = Sync&User = tor % 5 caguerlain&deviceid = SEC1325376102856&DeviceType = SAMSUNGSCHI535&Log = V141_Fc1_Fid: 8 _ty: Em_Filt4_Filts4_St: S_Sk: 1376563250 _sst40_sscmt40_br1_bpr0_ldapc1_rpcc44_rpcl297_ers1_pk535727841_s1_as: AllowedG_Mbx: RNEXCH2.ad.corp.local_Throttle0_Budget: (A)康涅狄格州% 3 a0 % 2 changingconn % 3 a0 % 2 cad % 3 % 24空% 2 f % 24空% 2 f0 % 25% 2 cca % 3 % 24空% 2 f % 24空% 2 f1%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null% 2f0%25% 2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5Ff0329dbe-9973-4fd7-8c2f-e966659fef23%2cNorm_ tor\\aguerlain 192.168.48.48三星- sc - i535 /100.40102 - - 200 75 5332 3431213owa/auth。owa - tor\\aguerlain 192.168.48.48 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML1415<13> mx2 2014-03-13 21:57:17 10.0.10.216 POST /Microsoft-Server-ActiveSync/default. txt东亚峰会Cmd = Sync&User = agreserves % 5 ccramsay&deviceid = SEC11663A183923C&DeviceType = SAMSUNGGTI9300&Log = V141_Fc1_Fid: 1 _ty: Ca_Filt0_St: S_Sk: 1732773711 _sst247_sscmt247_br1_bpr0_ldapc1_rpcc51_rpcl31_ers1_pk2123537141_s1_as: AllowedG_Mbx: mx2.agreserves.com_Throttle0_Budget: (A)康涅狄格州% 3 a0 % 2 changingconn % 3 a0 % 2 cad % 3 % 24空% 2 f % 24空% 2 f0 % 25% 2 cca % 3 % 24零24空% 2 f1 % % 2 f % 25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null% 2f0%25% 2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5Fe4462822-4238-4dbb-bc78-d3e826f3e032%2cNorm_ 443 tor\\aguerlain 199.47.66.61 SAMSUNG-GT-I9300/100.40101 200 00 20121617POST /Microsoft-Server-ActiveSync/default。东亚峰会Cmd = Sync&User = brian.gaffey % 40 smashbros.com&deviceid = SAMSUNG3A000002F298C94&DeviceType = SAMSUNGSPHD710&Log = V141_Fc1_Fid: RI_Ty: Ri_Filt0_St: S_Sk: 1105471999 _sst10_sslc7_br0_bpr0_ldapc1_rpcc22_rpcl15_ers1_pk1325283713_s1_as: AllowedG_Mbx: PHX-PWP-EXCH01.corp.rapid7.com_Throttle0_Budget: (A)康涅狄格州% 3 a0 % 2 changingconn % 3 a0 % 2 cad % 3 % 24空% 2 f % 24空% 2 f0 % 25% 2 cca % % 324null%2f%24null%2f1%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null% 2f0%25% 2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F6e4556fa-9c9a-4706-8858-0994bfead688%2cNorm_ 443 brian.gaffey@smashbros.com 66.87.98.145三星- sph - d710 /100.40004 200 0 1236 187511819PHX-PWP-EXCAS01.corp.rapid7.com\tIISWebLog\t0\t2014-03-17 15:39:04 10.99.30.227 POST /Microsoft-Server-ActiveSync/default。东亚峰会Cmd = Sync&User = brian.gaffey % 40 smashbros.com&deviceid = SAMSUNG3A000002F298C94&DeviceType = SAMSUNGSPHD710&Log = V141_Fc1_Fid: RI_Ty: Ri_Filt0_St: S_Sk: 1105471999 _sst10_sslc7_br0_bpr0_ldapc1_rpcc22_rpcl15_ers1_pk1325283713_s1_as: AllowedG_Mbx: PHX-PWP-EXCH01.corp.rapid7.com_Throttle0_Budget: (A)康涅狄格州% 3 a0 % 2 changingconn % 3 a0 % 2 cad % 3 % 24空% 2 f % 24空% 2 f0 % 25% 2 cca % % 324null%2f%24null%2f1%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null% 2f0%25% 2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F6e4556fa-9c9a-4706-8858-0994bfead688%2cNorm_ 443 brian.gaffey@smashbros.com 66.87.98.145三星- sph - d710 /100.40004 200 0 1236 1875120.21owa/auth /owa/auth。owa - 443 aguerlain 14.0.7552 Mozilla/5.0+(兼容;+Konqueror/3.5;+Linux)+KHTML/3.5.3+(like+Gecko) https://10.1.1.253/owa/auth/logon.aspx 302 0 1 6222232014-07-14 19:08:18 fe80::d07b:d1c2:d57e:b06e%12 POST /owa/auth。owa - 443 HealthMailbox147f7642e6a34c448eee4929bb25855c@mytestlabs.info::1 Mozilla/4.0+(兼容;+MSIE+9.0;+Windows+NT+6.1;+MSEXCHMON;+ACTIVEMONITORING) - 302 0 1 22425发布时间:2014-07-29 15:49:36 817Asmx - 80 \2627发布时间:2014-07-29 16:09:13.740 10.10.138.193 POST /Microsoft-Server-ActiveSync/default。eas Cmd=Sync&DeviceId=9867045AB7356F2D99A7A3D8FAC9AEF3&DeviceType=WP8 80 \2829POST /Microsoft-Server-ActiveSync/default。eas User=xfoo&DeviceId=ApplC39M35K9FNJN&DeviceType=iPhone&Cmd=Sync 443 - \30.31owa/auth /owa/auth。owa - 443 aguerlain 14.0.7552 Mozilla/5.0+(兼容;+Konqueror/3.5;+Linux)+KHTML/3.5.3+(like+Gecko) https://10.1.1.253/owa/auth/logon.aspx 302 0 1 623233GET /owa/ &CorrelationID=<空>;&ClientId=BKHYY9ZIO0YI0UBKDDQ&cafeReqId=40407632-c626-4a4b-9131-f52b6e90b2e6;443 TOR\\aguerlain 75.98.74.100 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML34352016-04-22 02:18:54.129 169.254.1.174 POST /Microsoft-Server-ActiveSync/Proxy/default。eas User=jjoelson&DeviceId=ApplDMPLMDKUFK12&DeviceType=iPad&Cmd=Sync 444 - \3637邮政/owa/service。svc action=UpdateUserConfiguration 443 amudan 172.17.246.245 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML . php . php . php . php . php . php . php . php3839发布时间:2018-12-08 16:44:53 POST /Microsoft-Server-ActiveSync/default。东亚峰会User=parks.rec&DeviceId=ApplC39M35K9FNJN&DeviceType=iPhone&Cmd=Ping&CorrelationID=;&cafeReqId=40407632-c626-4a4b-9131-f52b6e90b2e6; 443 ssl\\parks.rec 185.150.222.214 HTTP/2.0 Apple-iPhone10C4/1505.302 - mail.ssl.ca 200 0 0 102210 4041发布时间:2018-12-08 16:44:55 POST /Microsoft-Server-ActiveSync/default。东亚峰会User=jjs.diner&DeviceId=A35312OUHESDOFH0&DeviceType=iPhone&Cmd=Ping&CorrelationID=;&cafeReqId=40407632-c626-4a4b-9131-f52b6e90b2e6; 443 ssl\\jjs.diner 10.110.1.20 HTTP/2.0 Apple-iPhone10C4/1601.404 - mail.ssl.ca 200 0 0 33420 42432019-08-29 23:59:54 10.1.20.21 POST /Microsoft-Server-ActiveSync/default。东亚峰会Cmd = Ping&User = a.user % 40 rapid7.com&deviceid = PIEDPIPER54321&DeviceType = HOOLI1234&Log = V141_LdapC1_RpcC45_RpcL16_Hb470_S3_Error: PingCollisionDetected_Mbx: NLDC01VS086.RAPID7.LOCAL_Throttle0_Budget: (A)康涅狄格州% 3 a1 % 2 changingconn % 3 a0 % 2 cad % 3 % 24空% 2 f % 24空% 2 f0 % 25% 2 cca % 3 % 24空% 2 f % 24空% 2 f1 % 25% 2 24空出租车% 3 A % % 2 f % 24空% 2 f0 % 25% 2 crpc % 3 % 24零24空% 2 f1 % % 2 f % 25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F3558ccbc-d46c-4173-bcc5-1342db72ac72%2cNorm_ 443 a.user@rapid7.com 11.11.11.11 - - 200 00 77.77.77.7744452019-08-30 00:01:43 10.1.20.21 GET /owa/auth/logon。Aspx url=https://webmail.rapid7.com/owa/&reason=0 443 - 11.11.11.11 - - 200 00 77.77.77.7746472019-08-30 00:01:43 10.1.20.21 GET /owa/auth/logon。Aspx url=https://webmail.rapid7.com/owa/&reason=0 443 - 11.11.11.11 - - 200 00 -48492020-06-24 11:19:01 192.82.116.5 POST /owa/ev。owa2 ns=PendingRequest&ev=FinishNotificationRequest&UA=0&ClientId=RMDMXVDECJYTWFPPCMKG&ActID=2a11a1d8-6397-4c54-a536-67472264e86d&CorrelationID=444 DEMAC\\igoncharov 192.82.116.5 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML