Paramètres de source de journal Microsoft IIS pour Microsoft IIS Server

Si QRadar ne détecte pas automatiquement la source du journal, ajoutez une source de journal Microsoft IIS Server à QRadar Console à l'aide du protocole Microsoft IIS.

Lorsque vous utilisez le protocole Microsoft IIS, vous devez utiliser des paramètres spécifiques.

Remarque : pour plus d'informations sur l'installation de SMB Trail et des protocoles dépendants, voir Installation de SMB Tail et des protocoles dépendants.

Le tableau suivant décrit les paramètres qui requièrent des valeurs spécifiques pour collecter les événements Microsoft IIS à partir de Microsoft IIS Server :

Tableau 1. Paramètres de source de journal Microsoft IIS pour le DSM Microsoft IIS Server
Paramètre	Valeur
Log Source type	Microsoft IIS Server
Protocol Configuration	Microsoft IIS
Log Source Identifier	Entrez l'adresse IP ou le nom d'hôte de la source de journal.
File Pattern	Entrez l'expression régulière (regex) nécessaire pour filtrer les noms de fichier. Tous les fichiers correspondants sont inclus dans le traitement. La valeur par défaut est `(?:u_)?ex.*\.(?:log\|LOG)`. Par exemple, pour répertorier tous les fichiers commençant par le journal des mots, suivis d'un ou de plusieurs chiffres et se terminant par tar.gz, utilisez l'entrée suivante: `log[0-9]+\.tar\.gz`. L'utilisation de ce paramètre nécessite une connaissance des expressions régulières (regex). Pour plus d'informations, consultez le site Web suivant : http://download.oracle.com/javase/tutorial/essential/regex/

Pour une liste complète des paramètres du protocole Microsoft IIS et de leurs valeurs, voir les options de configuration du protocole Microsoft IIS.