Microsoft Windows Security Event Log
Das IBM QRadar DSM für Microsoft Windows Security Event Log akzeptiert Syslog-Ereignisse von Microsoft Windows -Systemen. Alle Ereignisse, einschließlich Sysmon und winlogbeats.json, werden unterstützt.
Wichtig: Die Unterstützung für die Windows-Ereignisprotokollprotokolle wurde am 31. Oktober 2022 beendet. Um die Erfassung von Ereignissen im Windows-Ereignisprotokoll fortzusetzen, müssen Sie in der Liste der unterstützten Protokolle einen neuen Protokolltyp auswählen. Weitere Informationen zum Ende der Unterstützung finden Sie unter QRadar: End of life announcement for WMI-based Microsoft Windows Security Event Log protocols (31 Oct 2022) (https://www.ibm.com/support/pages/node/6616223).
Für die Ereigniserfassung von Microsoft-Betriebssystemen unterstützt QRadar die folgenden Protokolle:
- Syslog (vorgesehen für Snare, BalaBit, und andere Windows-Lösungen von Drittanbietern).
- Weitergeleitet. Weitere Informationen finden Sie unter Konfigurationsoptionen für weitergeleitete Protokolle.
- TLS-Syslog. Weitere Informationen finden Sie unter Konfigurationsoptionen für das TLS-Syslog-Protokoll.
- Mehrzeiliges TCP-Syslog. Weitere Informationen finden Sie unter TCP Multiline Syslog protocol configuration options.
- MSRPC (Microsoft Security Event Log over MSRPC). Weitere Informationen finden Sie unter Microsoft Security Event Log über MSRPC-Protokoll.
- WinCollect. Siehe IBM QRadar WinCollect User Guide.
- WinCollect NetApp Data ONTAP. Siehe IBM QRadar WinCollect User Guide.
- Amazon Web Services -Protokoll von AWS CloudWatch. Weitere Informationen finden Sie unter Amazon Web Services Protokollkonfigurationsoptionen und Wie lade ich meine Windows-Protokolle zu CloudWatch? (https://aws.amazon.com/premiumsupport/knowledge-center/cloudwatch-upload-windows-logs/).
- Microsoft Azure -Ereignishubs. Weitere Informationen finden Sie unter Microsoft Azure Event Hubs-Protokollkonfigurationsoptionen und unter Install and configure Windows Azure diagnostics extension (WAD)- Azure Monitor (https://docs.microsoft.com/en-us/azure/azure-monitor/platform/diagnostics-extension-windows-install).
Stellen Sie sicher, dass Sie über ein Azure -Speicherkonto und einen Azure -Ereignishub verfügen.
- Optional: Erstellen Sie ein Speicherkonto. Weitere Informationen finden Sie unter Speicherkonto erstellen (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).Wichtig: Sie müssen über ein Speicherkonto verfügen, um eine Verbindung zu einem Event Hub herzustellen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zumMicrosoft Azure Event Hubs-Protokoll.
- Optional: Erstellen Sie einen Event Hub. Weitere Informationen finden Sie unter Quickstart: Erstellen eines Event Hub mithilfe des Azure -Portals (https://docs.microsoft.com/en-us/azure/event-hubs/event-hubs-create).
- Optional: Erstellen Sie ein Speicherkonto. Weitere Informationen finden Sie unter Speicherkonto erstellen (https://docs.microsoft.com/en-us/azure/storage/common/storage-account-create?tabs=azure-portal).