Przykładowe komunikaty zdarzeń serwera Microsoft IIS Server
Te przykładowe komunikaty zdarzeń umożliwiają zweryfikowanie pomyślnej integracji z produktem IBM® QRadar®.
Ważne: W związku z formatowaniem należy wkleić format komunikatu do edytora tekstu, a następnie usunąć znaki powrotu karetki lub znaki nowego wiersza.
Przykładowy komunikat serwera Microsoft IIS Server, gdy używany jest protokół Microsoft IIS
Poniższy przykładowy komunikat o zdarzeniu pokazuje, że wystąpił wewnętrzny błąd serwera HTTP 500.
SourceIp=10.232.192.155 AgentDevice=MSIIS AgentLogFile=u_extend1220_x.log AgentLogFormat=W3C date=2018-06-19 time=06:27:41 s-sitename=W3SVC2 s-computername=TESTTESTTEST012 s-ip=10.232.192.155 cs-method=GET cs-uri-stem=/login.asp cs-uri-query=- s-port=444 cs-username=- c-ip=10.142.129.147 cs-version=HTTP/1.0 cs(User-Agent)=- cs(Cookie)== cs(Referer)=- cs-host= sc-status=500 sc-substatus=0 sc-win32-status=0 sc-bytes=3733 cs-bytes=90 time-taken=171 X-Forwarded-For=-| QRadar Nazwa pola | Podświetlone wartości w ładunku zdarzenia |
|---|---|
| Identyfikator zdarzenia | 500 |
| Źródłowy adres IP | 10.142.129.147 |
| Docelowy adres IP | 10.232.192.155 |
| Port docelowy | 444 |
Przykładowe komunikaty serwera Microsoft IIS Server, gdy używany jest protokół Syslog
Przykład 1: W poniższym przykładowym komunikacie zdarzenia wyświetlany jest błąd konfiguracji.
<13>Apr 17 08:55:56 microsoft.iis.test AgentDevice=WindowsLog AgentLogFile=Microsoft-IIS-Configuration/Administrative PluginVersion=7.2.9.105 Source=Microsoft-Windows-IIS-Configuration Computer=microsoft.iis.test OriginatingComputer=10.18.224.7 User=user Domain=domain EventID=12 EventIDCode=12 EventType=2 EventCategory=0 RecordNumber=380 TimeGenerated=1587124522 TimeWritten=1587124522 Level=Warning Keywords=0x8000000000000000 Task=None Opcode=Info Message=Unable to find schema for config section 'system.serviceModel/client'. This section will be ignored. | QRadar Nazwa pola | Podświetlone wartości w ładunku zdarzenia |
|---|---|
| Identyfikator zdarzenia | 12 |
| Nazwa użytkownika | user |
| Źródłowy adres IP | 10.18.224.7 |
| Czas urządzenia | Produkt Apr 17 08:55:56 jest wyodrębniany z pól Data i Godzina w produkcie QRadar. |
Przykład 2: W poniższym komunikacie z przykładowym zdarzeniem wynika, że wystąpił błąd odmowy dostępu HTTP 401.
<13>Oct 02 09:54:19 microsoft.iis.test IISWebLog 0 2020-10-02 14:53:31 10.0.10.51 CCM_POST /ccm_system_windowsauth/request - 80 - 10.0.0.23 ccmhttp - 401 2 5 1509 1| QRadar Nazwa pola | Podświetlone wartości w ładunku zdarzenia |
|---|---|
| Identyfikator zdarzenia | 401 |
| Źródłowy adres IP | 10.0.0.23 |
| Docelowy adres IP | 10.0.10.51 |
| Port docelowy | 80 |
| Czas urządzenia | Produkt Oct 02 09:54:19 jest wyodrębniany z pól Data i Godzina w produkcie QRadar. |