Microsoft ISA günlük yapılanışı seçenekleri
Microsoft ISA ' nın desteklenen sürümleri
WinCollect için Microsoft ISA eklentisi aşağıdaki yazılım sürümlerini destekler:
- Microsoft ISA Server 2006
- Microsoft Forefront Threat Management Gateway 2010
Desteklenen Microsoft ISA ya da TMG sunucu günlüğü biçimleri
WinCollect , aşağıdaki olay günlüğü biçimlerini destekler:
- Web proxy günlükleri WC3 biçiminde (w3c_web)
- Microsoft güvenlik duvarı hizmet günlükleri WC3 biçiminde (w3c_fws)
- IIS biçimindeki Web Yetkili Sunucusu günlükleri (iis_web)
- IIS biçimindeki Microsoft güvenlik duvarı hizmet günlükleri (iis_fws)
W3C olay biçimi, tercih edilen olay günlüğü biçimidir. W3C biçimi, sürüm bilgileri ve olay bilgi yükünde beklenen tüm alanları içeren standart bir başlık içerir. Güvenlik duvarı hizmet günlüğü ve web yetkili günlüğü için W3C olay biçimini, olay günlüklerinden alan içermek ya da dışlamak için web sunucusu günlüğünü özelleştirebilirsiniz.
Çoğu yönetici varsayılan W3C biçim alanlarını kullanabilir. W3C biçimi özelleştirilirse, olayları doğru olarak kategorilere ayırmak için aşağıdaki alanlar gereklidir:
| Zorunlu alan | Açıklama |
|---|---|
| İstemci IP (c-ip) | Kaynak IP adresi. |
| İşlem | Güvenlik duvarı tarafından alınan işlem. |
| Hedef IP (r-ip) | Hedef IP adresi. |
| İletişim Kuralı (cs-iletişim kuralı) | Uygulama iletişim kuralı adı; örneğin, HTTP ya da FTP. |
| İstemci kullanıcı adı (cs-kullanıcı adı) | Güvenlik duvarı hizmetinin veri isteğini yapan Kullanıcı hesabı. |
| İstemci kullanıcı adı (kullanıcı adı) | Web yetkili sunucusu hizmetinin veri isteğini yapan kullanıcı hesabı. |
Olay derlemi için Microsoft ISA dizin yapısı
WinCollect tarafından izlenen olay günlükleri, günlük kaynağınızda yapılandırdığınız kök dizin tarafından tanımlanır.
Bir kök günlük dizini belirttiğinizde, WinCollect dizin klasörünü değerlendirir ve yinelemeli olarak, olay günlüğüne yeni olayların ne zaman yazılacağında saptamak için alt klasörleri arar. Varsayılan olarak, Microsoft ISA için WinCollect eklentisi, güncellenen olay günlüklerine ilişkin kök günlük dizinini her 5 saniyede bir günlüğe kaydeder.
| Sürüm | Kök Günlük Dizini |
|---|---|
| Microsoft ISA 2006 | %systemroot%\LogFiles\IAS\ |
| Microsoft Tehdit Yönetimi Ağ Geçidi | <Program Files>\<Forefront Directory>\ISALogs\ |
Microsoft ISA protokolü değiştirgeleri
| Parametre | Açıklama |
|---|---|
| Günlük kaynağı tipi | Microsoft ISA |
| İletişim Kuralı Yapılandırması | WinCollect Microsoft ISA/Forefront TMG |
| Yerel Sistem | Yerel olayları toplamak için, WinCollect aracısının Microsoft ISA ya da Forefront TMG sunucunuzla aynı anasistemde kurulu olması gerekir. Günlük kaynağı, olayları QRadar 'a toplamak ve iletmek için yerel sistem kimlik bilgilerini kullanır. |
| Kök Dizin | Uzak bir dosya yolu belirttiğinizde, sürücü adınızı göstermek için iki nokta üst üste (:) yerine bir dolar işareti ($) kullanın. Microsoft ISA 2006
Microsoft Tehdit Yönetimi Ağ Geçidi
|
| Dosya İzleme İlkesi | Bildirim tabanlı (yerel) seçeneği, olay günlüğünüzde yapılan değişiklikleri saptamak için Windows dosya sistemi bildirimlerini kullanır. Polling tabanlı (uzak) seçeneği, uzak dosya ve dizinlerde yapılan değişiklikleri izler. Aracı, uzak olay günlüğünü yokladı ve dosyayı son yoklama aralığıyla karşılaştırır. Olay günlüğünde yeni olaylar varsa, olay günlüğü alınır. |
| Yoklama Aralığı | Yeni olaylar için kök günlük dizinine sorgular arasındaki süre. |