Microsoft IIS-Server
Der Microsoft Internet Information Services (IIS) Server DSM für JSA akzeptiert FTP-, HTTP-, NNTP- und SMTP-Ereignisse mithilfe von Syslog.
Sie können einen Microsoft IIS-Server mit einer der folgenden Methoden in JSA integrieren:
Konfigurieren Sie JSA so, dass über das IIS-Protokoll eine Verbindung mit Ihrem Microsoft IIS-Server hergestellt wird. Das IIS-Protokoll sammelt HTTP-Ereignisse von Microsoft IIS-Servern. Weitere Informationen finden Sie unter Konfigurieren von Microsoft IIS mithilfe des IIS-Protokolls.
Konfigurieren Sie WinCollect so, dass IIS-Ereignisse an JSA weitergeleitet werden.
Weitere Informationen finden Sie im WinCollect-Benutzerhandbuch für Juniper Secure Analytics.
Version |
Unterstützter Protokolltyp |
Methode des Imports |
|---|---|---|
Microsoft IIS 6.0 |
HTTP (HTTP) |
IIS-Protokoll |
Microsoft IIS 6.0 |
SMTP, NNTP, FTP, HTTP |
WinCollect oder Snare |
Microsoft IIS 10.0 |
HTTP (HTTP) |
IIS-Protokoll |
Microsofy IIS 10.0 |
SMTP, NNTP, FTP, HTTP |
WinCollect oder Snare |
Konfigurieren von Microsoft IIS mithilfe des IIS-Protokolls
Sie können das Microsoft IIS-Protokoll für die Kommunikation mit JSA mithilfe des IIS-Protokolls konfigurieren.
Bevor Sie JSA mit dem Microsoft IIS-Protokoll konfigurieren, müssen Sie Ihren Microsoft IIS-Server so konfigurieren, dass das richtige Protokollformat generiert wird.
Das Microsoft IIS-Protokoll unterstützt nur das erweiterte Protokolldateiformat W3C.
So konfigurieren Sie das W3C-Ereignisprotokollformat in Microsoft IIS:
Melden Sie sich bei Ihrem Microsoft Information Services (IIS)-Manager an.
-
Erweitern Sie IIS-Manager > lokale Computer - > Standorte.
-
Wählen Sie Website aus.
-
Doppelklicken Sie auf das Symbol Protokollierung .
-
Wählen Sie W3C als Protokolldateiformat aus dem Fenster Protokolldatei aus.
-
Klicken Sie auf Felder auswählen.
Aktivieren Sie in der Liste der Eigenschaften die Kontrollkästchen für die folgenden W3C-Eigenschaften:
Tabelle 2: Erforderliche Eigenschaften für IIS-Ereignisprotokolle Erforderliche Eigenschaften für IIS 6.0
IIS 7.0/7.5 Erforderliche Eigenschaften
IIS 8.0/8.5 Erforderliche Eigenschaften
Erforderliche Eigenschaften von IIS 10
Datum (Datum)
Datum (Datum)
Datum (Datum)
Datum (Datum)
Zeit (Zeit)
Zeit (Zeit)
Zeit (Zeit)
Zeit (Zeit)
Client-IP-Adresse (c-ip)
Client-IP-Adresse (c-ip)
Client-IP-Adresse (c-ip)
Client-IP-Adresse (c-ip)
Benutzername (cs-username)
Benutzername (cs-username)
Benutzername (cs-username)
Benutzername (cs-username)
Server-IP-Adresse (s-ip)
Server-IP-Adresse (s-ip)
Server-IP-Adresse (s-ip)
Server-IP-Adresse (s-ip)
Server-Port (S-Port)
Server-Port (S-Port)
Server-Port (S-Port)
Server-Port (S-Port)
Methode (cs-method)
Methode (cs-method)
Methode (cs-method)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
URI-Stamm (cs-uri-stem)
URI-Stamm (cs-uri-stem)
URI-Stamm (cs-uri-stem)
URI-Abfrage (cs-uri-query)
URI-Abfrage (cs-uri-query)
URI-Abfrage (cs-uri-query)
URI-Abfrage (cs-uri-query)
Protokollstatus (sc-status)
Protokollstatus (sc-status)
Protokollstatus (sc-status)
Protokollstatus (sc-status)
Protokollversion (cs-version)
Benutzeragent (cs(User-Agent))
Benutzeragent (cs(User-Agent))
Benutzeragent (cs(User-Agent))
Benutzeragent (cs(User-Agent))
-
Klicken Sie auf OK und dann auf Übernehmen.
Sie können jetzt die Protokollquelle in JSA konfigurieren.
Microsoft IIS-Protokollquellenparameter für Microsoft IIS-Server
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie der JSA-Konsole mithilfe des Microsoft IIS-Protokolls eine Microsoft IIS Server-Protokollquelle hinzu.
Wenn Sie das Microsoft IIS-Protokoll verwenden, müssen Sie bestimmte Parameter verwenden.
In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um Microsoft IIS-Ereignisse von einem Microsoft IIS-Server zu erfassen:
Parameter |
Wert |
|---|---|
Typ der Protokollquelle |
Microsoft IIS-Server |
Protokollkonfiguration |
Microsoft IIS |
Protokollquellen-ID |
Geben Sie die IP-Adresse oder den Hostnamen für die Protokollquelle ein. |
Dateimuster |
Geben Sie den regulären Ausdruck (Regex) ein, der zum Filtern der Dateinamen erforderlich ist. Alle übereinstimmenden Dateien werden in die Verarbeitung einbezogen. Der Standardwert ist Um z. B. alle Dateien aufzulisten, die mit dem Wort log beginnen, gefolgt von einer oder mehreren Ziffern und endend mit tar.gz, verwenden Sie den folgenden Eintrag: . |
Syslog-Protokollquellenparameter für Microsoft IIS-Server
Wenn JSA die Protokollquelle nicht automatisch erkennt, fügen Sie mithilfe des Syslog-Protokolls eine Microsoft IIS Server-Protokollquelle in der JSA-Konsole hinzu.
Wenn Sie das Syslog-Protokoll verwenden, müssen Sie bestimmte Parameter verwenden.
In der folgenden Tabelle werden die Parameter beschrieben, für die bestimmte Werte erforderlich sind, um Syslogereignisse von Microsoft IIS Server zu erfassen:
Parameter |
Wert |
|---|---|
Typ der Protokollquelle |
Microsoft IIS-Server |
Protokollkonfiguration |
Syslog |
Protokollquellen-ID |
Geben Sie die IP-Adresse oder den Hostnamen für die Protokollquelle ein. |
Microsoft IIS Server-Beispielereignismeldungen
Verwenden Sie diese Beispielereignismeldungen, um eine erfolgreiche Integration in JSA zu überprüfen.
Fügen Sie aufgrund von Formatierungsproblemen das Nachrichtenformat in einen Texteditor ein, und entfernen Sie dann alle Wagenrücklauf- oder Zeilenvorschubzeichen.
- Microsoft IIS Server-Beispielmeldung, wenn Sie das Microsoft IIS-Protokoll verwenden
- Microsoft IIS Server-Beispielmeldungen, wenn Sie das Syslog-Protokoll verwenden
Microsoft IIS Server-Beispielmeldung, wenn Sie das Microsoft IIS-Protokoll verwenden
Die folgende Beispielereignismeldung zeigt, dass ein interner HTTP 500-Serverfehler aufgetreten ist.
SourceIp=10.232.192.155 AgentDevice=MSIIS AgentLogFile=u_extend1220_x.log AgentLogFormat=W3C date=2018-06-19 time=06:27:41 s-sitename=W3SVC2 scomputername= TESTTESTTEST012 s-ip= 10.232.192.155 cs-method=GET cs-uri-stem=/ login.asp cs-uri-query=- s-port= 444 cs-username=- c-ip= 10.142.129.147 csversion= HTTP/1.0 cs(User-Agent)=- cs(Cookie)== cs(Referer)=- cs-host= scstatus= 500 sc-substatus=0 sc-win32-status=0 sc-bytes=3733 cs-bytes=90 timetaken= 171 X-Forwarded-For=-
JSA-Feldname |
Hervorgehobene Werte in der Ereignisnutzlast |
|---|---|
Ereignis-ID |
500 |
Quell-IP |
10.142.129.147 |
Ziel-IP |
10.232.192.155 |
Zielhafen |
444 |
Microsoft IIS Server-Beispielmeldungen, wenn Sie das Syslog-Protokoll verwenden
Beispiel 1: Die folgende Beispielereignismeldung zeigt einen Konfigurationsfehler.
<13> Apr 17 08:55:56 microsoft.iis.test AgentDevice=WindowsLog AgentLogFile=Microsoft-IISConfiguration/ Administrative PluginVersion=7.2.9.105 Source=Microsoft-Windows-IISConfiguration Computer=microsoft.iis.test OriginatingComputer= 10.18.224.7 User= user Domain=domain EventID= 12 EventIDCode=12 EventType=2 EventCategory=0 RecordNumber=380 TimeGenerated=1587124522 TimeWritten=1587124522 Level=Warning Keywords=0x8000000000000000 Task=None Opcode=Info Message=Unable to find schema for config section 'system.serviceModel/client'. This section will be ignored.
JSA-Feldname |
Hervorgehobene Werte in der Ereignisnutzlast |
|---|---|
Ereignis-ID |
12 |
Nutzername |
Benutzer |
Quell-IP |
10.18.224.7 |
Gerätezeit |
Apr 17 08:55:56 wird aus Datums - und Uhrzeitfeldern in JSA extrahiert. |
Beispiel 2: Die folgende Beispielereignismeldung zeigt, dass ein HTTP 401-Zugriffsverweigerungsfehler aufgetreten ist.
<13> Oct 02 09:54:19 microsoft.iis.test IISWebLog 0 2020-10-02 14:53:31 10.0.10.51 CCM_POST /ccm_system_windowsauth/request - 80 - 10.0.0.23 ccmhttp - 401 2 5 1509 1
JSA-Feldname |
Hervorgehobene Werte in der Ereignisnutzlast |
|---|---|
Ereignis-ID |
401 |
Quell-IP |
10.0.0.23 |
Ziel-IP |
10.0.10.51 |
Zielhafen |
80 |
Gerätezeit |
Oct 02 09:54:19 wird aus Datums - und Uhrzeitfeldern in JSA extrahiert. |