Diese Seite wurde von der Cloud Translation API übersetzt.

Microsoft IIS-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In dieser Anleitung wird beschrieben, wie Sie Microsoft Internet Information Services (IIS)-Logs mit Bindplane in Google Security Operations aufnehmen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher mit installiertem IIS
Administratorzugriff auf den IIS-Server
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Erweitertes W3C-Logging für IIS konfigurieren

IIS Manager öffnen

Klicken Sie auf Start.
Geben Sie inetmgr ein und drücken Sie die Eingabetaste.
Das Fenster Internet Information Services (IIS) Manager wird geöffnet.

Alternative Methode:

Drücken Sie die Windows-Taste + R.
Geben Sie inetmgr ein und drücken Sie die Eingabetaste.

Logging-Konfiguration aufrufen

Maximieren Sie im Bereich Verbindungen den Namen Ihres Servers.
So konfigurieren Sie das serverweite Logging (empfohlen):
- Klicken Sie auf den Servernamen auf der Stammebene.
So konfigurieren Sie standortspezifisches Logging:
- Maximieren Sie Websites und klicken Sie dann auf die gewünschte Website (z. B. Default Web Site).
Doppelklicken Sie in der Funktionsansicht auf Protokollierung.

Wählen Sie das erweiterte W3C-Logformat aus.

Gehen Sie auf der Seite Logging im Bereich Log File (Protokolldatei) so vor:
- Wählen Sie im Drop-down-Menü Format die Option W3C aus.
Klicken Sie auf die Schaltfläche Felder auswählen.

W3C-Logging-Felder konfigurieren

Wählen Sie im Dialogfeld W3C-Logging-Felder Felder gemäß einem der folgenden Muster aus:

Muster 1: Vollständiger Websitekontext mit Abfragestring (für die meisten Bereitstellungen empfohlen)

Verwenden Sie dieses Muster, wenn Sie den vollständigen Anfragekontext einschließlich Referrer und Abfragestrings für die Sicherheitsanalyse benötigen und mehrere Websites auf einem Server gehostet werden.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

Date (Datum)
Zeit (time)
Dienstname (s-sitename)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
URI-Abfrage (cs-uri-query)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
User-Agent (cs(User-Agent))
Referrer (cs(Referer))
Protokollstatus (sc-status)
Gesendete Byte (sc-bytes)
Empfangene Byte (cs-bytes)

Muster 2: Einfach mit Unterstatus und Leistung

Verwenden Sie dieses Muster, wenn Sie detaillierte Fehlercodes (Unterstatus, Win32-Status) und Zeitangaben für Anfragen zur Fehlerbehebung benötigen.

Aktivieren Sie diese Felder in der genau dieser Reihenfolge:

Date (Datum)
Zeit (time)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
User-Agent (cs(User-Agent))
Referrer (cs(Referer))
Protokollstatus (sc-status)
Unterstatus des Protokolls (sc-substatus)
Win32-Status (sc-win32-status)
Benötigte Zeit (time-taken)

Muster 3: Websitekontext mit vollständigen Messwerten (für die Produktion empfohlen)

Verwenden Sie dieses Muster, wenn Sie eine umfassende Protokollierung mit Site-Identifizierung, detaillierten Fehlern, Bandbreitenmesswerten und Leistungsdaten benötigen.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

Date (Datum)
Zeit (time)
Dienstname (s-sitename)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
URI-Abfrage (cs-uri-query)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
User-Agent (cs(User-Agent))
Protokollstatus (sc-status)
Unterstatus des Protokolls (sc-substatus)
Win32-Status (sc-win32-status)
Gesendete Byte (sc-bytes)
Empfangene Byte (cs-bytes)
Benötigte Zeit (time-taken)

Muster 4: Mehrere Websites mit vollständigem Kontext

Dieses Muster ist funktional identisch mit Muster 3.

Verwenden Sie dieses Muster, wenn Sie mehrere Websites haben und vollständige Transparenz benötigen.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

Date (Datum)
Zeit (time)
Dienstname (s-sitename)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
URI-Abfrage (cs-uri-query)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
User-Agent (cs(User-Agent))
Protokollstatus (sc-status)
Unterstatus des Protokolls (sc-substatus)
Win32-Status (sc-win32-status)
Gesendete Byte (sc-bytes)
Empfangene Byte (cs-bytes)
Benötigte Zeit (time-taken)

Muster 5: Websitekontext mit vollständigen Messwerten (alternativ)

Dieses Muster ist funktional identisch mit Muster 3 und 4.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

Date (Datum)
Zeit (time)
Dienstname (s-sitename)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
URI-Abfrage (cs-uri-query)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
User-Agent (cs(User-Agent))
Protokollstatus (sc-status)
Unterstatus des Protokolls (sc-substatus)
Win32-Status (sc-win32-status)
Gesendete Byte (sc-bytes)
Empfangene Byte (cs-bytes)
Benötigte Zeit (time-taken)

Muster 6: TLS-fähig mit Unterstatus und Leistung

Verwenden Sie dieses Muster, wenn Sie HTTP/HTTPS-Protokollversionen (HTTP/1.1, HTTP/2, HTTP/3) für Sicherheitsanalysen oder TLS-Fehlerbehebung erfassen müssen.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

Date (Datum)
Zeit (time)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
URI-Abfrage (cs-uri-query)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
Protokollversion (cs-version)
User-Agent (cs(User-Agent))
Referrer (cs(Referer))
Protokollstatus (sc-status)
Unterstatus des Protokolls (sc-substatus)
Win32-Status (sc-win32-status)
Benötigte Zeit (time-taken)

Muster 7: TLS-fähig ohne Leistungsmesswerte

Verwenden Sie dieses Muster, wenn es sich um dasselbe Szenario wie bei Muster 6 handelt, Sie aber keine Messwerte zur Bearbeitungszeit benötigen.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

Date (Datum)
Zeit (time)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
URI-Abfrage (cs-uri-query)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
Protokollversion (cs-version)
User-Agent (cs(User-Agent))
Referrer (cs(Referer))
Protokollstatus (sc-status)
Unterstatus des Protokolls (sc-substatus)
Win32-Status (sc-win32-status)

Muster 8: Minimal mit Leistung

Verwenden Sie dieses Muster, wenn Sie nur minimale Protokollierung mit Leistungsmesswerten benötigen, aber keine Query-Strings, Referrer oder Protokollversionen benötigen.

Aktivieren Sie diese Felder in der folgenden Reihenfolge:

Date (Datum)
Zeit (time)
Server-IP-Adresse (s-ip)
Methode (cs-method)
URI-Stamm (cs-uri-stem)
Serverport (s-port)
Nutzername (cs-username)
Client-IP-Adresse (c-ip)
User-Agent (cs(User-Agent))
Protokollstatus (sc-status)
Unterstatus des Protokolls (sc-substatus)
Win32-Status (sc-win32-status)
Benötigte Zeit (time-taken)

Anleitung zur Auswahl von Mustern

Verwenden Sie für die meisten Bereitstellungen Muster 1 oder Muster 3.

Muster 1:Am besten für sicherheitsorientierte Bereitstellungen mit mehreren Websites (einschließlich Referrer, Abfragestring, Websitename).
Muster 3:Am besten für Produktionsumgebungen geeignet, die umfassende Messwerte erfordern (einschließlich Unterstatus, Win32-Fehler, Bandbreite, Timing und Websitename).
Muster 6/7:Verwenden Sie dieses Muster, wenn Sie HTTP-Protokollversionen erfassen müssen (HTTP/2-Einführung, TLS-Fehlerbehebung).
Muster 2/8:Für minimales Logging mit Fehlerdetails verwenden.

Konfiguration anwenden

Klicken Sie auf OK, um das Dialogfeld W3C Logging Fields (W3C-Protokollierungsfelder) zu schließen.
Prüfen Sie den Verzeichnispfad, in den Logs geschrieben werden.
- Standardwert: %SystemDrive%\inetpub\logs\LogFiles
Wählen Sie unter Log File Rollover (Logdatei-Rollover) die Option Daily (Täglich) aus. Diese Option wird für die Google SecOps-Aufnahme empfohlen.
Klicken Sie im Bereich Aktionen auf Anwenden.

IIS-Logging prüfen

Generieren Sie Test-Traffic für Ihre IIS-Website, indem Sie eine Webseite in einem Browser öffnen.
Rufen Sie das Logverzeichnis auf: C:\inetpub\logs\LogFiles\W3SVC1\
Öffnen Sie die aktuelle Logdatei (z. B. u_ex251020.log) in Notepad.

Prüfen Sie, ob die Zeile #Fields: alle Felder enthält, die Sie aktiviert haben.

Beispiel für eine #Fields:-Zeile:

#Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

Beispiel für einen Logeintrag:

2025-10-20 14:23:15 Default_Web_Site SERVER01 192.168.1.10 GET /index.html - 80 - 203.0.113.45 Mozilla/5.0+(Windows+NT+10.0) - 200 0 0 1234 567 125

BindPlane-Agent installieren

Installieren Sie den BindPlane-Agent auf Ihrem Windows-Server gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agenten zum Erfassen von IIS-Logs und Senden an Google SecOps konfigurieren

Bindplane-Dienst beenden

Beenden Sie den Dienst, bevor Sie die Konfigurationsdatei bearbeiten:
```
Stop-Service "observIQ OpenTelemetry Collector"
```

Konfigurationsdatei bearbeiten

Suchen Sie die Datei config.yaml.
- Standardpfad: C:\Program Files\observIQ OpenTelemetry Collector\config.yaml
Öffnen Sie die Datei mit einem Texteditor (z. B. Notepad, VS Code oder Notepad++) als Administrator.

Ersetzen Sie den gesamten Inhalt durch die folgende Konfiguration:

receivers:
  iis:
    collection_interval: 60s

processors:
  resourcedetection:
    detectors: ["system"]
    system:
      hostname_sources: ["os"]
  normalizesums:
  batch:

exporters:
  chronicle/iis:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: 'C:\SecOps\ingestion-auth.json'
    log_type: 'IIS'
    override_log_type: false
    raw_log_field: body
    customer_id: '<CUSTOMER_ID>'
    compression: gzip

service:
  pipelines:
    logs/iis:
      receivers:
        - iis
      processors:
        - resourcedetection
        - normalizesums
        - batch
      exporters:
        - chronicle/iis

Ersetzen Sie die folgenden Platzhalter:
- creds:: Pfad zu Ihrer Datei für die Aufnahmeauthentifizierung (z. B. C:\SecOps\ingestion-auth.json).
- customer_id: – Ihre tatsächliche Google SecOps-Kundennummer aus dem Abschnitt Google SecOps-Kundennummer abrufen.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Nachdem Sie die Datei config.yaml gespeichert haben, starten Sie den Bindplane-Dienst neu:
```
Start-Service "observIQ OpenTelemetry Collector"
```

Prüfen Sie, ob der Dienst ausgeführt wird:

Get-Service "observIQ OpenTelemetry Collector"

Erwartete Ausgabe:

Status   Name                               DisplayName
------   ----                               -----------
Running  observiq-otel-collector            observIQ OpenTelemetry Collector

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
@timestamp	metadata.event_timestamp	Der Zeitstempel des Ereignisses, wie im Rohlog aufgezeichnet.
@version	metadata.product_version	Die Version des IIS-Servers.
AgentDevice	additional.fields.AgentDevice.value.string_value	Das Gerät, das das Log generiert hat.
AgentLogFile	additional.fields.AgentLogFile.value.string_value	Der Name der Logdatei.
ASP.NET_SessionId	network.session_id	Die Sitzungs-ID des Nutzers.
c-ip	principal.ip	Die IP-Adresse des Clients.
Kanal	security_result.about.resource.attribute.labels.Channel.value	Der Kanal, in dem das Ereignis protokolliert wurde.
ChannelID	security_result.about.resource.attribute.labels.ChannelID.value	Die ID des Kanals, in dem das Ereignis protokolliert wurde.
Computer	target.hostname	Der Hostname des Zielcomputers.
cs-bytes	network.received_bytes	Die Anzahl der vom Client empfangenen Bytes.
cs-host	hauptkonto.hostname, hauptkonto.asset.hostname	Der Hostname des Clients.
cs-method	network.http.method	Die vom Client verwendete HTTP-Methode.
cs-uri-query	target.url	Der Abfragestring der vom Client angeforderten URL.
cs-uri-stem	target.url	Der Pfad der vom Client angeforderten URL.
cs-username	principal.user.user_display_name	Der Nutzername des Clients.
cs-version	network.tls.version_protocol	Die vom Client verwendete HTTP-Version.
cs(Cookie)		Wird verwendet, um Cookie-Informationen zu extrahieren.
cs(Referer)	network.http.referral_url	Die URL, über die der Client auf die aktuelle Seite verwiesen wurde.
cs(User-Agent)	network.http.user_agent	Der User-Agent des Clients.
csbyte	network.received_bytes	Die Anzahl der vom Client empfangenen Bytes.
cshost	hauptkonto.hostname, hauptkonto.asset.hostname	Der Hostname des Clients.
csip	principal.ip, principal.asset.ip	Die IP-Adresse des Clients.
csmethod	network.http.method	Die vom Client verwendete HTTP-Methode.
csreferer	network.http.referral_url	Die URL, über die der Client auf die aktuelle Seite verwiesen wurde.
csuseragent	network.http.user_agent	Der User-Agent des Clients.
csusername	principal.user.user_display_name	Der Nutzername des Clients.
csversion	network.tls.version_protocol	Die vom Client verwendete HTTP-Version.
Datum		Wird verwendet, um den Ereigniszeitstempel zu erstellen, wenn der Zeitstempel des Rohlogs ungültig ist.
Beschreibung	security_result.description	Eine Beschreibung des Ereignisses.
devicename	target.hostname	Der Hostname des Zielcomputers.
dst_ip	target.ip, target.asset.ip	Die IP-Adresse des Zielcomputers.
dst_port	target.port	Die Portnummer des Zielcomputers.
Dauer		Die Dauer der Anfrage in Millisekunden.
EventEnqueuedUtcTime	additional.fields.EventEnqueuedUtcTime.value.string_value	Die Zeit, zu der das Ereignis in UTC in die Warteschlange gestellt wurde.
EventID	metadata.product_log_id	Die ID des Ereignisses.
EventProcessedUtcTime	additional.fields.EventProcessedUtcTime.value.string_value	Zeitpunkt, zu dem das Ereignis in UTC verarbeitet wurde.
EventTime	metadata.event_timestamp	Der Zeitstempel des Ereignisses.
EventType	metadata.product_event_type	Der Typ des Ereignisses.
file_path	target.file.full_path	Der vollständige Pfad der Datei, die an dem Ereignis beteiligt ist.
FilterId	security_result.about.resource.attribute.labels.FilterId.value	Die ID des Filters.
FilterKey	security_result.about.resource.attribute.labels.FilterKey.value	Der Schlüssel des Filters.
FilterName	security_result.about.resource.attribute.labels.FilterName.value	Der Name des Filters.
FilterType	security_result.about.resource.attribute.labels.FilterType.value	Der Typ des Filters.
Host	target.hostname	Der Hostname des Zielcomputers.
host.architecture	principal.asset.hardware.cpu_platform	Die Architektur des Hostcomputers.
host.geo.name	additional.fields.geo_name.value.string_value	Der geografische Standort des Hostcomputers.
host.hostname	target.hostname, target.asset.hostname	Der Hostname des Hostcomputers.
host.id	observer.asset_id	Die ID des Hostcomputers.
host.ip	principal.ip, principal.asset.ip	Die IP-Adresse des Hostcomputers.
host.mac	principal.mac	Die MAC-Adresse des Hostcomputers.
host.os.build	additional.fields.os_build.value.string_value	Die Build-Nummer des Betriebssystems auf dem Hostcomputer.
host.os.kernel	principal.platform_patch_level	Die Kernel-Version des Betriebssystems auf dem Hostcomputer.
host.os.name	additional.fields.os_name.value.string_value	Der Name des Betriebssystems auf dem Hostcomputer.
host.os.platform	principal.platform	Die Plattform des Betriebssystems auf dem Hostcomputer.
host.os.version	principal.platform_version	Die Version des Betriebssystems auf dem Hostcomputer.
http_method	network.http.method	Die vom Client verwendete HTTP-Methode.
http_response	network.http.response_code	Der HTTP-Antwortcode.
http_status_code	network.http.response_code	Der HTTP-Statuscode der Antwort.
http_substatus	additional.fields.sc_substatus.value.string_value	Der HTTP-Unterstatuscode der Antwort.
Instanz	additional.fields.instance.value.string_value	Die Instanz-ID der Aufgabe.
intermediary_devicename	intermediary.hostname, intermediary.asset.hostname	Der Hostname des Vermittlungsgeräts.
json_message		Die Roh-Log-Nachricht im JSON-Format.
kv_fields		Wird verwendet, um Schlüssel/Wert-Paare aus der Rohlog-Nachricht zu extrahieren.
LayerKey	security_result.about.resource.attribute.labels.LayerKey.value	Der Schlüssel der Ebene.
LayerName	security_result.about.resource.attribute.labels.LayerName.value	Der Name der Ebene.
LayerId	security_result.about.resource.attribute.labels.LayerId.value	Die ID des Layers.
log.file.path	target.file.full_path	Der vollständige Pfad der Logdatei.
log.offset	metadata.product_log_id	Der Offset des Ereignisses in der Logdatei.
logstash.collect.host	observer.hostname	Der Hostname des Computers, auf dem das Log erfasst wurde.
logstash.process.host	intermediary.hostname	Der Hostname des Computers, auf dem das Log verarbeitet wurde.
logstash_json_message		Die Roh-Log-Nachricht im JSON-Format.
Nachricht	security_result.description	Die Roh-Lognachricht.
Ministerium	additional.fields.ministry.value.string_value	Das Ministerium, das mit dem Ereignis in Verbindung steht.
Name		Der Name der Entität.
NewValue	additional.fields.NewValue.value.string_value	Der neue Wert der Konfigurationseinstellung.
OldValue	additional.fields.OldValue.value.string_value	Der alte Wert der Konfigurationseinstellung.
Port	principal.port	Die Portnummer des Clients.
priority_code		Der Prioritätscode der Syslog-Meldung.
ProcessID	principal.process.pid	Die Prozess-ID des Prozesses, der das Ereignis generiert hat.
ProviderGuid	security_result.about.resource.attribute.labels.ProviderGuid.value	Die GUID des Anbieters.
ProviderKey	security_result.about.resource.attribute.labels.ProviderKey.value	Der Schlüssel des Anbieters.
ProviderName	security_result.about.resource.attribute.labels.ProviderName.value	Der Name des Anbieters.
referrer_url	network.http.referral_url	Die URL, über die der Client auf die aktuelle Seite verwiesen wurde.
request_url	target.url	Die vom Client angeforderte URL.
s-computername	target.hostname	Der Hostname des Zielcomputers.
s-ip	target.ip, target.asset.ip	Die IP-Adresse des Zielcomputers.
s-port	target.port	Die Portnummer des Zielcomputers.
s-sitename	additional.fields.sitename.value.string_value	Der Name der Website.
sc-bytes	network.sent_bytes	Die Anzahl der an den Client gesendeten Byte.
sc-status	network.http.response_code	Der HTTP-Statuscode der Antwort.
sc-substatus	additional.fields.sc_substatus.value.string_value	Der HTTP-Unterstatuscode der Antwort.
sc-win32-status		Der Windows-Statuscode der Antwort.
scbyte	network.sent_bytes	Die Anzahl der an den Client gesendeten Byte.
scstatus	network.http.response_code	Der HTTP-Statuscode der Antwort.
die Ausprägung	security_result.severity	Die Schwere des Ereignisses.
service.type	additional.fields.service_type.value.string_value	Der Typ des Dienstes.
sIP	principal.ip, principal.asset.ip	Die IP-Adresse des Clients.
sPort	principal.port	Die Portnummer des Clients.
sSiteName	additional.fields.sitename.value.string_value	Der Name der Website.
src_ip	principal.ip, principal.asset.ip, observer.ip	Die IP-Adresse des Clients.
src_port	principal.port	Die Portnummer des Clients.
sysdate		Datum und Uhrzeit der Syslog-Meldung.
syslog_facility	security_result.severity_details	Die Einrichtung der Syslog-Nachricht.
syslog_pri		Die Priorität der Syslog-Meldung.
syslog_severity	security_result.severity_details	Der Schweregrad der Syslog-Nachricht.
syslog_severity_code		Der Schweregradcode der Syslog-Nachricht.
Tags	security_result.rule_name	Tags, die mit dem Ereignis verknüpft sind.
task	additional.fields.task.value.string_value	Der Name der Aufgabe.
Zeit		Wird verwendet, um den Ereigniszeitstempel zu erstellen, wenn der Zeitstempel des Rohlogs ungültig ist.
time-taken		Die Dauer der Anfrage in Millisekunden.
uri_query	target.url	Der Abfragestring der vom Client angeforderten URL.
user_agent	network.http.user_agent	Der User-Agent des Clients.
Nutzername	target.user.userid	Der Nutzername des Nutzers.
UserSid	target.user.windows_sid	Die Windows-SID des Nutzers.
Gewicht	security_result.about.resource.attribute.labels.Weight.value	Die Gewichtung des Filters.
win32_status		Der Windows-Statuscode der Antwort.
xforwardedfor		Der X-Forwarded-For-Header mit einer durch Kommas getrennten Liste von IP-Adressen.
	metadata.log_type	„IIS“
	network.direction	„INBOUND“
	metadata.vendor_name	„Microsoft“
	metadata.product_name	„Internet Information Server“
	metadata.event_type	„NETWORK_HTTP“, „USER_UNCATEGORIZED“, „GENERIC_EVENT“, „STATUS_UPDATE“, „USER_LOGOUT“, „USER_LOGIN“
	extensions.auth.type	„MACHINE“

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten