Squid Web Proxy 範例事件訊息
使用這些範例事件訊息來驗證與 IBM® QRadar®的成功整合。
重要事項: 由於格式化問題,請將訊息格式貼到文字編輯器中,然後移除任何換行字元。
Squid 使用 Syslog 通訊協定時的 Web Proxy 範例訊息
範例 1: 下列範例事件訊息顯示用戶端已發出無快取編譯指示。
<14>Apr 29 10:23:13 user2: Info: 1556526193.765 100020 172.16.0.1 TCP_CLIENT_REFRESH_MISS/-50 4499 GET http://www.test.test/xx/test "TEST\userx@test" DIRECT/test.test text/html DEFAULT_CASE_12-ASI_HTTP_Test-PSA_HTTP_NTLM-NONE-NONE-NONE-DefaultGroup <IW_fnnc,-3.0,0,"-",0,0,0,1,"-",-,-,-,"-",1,-,"-","-",-,-,IW_fnnc,-,"-","-","Unknown","Unknown","-","-",0.36,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-"> - 795 user2| QRadar 欄位名稱 | 事件有效負載中強調顯示的值 |
|---|---|
| 事件 ID | TCP_CLIENT_REFRESH_MISS |
| 來源 IP | 172.16.0.1 |
| 使用者名稱 | TEST\userx@test |
| 裝置時間 | Apr 29 10:23:13 |
範例 2: 下列範例事件訊息顯示拒絕存取。
<166>Jan 05 15:45:39 remotelogger: 1515079800.000 10.146.139.172 TCP_DENIED/407 2052 CONNECT phone.clients.example.com:443 - NONE/192.168.121.158 text/html| QRadar 欄位名稱 | 事件有效負載中強調顯示的值 |
|---|---|
| 事件 ID | TCP_DENIED |
| 來源 IP | 10.146.139.172 |
| 目的地 IP | 192.168.121.158 |
| 裝置時間 | Jan 05 15:45:39 |