Mensajes de sucesos de ejemplo de Microsoft IIS Server
Utilice estos mensajes de suceso de ejemplo para verificar una integración satisfactoria con IBM QRadar.
Importante: Debido a problemas de formato, pegue el formato de mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.
Mensaje de ejemplo de Microsoft IIS Server cuando se utiliza el protocolo Microsoft IIS
El siguiente ejemplo de mensaje de evento muestra que se ha producido un error HTTP 500 interno del servidor.
SourceIp=10.232.192.155 AgentDevice=MSIIS AgentLogFile=u_extend1220_x.log AgentLogFormat=W3C date=2018-06-19 time=06:27:41 s-sitename=W3SVC2 s-computername=TESTTESTTEST012 s-ip=10.232.192.155 cs-method=GET cs-uri-stem=/login.asp cs-uri-query=- s-port=444 cs-username=- c-ip=10.142.129.147 cs-version=HTTP/1.0 cs(User-Agent)=- cs(Cookie)== cs(Referer)=- cs-host= sc-status=500 sc-substatus=0 sc-win32-status=0 sc-bytes=3733 cs-bytes=90 time-taken=171 X-Forwarded-For=-| QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| ID de suceso | 500 |
| IP de origen | 10.142.129.147 |
| IP de destino | 10.232.192.155 |
| Puerto de destino | 444 |
Mensajes de ejemplo de Microsoft IIS Server cuando se utiliza el protocolo Syslog
Ejemplo 1: El siguiente mensaje de suceso de ejemplo muestra un error de configuración.
<13>Apr 17 08:55:56 microsoft.iis.test AgentDevice=WindowsLog AgentLogFile=Microsoft-IIS-Configuration/Administrative PluginVersion=7.2.9.105 Source=Microsoft-Windows-IIS-Configuration Computer=microsoft.iis.test OriginatingComputer=10.18.224.7 User=user Domain=domain EventID=12 EventIDCode=12 EventType=2 EventCategory=0 RecordNumber=380 TimeGenerated=1587124522 TimeWritten=1587124522 Level=Warning Keywords=0x8000000000000000 Task=None Opcode=Info Message=Unable to find schema for config section 'system.serviceModel/client'. This section will be ignored. | QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| ID de suceso | 12 |
| Nombre de usuario | user |
| IP de origen | 10.18.224.7 |
| Hora de dispositivo | Apr 17 08:55:56 se extrae de los campos Fecha y Hora en QRadar. |
Ejemplo 2: El siguiente ejemplo de mensaje de evento muestra que se ha producido un error HTTP 401 de acceso denegado.
<13>Oct 02 09:54:19 microsoft.iis.test IISWebLog 0 2020-10-02 14:53:31 10.0.10.51 CCM_POST /ccm_system_windowsauth/request - 80 - 10.0.0.23 ccmhttp - 401 2 5 1509 1| QRadar Nombre del campo de | Valores resaltados en la carga útil del suceso |
|---|---|
| ID de suceso | 401 |
| IP de origen | 10.0.0.23 |
| IP de destino | 10.0.10.51 |
| Puerto de destino | 80 |
| Hora de dispositivo | Oct 02 09:54:19 se extrae de los campos Fecha y Hora en QRadar. |