Opzioni di configurazione del log ISA di Microsoft
Versioni supportate di Microsoft ISA
Il plug-in Microsoft ISA per WinCollect supporta le seguenti versioni software:
- Microsoft ISA Server 2006
- Microsoft Forefront Threat Management Gateway 2010
Formati di log del server Microsoft ISA o TMG supportati
WinCollect supporta i seguenti formati di log eventi:
- Log del proxy web in formato WC3 (w3c_web)
- Log del servizio firewall Microsoft in formato WC3 (w3c_fws)
- Log del proxy Web in formato IIS (iis_web)
- Log del servizio firewall Microsoft in formato IIS (iis_fws)
Il formato dell'evento W3C è il formato del log eventi preferito. Il formato W3C contiene un'intestazione standard con le informazioni sulla versione e tutti i campi previsti nel payload eventi. È possibile personalizzare il formato evento W3C per il log del servizio firewall e il log del proxy Web per includere o escludere i campi dai log eventi.
La maggior parte degli amministratori può utilizzare i campi di formato W3C predefiniti. Se il formato W3C è personalizzato, i seguenti campi sono obbligatori per categorizzare correttamente gli eventi:
| Campo obbligatorio | Descrizione |
|---|---|
| IP client (c-ip) | L'indirizzo IP di origine. |
| Azione | Azione eseguita dal firewall. |
| IP di destinazione (r-ip) | L'indirizzo IP di destinazione. |
| Protocollo (cs-protocol) | Il nome del protocollo dell'applicazione, ad esempio HTTP o FTP. |
| Nome utente client (cs-username) | L'account utente che ha effettuato la richiesta di dati del servizio firewall. |
| Nome utente client (nome utente) | L'account dell'utente che ha effettuato la richiesta di dati del servizio proxy Web. |
Struttura di directory Microsoft ISA per la raccolta eventi
I log eventi monitorati da WinCollect vengono definiti dalla directory root configurata nell'origine log.
Quando si specifica una directory di log root, WinCollect valuta la cartella della directory e ricerca in modo ricorsivo le sottocartelle per determinare quando vengono scritti nuovi eventi nel log eventi. Per impostazione predefinita, il plug-in di WinCollect per Microsoft ISA esegue il polling della directory di log root per i log di eventi aggiornati ogni 5 secondi.
| Versione | Directory log root |
|---|---|
| ISA Microsoft 2006 | %systemroot%\LogFiles\IAS\ |
| Gateway di gestione minacce Microsoft | <Program Files>\<Forefront Directory>\ISALogs\ |
Parametri del protocollo Microsoft ISA
| Parametro | Descrizione |
|---|---|
| Tipo di origine log | ISA Microsoft |
| Configurazione protocollo | WinCollect Microsoft ISA / Forefront TMG |
| Sistema locale | Per raccogliere gli eventi locali, l'agente WinCollect deve essere installato sullo stesso host del server Microsoft ISA o Forefront TMG. L'origine log usa le credenziali del sistema locale per raccogliere e inoltrare gli eventi a QRadar. |
| Directory root | Quando si specifica un percorso file remoto, utilizzare il simbolo del dollaro, $, invece dei due punti:, per rappresentare il nome dell'unità. ISA Microsoft 2006
Gateway di gestione minacce Microsoft
|
| Politica di monitoraggio file | L'opzione Basata sulla notifica (locale) utilizza le notifiche del filesystem Windows per rilevare le modifiche al log eventi. L'opzione Basato sul polling (remoto) monitora le modifiche ai file e alle directory remoti. L'agent esegue il polling del log eventi remoto e confronta il file con l'ultimo intervallo di polling. Se il log eventi contiene nuovi eventi, viene richiamato il log eventi. |
| Intervallo di polling | La quantità di tempo tra le query alla directory di log root per nuovi eventi. |