이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Microsoft IIS 로그 수집

다음에서 지원:

Google secops SIEM

이 가이드에서는 Bindplane을 사용하여 Microsoft IIS (Internet Information Services) 로그를 Google Security Operations에 수집하는 방법을 설명합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
IIS가 설치된 Windows Server 2016 이상
IIS 서버에 대한 관리 액세스
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

IIS W3C 확장 로깅 구성

IIS 관리자 열기

시작을 클릭합니다.
inetmgr를 입력하고 Enter 키를 누릅니다.
Internet Information Services (IIS) Manager(인터넷 정보 서비스(IIS) 관리자) 창이 열립니다.

다른 방법:

Windows 키 + R을 누릅니다.
inetmgr를 입력하고 Enter 키를 누릅니다.

로깅 구성으로 이동

연결 창에서 서버 이름을 펼칩니다.
서버 전체 로깅을 구성하려면 다음 단계를 따르세요 (권장).
- 루트 수준에서 서버 이름을 클릭합니다.
사이트별 로깅을 구성하려면 다음 단계를 따르세요.
- 사이트를 펼친 다음 특정 사이트 (예: Default Web Site)를 클릭합니다.
기능 보기에서 로깅을 더블클릭합니다.

W3C 확장 로그 형식 선택

로깅 페이지의 로그 파일 섹션에서 다음을 수행합니다.
- 형식 드롭다운에서 W3C를 선택합니다.
필드 선택 버튼을 클릭합니다.

W3C 로깅 필드 구성

W3C 로깅 필드 대화상자에서 다음 패턴 중 하나에 따라 필드를 선택합니다.

패턴 1: 쿼리 문자열이 포함된 전체 사이트 컨텍스트 (대부분의 배포에 권장됨)

보안 분석을 위해 리퍼러 및 쿼리 문자열을 포함한 전체 요청 컨텍스트가 필요하고 하나의 서버에서 여러 사이트를 호스팅하는 경우 이 패턴을 사용하세요.

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서비스 이름 (s-sitename)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
전송된 바이트 (sc-bytes)
수신 바이트 (cs-bytes)

패턴 2: 하위 상태 및 실적을 포함한 기본

문제 해결을 위해 자세한 오류 코드 (하위 상태, Win32 상태)와 요청 타이밍이 필요한 경우 이 패턴을 사용하세요.

다음 정확한 순서로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
걸린 시간 (time-taken)

패턴 3: 전체 측정항목이 포함된 사이트 컨텍스트 (프로덕션에 권장)

사이트 식별, 상세 오류, 대역폭 측정항목, 성능 데이터가 포함된 포괄적인 로깅이 필요한 경우 이 패턴을 사용하세요.

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서비스 이름 (s-sitename)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
전송된 바이트 (sc-bytes)
수신 바이트 (cs-bytes)
걸린 시간 (time-taken)

패턴 4: 전체 컨텍스트가 있는 멀티 사이트

이 패턴은 기능적으로 패턴 3과 동일합니다.

사이트가 여러 개이고 완전한 관측 가능성이 필요한 경우 이 패턴을 사용하세요.

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서비스 이름 (s-sitename)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
전송된 바이트 (sc-bytes)
수신 바이트 (cs-bytes)
걸린 시간 (time-taken)

패턴 5: 전체 측정항목이 포함된 사이트 컨텍스트 (대체)

이 패턴은 기능적으로 패턴 3 및 4와 동일합니다.

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서비스 이름 (s-sitename)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
전송된 바이트 (sc-bytes)
수신 바이트 (cs-bytes)
걸린 시간 (time-taken)

패턴 6: 하위 상태 및 성능이 있는 TLS 인식

보안 분석 또는 TLS 문제 해결을 위해 HTTP/HTTPS 프로토콜 버전 (HTTP/1.1, HTTP/2, HTTP/3)을 추적해야 하는 경우 이 패턴을 사용합니다.

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
프로토콜 버전 (cs-version)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
걸린 시간 (time-taken)

패턴 7: 성능 측정항목 없이 TLS 인식

다음과 같은 경우 이 패턴을 사용하세요. 패턴 6과 동일하지만 소요 시간 측정항목이 필요하지 않습니다.

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
URI 쿼리 (cs-uri-query)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
프로토콜 버전 (cs-version)
사용자 에이전트 (cs(User-Agent))
리퍼러 (cs(Referer))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)

패턴 8: 성능을 고려한 최소

성능 측정항목으로 최소한의 로깅이 필요하지만 쿼리 문자열, 리퍼러 또는 프로토콜 버전은 신경 쓰지 않는 경우 이 패턴을 사용합니다.

다음 순서대로 필드를 사용 설정합니다.

날짜 (날짜)
시간 (time)
서버 IP 주소 (s-ip)
메서드 (cs-method)
URI 스템 (cs-uri-stem)
서버 포트 (s-port)
사용자 이름 (cs-username)
클라이언트 IP 주소 (c-ip)
사용자 에이전트 (cs(User-Agent))
프로토콜 상태 (sc-status)
프로토콜 하위 상태 (sc-substatus)
Win32 상태 (sc-win32-status)
걸린 시간 (time-taken)

패턴 선택 안내

대부분의 배포에서는 패턴 1 또는 패턴 3을 사용합니다.

패턴 1: 여러 사이트가 있는 보안 중심 배포에 가장 적합합니다 (리퍼러, 쿼리 문자열, 사이트 이름 포함).
패턴 3: 포괄적인 측정항목 (하위 상태, Win32 오류, 대역폭, 타이밍, 사이트 이름 포함)이 필요한 프로덕션 환경에 가장 적합합니다.
패턴 6/7: HTTP 프로토콜 버전 (HTTP/2 채택, TLS 문제 해결)을 추적해야 하는 경우 사용합니다.
패턴 2/8: 오류 세부정보와 함께 최소 로깅에 사용합니다.

구성 적용

확인을 클릭하여 W3C 로깅 필드 대화상자를 닫습니다.
로그가 기록되는 디렉터리 경로를 확인합니다.
- 기본값: %SystemDrive%\inetpub\logs\LogFiles
로그 파일 롤오버에서 일별을 선택합니다 (Google SecOps 수집에 권장됨).
작업 창에서 적용을 클릭합니다.

IIS 로깅 확인

브라우저에서 웹페이지를 열어 IIS 사이트로 테스트 트래픽을 생성합니다.
로그 디렉터리(C:\inetpub\logs\LogFiles\W3SVC1\)로 이동합니다.
메모장에서 최신 로그 파일 (예: u_ex251020.log)을 엽니다.

#Fields: 줄에 사용 설정한 모든 필드가 포함되어 있는지 확인합니다.

#Fields: 줄의 예:

#Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

로그 항목 예:

2025-10-20 14:23:15 Default_Web_Site SERVER01 192.168.1.10 GET /index.html - 80 - 203.0.113.45 Mozilla/5.0+(Windows+NT+10.0) - 200 0 0 1234 567 125

Bindplane 에이전트 설치

다음 안내에 따라 Windows 서버에 Bindplane 에이전트를 설치합니다.

Windows 설치

명령 프롬프트 또는 PowerShell을 관리자로 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

IIS 로그를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

Bindplane 서비스 중지

구성 파일을 수정하기 전에 서비스를 중지합니다.
```
Stop-Service "observIQ OpenTelemetry Collector"
```

구성 파일 설정

config.yaml 파일을 찾습니다.
- 기본 경로: C:\Program Files\observIQ OpenTelemetry Collector\config.yaml
관리자 권한으로 텍스트 편집기 (예: 메모장, VS Code, Notepad++)를 사용하여 파일을 엽니다.

전체 콘텐츠를 다음 구성으로 바꿉니다.

receivers:
  iis:
    collection_interval: 60s

processors:
  resourcedetection:
    detectors: ["system"]
    system:
      hostname_sources: ["os"]
  normalizesums:
  batch:

exporters:
  chronicle/iis:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: 'C:\SecOps\ingestion-auth.json'
    log_type: 'IIS'
    override_log_type: false
    raw_log_field: body
    customer_id: '<CUSTOMER_ID>'
    compression: gzip

service:
  pipelines:
    logs/iis:
      receivers:
        - iis
      processors:
        - resourcedetection
        - normalizesums
        - batch
      exporters:
        - chronicle/iis

다음 자리표시자를 바꿉니다.
- creds: - 인그레션 인증 파일의 경로입니다 (예: C:\SecOps\ingestion-auth.json).
- customer_id: - Google SecOps 고객 ID 가져오기 섹션의 실제 Google SecOps 고객 ID입니다.

변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.

config.yaml 파일을 저장한 후 Bindplane 서비스를 다시 시작합니다.
```
Start-Service "observIQ OpenTelemetry Collector"
```

서비스가 실행 중인지 확인합니다.

Get-Service "observIQ OpenTelemetry Collector"

예상 출력:

Status   Name                               DisplayName
------   ----                               -----------
Running  observiq-otel-collector            observIQ OpenTelemetry Collector

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
@timestamp	metadata.event_timestamp	원시 로그에 기록된 이벤트의 타임스탬프입니다.
@version	metadata.product_version	IIS 서버 버전입니다.
AgentDevice	additional.fields.AgentDevice.value.string_value	로그를 생성한 기기입니다.
AgentLogFile	additional.fields.AgentLogFile.value.string_value	로그 파일의 이름입니다.
ASP.NET_SessionId	network.session_id	사용자의 세션 ID입니다.
c-ip	principal.ip	클라이언트의 IP 주소입니다.
채널	security_result.about.resource.attribute.labels.Channel.value	이벤트가 로깅된 채널입니다.
ChannelID	security_result.about.resource.attribute.labels.ChannelID.value	이벤트가 기록된 채널의 ID입니다.
컴퓨터	target.hostname	타겟 머신의 호스트 이름입니다.
cs-bytes	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cs-host	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
cs-method	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
cs-uri-query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
cs-uri-stem	target.url	클라이언트가 요청한 URL의 경로입니다.
cs-username	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
cs-version	network.tls.version_protocol	클라이언트에서 사용한 HTTP 버전입니다.
cs(쿠키)		쿠키 정보를 추출하는 데 사용됩니다.
cs(리퍼러)	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
cs(User-Agent)	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csbyte	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cshost	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
csip	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
csmethod	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
csreferer	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
csuseragent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csusername	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
csversion	network.tls.version_protocol	클라이언트에서 사용한 HTTP 버전입니다.
날짜		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 구성하는 데 사용됩니다.
설명	security_result.description	이벤트에 대한 설명입니다.
devicename	target.hostname	타겟 머신의 호스트 이름입니다.
dst_ip	target.ip, target.asset.ip	타겟 머신의 IP 주소입니다.
dst_port	target.port	타겟 머신의 포트 번호입니다.
기간		요청 기간(밀리초)입니다.
EventEnqueuedUtcTime	additional.fields.EventEnqueuedUtcTime.value.string_value	이벤트가 대기열에 추가된 시간(UTC)입니다.
EventID	metadata.product_log_id	이벤트 ID입니다.
EventProcessedUtcTime	additional.fields.EventProcessedUtcTime.value.string_value	이벤트가 처리된 시간(UTC)입니다.
EventTime	metadata.event_timestamp	이벤트의 타임스탬프입니다.
EventType	metadata.product_event_type	이벤트 유형입니다.
file_path	target.file.full_path	이벤트와 관련된 파일의 전체 경로입니다.
FilterId	security_result.about.resource.attribute.labels.FilterId.value	필터의 ID입니다.
FilterKey	security_result.about.resource.attribute.labels.FilterKey.value	필터의 키입니다.
FilterName	security_result.about.resource.attribute.labels.FilterName.value	필터의 이름입니다.
FilterType	security_result.about.resource.attribute.labels.FilterType.value	필터 유형입니다.
호스트	target.hostname	타겟 머신의 호스트 이름입니다.
host.architecture	principal.asset.hardware.cpu_platform	호스트 머신의 아키텍처입니다.
host.geo.name	additional.fields.geo_name.value.string_value	호스트 머신의 지리적 위치입니다.
host.hostname	target.hostname, target.asset.hostname	호스트 머신의 호스트 이름입니다.
host.id	observer.asset_id	호스트 머신의 ID입니다.
host.ip	principal.ip, principal.asset.ip	호스트 머신의 IP 주소입니다.
host.mac	principal.mac	호스트 머신의 MAC 주소입니다.
host.os.build	additional.fields.os_build.value.string_value	호스트 머신의 운영체제 빌드 번호입니다.
host.os.kernel	principal.platform_patch_level	호스트 머신의 운영체제 커널 버전입니다.
host.os.name	additional.fields.os_name.value.string_value	호스트 머신의 운영체제 이름입니다.
host.os.platform	principal.platform	호스트 머신의 운영체제 플랫폼입니다.
host.os.version	principal.platform_version	호스트 머신의 운영체제 버전입니다.
http_method	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
http_response	network.http.response_code	HTTP 응답 코드입니다.
http_status_code	network.http.response_code	응답의 HTTP 상태 코드입니다.
http_substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
인스턴스	additional.fields.instance.value.string_value	작업의 인스턴스 ID입니다.
intermediary_devicename	intermediary.hostname, intermediary.asset.hostname	중간 기기의 호스트 이름입니다.
json_message		JSON 형식의 원시 로그 메시지입니다.
kv_fields		원시 로그 메시지에서 키-값 쌍을 추출하는 데 사용됩니다.
LayerKey	security_result.about.resource.attribute.labels.LayerKey.value	레이어의 키입니다.
LayerName	security_result.about.resource.attribute.labels.LayerName.value	레이어의 이름입니다.
LayerId	security_result.about.resource.attribute.labels.LayerId.value	레이어의 ID입니다.
log.file.path	target.file.full_path	로그 파일의 전체 경로입니다.
log.offset	metadata.product_log_id	로그 파일에서 이벤트의 오프셋입니다.
logstash.collect.host	observer.hostname	로그를 수집한 머신의 호스트 이름입니다.
logstash.process.host	intermediary.hostname	로그를 처리한 시스템의 호스트 이름입니다.
logstash_json_message		JSON 형식의 원시 로그 메시지입니다.
메시지	security_result.description	원시 로그 메시지입니다.
사역	additional.fields.ministry.value.string_value	이벤트와 연결된 부처입니다.
name		항목 이름입니다.
NewValue	additional.fields.NewValue.value.string_value	구성 설정의 새 값입니다.
OldValue	additional.fields.OldValue.value.string_value	구성 설정의 이전 값입니다.
포트	principal.port	클라이언트의 포트 번호입니다.
priority_code		syslog 메시지의 우선순위 코드입니다.
ProcessID	principal.process.pid	이벤트를 생성한 프로세스의 프로세스 ID입니다.
ProviderGuid	security_result.about.resource.attribute.labels.ProviderGuid.value	제공업체의 GUID입니다.
ProviderKey	security_result.about.resource.attribute.labels.ProviderKey.value	제공업체의 키입니다.
ProviderName	security_result.about.resource.attribute.labels.ProviderName.value	제공업체의 이름입니다.
리퍼러_url	network.http.referral_url	클라이언트를 현재 페이지로 리퍼한 URL입니다.
request_url	target.url	클라이언트가 요청한 URL입니다.
s-computername	target.hostname	타겟 머신의 호스트 이름입니다.
s-ip	target.ip, target.asset.ip	타겟 머신의 IP 주소입니다.
s-port	target.port	타겟 머신의 포트 번호입니다.
s-sitename	additional.fields.sitename.value.string_value	사이트의 이름입니다.
sc-bytes	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
sc-status	network.http.response_code	응답의 HTTP 상태 코드입니다.
sc-substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
sc-win32-status		응답의 Windows 상태 코드입니다.
scbyte	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
scstatus	network.http.response_code	응답의 HTTP 상태 코드입니다.
줄이는 것을	security_result.severity	이벤트의 심각도입니다.
service.type	additional.fields.service_type.value.string_value	서비스 유형입니다.
sIP	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
sPort	principal.port	클라이언트의 포트 번호입니다.
sSiteName	additional.fields.sitename.value.string_value	사이트의 이름입니다.
src_ip	principal.ip, principal.asset.ip, observer.ip	클라이언트의 IP 주소입니다.
src_port	principal.port	클라이언트의 포트 번호입니다.
sysdate		syslog 메시지의 날짜 및 시간입니다.
syslog_facility	security_result.severity_details	syslog 메시지의 기능입니다.
syslog_pri		syslog 메시지의 우선순위입니다.
syslog_severity	security_result.severity_details	syslog 메시지의 심각도입니다.
syslog_severity_code		syslog 메시지의 심각도 코드입니다.
tags	security_result.rule_name	이벤트와 연결된 태그입니다.
작업	additional.fields.task.value.string_value	태스크 이름
시간		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 구성하는 데 사용됩니다.
time-taken		요청 기간(밀리초)입니다.
uri_query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
user_agent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
사용자 이름	target.user.userid	사용자의 이름입니다.
UserSid	target.user.windows_sid	사용자의 Windows SID입니다.
가중치	security_result.about.resource.attribute.labels.Weight.value	필터의 가중치입니다.
win32_status		응답의 Windows 상태 코드입니다.
xforwardedfor		쉼표로 구분된 IP 주소 목록이 포함된 X-Forwarded-For 헤더
	metadata.log_type	'IIS'
	network.direction	'INBOUND'
	metadata.vendor_name	'Microsoft'
	metadata.product_name	'인터넷 정보 서비스'
	metadata.event_type	'NETWORK_HTTP', 'USER_UNCATEGORIZED', 'GENERIC_EVENT', 'STATUS_UPDATE', 'USER_LOGOUT', 'USER_LOGIN'
	extensions.auth.type	'MACHINE'

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.