У нас совсем недавно была эта точно та же самая проблема, и преступник был фанатичным брандмауэром ЯЩИКА ДЛЯ ПРОБНОЙ МОНЕТЫ и proxyarp. По данным Cisco, это - известная проблема. Проверьте arp записи клиента на Exchange Server, и Вы будете, вероятно, видеть неправильный MAC-адрес в некоторых случаях.
Мы зафиксировали это путем издания "sysopt noproxyarp внутри" на нашем ЯЩИКЕ ДЛЯ ПРОБНОЙ МОНЕТЫ. Очевидно, удостоверьтесь, что Вы понимаете последствия отключения proxyarp, сначала.
При установке ossec в, он - местоположение по умолчанию затем, журналы находятся в /var/ossec/logs