이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Microsoft IIS 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Bindplane을 사용하여 Microsoft 인터넷 정보 서비스 (IIS) 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 먼저 불필요한 문자를 삭제하고 필드 이름을 표준화하여 입력 데이터를 정리하고 정규화하려고 시도합니다. 그런 다음 일련의 grok 패턴을 사용하여 다양한 Microsoft IIS 로그 형식에서 관련 필드를 추출하고 통합 데이터 모델 (UDM)에 매핑합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
IIS가 설치된 Windows Server 2016 이상
IIS 서버에 대한 관리 액세스
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템 (예: C:\SecOps\ingestion-auth.json)에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

IIS W3C 확장 로깅 구성

가장 중요한 단계입니다. Google SecOps에서 로그를 올바르게 파싱하고 감지가 안정적으로 작동하도록 IIS 관리자에서 올바른 W3C 필드를 사용 설정해야 합니다.

IIS 관리자 열기

시작을 클릭합니다.
inetmgr를 입력하고 Enter 키를 누릅니다.
Internet Information Services (IIS) Manager(인터넷 정보 서비스(IIS) 관리자) 창이 열립니다.

다른 방법:

Windows 키 + R을 누릅니다.
inetmgr를 입력하고 Enter 키를 누릅니다.

로깅 구성으로 이동

연결 창 (왼쪽)에서 서버 이름을 펼칩니다.
서버 전체 로깅을 구성하려면 다음 단계를 따르세요 (권장).
- 루트 수준에서 서버 이름을 클릭합니다.
사이트별 로깅을 구성하려면 다음 단계를 따르세요.
- 사이트를 펼치고 > 특정 사이트 (예: 기본 웹 사이트)를 클릭합니다.
기능 보기 (중앙 창)에서 로깅을 더블클릭합니다.

W3C 확장 로그 형식 선택

로깅 페이지의 로그 파일 섹션에서 다음을 수행합니다.
- 형식 드롭다운에서 W3C를 선택합니다.
필드 선택 버튼을 클릭합니다.

W3C 로깅 필드 구성

중요: Google SecOps IIS 파서는 정확히 8개의 필드 구성을 지원합니다. 아래 패턴 중 하나에서 모든 필드를 사용 설정해야 합니다. 필드를 다르게 사용 설정하거나 패턴을 혼합하면 파싱이 실패합니다.

W3C 로깅 필드 대화상자에서 다음 패턴 중 하나에 따라 필드를 선택합니다.

패턴 1: 쿼리 문자열 및 바이트가 포함된 전체 사이트 컨텍스트

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서비스 이름 (s-sitename)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
전송된 바이트 (sc-bytes)
수신 바이트 (cs-bytes)

다음과 같은 경우 이 패턴을 사용하세요. 다운스트림 형식에 사이트 컨텍스트 + 쿼리 문자열이 포함되고 전송/수신된 바이트가 필요하며 파이프라인에서 'username' 및 'referer' 열을 예상합니다 (값이 -인 경우에도).

패턴 2: 하위 상태, Win32 상태, 성능 (리퍼러 없음)이 포함된 기본

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
걸린 시간 (time-taken)

다음과 같은 경우 이 패턴을 사용하세요. 파이프라인에 리퍼러가 포함되어 있지 않지만 자세한 오류 코드와 지연 시간 (time-taken)이 필요합니다.

패턴 3: 하위 상태, Win32 상태, 실적이 포함된 기본 (리퍼러 포함)

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
걸린 시간 (time-taken)

다음과 같은 경우 이 패턴을 사용하세요. 패턴 2와 동일하지만 파이프라인에 Referer가 전용 열로 포함됩니다.

패턴 4: 리퍼러 및 성능을 고려한 TLS/프로토콜 버전 인식

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
클라이언트 포트 (c-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
프로토콜 버전 (cs-version)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
걸린 시간 (time-taken)

다음과 같은 경우 이 패턴을 사용하세요. 다운스트림 형식에서 cs-version를 명시적으로 로깅합니다 (예: HTTP/1.1)를 포함하고 타이밍도 포함되어 있으며 클라이언트 포트가 전용 열로 있습니다.

패턴 5: 리퍼러가 있는 TLS/프로토콜 버전 인식 (성능 없음)

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
클라이언트 포트 (c-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
프로토콜 버전 (cs-version)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)

다음과 같은 경우 이 패턴을 사용하세요. 패턴 4와 동일하지만 파이프라인에 time-taken가 포함되지 않습니다.

패턴 6: 쿠키 및 리퍼러 사용 (성능 없음, 바이트 없음)

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
클라이언트 포트 (c-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
쿠키 (cs(Cookie))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)

다음과 같은 경우 이 패턴을 사용하세요. 다운스트림 형식에서 쿠키와 리퍼러를 모두 전용 열로 예상합니다.

패턴 7: Referer만 사용 (쿠키 없음, 성능 없음, 바이트 없음)

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
클라이언트 포트 (c-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)

다음과 같은 경우 이 패턴을 사용하세요. 다운스트림 형식에 리퍼러가 포함되지만 쿠키/시간/바이트는 포함되지 않습니다.

패턴 8: 리퍼러가 없는 최소값 (쿠키 없음, 성능 없음, 바이트 없음)

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
클라이언트 포트 (c-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)

다음과 같은 경우 이 패턴을 사용하세요. 다운스트림 형식에 리퍼러가 포함되지 않으며 핵심 요청 컨텍스트와 상태 코드만 필요합니다.

여러 패턴의 필드를 사용 설정하지 마세요. 파서는 이러한 정확한 구성 중 하나를 예상합니다.

구성 적용

확인을 클릭하여 W3C 로깅 필드 대화상자를 닫습니다.
로그가 기록되는 디렉터리 경로를 확인합니다.
- 기본값: %SystemDrive%\inetpub\logs\LogFiles
로그 파일 롤오버에서 일별을 선택합니다 (Google SecOps 수집에 권장됨).
작업 창 (오른쪽)에서 적용을 클릭합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 서버에 Bindplane 에이전트를 설치합니다.

Windows 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

IIS 로그를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

Bindplane 서비스 중지

구성 파일을 수정하기 전에 서비스를 중지합니다.
```
Stop-Service "observIQ OpenTelemetry Collector"
```

구성 파일 설정

config.yaml 파일을 찾습니다.
- 기본 경로: C:\Program Files\observIQ OpenTelemetry Collector\config.yaml
관리자 권한으로 텍스트 편집기 (예: 메모장, VS Code, Notepad++)를 사용하여 파일을 엽니다.

전체 콘텐츠를 다음 구성으로 바꿉니다.

receivers:
  iis:
    collection_interval: 60s

processors:
  resourcedetection:
    detectors: ["system"]
    system:
      hostname_sources: ["os"]
  normalizesums:
  batch:

exporters:
  chronicle/iis:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: 'C:\SecOps\ingestion-auth.json'
    log_type: 'IIS'
    override_log_type: false
    raw_log_field: body
    customer_id: '<CUSTOMER_ID>'
    compression: gzip

service:
  pipelines:
    logs/iis:
      receivers:
        - iis
      processors:
        - resourcedetection
        - normalizesums
        - batch
      exporters:
        - chronicle/iis

다음 자리표시자를 바꿉니다.
- creds: - 인그레션 인증 파일의 경로입니다 (예: C:\SecOps\ingestion-auth.json).
- customer_id: - Google SecOps 고객 ID 가져오기 섹션의 실제 Google SecOps 고객 ID입니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

config.yaml 파일을 저장한 후 Bindplane 서비스를 다시 시작합니다.
```
Start-Service "observIQ OpenTelemetry Collector"
```

서비스가 실행 중인지 확인합니다.

Get-Service "observIQ OpenTelemetry Collector"

예상 출력:

Status   Name                               DisplayName
------   ----                               -----------
Running  observiq-otel-collector            observIQ OpenTelemetry Collector

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
@timestamp	metadata.event_timestamp	원시 로그에 기록된 이벤트의 타임스탬프입니다.
@version	metadata.product_version	IIS 서버의 버전입니다.
AgentDevice	additional.fields.AgentDevice.value.string_value	로그를 생성한 기기입니다.
AgentLogFile	additional.fields.AgentLogFile.value.string_value	로그 파일의 이름입니다.
ASP.NET_SessionId	network.session_id	사용자의 세션 ID입니다.
c-ip	principal.ip	클라이언트의 IP 주소입니다.
채널	security_result.about.resource.attribute.labels.Channel.value	이벤트가 로깅된 채널입니다.
ChannelID	security_result.about.resource.attribute.labels.ChannelID.value	이벤트가 기록된 채널의 ID입니다.
컴퓨터	target.hostname	타겟 머신의 호스트 이름입니다.
cs-bytes	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cs-host	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
cs-method	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
cs-uri-query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
cs-uri-stem	target.url	클라이언트가 요청한 URL의 경로입니다.
cs-username	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
cs-version	network.tls.version_protocol	클라이언트에서 사용한 HTTP 버전입니다.
cs(쿠키)		쿠키 정보를 추출하는 데 사용됩니다.
cs(리퍼러)	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
cs(User-Agent)	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csbyte	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cshost	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
csip	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
csmethod	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
csreferer	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
csuseragent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csusername	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
csversion	network.tls.version_protocol	클라이언트에서 사용한 HTTP 버전입니다.
날짜		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 구성하는 데 사용됩니다.
설명	security_result.description	이벤트에 대한 설명입니다.
devicename	target.hostname	타겟 머신의 호스트 이름입니다.
dst_ip	target.ip, target.asset.ip	타겟 머신의 IP 주소입니다.
dst_port	target.port	타겟 머신의 포트 번호입니다.
기간		요청 기간(밀리초)입니다.
EventEnqueuedUtcTime	additional.fields.EventEnqueuedUtcTime.value.string_value	이벤트가 대기열에 추가된 시간(UTC)입니다.
EventID	metadata.product_log_id	이벤트 ID입니다.
EventProcessedUtcTime	additional.fields.EventProcessedUtcTime.value.string_value	이벤트가 처리된 시간(UTC)입니다.
EventTime	metadata.event_timestamp	이벤트의 타임스탬프입니다.
EventType	metadata.product_event_type	이벤트 유형입니다.
file_path	target.file.full_path	이벤트와 관련된 파일의 전체 경로입니다.
FilterId	security_result.about.resource.attribute.labels.FilterId.value	필터의 ID입니다.
FilterKey	security_result.about.resource.attribute.labels.FilterKey.value	필터의 키입니다.
FilterName	security_result.about.resource.attribute.labels.FilterName.value	필터 이름입니다.
FilterType	security_result.about.resource.attribute.labels.FilterType.value	필터 유형입니다.
호스트	target.hostname	타겟 머신의 호스트 이름입니다.
host.architecture	principal.asset.hardware.cpu_platform	호스트 머신의 아키텍처입니다.
host.geo.name	additional.fields.geo_name.value.string_value	호스트 머신의 지리적 위치입니다.
host.hostname	target.hostname, target.asset.hostname	호스트 머신의 호스트 이름입니다.
host.id	observer.asset_id	호스트 머신의 ID입니다.
host.ip	principal.ip, principal.asset.ip	호스트 머신의 IP 주소입니다.
host.mac	principal.mac	호스트 머신의 MAC 주소입니다.
host.os.build	additional.fields.os_build.value.string_value	호스트 머신의 운영체제 빌드 번호입니다.
host.os.kernel	principal.platform_patch_level	호스트 머신의 운영체제 커널 버전입니다.
host.os.name	additional.fields.os_name.value.string_value	호스트 머신의 운영체제 이름입니다.
host.os.platform	principal.platform	호스트 머신의 운영체제 플랫폼입니다.
host.os.version	principal.platform_version	호스트 머신의 운영체제 버전입니다.
http_method	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
http_response	network.http.response_code	HTTP 응답 코드입니다.
http_status_code	network.http.response_code	응답의 HTTP 상태 코드입니다.
http_substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
인스턴스	additional.fields.instance.value.string_value	작업의 인스턴스 ID입니다.
intermediary_devicename	intermediary.hostname, intermediary.asset.hostname	중간 기기의 호스트 이름입니다.
json_message		JSON 형식의 원시 로그 메시지입니다.
kv_fields		원시 로그 메시지에서 키-값 쌍을 추출하는 데 사용됩니다.
LayerKey	security_result.about.resource.attribute.labels.LayerKey.value	레이어의 키입니다.
LayerName	security_result.about.resource.attribute.labels.LayerName.value	레이어의 이름입니다.
LayerId	security_result.about.resource.attribute.labels.LayerId.value	레이어의 ID입니다.
log.file.path	target.file.full_path	로그 파일의 전체 경로입니다.
log.offset	metadata.product_log_id	로그 파일에서 이벤트의 오프셋입니다.
logstash.collect.host	observer.hostname	로그를 수집한 머신의 호스트 이름입니다.
logstash.process.host	intermediary.hostname	로그를 처리한 시스템의 호스트 이름입니다.
logstash_json_message		JSON 형식의 원시 로그 메시지입니다.
메시지	security_result.description	원시 로그 메시지입니다.
사역	additional.fields.ministry.value.string_value	이벤트와 연결된 부처입니다.
name		항목 이름입니다.
NewValue	additional.fields.NewValue.value.string_value	구성 설정의 새 값입니다.
OldValue	additional.fields.OldValue.value.string_value	구성 설정의 이전 값입니다.
포트	principal.port	클라이언트의 포트 번호입니다.
priority_code		syslog 메시지의 우선순위 코드입니다.
ProcessID	principal.process.pid	이벤트를 생성한 프로세스의 프로세스 ID입니다.
ProviderGuid	security_result.about.resource.attribute.labels.ProviderGuid.value	제공업체의 GUID입니다.
ProviderKey	security_result.about.resource.attribute.labels.ProviderKey.value	제공업체의 키입니다.
ProviderName	security_result.about.resource.attribute.labels.ProviderName.value	제공업체의 이름입니다.
리퍼러_url	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
request_url	target.url	클라이언트가 요청한 URL입니다.
s-computername	target.hostname	타겟 머신의 호스트 이름입니다.
s-ip	target.ip, target.asset.ip	타겟 머신의 IP 주소입니다.
s-port	target.port	타겟 머신의 포트 번호입니다.
s-sitename	additional.fields.sitename.value.string_value	사이트의 이름입니다.
sc-bytes	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
sc-status	network.http.response_code	응답의 HTTP 상태 코드입니다.
sc-substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
sc-win32-status		응답의 Windows 상태 코드입니다.
scbyte	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
scstatus	network.http.response_code	응답의 HTTP 상태 코드입니다.
줄이는 것을	security_result.severity	이벤트의 심각도입니다.
service.type	additional.fields.service_type.value.string_value	서비스 유형입니다.
sIP	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
sPort	principal.port	클라이언트의 포트 번호입니다.
sSiteName	additional.fields.sitename.value.string_value	사이트의 이름입니다.
src_ip	principal.ip, principal.asset.ip, observer.ip	클라이언트의 IP 주소입니다.
src_port	principal.port	클라이언트의 포트 번호입니다.
sysdate		syslog 메시지의 날짜 및 시간입니다.
syslog_facility	security_result.severity_details	syslog 메시지의 기능입니다.
syslog_pri		syslog 메시지의 우선순위입니다.
syslog_severity	security_result.severity_details	syslog 메시지의 심각도입니다.
syslog_severity_code		syslog 메시지의 심각도 코드입니다.
tags	security_result.rule_name	이벤트와 연결된 태그입니다.
작업	additional.fields.task.value.string_value	태스크 이름
시간		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 구성하는 데 사용됩니다.
time-taken		요청 기간(밀리초)입니다.
uri_query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
user_agent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
사용자 이름	target.user.userid	사용자의 이름입니다.
UserSid	target.user.windows_sid	사용자의 Windows SID입니다.
가중치	security_result.about.resource.attribute.labels.Weight.value	필터의 가중치입니다.
win32_status		응답의 Windows 상태 코드입니다.
xforwardedfor		쉼표로 구분된 IP 주소 목록이 포함된 X-Forwarded-For 헤더
	metadata.log_type	'IIS'
	network.direction	'INBOUND'
	metadata.vendor_name	'Microsoft'
	metadata.product_name	'인터넷 정보 서비스'
	metadata.event_type	'NETWORK_HTTP', 'USER_UNCATEGORIZED', 'GENERIC_EVENT', 'STATUS_UPDATE', 'USER_LOGOUT', 'USER_LOGIN'
	extensions.auth.type	'MACHINE'

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.