Microsoft IIS サーバーのサンプル・イベント・メッセージ

これらのサンプル・イベント・メッセージを使用して、 IBM QRadarとの統合が正常に行われたことを確認します。

重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。

Microsoft IIS プロトコルを使用する場合の Microsoft IIS サーバー・サンプル・メッセージ

以下のサンプル・イベント・メッセージは、HTTP 500 内部サーバー・エラーが発生したことを示しています。

SourceIp=10.232.192.155	AgentDevice=MSIIS	AgentLogFile=u_extend1220_x.log	AgentLogFormat=W3C	date=2018-06-19	time=06:27:41	s-sitename=W3SVC2	s-computername=TESTTESTTEST012	s-ip=10.232.192.155	cs-method=GET	cs-uri-stem=/login.asp	cs-uri-query=-	s-port=444	cs-username=-	c-ip=10.142.129.147	cs-version=HTTP/1.0	cs(User-Agent)=-	cs(Cookie)==	cs(Referer)=-	cs-host=	sc-status=500	sc-substatus=0	sc-win32-status=0	sc-bytes=3733	cs-bytes=90	time-taken=171	X-Forwarded-For=-
表 1. QRadar イベント・ペイロード内のフィールド名と強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID 500
送信元 IP 10.142.129.147
宛先 IP 10.232.192.155
宛先ポート 444

Syslog プロトコルを使用する場合の Microsoft IIS サーバーのサンプル・メッセージ

サンプル 1: 以下のサンプル・イベント・メッセージは、構成エラーを示しています。

<13>Apr 17 08:55:56 microsoft.iis.test AgentDevice=WindowsLog	AgentLogFile=Microsoft-IIS-Configuration/Administrative	PluginVersion=7.2.9.105	Source=Microsoft-Windows-IIS-Configuration	Computer=microsoft.iis.test	OriginatingComputer=10.18.224.7	User=user	Domain=domain	EventID=12	EventIDCode=12	EventType=2	EventCategory=0	RecordNumber=380	TimeGenerated=1587124522	TimeWritten=1587124522	Level=Warning	Keywords=0x8000000000000000	Task=None	Opcode=Info	Message=Unable to find schema for config section 'system.serviceModel/client'. This section will be ignored.
表 2. QRadar イベント・ペイロード内のフィールド名と強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID 12
Username user
送信元 IP 10.18.224.7
デバイス時刻 Apr 17 08:55:56 は、 QRadar「日付」 フィールドと 「時刻」 フィールドから抽出されます。

サンプル 2: 以下のサンプル・イベント・メッセージは、HTTP 401 アクセス拒否エラーが発生したことを示しています。

<13>Oct 02 09:54:19 microsoft.iis.test IISWebLog	0	2020-10-02 14:53:31 10.0.10.51 CCM_POST /ccm_system_windowsauth/request - 80 - 10.0.0.23 ccmhttp - 401 2 5 1509 1
表 3. QRadar イベント・ペイロード内のフィールド名と強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID 401
送信元 IP 10.0.0.23
宛先 IP 10.0.10.51
宛先ポート 80
デバイス時刻 Oct 02 09:54:19 は、 QRadar「日付」 フィールドと 「時刻」 フィールドから抽出されます。