Konfigurationsoptionen für Microsoft ISA-Protokolle
Unterstützte Versionen von Microsoft ISA
Das Microsoft ISA-Plug-in für WinCollect unterstützt die folgenden Softwareversionen:
- Microsoft ISA Server 2006
- Microsoft Forefront Threat Management Gateway 2010
Unterstützte Protokollformate für Microsoft ISA oder TMG-Server
WinCollect unterstützt die folgenden Ereignisprotokollformate:
- Web-Proxy-Protokolle im Format WC3 (w3c_web)
- Microsoft-Firewall-Serviceprotokolle im Format WC3 (w3c_fws)
- Web-Proxy-Protokolle im IIS-Format (iis_web)
- Microsoft-Firewallserviceprotokolle im IIS-Format (iis_fws)
Das W3C -Ereignisformat ist das bevorzugte Ereignisprotokollformat. Das W3C -Format enthält eine Standardüberschrift mit den Versionsinformationen und allen Feldern, die in den Ereignisnutzdaten erwartet werden. Sie können das W3C -Ereignisformat für das Firewall-Serviceprotokoll und das Web-Proxy-Protokoll anpassen, um Felder in den Ereignisprotokollen ein-oder auszuschließen.
Die meisten Administratoren können die Standardfelder im W3C -Format verwenden. Wenn das Format W3C angepasst ist, sind die folgenden Felder erforderlich, um Ereignisse ordnungsgemäß zu kategorisieren:
| Erforderliches Feld | Beschreibung |
|---|---|
| Client-IP-Adresse (c-ip) | Die Quellen-IP-Adresse. |
| Aktion | Aktion, die von der Firewall ausgeführt wird. |
| Ziel-IP (r-ip) | Die Ziel-IP-Adresse. |
| Protokoll (cs-protocol) | Der Name des Anwendungsprotokolls, z. B. HTTP oder FTP. |
| Clientbenutzername (cs-username) | Der Benutzeraccount, der die Datenanforderung des Firewallservice gestellt hat |
| Clientbenutzername (Benutzername) | Der Benutzeraccount, der die Datenanforderung des Web-Proxy-Service gestellt hat |
Microsoft ISA-Verzeichnisstruktur für Ereigniserfassung
Die von WinCollect überwachten Ereignisprotokolle werden durch das Stammverzeichnis definiert, das Sie in Ihrer Protokollquelle konfigurieren.
Wenn Sie ein Protokollstammverzeichnis angeben, wertet WinCollect den Verzeichnisordner aus und durchsucht die Unterordner rekursiv, um festzustellen, wann neue Ereignisse in das Ereignisprotokoll geschrieben werden. Standardmäßig fragt das WinCollect -Plug-in für Microsoft ISA das Stammverzeichnis für aktualisierte Ereignisprotokolle alle 5 Sekunden ab.
| Version | Stammverzeichnis für Protokolle |
|---|---|
| Microsoft ISA 2006 | %systemroot%\LogFiles\IAS\ |
| Microsoft Threat Management Gateway | <Program Files>\<Forefront Directory>\ISALogs\ |
Microsoft ISA-Protokollparameter
| Parameter | Beschreibung |
|---|---|
| Protokollquellentyp | Microsoft ISA |
| Protokollkonfiguration | WinCollect Microsoft ISA/Forefront TMG |
| Lokales System | Damit lokale Ereignisse erfasst werden können, muss der WinCollect -Agent auf demselben Host installiert sein wie Ihr Microsoft ISA-oder Forefront TMG-Server. Die Protokollquelle verwendet lokale Systemberechtigungsnachweise, um Ereignisse zu erfassen und an QRadarweiterzuleiten. |
| Stammverzeichnis | Wenn Sie einen fernen Dateipfad angeben, verwenden Sie ein Dollarzeichen ($) anstelle eines Doppelpunkts (:), um Ihren Laufwerknamen darzustellen. Microsoft ISA 2006
Microsoft Threat Management Gateway
|
| Dateiüberwachungsrichtlinie | Die Option Benachrichtigungsbasiert (lokal) verwendet die Windows-Dateisystembenachrichtigungen, um Änderungen an Ihrem Ereignisprotokoll zu erkennen. Die Option Polling-basiert (fern) überwacht Änderungen an fernen Dateien und Verzeichnissen. Der Agent fragt das ferne Ereignisprotokoll ab und vergleicht die Datei mit dem letzten Abfrageintervall. Enthält das Ereignisprotokoll neue Ereignisse, wird das Ereignisprotokoll abgerufen. |
| Sendeaufrufintervall | Die Zeit zwischen Abfragen an das Stammprotokollverzeichnis für neue Ereignisse. |