IIS プロトコルを使用して QRadar® と通信するように Microsoft IIS プロトコルを構成できます。
Microsoft IIS プロトコルを使用して IBM® QRadar を構成する前に、正しいログ形式を生成するように Microsoft IIS サーバーを構成する必要があります。
Microsoft IIS プロトコルでは、W3C 拡張ログ・ファイル・フォーマットのみがサポートされています。Microsoft 認証プロトコル NTLMv2 セッションは、Microsoft IIS プロトコルではサポートされていません。
-
Microsoft インターネット・インフォメーション・サービス (IIS) マネージャーにログインします。
-
を展開します。
-
「Web サイト」を選択します。
-
「ログの記録」アイコンをダブルクリックします。
-
「ログ ファイル」ウィンドウからログ・ファイル・フォーマットとして「W3C」を選択します。
-
「フィールドの選択」プッシュボタンをクリックします。
-
プロパティーのリストから、以下の W3C プロパティーのチェック・ボックスを選択します。
表 1. IIS イベント・ログの必須プロパティー
|
IIS 6.0 の必須プロパティー
|
IIS 7.0/7.5 の必須プロパティー
|
IIS 8.0/8.5 の必須プロパティー
|
IIS 10 の必須プロパティー
|
| 日付 (date) |
日付 (date) |
日付 (date) |
日付 (date) |
| 時刻 (time) |
時刻 (time) |
時刻 (time) |
時刻 (time) |
| クライアント IP アドレス (c-ip) |
クライアント IP アドレス (c-ip) |
クライアント IP アドレス (c-ip) |
クライアント IP アドレス (c-ip) |
| ユーザー名 (cs-username) |
ユーザー名 (cs-username) |
ユーザー名 (cs-username) |
ユーザー名 (cs-username) |
| サーバー IP アドレス (s-ip) |
サーバー IP アドレス (s-ip) |
サーバー IP アドレス (s-ip) |
サーバー IP アドレス (s-ip) |
| サーバー ポート (s-port) |
サーバー ポート (s-port) |
サーバー ポート (s-port) |
サーバー ポート (s-port) |
| メソッド (cs-method) |
メソッド (cs-method) |
メソッド (cs-method) |
メソッド (cs-method) |
| URI Stem (cs-uri-stem) |
URI Stem (cs-uri-stem) |
URI Stem (cs-uri-stem) |
URI Stem (cs-uri-stem) |
| URI クエリ (cs-uri-query) |
URI クエリ (cs-uri-query) |
URI クエリ (cs-uri-query) |
URI クエリ (cs-uri-query) |
| プロトコル ステータス (sc-status) |
プロトコル ステータス (sc-status) |
プロトコル ステータス (sc-status) |
プロトコル ステータス (sc-status) |
| プロトコル バージョン (cs-version) |
ユーザー エージェント
(cs(User-Agent)) |
ユーザー エージェント
(cs(User-Agent)) |
ユーザー エージェント
(cs(User-Agent)) |
| ユーザー エージェント
(cs(User-Agent)) |
|
|
|
-
「OK」をクリックします。
-
右上隅にある「適用」をクリックします。
これで、QRadar でログ・ソースを構成する準備ができました。