Options de configuration du journal Microsoft ISA
Versions prises en charge de Microsoft ISA
Le plug-in Microsoft ISA pour WinCollect prend en charge les versions logicielles suivantes:
- Microsoft ISA Server 2006
- Microsoft Forefront Threat Management Gateway 2010
Formats de journal de serveur Microsoft ISA ou TMG pris en charge
WinCollect prend en charge les formats de journal des événements suivants:
- Journaux de proxy Web au format WC3 (w3c_web)
- Journaux de service de pare-feu Microsoft au format WC3 (w3c_fws)
- Journaux de proxy Web au format IIS (iis_web)
- Journaux de service de pare-feu Microsoft au format IIS (iis_fws)
Le format d'événement W3C est le format de journal d'événements préféré. Le format W3C contient un en-tête standard avec les informations de version et toutes les zones attendues dans le contenu de l'événement. Vous pouvez personnaliser le format d'événement W3C pour le journal de service de pare-feu et le journal de proxy Web pour inclure ou exclure des zones des journaux d'événements.
La plupart des administrateurs peuvent utiliser les zones de format W3C par défaut. Si le format W3C est personnalisé, les zones suivantes sont requises pour catégoriser correctement les événements :
| Zone requise | Descriptif |
|---|---|
| Adresse IP du client (c-ip) | Adresse IP source. |
| Opération | Action effectuée par le pare-feu. |
| Adresse IP de destination (r-ip) | Adresse IP de destination. |
| Protocole (cs-protocol) | Le nom du protocole d'application, par exemple HTTP ou FTP. |
| Nom d'utilisateur client (cs-username) | Compte utilisateur qui a fait la demande de données du service de pare-feu. |
| Nom d'utilisateur du client (nom d'utilisateur) | Compte utilisateur qui a fait la demande de données du service de proxy Web. |
Structure de répertoire Microsoft ISA pour la collecte d'événements
Les journaux d'événements surveillés par WinCollect sont définis par le répertoire racine que vous configurez dans votre source de journal.
Lorsque vous spécifiez un répertoire de journaux racine, WinCollect évalue le dossier du répertoire et effectue des recherches récursives dans les sous-dossiers pour déterminer quand de nouveaux événements sont écrits dans le journal des événements. Par défaut, le plug-in WinCollect pour Microsoft ISA interroge le répertoire racine des journaux d'événements mis à jour toutes les 5 secondes.
| Version | Répertoire de journaux racine |
|---|---|
| Microsoft ISA 2006 | %systemroot%\LogFiles\IAS\ |
| Passerelle de gestion des menaces Microsoft | <Program Files>\<Forefront Directory>\ISALogs\ |
Paramètres du protocole Microsoft ISA
| Paramètre | Descriptif |
|---|---|
| Type de source de journal | Microsoft ISA |
| Configuration du protocole | WinCollect TMG Microsoft ISA / Forefront |
| Système local | Pour collecter des événements locaux, l'agent WinCollect doit être installé sur le même hôte que votre serveur Microsoft ISA ou Forefront TMG. La source de journal utilise les données d'identification du système local pour collecter et transmettre des événements à QRadar. |
| Répertoire racine | Lorsque vous spécifiez un chemin de fichier distant, utilisez le signe dollar ($) au lieu du signe deux-points (:) pour représenter votre nom d'unité. Microsoft ISA 2006
Passerelle de gestion des menaces Microsoft
|
| Politique du moniteur de fichiers | L'option Notification-based (local) utilise les notifications du système de fichiers Windows pour détecter les modifications apportées à votre journal des événements. L'option Polling-based (remote) surveille les modifications apportées aux fichiers et répertoires distants. L'agent interroge le journal des événements distant et compare le fichier au dernier intervalle d'interrogation. Si le journal des événements contient de nouveaux événements, le journal des événements est extrait. |
| Intervalle d'interrogation | Durée entre les requêtes adressées au répertoire de journaux racine pour les nouveaux événements. |