Microsoft IIS-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Microsoft Internet Information Services-Logs (IIS) mit Bindplane in Google Security Operations aufnehmen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher mit installiertem IIS
  • Administratorzugriff auf den IIS-Server
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird, z. B. C:\SecOps\ingestion-auth.json.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Erweitertes W3C-Logging für IIS konfigurieren

Sie müssen die richtigen W3C-Felder im IIS Manager aktivieren, damit Google SecOps Ihre Logs richtig parsen und Erkennungen zuverlässig funktionieren kann.

IIS Manager öffnen

  1. Klicken Sie auf Start.
  2. Geben Sie inetmgr ein und drücken Sie die Eingabetaste.
  3. Das Fenster Internet Information Services (IIS) Manager wird geöffnet.

Alternative Methode:

  1. Drücken Sie die Windows-Taste + R.
  2. Geben Sie inetmgr ein und drücken Sie die Eingabetaste.
  1. Maximieren Sie im Bereich Verbindungen (links) den Servernamen.
  2. So konfigurieren Sie das serverweite Logging (empfohlen):
    • Klicken Sie auf den Servernamen auf der Stammebene.
  3. So konfigurieren Sie standortspezifisches Logging:
    • Maximieren Sie Websites und klicken Sie dann auf die gewünschte Website (z. B. Default Web Site).
  4. Doppelklicken Sie in der Funktionsansicht (mittlerer Bereich) auf Logging.

W3C Extended Log Format auswählen

  1. Gehen Sie auf der Seite Logging (Protokollierung) im Bereich Log File (Protokolldatei) so vor:
    • Wählen Sie im Drop-down-Menü Format die Option W3C aus.
  2. Klicken Sie auf die Schaltfläche Felder auswählen.

W3C-Logging-Felder konfigurieren

WICHTIG:Der Google SecOps IIS-Parser unterstützt 8 Feldkonfigurationen. Sie müssen ALLE Felder aus EINEM der folgenden Muster aktivieren. Wenn Sie verschiedene Felder aktivieren oder Muster mischen, führt das zu Parsing-Fehlern.

Wählen Sie im Dialogfeld W3C-Logging-Felder Felder gemäß EINEM der folgenden Muster aus:

Muster 1: Vollständiger Websitekontext mit Abfragestring und Byte

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Dienstname (s-sitename)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Serverport (s-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • User-Agent (cs(User-Agent))
  • Referrer (cs(Referer))
  • Protokollstatus (sc-status)
  • Gesendete Byte (sc-bytes)
  • Empfangene Byte (cs-bytes)

Verwenden Sie dieses Muster, wenn:Ihr Downstream-Format enthält Websitekontext + Abfragestring und Sie benötigen gesendete/empfangene Byte. Außerdem werden in Ihrer Pipeline die Spalten „username“ und „referer“ erwartet (auch wenn die Werte - sind).

Muster 2: Einfach mit Unterstatus, Win32-Status und Leistung (kein Referrer)

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Serverport (s-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • User-Agent (cs(User-Agent))
  • Protokollstatus (sc-status)
  • Unterstatus des Protokolls (sc-substatus)
  • Win32-Status (sc-win32-status)
  • Benötigte Zeit (time-taken)

Dieses Muster verwenden, wenn:Ihre Pipeline keinen Referer enthält, Sie aber detaillierte Fehlercodes und Latenz (time-taken) benötigen.

Muster 3: Einfach mit Unterstatus, Win32-Status und Leistung (mit Referrer)

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Serverport (s-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • User-Agent (cs(User-Agent))
  • Referrer (cs(Referer))
  • Protokollstatus (sc-status)
  • Unterstatus des Protokolls (sc-substatus)
  • Win32-Status (sc-win32-status)
  • Benötigte Zeit (time-taken)

Verwenden Sie dieses Muster, wenn:wie bei Muster 2, aber Ihre Pipeline enthält „Referer“ als eigene Spalte.

Muster 4: TLS-/Protokollversion mit Referrer und Leistung

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Clientport (c-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • Protokollversion (cs-version)
  • User-Agent (cs(User-Agent))
  • Referrer (cs(Referer))
  • Protokollstatus (sc-status)
  • Unterstatus des Protokolls (sc-substatus)
  • Win32-Status (sc-win32-status)
  • Benötigte Zeit (time-taken)

Verwenden Sie dieses Muster, wenn in Ihrem Downstream-Format explizit cs-version protokolliert wird (z.B. HTTP/1.1) und enthält Zeitangaben. Außerdem ist der Clientport als eigene Spalte enthalten.

Muster 5: TLS-/Protokollversion mit Referrer (keine Leistung)

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Clientport (c-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • Protokollversion (cs-version)
  • User-Agent (cs(User-Agent))
  • Referrer (cs(Referer))
  • Protokollstatus (sc-status)
  • Unterstatus des Protokolls (sc-substatus)
  • Win32-Status (sc-win32-status)

Verwenden Sie dieses Muster, wenn:Wie bei Muster 4, aber Ihre Pipeline enthält nicht time-taken.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Clientport (c-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • User-Agent (cs(User-Agent))
  • Cookie (cs(Cookie))
  • Referrer (cs(Referer))
  • Protokollstatus (sc-status)
  • Unterstatus des Protokolls (sc-substatus)
  • Win32-Status (sc-win32-status)

Verwenden Sie dieses Muster, wenn für Ihr Downstream-Format sowohl „Cookie“ als auch „Referer“ als separate Spalten erwartet werden.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Clientport (c-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • User-Agent (cs(User-Agent))
  • Referrer (cs(Referer))
  • Protokollstatus (sc-status)
  • Unterstatus des Protokolls (sc-substatus)
  • Win32-Status (sc-win32-status)

Dieses Muster verwenden, wenn:Ihr Downstream-Format enthält „Referer“, aber nicht „Cookie“ / „time“ / „bytes“.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

  • Date (Datum)
  • Zeit (time)
  • Server-IP-Adresse (s-ip)
  • Methode (cs-method)
  • URI-Stamm (cs-uri-stem)
  • URI-Abfrage (cs-uri-query)
  • Clientport (c-port)
  • Nutzername (cs-username)
  • Client-IP-Adresse (c-ip)
  • User-Agent (cs(User-Agent))
  • Protokollstatus (sc-status)
  • Unterstatus des Protokolls (sc-substatus)
  • Win32-Status (sc-win32-status)

Verwenden Sie dieses Muster, wenn:Ihr Downstream-Format keinen Referer enthält und Sie nur den grundlegenden Anfragekontext sowie Statuscodes benötigen.

Aktivieren Sie KEINE Felder aus mehreren Mustern. Der Parser erwartet eine dieser genauen Konfigurationen.

Konfiguration anwenden

  1. Klicken Sie auf OK, um das Dialogfeld W3C Logging Fields (W3C-Protokollierungsfelder) zu schließen.
  2. Prüfen Sie den Verzeichnispfad, in den Logs geschrieben werden.
    • Standardwert: %SystemDrive%\inetpub\logs\LogFiles
  3. Wählen Sie unter Log File Rollover (Logdatei-Rollover) die Option Daily (Täglich) aus. Diese Option wird für die Google SecOps-Aufnahme empfohlen.
  4. Klicken Sie im Bereich Aktionen (rechts) auf Übernehmen.

IIS-Logging prüfen

Nachdem Sie die W3C-Felder konfiguriert haben, prüfen Sie, ob IIS Protokolle richtig schreibt:

  1. Generieren Sie Test-Traffic für Ihre IIS-Website, indem Sie eine Webseite in einem Browser öffnen.
  2. Rufen Sie das Logverzeichnis auf: C:\inetpub\logs\LogFiles\W3SVC1\
    • Hinweis: W3SVC1 entspricht der ersten Website (Standardwebsite). Bei anderen Websites lautet der Ordnername W3SVC2, W3SVC3 usw.
  3. Öffnen Sie die aktuelle Logdatei (z. B. u_ex251217.log) in Notepad.
  4. Prüfen Sie, ob die Zeile #Fields: alle Felder enthält, die Sie aktiviert haben, und zwar in der genauen Reihenfolge des ausgewählten Musters.

Beispiel für Muster 3

Wenn Sie Muster 3 (Einfach mit Unterstatus, Win32-Status und Leistung mit Referrer) konfiguriert haben, sollte die #Fields:-Zeile so aussehen:

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken

Beispiel für einen Logeintrag:

2025-12-17 14:23:15 192.168.1.10 GET /index.html - 80 - 203.0.113.45 Mozilla/5.0+(Windows+NT+10.0) https://example.com/previous.html 200 0 0 125

Wichtige Hinweise:

  • Leere Felder werden durch einen Bindestrich (-) dargestellt.
  • Die Reihenfolge der Felder muss genau mit dem #Fields:-Header übereinstimmen.
  • Der Parser schlägt fehl, wenn Felder fehlen, neu angeordnet sind oder aus mehreren Mustern stammen.

BindPlane-Agent installieren

Installieren Sie den BindPlane-Agent auf Ihrem Windows-Server gemäß der folgenden Anleitung.

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Zusätzliche Installationsressourcen

BindPlane-Agent zum Erfassen von IIS-Logs und Senden an Google SecOps konfigurieren

Konfigurationsdatei bearbeiten

  1. Suchen Sie die Datei config.yaml.
    • Standardpfad: C:\Program Files\observIQ OpenTelemetry Collector\config.yaml
  2. Öffnen Sie die Datei mit einem Texteditor (z. B. Notepad, VS Code oder Notepad++) als Administrator.

  3. Ersetzen Sie den gesamten Inhalt durch die folgende Konfiguration:

    receivers:
  iis:
    collection_interval: 60s

processors:
  resourcedetection:
    detectors: ["system"]
    system:
      hostname_sources: ["os"]
  normalizesums:
  batch:

exporters:
  chronicle/iis:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: 'C:\SecOps\ingestion-auth.json'
    log_type: 'IIS'
    override_log_type: false
    raw_log_field: body
    customer_id: '<CUSTOMER_ID>'
    compression: gzip

service:
  pipelines:
    logs/iis:
      receivers:
        - iis
      processors:
        - resourcedetection
        - normalizesums
        - batch
      exporters:
        - chronicle/iis

Konfigurationswerte aktualisieren

Ersetzen Sie die folgenden Platzhalter:

  • creds:: Pfad zu Ihrer Datei für die Aufnahmeauthentifizierung (z. B. C:\SecOps\ingestion-auth.json).
  • endpoint: – Ihr regionaler Endpunkt.
  • customer_id: – Ihre tatsächliche Google SecOps-Kundennummer aus dem Abschnitt Google SecOps-Kundennummer abrufen.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

net stop observiq-otel-collector && net start observiq-otel-collector

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
@timestamp metadata.event_timestamp Der Zeitstempel des Ereignisses, wie im Rohlog aufgezeichnet.
@version metadata.product_version Die Version des IIS-Servers.
AgentDevice additional.fields.AgentDevice.value.string_value Das Gerät, das das Log generiert hat.
AgentLogFile additional.fields.AgentLogFile.value.string_value Der Name der Logdatei.
ASP.NET_SessionId network.session_id Die Sitzungs-ID des Nutzers.
c-ip principal.ip Die IP-Adresse des Clients.
Kanal security_result.about.resource.attribute.labels.Channel.value Der Kanal, in dem das Ereignis protokolliert wurde.
ChannelID security_result.about.resource.attribute.labels.ChannelID.value Die ID des Kanals, in dem das Ereignis protokolliert wurde.
Computer target.hostname Der Hostname des Zielcomputers.
cs-bytes network.received_bytes Die Anzahl der vom Client empfangenen Bytes.
cs-host hauptkonto.hostname, hauptkonto.asset.hostname Der Hostname des Clients.
cs-method network.http.method Die vom Client verwendete HTTP-Methode.
cs-uri-query target.url Der Abfragestring der vom Client angeforderten URL.
cs-uri-stem target.url Der Pfad der vom Client angeforderten URL.
cs-username principal.user.user_display_name Der Nutzername des Clients.
cs-version network.tls.version_protocol Die vom Client verwendete HTTP-Version.
cs(Cookie) Wird verwendet, um Cookie-Informationen zu extrahieren.
cs(Referer) network.http.referral_url Die URL, über die der Client auf die aktuelle Seite verwiesen wurde.
cs(User-Agent) network.http.user_agent Der User-Agent des Clients.
csbyte network.received_bytes Die Anzahl der vom Client empfangenen Bytes.
cshost hauptkonto.hostname, hauptkonto.asset.hostname Der Hostname des Clients.
csip principal.ip, principal.asset.ip Die IP-Adresse des Clients.
csmethod network.http.method Die vom Client verwendete HTTP-Methode.
csreferer network.http.referral_url Die URL, über die der Client auf die aktuelle Seite verwiesen wurde.
csuseragent network.http.user_agent Der User-Agent des Clients.
csusername principal.user.user_display_name Der Nutzername des Clients.
csversion network.tls.version_protocol Die vom Client verwendete HTTP-Version.
Datum Wird verwendet, um den Ereigniszeitstempel zu erstellen, wenn der Zeitstempel des Rohlogs ungültig ist.
Beschreibung security_result.description Eine Beschreibung des Ereignisses.
devicename target.hostname Der Hostname des Zielcomputers.
dst_ip target.ip, target.asset.ip Die IP-Adresse des Zielcomputers.
dst_port target.port Die Portnummer des Zielcomputers.
Dauer Die Dauer der Anfrage in Millisekunden.
EventEnqueuedUtcTime additional.fields.EventEnqueuedUtcTime.value.string_value Die Zeit, zu der das Ereignis in UTC in die Warteschlange gestellt wurde.
EventID metadata.product_log_id Die ID des Ereignisses.
EventProcessedUtcTime additional.fields.EventProcessedUtcTime.value.string_value Zeitpunkt, zu dem das Ereignis in UTC verarbeitet wurde.
EventTime metadata.event_timestamp Der Zeitstempel des Ereignisses.
EventType metadata.product_event_type Der Typ des Ereignisses.
file_path target.file.full_path Der vollständige Pfad der Datei, die an dem Ereignis beteiligt ist.
FilterId security_result.about.resource.attribute.labels.FilterId.value Die ID des Filters.
FilterKey security_result.about.resource.attribute.labels.FilterKey.value Der Schlüssel des Filters.
FilterName security_result.about.resource.attribute.labels.FilterName.value Der Name des Filters.
FilterType security_result.about.resource.attribute.labels.FilterType.value Der Typ des Filters.
Host target.hostname Der Hostname des Zielcomputers.
host.architecture principal.asset.hardware.cpu_platform Die Architektur des Hostcomputers.
host.geo.name additional.fields.geo_name.value.string_value Der geografische Standort des Hostcomputers.
host.hostname target.hostname, target.asset.hostname Der Hostname des Hostcomputers.
host.id observer.asset_id Die ID des Hostcomputers.
host.ip principal.ip, principal.asset.ip Die IP-Adresse des Hostcomputers.
host.mac principal.mac Die MAC-Adresse des Hostcomputers.
host.os.build additional.fields.os_build.value.string_value Die Build-Nummer des Betriebssystems auf dem Hostcomputer.
host.os.kernel principal.platform_patch_level Die Kernel-Version des Betriebssystems auf dem Hostcomputer.
host.os.name additional.fields.os_name.value.string_value Der Name des Betriebssystems auf dem Hostcomputer.
host.os.platform principal.platform Die Plattform des Betriebssystems auf dem Hostcomputer.
host.os.version principal.platform_version Die Version des Betriebssystems auf dem Hostcomputer.
http_method network.http.method Die vom Client verwendete HTTP-Methode.
http_response network.http.response_code Der HTTP-Antwortcode.
http_status_code network.http.response_code Der HTTP-Statuscode der Antwort.
http_substatus additional.fields.sc_substatus.value.string_value Der HTTP-Unterstatuscode der Antwort.
Instanz additional.fields.instance.value.string_value Die Instanz-ID der Aufgabe.
intermediary_devicename intermediary.hostname, intermediary.asset.hostname Der Hostname des Vermittlungsgeräts.
json_message Die Roh-Log-Nachricht im JSON-Format.
kv_fields Wird verwendet, um Schlüssel/Wert-Paare aus der Rohlogmeldung zu extrahieren.
LayerKey security_result.about.resource.attribute.labels.LayerKey.value Der Schlüssel der Ebene.
LayerName security_result.about.resource.attribute.labels.LayerName.value Der Name der Ebene.
LayerId security_result.about.resource.attribute.labels.LayerId.value Die ID des Layers.
log.file.path target.file.full_path Der vollständige Pfad der Logdatei.
log.offset metadata.product_log_id Der Offset des Ereignisses in der Logdatei.
logstash.collect.host observer.hostname Der Hostname des Computers, auf dem das Log erfasst wurde.
logstash.process.host intermediary.hostname Der Hostname des Computers, auf dem das Log verarbeitet wurde.
logstash_json_message Die Roh-Log-Nachricht im JSON-Format.
Nachricht security_result.description Die Roh-Lognachricht.
Ministerium additional.fields.ministry.value.string_value Das Ministerium, das mit dem Ereignis in Verbindung steht.
Name Der Name der Entität.
NewValue additional.fields.NewValue.value.string_value Der neue Wert der Konfigurationseinstellung.
OldValue additional.fields.OldValue.value.string_value Der alte Wert der Konfigurationseinstellung.
Port principal.port Die Portnummer des Clients.
priority_code Der Prioritätscode der Syslog-Meldung.
ProcessID principal.process.pid Die Prozess-ID des Prozesses, der das Ereignis generiert hat.
ProviderGuid security_result.about.resource.attribute.labels.ProviderGuid.value Die GUID des Anbieters.
ProviderKey security_result.about.resource.attribute.labels.ProviderKey.value Der Schlüssel des Anbieters.
ProviderName security_result.about.resource.attribute.labels.ProviderName.value Der Name des Anbieters.
referrer_url network.http.referral_url Die URL, über die der Client auf die aktuelle Seite verwiesen wurde.
request_url target.url Die vom Client angeforderte URL.
s-computername target.hostname Der Hostname des Zielcomputers.
s-ip target.ip, target.asset.ip Die IP-Adresse des Zielcomputers.
s-port target.port Die Portnummer des Zielcomputers.
s-sitename additional.fields.sitename.value.string_value Der Name der Website.
sc-bytes network.sent_bytes Die Anzahl der an den Client gesendeten Byte.
sc-status network.http.response_code Der HTTP-Statuscode der Antwort.
sc-substatus additional.fields.sc_substatus.value.string_value Der HTTP-Unterstatuscode der Antwort.
sc-win32-status Der Windows-Statuscode der Antwort.
scbyte network.sent_bytes Die Anzahl der an den Client gesendeten Byte.
scstatus network.http.response_code Der HTTP-Statuscode der Antwort.
die Ausprägung security_result.severity Die Schwere des Ereignisses.
service.type additional.fields.service_type.value.string_value Der Typ des Dienstes.
sIP principal.ip, principal.asset.ip Die IP-Adresse des Clients.
sPort principal.port Die Portnummer des Clients.
sSiteName additional.fields.sitename.value.string_value Der Name der Website.
src_ip principal.ip, principal.asset.ip, observer.ip Die IP-Adresse des Clients.
src_port principal.port Die Portnummer des Clients.
sysdate Datum und Uhrzeit der Syslog-Meldung.
syslog_facility security_result.severity_details Die Einrichtung der Syslog-Nachricht.
syslog_pri Die Priorität der Syslog-Meldung.
syslog_severity security_result.severity_details Der Schweregrad der Syslog-Nachricht.
syslog_severity_code Der Schweregradcode der Syslog-Nachricht.
Tags security_result.rule_name Tags, die dem Ereignis zugeordnet sind.
task additional.fields.task.value.string_value Der Name der Aufgabe.
Zeit Wird verwendet, um den Ereigniszeitstempel zu erstellen, wenn der Zeitstempel des Rohlogs ungültig ist.
time-taken Die Dauer der Anfrage in Millisekunden.
uri_query target.url Der Abfragestring der vom Client angeforderten URL.
user_agent network.http.user_agent Der User-Agent des Clients.
Nutzername target.user.userid Der Nutzername des Nutzers.
UserSid target.user.windows_sid Die Windows-SID des Nutzers.
Gewicht security_result.about.resource.attribute.labels.Weight.value Die Gewichtung des Filters.
win32_status Der Windows-Statuscode der Antwort.
xforwardedfor Der X-Forwarded-For-Header mit einer durch Kommas getrennten Liste von IP-Adressen.
metadata.log_type „IIS“
network.direction „INBOUND“
metadata.vendor_name „Microsoft“
metadata.product_name „Internet Information Server“
metadata.event_type „NETWORK_HTTP“, „USER_UNCATEGORIZED“, „GENERIC_EVENT“, „STATUS_UPDATE“, „USER_LOGOUT“, „USER_LOGIN“
extensions.auth.type „MACHINE“

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten