Konfigurationsoptionen für Microsoft IAS-Protokollquellen

Verwenden Sie die Referenzinformationen, um das WinCollect -Plug-in für Microsoft IAS zu konfigurieren.

Tabelle 1 Unterstützte Windows-Version und Protokollformate
Microsoft IAS	Unterstützte Versionen
Unterstützung für Microsoft Windows	Windows Server 2019 Windows Server 2016 Windows Server 2012 R2
Protokollformate des NPS ® -Protokollservers	Datentransformationsservice Datenbankkonnektivität öffnen Internet-Authentifizierungsservice

Wichtig: WinCollect unterstützt keine Ereignisse, die auf einem Microsoft SQL Serverprotokolliert werden.

Microsoft IAS-Verzeichnisstruktur für die Ereigniserfassung

Die von WinCollect überwachten Ereignisprotokolle werden durch das Stammverzeichnis definiert, das Sie in Ihrer Protokollquelle konfigurieren sollten.

Wenn Sie ein Stammprotokollverzeichnis angeben, müssen Sie den WinCollect -Agenten auf den Ordner verweisen, der Ihre Microsoft IAS-oder NPS-Ereignisse enthält. Das Stammprotokollverzeichnis durchsucht Unterverzeichnisse nicht rekursiv nach Ereignisdateien.

Um die Leistung zu verbessern, können Sie einen Unterordner für Ihre IAS- und NPS-Ereignisprotokolle anlegen, z. B. \WINDOWS\System32\Logfiles\NPS. Wenn Sie einen bestimmten Ereignisordner erstellen, muss der Agent nicht viele Dateien auswerten, um Ihre Ereignisprotokolle zu lokalisieren.

Wenn Ihr System eine große Anzahl von IAS-oder NPS-Ereignissen generiert, können Sie Ihr Windows-System so konfigurieren, dass es täglich ein neues Ereignisprotokoll erstellt. Diese Aktion stellt sicher, dass Agenten keine großen Protokolle nach neuen Ereignissen durchsuchen.

Tabelle 2. Standardverzeichnisstruktur des Ereignisprotokolls für Microsoft IAS
Ereignisversion	Stammverzeichnis für Protokolle
Microsoft Windows Server 2019	\Windows\System32\Logfiles\
Microsoft Windows Server 2016	\Windows\System32\Logfiles\
Microsoft Windows Server 2012 R2	\Windows\System32\Logfiles\

Microsoft IAS-Protokollparameter

Tabelle 3. Microsoft IAS-Parameter
Parameter	Beschreibung
Protokollquellentyp	Microsoft IAS Server
Protokollkonfiguration	WinCollect Microsoft IAS/NPS
Lokales System	Um lokale Ereignisse zu erfassen, muss der WinCollect -Agent auf demselben Host wie Ihr Microsoft DHCP-Server installiert sein. Die Protokollquelle verwendet lokale Systemberechtigungsnachweise, um Ereignisse zu erfassen und an QRadar®weiterzuleiten.
Dateiüberwachungsrichtlinie	Die Option Benachrichtigungsbasiert (lokal) verwendet die Windows-Dateisystembenachrichtigungen, um Änderungen an Ihrem Ereignisprotokoll zu erkennen. Die Option Polling-basiert (fern) überwacht Änderungen an fernen Dateien und Verzeichnissen. Der Agent fragt das ferne Ereignisprotokoll ab und vergleicht die Datei mit dem letzten Abfrageintervall. Enthält das Ereignisprotokoll neue Ereignisse, wird das Ereignisprotokoll abgerufen.
Sendeaufrufintervall	Die Zeit zwischen Abfragen an das Stammprotokollverzeichnis für neue Ereignisse.