Opcje konfiguracji źródła dziennika Microsoft IAS

Użyj informacji dodatkowych, aby skonfigurować wtyczkę WinCollect dla Microsoft IAS.

Tabela 1. Obsługiwane wersje systemu Windows i formaty dziennika
Microsoft IAS	obsługiwane wersje
Obsługa systemu Microsoft Windows	Windows Server 2019 Windows Server 2016 Windows Server 2012 R2
Formaty dziennika serwera dziennika NPS ®	Usługa transformacji danych Otwórz połączenie z bazą danych Usługa uwierzytelniania internetowego

Ważne: WinCollect nie obsługuje zdarzeń, które są rejestrowane na serwerze Microsoft SQL Server.

Struktura katalogów Microsoft IAS dla kolekcji zdarzeń

Dzienniki zdarzeń, które są monitorowane przez program WinCollect , są definiowane przez katalog główny, który powinien zostać skonfigurowany w źródle dziennika.

W przypadku określenia katalogu głównego dziennika należy wskazać agenta WinCollect do folderu zawierającego zdarzenia Microsoft IAS lub NPS. Katalog główny dziennika nie zawiera rekurencyjnych podkatalogów dla plików zdarzeń.

Aby zwiększyć wydajność, można utworzyć podfolder dla dzienników zdarzeń IAS i NPS, na przykład \WINDOWS\System32\Logfiles\NPS. Podczas tworzenia konkretnego folderu zdarzeń agent nie musi wartościować wielu plików w celu zlokalizowania dzienników zdarzeń.

Jeśli system generuje dużą liczbę zdarzeń IAS lub NPS, można skonfigurować system Windows w taki sposób, aby tworzył nowy dziennik zdarzeń w codziennych odstępach czasu. To działanie zapewnia, że agenty nie będą musiały przeszukiwać dużych dzienników pod kątem nowych zdarzeń.

Tabela 2. Domyślna struktura katalogów dziennika zdarzeń dla Microsoft IAS
Wersja zdarzenia	Katalog dzienników głównych
Microsoft Windows Server 2019	\Windows\System32\Logfiles\
Microsoft Windows Server 2016	\Windows\System32\Logfiles\
Microsoft Windows Server 2012 R2	\Windows\System32\Logfiles\

Parametry protokołu Microsoft IAS

Tabela 3. Parametry Microsoft IAS
Parametr	Opis
Typ źródła dziennika	Microsoft IAS Server
Konfiguracja protokołu	WinCollect Microsoft IAS/NPS
System lokalny	Aby możliwe było gromadzenie zdarzeń lokalnych, agent WinCollect musi być zainstalowany na tym samym hoście, co serwer DHCP firmy Microsoft. Źródło dziennika używa informacji autoryzacyjnych systemu lokalnego do gromadzenia i przekazywania zdarzeń do systemu QRadar ®.
Strategia monitora plików	Opcja Powiadomienie oparte na powiadomieniu (lokalne) korzysta z powiadomień systemu plików Windows w celu wykrycia zmian w dzienniku zdarzeń. Opcja Polling-based (remote) monitoruje zmiany w zdalnych plikach i katalogach. Agent odpytuje zdalny dziennik zdarzeń i porównuje ten plik z ostatnim odstępem czasu odpytywania. Jeśli dziennik zdarzeń zawiera nowe zdarzenia, dziennik zdarzeń jest pobierany.
Odstęp odpytywania	Ilość czasu między zapytaniami do głównego katalogu dzienników dla nowych zdarzeń.