Opzioni di configurazione dell'origine log Microsoft IAS
| Microsoft IAS | Versioni supportate |
|---|---|
| Supporto Microsoft Windows | Server Windows 2019 Server Windows 2016 Windows Server 2012 R2 |
| Formati di log del server di log NPS ® | Servizio di trasformazione dati Apri connettività database Servizio di autenticazione Internet |
Struttura di directory Microsoft IAS per la raccolta eventi
I log eventi monitorati da WinCollect sono definiti dalla directory root che è necessario configurare nell'origine log.
Quando si specifica una directory di log root, è necessario puntare l'agente WinCollect alla cartella che contiene gli eventi Microsoft IAS o NPS. La directory di log root non ricerca in modo ricorsivo i file di eventi nelle sottodirectory.
Per migliorare le prestazioni, è possibile creare una sottocartella per i log di eventi IAS e NPS, ad esempio, \WINDOWS\System32\Logfiles\NPS. Quando si crea una cartella eventi specifica, l'agente non deve valutare molti file per individuare i log eventi.
Se il sistema genera un numero elevato di eventi IAS o NPS, è possibile configurare il proprio sistema Windows per creare un nuovo log eventi ad intervalli giornalieri. Questa azione garantisce che gli agent non devono ricercare log di grandi dimensioni per nuovi eventi.
| Versione evento | Directory log root |
|---|---|
| Microsoft Windows Server 2019 | \Windows\System32\Logfiles\ |
| Microsoft Windows Server 2016 | \Windows\System32\Logfiles\ |
| Microsoft Windows Server 2012 R2 | \Windows\System32\Logfiles\ |
Parametri del protocollo Microsoft IAS
| Parametro | Descrizione |
|---|---|
| Tipo di origine log | Server Microsoft IAS |
| Configurazione protocollo | WinCollect Microsoft IAS / NPS |
| Sistema locale | Per raccogliere gli eventi locali, l'agente WinCollect deve essere installato sullo stesso host del server Microsoft DHCP. L'origine log utilizza credenziali del sistema locale per raccogliere e inoltrare eventi a QRadar®. |
| Politica di monitoraggio file | L'opzione Basata sulla notifica (locale) utilizza le notifiche del filesystem Windows per rilevare le modifiche al log eventi. L'opzione Basato sul polling (remoto) monitora le modifiche ai file e alle directory remoti. L'agent esegue il polling del log eventi remoto e confronta il file con l'ultimo intervallo di polling. Se il log eventi contiene nuovi eventi, viene richiamato il log eventi. |
| Intervallo di polling | La quantità di tempo tra le query alla directory di log root per nuovi eventi. |