Konfigurationsoptionen für das Microsoft IIS-Protokoll

Sie können eine Protokollquelle für die Verwendung des Microsoft IIS-Protokolls konfigurieren. Dieses Protokoll unterstützt einen zentralen Erfassungspunkt für Protokolldateien im Format W3C , die sich auf einem Microsoft IIS-Web-Server befinden.

Das Microsoft IIS-Protokoll ist ein abgehendes/aktives Protokoll.

Zum Lesen der Protokolldateien benötigen Ordnerpfade, die eine administrative Freigabe (C$) enthalten, NetBIOS -Berechtigungen für die administrative Freigabe (C$). Lokale Administratoren oder Domänenadministratoren verfügen über ausreichende Berechtigungen, um auf Protokolldateien in administrativen Freigaben zuzugreifen.

Felder für das Microsoft IIS-Protokoll, die Dateipfade unterstützen, ermöglichen es Administratoren, einen Laufwerkbuchstaben mit den Pfadinformationen zu definieren. Das Feld kann beispielsweise das Verzeichnis c$/LogFiles/ für eine administrative Freigabe oder das Verzeichnis LogFiles/für einen öffentlichen Freigabeordnerpfad enthalten, aber nicht das Verzeichnis c:/LogFiles .

Einschränkung: Das Microsoft-Authentifizierungsprotokoll NTLMv2 wird vom Microsoft IIS-Protokoll nicht unterstützt.
In der folgenden Tabelle werden die protokollspezifischen Parameter für das Microsoft IIS-Protokoll beschrieben:
Tabelle 1. Microsoft IIS-Protokollparameter
Parameter Beschreibung
Protokollkonfiguration Microsoft IIS
Log Source Identifier (Protokollquellenkennung) Geben Sie die IP-Adresse, den Hostnamen oder einen eindeutigen Namen für Ihre Protokollquelle ein.
Serveradresse Die IP-Adresse oder der Hostname Ihres Microsoft IIS-Servers.
Domäne

Geben Sie die Domäne für Ihren Microsoft IIS-Server ein.

Dieser Parameter ist optional, wenn sich Ihr Server nicht in einer Domäne befindet.
Username Geben Sie den Benutzernamen ein, der für den Zugriff auf Ihren Server erforderlich ist.
Password Geben Sie das Kennwort ein, das für den Zugriff auf Ihren Server erforderlich ist.
Bestätigungskennwort Geben Sie das Kennwort ein, das für den Zugriff auf den Server erforderlich ist.
Protokollordnerpfad Der Verzeichnispfad für den Zugriff auf die Protokolldateien. Administratoren können beispielsweise das Verzeichnis c$/LogFiles/ für eine administrative Freigabe oder das Verzeichnis LogFiles/ für einen öffentlichen Freigabeordnerpfad verwenden. Das Verzeichnis c:/LogFiles ist jedoch kein unterstützter Protokollordnerpfad.

Wenn ein Protokollordnerpfad eine administrative Freigabe (C$) enthält, haben Benutzer mit NetBIOS -Zugriff auf die administrative Freigabe (C$) die erforderlichen Berechtigungen zum Lesen der Protokolldateien.

Die Berechtigungen des lokalen System-oder Domänenadministrators reichen auch aus, um auf Protokolldateien zuzugreifen, die sich in einer administrativen Freigabe befinden.
Dateimuster Der reguläre Ausdruck (regex), der die Ereignisprotokolle angibt.
Rekursiv Verwenden Sie diese Option, wenn das Dateimuster Unterordner durchsuchen soll. Standardmäßig ist das Kontrollkästchen aktiviert.
SMB-Version

Wählen Sie die Version von SMB aus, die Sie verwenden wollen.

AUTO
Erkennt automatisch die höchste Version, die der Client und der Server verwenden.
SMB1
Erzwingt die Verwendung von SMB1. SMB1 verwendet die Datei jCIFS.jar (Java™ ARchive).
Wichtig: SMB1 wird nicht mehr unterstützt. Alle Administratoren müssen vorhandene Konfigurationen aktualisieren, um SMB2 oder SMB3verwenden zu können.
SMB2
Erzwingt die Verwendung von SMB2. SMB2 verwendet die Datei jNQ.jar .
SMB3
Erzwingt die Verwendung von SMB3. SMB3 verwendet die Datei jNQ.jar .
Hinweis: Bevor Sie eine Protokollquelle mit einer bestimmten SMB-Version erstellen (z. B. SMBv1, SMBv2und SMBv3), stellen Sie sicher, dass die angegebene SMB-Version von dem Windows-Betriebssystem unterstützt wird, das auf Ihrem Server ausgeführt wird. Außerdem müssen Sie überprüfen, ob SMB-Versionen auf dem angegebenen Windows-Server aktiviert sind.

Weitere Informationen dazu, welche Windows-Version welche SMB-Versionen unterstützt, finden Sie auf der Website Microsoft TechNet (https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/ ).

Weitere Informationen zum Erkennen, Aktivieren und Inaktivieren von SMBv1, SMBv2und SMBv3 unter Windows und Windows Server Rufen Sie die Microsoft Support-Website auf (https://support.microsoft.com/en-us/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server).
Abfrageintervall (in Sekunden) Geben Sie das Abfrageintervall ein, d. h. die Anzahl Sekunden zwischen Abfragen der Protokolldateien, die auf neue Daten geprüft werden sollen. Der Standardwert beträgt 10 Sekunden.
Regulierungsereignisse/Sek. Die maximale Anzahl von Ereignissen, die das IIS-Protokoll pro Sekunde weiterleiten kann.
Dateiverschlüsselung Die Zeichencodierung, die von den Ereignissen in Ihrer Protokolldatei verwendet wird
Liste der verfolgten Dateien zurücksetzen OnEdit Durch Aktivieren dieser Option wird sichergestellt, dass beim Bearbeiten eines Felds in den Protokollquellenparametern und beim Speichern der Protokollquelle die aktuelle Liste der verfolgten Dateien gelöscht wird und das Lesen von vorne beginnt.
Hinweis: Bei Verwendung der erweiterten IIS-Protokollierung müssen Sie eine neue Protokolldefinition erstellen. Stellen Sie im Fenster Protokolldefinition sicher, dass die folgenden Felder im Abschnitt Ausgewählte Felder ausgewählt sind:
  • Datum-UTC
  • Zeit-UTC
  • URI-Stem (Stem)
  • URI-Abfragezeichenfolge
  • ContentPath
  • Status
  • Servername
  • REFERER
  • Win325Status
  • Bytes Sent (Gesendete Byte)