Microsoft IIS Server-Beispielereignisnachrichten
Verwenden Sie diese Beispielereignisnachrichten, um eine erfolgreiche Integration mit IBM QRadarzu überprüfen.
Wichtig: Fügen Sie aufgrund von Formatierungsproblemen das Nachrichtenformat in einen Texteditor ein und entfernen Sie dann alle Rücklauf-und Zeilenvorschubzeichen.
Microsoft IIS Server-Beispielnachricht bei Verwendung des Microsoft IIS-Protokolls
Die folgende Beispiel-Ereignismeldung zeigt an, dass ein interner Serverfehler HTTP aufgetreten ist.
SourceIp=10.232.192.155 AgentDevice=MSIIS AgentLogFile=u_extend1220_x.log AgentLogFormat=W3C date=2018-06-19 time=06:27:41 s-sitename=W3SVC2 s-computername=TESTTESTTEST012 s-ip=10.232.192.155 cs-method=GET cs-uri-stem=/login.asp cs-uri-query=- s-port=444 cs-username=- c-ip=10.142.129.147 cs-version=HTTP/1.0 cs(User-Agent)=- cs(Cookie)== cs(Referer)=- cs-host= sc-status=500 sc-substatus=0 sc-win32-status=0 sc-bytes=3733 cs-bytes=90 time-taken=171 X-Forwarded-For=-| QRadar Feldname | Hervorgehobene Werte in den Ereignisnutzdaten |
|---|---|
| Ereignis-ID | 500 |
| Quellen-IP | 10.142.129.147 |
| Ziel-IP | 10.232.192.155 |
| Zielport | 444 |
Microsoft IIS Server-Beispielnachrichten bei Verwendung des Syslog-Protokolls
Beispiel 1: Die folgende Beispielereignisnachricht zeigt einen Konfigurationsfehler.
<13>Apr 17 08:55:56 microsoft.iis.test AgentDevice=WindowsLog AgentLogFile=Microsoft-IIS-Configuration/Administrative PluginVersion=7.2.9.105 Source=Microsoft-Windows-IIS-Configuration Computer=microsoft.iis.test OriginatingComputer=10.18.224.7 User=user Domain=domain EventID=12 EventIDCode=12 EventType=2 EventCategory=0 RecordNumber=380 TimeGenerated=1587124522 TimeWritten=1587124522 Level=Warning Keywords=0x8000000000000000 Task=None Opcode=Info Message=Unable to find schema for config section 'system.serviceModel/client'. This section will be ignored. | QRadar Feldname | Hervorgehobene Werte in den Ereignisnutzdaten |
|---|---|
| Ereignis-ID | 12 |
| Username | user |
| Quellen-IP | 10.18.224.7 |
| Einheitenzeit | Apr 17 08:55:56 wird aus den Feldern Datum und Zeit in QRadarextrahiert. |
Beispiel 2 : Die folgende Beispiel-Ereignismeldung zeigt, dass HTTP "Zugriff verweigert" aufgetreten ist.
<13>Oct 02 09:54:19 microsoft.iis.test IISWebLog 0 2020-10-02 14:53:31 10.0.10.51 CCM_POST /ccm_system_windowsauth/request - 80 - 10.0.0.23 ccmhttp - 401 2 5 1509 1| QRadar Feldname | Hervorgehobene Werte in den Ereignisnutzdaten |
|---|---|
| Ereignis-ID | 401 |
| Quellen-IP | 10.0.0.23 |
| Ziel-IP | 10.0.10.51 |
| Zielport | 80 |
| Einheitenzeit | Oct 02 09:54:19 wird aus den Feldern Datum und Zeit in QRadarextrahiert. |