Microsoft IIS Server 样本事件消息
使用这些样本事件消息来验证是否成功与 IBM QRadar集成。
重要信息: 由于格式化问题,请将消息格式粘贴到文本编辑器中,然后除去任何回车符或换行符。
使用 Microsoft IIS 协议时的 Microsoft IIS Server 样本消息
以下示例事件消息表明HTTP 内部服务器错误。
SourceIp=10.232.192.155 AgentDevice=MSIIS AgentLogFile=u_extend1220_x.log AgentLogFormat=W3C date=2018-06-19 time=06:27:41 s-sitename=W3SVC2 s-computername=TESTTESTTEST012 s-ip=10.232.192.155 cs-method=GET cs-uri-stem=/login.asp cs-uri-query=- s-port=444 cs-username=- c-ip=10.142.129.147 cs-version=HTTP/1.0 cs(User-Agent)=- cs(Cookie)== cs(Referer)=- cs-host= sc-status=500 sc-substatus=0 sc-win32-status=0 sc-bytes=3733 cs-bytes=90 time-taken=171 X-Forwarded-For=-| QRadar 字段名称 | 事件有效内容中突出显示的值 |
|---|---|
| 事件标识 | 500 |
| 源 IP | 10.142.129.147 |
| 目标 IP | 10.232.192.155 |
| 目标端口 | 444 |
使用 Syslog 协议时的 Microsoft IIS Server 样本消息
样本 1: 以下样本事件消息显示配置错误。
<13>Apr 17 08:55:56 microsoft.iis.test AgentDevice=WindowsLog AgentLogFile=Microsoft-IIS-Configuration/Administrative PluginVersion=7.2.9.105 Source=Microsoft-Windows-IIS-Configuration Computer=microsoft.iis.test OriginatingComputer=10.18.224.7 User=user Domain=domain EventID=12 EventIDCode=12 EventType=2 EventCategory=0 RecordNumber=380 TimeGenerated=1587124522 TimeWritten=1587124522 Level=Warning Keywords=0x8000000000000000 Task=None Opcode=Info Message=Unable to find schema for config section 'system.serviceModel/client'. This section will be ignored. | QRadar 字段名称 | 事件有效内容中突出显示的值 |
|---|---|
| 事件标识 | 12 |
| 用户名 | user |
| 源 IP | 10.18.224.7 |
| 设备时间 | Apr 17 08:55:56 是从 QRadar中的 日期 和 时间 字段中抽取的。 |
示例 2: 以下示例事件消息显示发生了 HTTP 访问被拒绝错误。
<13>Oct 02 09:54:19 microsoft.iis.test IISWebLog 0 2020-10-02 14:53:31 10.0.10.51 CCM_POST /ccm_system_windowsauth/request - 80 - 10.0.0.23 ccmhttp - 401 2 5 1509 1| QRadar 字段名称 | 事件有效内容中突出显示的值 |
|---|---|
| 事件标识 | 401 |
| 源 IP | 10.0.0.23 |
| 目标 IP | 10.0.10.51 |
| 目标端口 | 80 |
| 设备时间 | Oct 02 09:54:19 是从 QRadar中的 日期 和 时间 字段中抽取的。 |