Messaggi di evento di esempio di Microsoft IIS Server
Utilizzare questi messaggi di evento di esempio per verificare una corretta integrazione con IBM QRadar.
Importante: a causa di problemi di formattazione, incollare il formato del messaggio in un editor di testo e quindi rimuovere i caratteri di ritorno a capo o di avanzamento riga.
Messaggio di esempio di Microsoft IIS Server quando si utilizza il protocollo Microsoft IIS
Il seguente messaggio di evento esemplificativo mostra che si è verificato un errore interno del server HTTP 500.
SourceIp=10.232.192.155 AgentDevice=MSIIS AgentLogFile=u_extend1220_x.log AgentLogFormat=W3C date=2018-06-19 time=06:27:41 s-sitename=W3SVC2 s-computername=TESTTESTTEST012 s-ip=10.232.192.155 cs-method=GET cs-uri-stem=/login.asp cs-uri-query=- s-port=444 cs-username=- c-ip=10.142.129.147 cs-version=HTTP/1.0 cs(User-Agent)=- cs(Cookie)== cs(Referer)=- cs-host= sc-status=500 sc-substatus=0 sc-win32-status=0 sc-bytes=3733 cs-bytes=90 time-taken=171 X-Forwarded-For=-| QRadar Nome campo | Valori evidenziati nel payload eventi |
|---|---|
| ID evento | 500 |
| IP di origine | 10.142.129.147 |
| IP di destinazione | 10.232.192.155 |
| Porta di destinazione | 444 |
Messaggi di esempio di Microsoft IIS Server quando si utilizza il protocollo Syslog
Esempio 1: il seguente messaggio di evento di esempio mostra un errore di configurazione.
<13>Apr 17 08:55:56 microsoft.iis.test AgentDevice=WindowsLog AgentLogFile=Microsoft-IIS-Configuration/Administrative PluginVersion=7.2.9.105 Source=Microsoft-Windows-IIS-Configuration Computer=microsoft.iis.test OriginatingComputer=10.18.224.7 User=user Domain=domain EventID=12 EventIDCode=12 EventType=2 EventCategory=0 RecordNumber=380 TimeGenerated=1587124522 TimeWritten=1587124522 Level=Warning Keywords=0x8000000000000000 Task=None Opcode=Info Message=Unable to find schema for config section 'system.serviceModel/client'. This section will be ignored. | QRadar Nome campo | Valori evidenziati nel payload eventi |
|---|---|
| ID evento | 12 |
| Nome utente | user |
| IP di origine | 10.18.224.7 |
| Ora periferica | Apr 17 08:55:56 viene estratto dai campi Data e Ora in QRadar. |
Esempio 2: Il seguente messaggio di evento mostra che si è verificato un errore HTTP 401 accesso negato.
<13>Oct 02 09:54:19 microsoft.iis.test IISWebLog 0 2020-10-02 14:53:31 10.0.10.51 CCM_POST /ccm_system_windowsauth/request - 80 - 10.0.0.23 ccmhttp - 401 2 5 1509 1| QRadar Nome campo | Valori evidenziati nel payload eventi |
|---|---|
| ID evento | 401 |
| IP di origine | 10.0.0.23 |
| IP di destinazione | 10.0.10.51 |
| Porta di destinazione | 80 |
| Ora periferica | Oct 02 09:54:19 viene estratto dai campi Data e Ora in QRadar. |