Mensajes de suceso de ejemplo de proxy web Squid
Utilice estos mensajes de suceso de ejemplo para verificar una integración satisfactoria con IBM QRadar.
Importante: Debido a problemas de formato, pegue el formato de mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.
Mensajes de ejemplo de proxy web de Squid cuando se utiliza el protocolo Syslog
Ejemplo 1: El siguiente mensaje de suceso de ejemplo muestra que un cliente ha emitido una directiva pragma sin memoria caché.
<14>Apr 29 10:23:13 user2: Info: 1556526193.765 100020 172.16.0.1 TCP_CLIENT_REFRESH_MISS/-50 4499 GET http://www.test.test/xx/test "TEST\userx@test" DIRECT/test.test text/html DEFAULT_CASE_12-ASI_HTTP_Test-PSA_HTTP_NTLM-NONE-NONE-NONE-DefaultGroup <IW_fnnc,-3.0,0,"-",0,0,0,1,"-",-,-,-,"-",1,-,"-","-",-,-,IW_fnnc,-,"-","-","Unknown","Unknown","-","-",0.36,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-"> - 795 user2| QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| ID de suceso | TCP_CLIENT_REFRESH_MISS |
| IP de origen | 172.16.0.1 |
| Nombre de usuario | TEST\userx@test |
| Hora de dispositivo | Apr 29 10:23:13 |
Ejemplo 2: El siguiente mensaje de suceso de ejemplo muestra que se ha denegado el acceso.
<166>Jan 05 15:45:39 remotelogger: 1515079800.000 10.146.139.172 TCP_DENIED/407 2052 CONNECT phone.clients.example.com:443 - NONE/192.168.121.158 text/html| QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| ID de suceso | TCP_DENIED |
| IP de origen | 10.146.139.172 |
| IP de destino | 192.168.121.158 |
| Hora de dispositivo | Jan 05 15:45:39 |