Opcje konfiguracji dziennika Microsoft ISA
Obsługiwane wersje programu Microsoft ISA
Wtyczka Microsoft ISA dla programu WinCollect obsługuje następujące wersje oprogramowania:
- Microsoft ISA Server 2006
- Microsoft Forefront Threat Management Gateway 2010
Obsługiwane formaty dziennika serwera Microsoft ISA lub TMG
Program WinCollect obsługuje następujące formaty dziennika zdarzeń:
- Dzienniki proxy WWW w formacie WC3 (w3c_web)
- Dzienniki usługi firewall firmy Microsoft w formacie WC3 (w3c_fws)
- Dzienniki serwera proxy WWW w formacie IIS (iis_web)
- Dzienniki usługi firewall firmy Microsoft w formacie IIS (iis_fws)
Format zdarzenia W3C jest preferowanym formatem dziennika zdarzeń. Format W3C zawiera standardowy nagłówek z informacjami o wersji i wszystkimi polami, które są oczekiwane w ładunku zdarzenia. Istnieje możliwość dostosowania formatu zdarzeń W3C dla dziennika usługi firewalla oraz dziennika proxy WWW w celu uwzględnienia lub wykluczenia pól z dzienników zdarzeń.
Większość administratorów może korzystać z domyślnych pól formatu W3C . Jeśli format W3C jest dostosowany, do poprawnego klasyfikowania zdarzeń wymagane są następujące pola:
| Pole wymagane | Opis |
|---|---|
| IP klienta (c-ip) | Źródłowy adres IP. |
| Działanie | Działanie, które jest podejmowane przez firewall. |
| Docelowy adres IP (r-ip) | Docelowy adres IP. |
| Protokół (cs-protocol) | Nazwa protokołu aplikacji, na przykład HTTP lub FTP. |
| Nazwa użytkownika klienta (cs-username) | Konto użytkownika, które udostępniło żądanie danych usługi firewall. |
| Nazwa użytkownika klienta (nazwa użytkownika) | Konto użytkownika, które udostępniło żądanie danych usługi proxy WWW. |
Struktura katalogów Microsoft ISA dla kolekcji zdarzeń
Dzienniki zdarzeń, które są monitorowane przez program WinCollect , są definiowane przez katalog główny skonfigurowany w źródle dziennika.
Jeśli zostanie określony katalog główny dziennika, WinCollect wartościuje folder katalogu i rekurencyjnie przeszukuje podfoldery, aby określić, kiedy nowe zdarzenia są zapisywane w dzienniku zdarzeń. Domyślnie wtyczka WinCollect dla programu Microsoft ISA odpytuje katalog główny dziennika dla aktualizowanych dzienników zdarzeń co 5 sekund.
| Wersja | Katalog dzienników głównych |
|---|---|
| Microsoft ISA 2006 | %systemroot%\LogFiles\IAS\ |
| Microsoft Threat Management Gateway | <Program Files>\<Forefront Directory>\ISALogs\ |
Parametry protokołu Microsoft ISA
| Parametr | Opis |
|---|---|
| Typ źródła dziennika | Microsoft ISA |
| Konfiguracja protokołu | WinCollect Microsoft ISA/Forefront TMG |
| System lokalny | Aby możliwe było gromadzenie zdarzeń lokalnych, agent WinCollect musi być zainstalowany na tym samym hoście, co serwer Microsoft ISA lub Forefront TMG. Źródło dziennika używa informacji autoryzacyjnych systemu lokalnego do gromadzenia i przekazywania zdarzeń do systemu QRadar. |
| Katalog główny | Jeśli zostanie określona ścieżka do pliku zdalnego, należy użyć znaku dolara ($) zamiast dwukropka (:), aby określić nazwę napędu. Microsoft ISA 2006
Microsoft Threat Management Gateway
|
| Strategia monitora plików | Opcja Powiadomienie oparte na powiadomieniu (lokalne) korzysta z powiadomień systemu plików Windows w celu wykrycia zmian w dzienniku zdarzeń. Opcja Polling-based (remote) monitoruje zmiany w zdalnych plikach i katalogach. Agent odpytuje zdalny dziennik zdarzeń i porównuje ten plik z ostatnim odstępem czasu odpytywania. Jeśli dziennik zdarzeń zawiera nowe zdarzenia, dziennik zdarzeń jest pobierany. |
| Odstęp odpytywania | Ilość czasu między zapytaniami do głównego katalogu dzienników dla nowych zdarzeń. |