Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Microsoft IIS

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Microsoft Internet Information Services (IIS) dans Google Security Operations à l'aide de Bindplane.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure avec IIS installé
Accès administrateur au serveur IIS
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé (par exemple, C:\SecOps\ingestion-auth.json).

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM > Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Configurer la journalisation étendue W3C IIS

Vous devez activer les champs W3C appropriés dans le Gestionnaire IIS pour que Google SecOps puisse analyser correctement vos journaux et que les détections fonctionnent de manière fiable.

Ouvrir le Gestionnaire IIS

Cliquez sur Démarrer.
Saisissez inetmgr et appuyez sur Entrée.
La fenêtre Internet Information Services (IIS) Manager s'ouvre.

Autre méthode :

Appuyez sur la touche Windows+R.
Saisissez inetmgr et appuyez sur Entrée.

Accéder à la configuration de la journalisation

Dans le volet Connexions (à gauche), développez le nom de votre serveur.
Pour configurer la journalisation à l'échelle du serveur (recommandé) :
- Cliquez sur le nom du serveur au niveau racine.
Pour configurer la journalisation spécifique à un site :
- Développez Sites, puis cliquez sur le site concerné (par exemple, Site Web par défaut).
Dans la vue des fonctionnalités (volet central), double-cliquez sur Journalisation.

Sélectionnez le format de journal étendu W3C.

Sur la page Logging, dans la section Fichier journal :
- Dans le menu déroulant Format, sélectionnez W3C.
Cliquez sur le bouton Sélectionner des champs.

Configurer les champs de journalisation W3C

IMPORTANT : L'analyseur IIS Google SecOps est compatible avec huit configurations de champs. Vous devez activer TOUS les champs de L'UN des modèles suivants. L'activation de différents champs ou la combinaison de modèles entraînera des échecs d'analyse.

Dans la boîte de dialogue Champs de journalisation W3C, sélectionnez les champs selon L'UN des modèles suivants :

Modèle 1 : Contexte complet du site avec chaîne de requête et octets

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Nom du service (s-sitename)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port du serveur (s-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
User-agent (cs(User-Agent))
URL de provenance (cs(Referer))
État du protocole (sc-status)
Octets envoyés (sc-bytes)
Octets reçus (cs-bytes)

Utilisez ce modèle lorsque : votre format en aval inclut le contexte du site et la chaîne de requête, et vous avez besoin des octets envoyés/reçus. Votre pipeline attend les colonnes "username" (nom d'utilisateur) et "referer" (URL de provenance), même si les valeurs sont -.

Schéma 2 : De base avec sous-état, état Win32 et performances (sans referrer)

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port du serveur (s-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
User-agent (cs(User-Agent))
État du protocole (sc-status)
Sous-état du protocole (sc-substatus)
État Win32 (sc-win32-status)
Durée (time-taken)

Utilisez ce modèle lorsque votre pipeline n'inclut pas de Referer, mais que vous avez besoin de codes d'erreur et de latence détaillés (time-taken).

Schéma 3 : Schéma de base avec sous-état, état Win32 et performances (avec le référent)

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port du serveur (s-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
User-agent (cs(User-Agent))
URL de provenance (cs(Referer))
État du protocole (sc-status)
Sous-état du protocole (sc-substatus)
État Win32 (sc-win32-status)
Durée (time-taken)

Utilisez ce modèle lorsque : comme pour le modèle 2, mais votre pipeline inclut "URL de provenance" en tant que colonne dédiée.

Schéma 4 : Connaissance de la version TLS/du protocole avec informations sur le referrer et les performances

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port client (c-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
Version du protocole (cs-version)
User-agent (cs(User-Agent))
URL de provenance (cs(Referer))
État du protocole (sc-status)
Sous-état du protocole (sc-substatus)
État Win32 (sc-win32-status)
Durée (time-taken)

Utilisez ce modèle lorsque votre format en aval enregistre explicitement cs-version (par exemple, HTTP/1.1) et inclut le timing. Le port client est également disponible dans une colonne dédiée.

Scénario 5 : Connaissance de la version TLS/du protocole avec le referrer (sans performances)

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port client (c-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
Version du protocole (cs-version)
User-agent (cs(User-Agent))
URL de provenance (cs(Referer))
État du protocole (sc-status)
Sous-état du protocole (sc-substatus)
État Win32 (sc-win32-status)

Utilisez ce modèle lorsque : comme pour le modèle 4, mais votre pipeline n'inclut pas time-taken.

Schéma 6 : Avec cookie et referrer (aucune performance, aucun octet)

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port client (c-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
User-agent (cs(User-Agent))
Cookie (cs(Cookie))
URL de provenance (cs(Referer))
État du protocole (sc-status)
Sous-état du protocole (sc-substatus)
État Win32 (sc-win32-status)

Utilisez ce modèle lorsque votre format en aval attend à la fois le cookie et le referrer sous forme de colonnes dédiées.

Schéma 7 : Minimal avec Referer (aucun cookie, aucune performance, aucun octet)

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port client (c-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
User-agent (cs(User-Agent))
URL de provenance (cs(Referer))
État du protocole (sc-status)
Sous-état du protocole (sc-substatus)
État Win32 (sc-win32-status)

Utilisez ce modèle lorsque votre format en aval inclut "Referer", mais pas "Cookie/time/bytes".

Scénario 8 : Minimal sans Referer (pas de cookie, pas de performances, pas d'octets)

Activez ces champs exactement dans l'ordre suivant :

Date (date)
Heure (heure)
Adresse IP du serveur (s-ip)
Méthode (cs-method)
URI Stem (cs-uri-stem)
Requête URI (cs-uri-query)
Port client (c-port)
Nom d'utilisateur (cs-username)
Adresse IP du client (c-ip)
User-agent (cs(User-Agent))
État du protocole (sc-status)
Sous-état du protocole (sc-substatus)
État Win32 (sc-win32-status)

Utilisez ce modèle lorsque votre format en aval n'inclut pas de Referer et que vous n'avez besoin que du contexte de requête principal et des codes d'état.

N'activez PAS les champs de plusieurs modèles. L'analyseur attend l'une de ces configurations exactes.

Appliquer la configuration

Cliquez sur OK pour fermer la boîte de dialogue Champs de journalisation W3C.
Vérifiez le chemin d'accès au répertoire dans lequel les journaux seront écrits.
- Valeur par défaut : %SystemDrive%\inetpub\logs\LogFiles
Sous Log File Rollover (Rotation des fichiers journaux), sélectionnez Daily (Quotidien) (recommandé pour l'ingestion Google SecOps).
Cliquez sur Appliquer dans le volet Actions (à droite).

Vérifier la journalisation IIS

Après avoir configuré les champs W3C, vérifiez qu'IIS écrit correctement les journaux :

Générez du trafic de test vers votre site IIS en ouvrant une page Web dans un navigateur.
Accédez au répertoire des journaux : C:\inetpub\logs\LogFiles\W3SVC1\
- Remarque : W3SVC1 correspond au premier site (site Web par défaut). Pour les autres sites, le nom du dossier sera W3SVC2, W3SVC3, etc.
Ouvrez le fichier journal le plus récent (par exemple, u_ex251217.log) dans le Bloc-notes.
Vérifiez que la ligne #Fields: contient tous les champs que vous avez activés, dans l'ordre exact de votre modèle.

Exemple pour le modèle 3

Si vous avez configuré le schéma 3 (de base avec sous-état, état Win32 et performances avec URL de provenance), la ligne #Fields: doit se présenter comme suit :

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken

Exemple d'entrée de journal :

2025-12-17 14:23:15 192.168.1.10 GET /index.html - 80 - 203.0.113.45 Mozilla/5.0+(Windows+NT+10.0) https://example.com/previous.html 200 0 0 125

Remarques importantes :

Les champs vides sont représentés par un tiret (-).
L'ordre des champs doit correspondre exactement à l'en-tête #Fields:.
L'analyseur échouera si des champs sont manquants, réorganisés ou proviennent de plusieurs modèles.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre serveur Windows en suivant les instructions ci-dessous.

Installation de Windows

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer les journaux IIS et les envoyer à Google SecOps

Modifier le fichier de configuration

Trouvez le fichier config.yaml.
- Chemin par défaut : C:\Program Files\observIQ OpenTelemetry Collector\config.yaml
Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, Bloc-notes, VS Code ou Notepad++) en tant qu'administrateur.

Remplacez l'intégralité du contenu par la configuration suivante :

receivers:
  iis:
    collection_interval: 60s

processors:
  resourcedetection:
    detectors: ["system"]
    system:
      hostname_sources: ["os"]
  normalizesums:
  batch:

exporters:
  chronicle/iis:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: 'C:\SecOps\ingestion-auth.json'
    log_type: 'IIS'
    override_log_type: false
    raw_log_field: body
    customer_id: '<CUSTOMER_ID>'
    compression: gzip

service:
  pipelines:
    logs/iis:
      receivers:
        - iis
      processors:
        - resourcedetection
        - normalizesums
        - batch
      exporters:
        - chronicle/iis

Mettre à jour les valeurs de configuration

Remplacez les espaces réservés suivants :

creds: : chemin d'accès à votre fichier d'authentification pour l'ingestion (par exemple, C:\SecOps\ingestion-auth.json).
endpoint: : votre point de terminaison régional.
customer_id: : votre ID client Google SecOps réel, que vous trouverez dans la section Obtenir l'ID client Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

net stop observiq-otel-collector && net start observiq-otel-collector

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
@timestamp	metadata.event_timestamp	Code temporel de l'événement tel qu'il est enregistré dans le journal brut.
@version	metadata.product_version	Version du serveur IIS.
AgentDevice	additional.fields.AgentDevice.value.string_value	Appareil ayant généré le journal.
AgentLogFile	additional.fields.AgentLogFile.value.string_value	Nom du fichier journal.
ASP.NET_SessionId	network.session_id	ID de session de l'utilisateur.
c-ip	principal.ip	Adresse IP du client.
Canal	security_result.about.resource.attribute.labels.Channel.value	Canal dans lequel l'événement a été consigné.
ChannelID	security_result.about.resource.attribute.labels.ChannelID.value	ID du canal dans lequel l'événement a été enregistré.
Ordinateur	target.hostname	Nom d'hôte de la machine cible.
cs-bytes	network.received_bytes	Nombre d'octets reçus du client.
cs-host	principal.hostname, principal.asset.hostname	Nom d'hôte du client.
cs-method	network.http.method	Méthode HTTP utilisée par le client.
cs-uri-query	target.url	Chaîne de requête de l'URL demandée par le client.
cs-uri-stem	target.url	Chemin de l'URL demandée par le client.
cs-username	principal.user.user_display_name	Nom d'utilisateur du client.
cs-version	network.tls.version_protocol	Version HTTP utilisée par le client.
cs(Cookie)		Permet d'extraire des informations sur les cookies.
cs(Referer)	network.http.referral_url	URL qui a redirigé le client vers la page actuelle.
cs(User-Agent)	network.http.user_agent	User-agent du client.
csbyte	network.received_bytes	Nombre d'octets reçus du client.
cshost	principal.hostname, principal.asset.hostname	Nom d'hôte du client.
csip	principal.ip, principal.asset.ip	Adresse IP du client.
csmethod	network.http.method	Méthode HTTP utilisée par le client.
csreferer	network.http.referral_url	URL qui a redirigé le client vers la page actuelle.
csuseragent	network.http.user_agent	User-agent du client.
csusername	principal.user.user_display_name	Nom d'utilisateur du client.
csversion	network.tls.version_protocol	Version HTTP utilisée par le client.
date		Utilisé pour construire le code temporel de l'événement si le code temporel du journal brut n'est pas valide.
description	security_result.description	Description de l'événement.
devicename	target.hostname	Nom d'hôte de la machine cible.
dst_ip	target.ip, target.asset.ip	Adresse IP de la machine cible.
dst_port	target.port	Numéro de port de la machine cible.
duration		Durée de la requête en millisecondes.
EventEnqueuedUtcTime	additional.fields.EventEnqueuedUtcTime.value.string_value	Heure à laquelle l'événement a été mis en file d'attente au format UTC.
EventID	metadata.product_log_id	ID de l'événement.
EventProcessedUtcTime	additional.fields.EventProcessedUtcTime.value.string_value	Heure à laquelle l'événement a été traité au format UTC.
EventTime	metadata.event_timestamp	Horodatage de l'événement.
EventType	metadata.product_event_type	Le type d'événement.
file_path	target.file.full_path	Chemin d'accès complet au fichier concerné par l'événement.
FilterId	security_result.about.resource.attribute.labels.FilterId.value	ID du filtre.
FilterKey	security_result.about.resource.attribute.labels.FilterKey.value	Clé du filtre.
FilterName	security_result.about.resource.attribute.labels.FilterName.value	Nom du filtre.
FilterType	security_result.about.resource.attribute.labels.FilterType.value	Type de filtre.
hôte	target.hostname	Nom d'hôte de la machine cible.
host.architecture	principal.asset.hardware.cpu_platform	Architecture de la machine hôte.
host.geo.name	additional.fields.geo_name.value.string_value	Emplacement géographique de la machine hôte.
host.hostname	target.hostname, target.asset.hostname	Nom d'hôte de la machine hôte.
host.id	observer.asset_id	ID de la machine hôte.
host.ip	principal.ip, principal.asset.ip	Adresse IP de la machine hôte.
host.mac	principal.mac	Adresse MAC de la machine hôte.
host.os.build	additional.fields.os_build.value.string_value	Numéro de build du système d'exploitation sur la machine hôte.
host.os.kernel	principal.platform_patch_level	Version du noyau du système d'exploitation sur la machine hôte.
host.os.name	additional.fields.os_name.value.string_value	Nom du système d'exploitation sur la machine hôte.
host.os.platform	principal.platform	Plate-forme du système d'exploitation sur la machine hôte.
host.os.version	principal.platform_version	Version du système d'exploitation sur la machine hôte.
http_method	network.http.method	Méthode HTTP utilisée par le client.
http_response	network.http.response_code	Code de réponse HTTP.
http_status_code	network.http.response_code	Code d'état HTTP de la réponse.
http_substatus	additional.fields.sc_substatus.value.string_value	Code de sous-état HTTP de la réponse.
instance	additional.fields.instance.value.string_value	ID d'instance de la tâche.
intermediary_devicename	intermediary.hostname, intermediary.asset.hostname	Nom d'hôte de l'appareil intermédiaire.
json_message		Message de journal brut au format JSON.
kv_fields		Permet d'extraire des paires clé/valeur du message de journal brut.
LayerKey	security_result.about.resource.attribute.labels.LayerKey.value	Clé du calque.
LayerName	security_result.about.resource.attribute.labels.LayerName.value	Nom du calque.
LayerId	security_result.about.resource.attribute.labels.LayerId.value	ID du calque.
log.file.path	target.file.full_path	Chemin d'accès complet au fichier journal.
log.offset	metadata.product_log_id	Décalage de l'événement dans le fichier journal.
logstash.collect.host	observer.hostname	Nom d'hôte de la machine ayant collecté le journal.
logstash.process.host	intermediary.hostname	Nom d'hôte de la machine qui a traité le journal.
logstash_json_message		Message de journal brut au format JSON.
message	security_result.description	Message de journal brut.
ministère	additional.fields.ministry.value.string_value	Ministère associé à l'événement.
nom		Nom de l'entité.
NewValue	additional.fields.NewValue.value.string_value	Nouvelle valeur du paramètre de configuration.
OldValue	additional.fields.OldValue.value.string_value	Ancienne valeur du paramètre de configuration.
port	principal.port	Numéro de port du client.
priority_code		Code de priorité du message syslog.
ProcessID	principal.process.pid	ID du processus ayant généré l'événement.
ProviderGuid	security_result.about.resource.attribute.labels.ProviderGuid.value	GUID du fournisseur.
ProviderKey	security_result.about.resource.attribute.labels.ProviderKey.value	Clé du fournisseur.
ProviderName	security_result.about.resource.attribute.labels.ProviderName.value	Nom du fournisseur.
referrer_url	network.http.referral_url	URL qui a redirigé le client vers la page actuelle.
request_url	target.url	URL demandée par le client.
s-computername	target.hostname	Nom d'hôte de la machine cible.
s-ip	target.ip, target.asset.ip	Adresse IP de la machine cible.
s-port	target.port	Numéro de port de la machine cible.
s-sitename	additional.fields.sitename.value.string_value	Nom du site.
sc-bytes	network.sent_bytes	Nombre d'octets envoyés au client.
sc-status	network.http.response_code	Code d'état HTTP de la réponse.
sc-substatus	additional.fields.sc_substatus.value.string_value	Code de sous-état HTTP de la réponse.
sc-win32-status		Code d'état Windows de la réponse.
scbyte	network.sent_bytes	Nombre d'octets envoyés au client.
scstatus	network.http.response_code	Code d'état HTTP de la réponse.
de gravité,	security_result.severity	Gravité de l'événement.
service.type	additional.fields.service_type.value.string_value	Type de service.
sIP	principal.ip, principal.asset.ip	Adresse IP du client.
sPort	principal.port	Numéro de port du client.
sSiteName	additional.fields.sitename.value.string_value	Nom du site.
src_ip	principal.ip, principal.asset.ip, observer.ip	Adresse IP du client.
src_port	principal.port	Numéro de port du client.
sysdate		Date et heure du message syslog.
syslog_facility	security_result.severity_details	Installation du message syslog.
syslog_pri		Priorité du message syslog.
syslog_severity	security_result.severity_details	Gravité du message syslog.
syslog_severity_code		Code de gravité du message syslog.
tags	security_result.rule_name	Tags associés à l'événement.
opération	additional.fields.task.value.string_value	Le nom de la tâche.
heure		Utilisé pour construire le code temporel de l'événement si le code temporel du journal brut n'est pas valide.
time-taken		Durée de la requête en millisecondes.
uri_query	target.url	Chaîne de requête de l'URL demandée par le client.
user_agent	network.http.user_agent	User-agent du client.
Nom d'utilisateur	target.user.userid	Le nom d'utilisateur de l'utilisateur.
UserSid	target.user.windows_sid	SID Windows de l'utilisateur.
Pondération	security_result.about.resource.attribute.labels.Weight.value	Pondération du filtre.
win32_status		Code d'état Windows de la réponse.
xforwardedfor		En-tête X-Forwarded-For, contenant une liste d'adresses IP séparées par une virgule.
	metadata.log_type	"IIS"
	network.direction	"INBOUND"
	metadata.vendor_name	"Microsoft"
	metadata.product_name	"Internet Information Server"
	metadata.event_type	"NETWORK_HTTP", "USER_UNCATEGORIZED", "GENERIC_EVENT", "STATUS_UPDATE", "USER_LOGOUT", "USER_LOGIN"
	extensions.auth.type	"MACHINE"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.

Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.

Dernière mise à jour le 2026/01/05 (UTC).