Squid Web Proxy サンプル・イベント・メッセージ
これらのサンプル・イベント・メッセージを使用して、 IBM QRadarとの統合が正常に行われたことを確認します。
重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
Syslog プロトコルを使用する場合の Squid Web Proxy サンプル・メッセージ
サンプル 1: 以下のサンプル・イベント・メッセージは、クライアントが no-cache pragma を発行したことを示しています。
<14>Apr 29 10:23:13 user2: Info: 1556526193.765 100020 172.16.0.1 TCP_CLIENT_REFRESH_MISS/-50 4499 GET http://www.test.test/xx/test "TEST\userx@test" DIRECT/test.test text/html DEFAULT_CASE_12-ASI_HTTP_Test-PSA_HTTP_NTLM-NONE-NONE-NONE-DefaultGroup <IW_fnnc,-3.0,0,"-",0,0,0,1,"-",-,-,-,"-",1,-,"-","-",-,-,IW_fnnc,-,"-","-","Unknown","Unknown","-","-",0.36,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-"> - 795 user2| QRadarフィールド名 | イベント・ペイロードで強調表示される値 |
|---|---|
| イベント ID | TCP_CLIENT_REFRESH_MISS |
| 送信元 IP | 172.16.0.1 |
| Username | TEST\userx@test |
| デバイス時刻 | Apr 29 10:23:13 |
サンプル 2: 以下のサンプル・イベント・メッセージは、アクセスが拒否されたことを示しています。
<166>Jan 05 15:45:39 remotelogger: 1515079800.000 10.146.139.172 TCP_DENIED/407 2052 CONNECT phone.clients.example.com:443 - NONE/192.168.121.158 text/html| QRadarフィールド名 | イベント・ペイロードで強調表示される値 |
|---|---|
| イベント ID | TCP_DENIED |
| 送信元 IP | 10.146.139.172 |
| 宛先 IP | 192.168.121.158 |
| デバイス時刻 | Jan 05 15:45:39 |