이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Microsoft IIS 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Bindplane을 사용하여 Google Security Operations로 Microsoft 인터넷 정보 서비스 (IIS) 로그를 수집하는 방법을 설명합니다. 파서는 먼저 불필요한 문자를 삭제하고 필드 이름을 표준화하여 입력 데이터를 정리하고 정규화하려고 시도합니다. 그런 다음 일련의 grok 패턴을 사용하여 다양한 Microsoft IIS 로그 형식에서 관련 필드를 추출하고 이를 통합 데이터 모델 (UDM)에 매핑합니다.

시작하기 전에

Google SecOps 인스턴스가 있는지 확인합니다.
Windows 2016 이상을 사용하고 있는지 확인합니다.
프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Windows에 Bindplane 에이전트 설치

관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

다음 명령어를 실행합니다.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

YAML 파일을 구성하기 전에 서비스 패널에서 observIQ Distro for Open Telemetry Collector 서비스를 중지합니다.
구성 파일에 액세스합니다.
1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

다음과 같이 config.yaml 파일을 수정합니다.

receivers:
  iis:
    collection_interval: 60s

processors:
  # Resourcedetection is used to add a unique (host.name) to the metric resource(s), allowing users to filter between multiple agent systems.
  resourcedetection:
    detectors: ["system"]
    system:
      hostname_sources: ["os"]

  normalizesums:

  batch:

exporters:
  chronicle/powershell:
    endpoint: malachiteingestion-pa.googleapis.com
    # Adjust the path to the credentials file you downloaded in Step 1
    creds: '/path/to/ingestion-authentication-file.json'
    log_type: 'IIS'
    override_log_type: false
    raw_log_field: body
    customer_id: '<customer_id>'

service:
  pipelines:
    logs/winpowershell:
      receivers:
        - iis
      processors:
        - resourcedetection
        - normalizesums
        - batch
      exporters: [chronicle/iis]

<customer_id>를 실제 고객 ID로 바꿉니다.
Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.
config.yaml 파일을 저장한 후 observIQ Distro for Open Telemetry Collector 서비스를 시작합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

UDM 매핑 표

로그 필드	UDM 매핑	논리
@timestamp	metadata.event_timestamp	원시 로그에 기록된 이벤트의 타임스탬프입니다.
@version	metadata.product_version	IIS 서버 버전입니다.
AgentDevice	additional.fields.AgentDevice.value.string_value	로그를 생성한 기기입니다.
AgentLogFile	additional.fields.AgentLogFile.value.string_value	로그 파일의 이름입니다.
ASP.NET_SessionId	network.session_id	사용자의 세션 ID입니다.
c-ip	principal.ip	클라이언트의 IP 주소입니다.
채널	security_result.about.resource.attribute.labels.Channel.value	이벤트가 기록된 채널입니다.
ChannelID	security_result.about.resource.attribute.labels.ChannelID.value	이벤트가 기록된 채널의 ID입니다.
컴퓨터	target.hostname	대상 머신의 호스트 이름입니다.
cs-bytes	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cs-host	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
cs-method	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
cs-uri-query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
cs-uri-stem	target.url	클라이언트가 요청한 URL의 경로입니다.
cs-username	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
cs-version	network.tls.version_protocol	클라이언트에서 사용하는 HTTP 버전입니다.
cs(쿠키)		쿠키 정보를 추출하는 데 사용됩니다.
cs(리퍼러)	network.http.referral_url	클라이언트를 현재 페이지로 안내한 URL입니다.
cs(User-Agent)	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csbyte	network.received_bytes	클라이언트로부터 수신된 바이트 수입니다.
cshost	principal.hostname, principal.asset.hostname	클라이언트의 호스트 이름입니다.
csip	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
csmethod	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
csreferer	network.http.referral_url	클라이언트를 현재 페이지로 안내한 URL입니다.
csuseragent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
csusername	principal.user.user_display_name	클라이언트의 사용자 이름입니다.
csversion	network.tls.version_protocol	클라이언트에서 사용하는 HTTP 버전입니다.
날짜		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 생성하는 데 사용됩니다.
description	security_result.description	이벤트에 대한 설명입니다.
devicename	target.hostname	대상 머신의 호스트 이름입니다.
dst_ip	target.ip, target.asset.ip	대상 머신의 IP 주소입니다.
dst_port	target.port	대상 머신의 포트 번호입니다.
기간		요청 기간(밀리초)입니다.
EventEnqueuedUtcTime	additional.fields.EventEnqueuedUtcTime.value.string_value	이벤트가 대기열에 추가된 시간(UTC)입니다.
EventID	metadata.product_log_id	이벤트 ID입니다.
EventProcessedUtcTime	additional.fields.EventProcessedUtcTime.value.string_value	이벤트가 처리된 시간(UTC)입니다.
EventTime	metadata.event_timestamp	이벤트의 타임스탬프입니다.
EventType	metadata.product_event_type	이벤트 유형입니다.
file_path	target.file.full_path	이벤트와 관련된 파일의 전체 경로입니다.
FilterId	security_result.about.resource.attribute.labels.FilterId.value	필터의 ID입니다.
FilterKey	security_result.about.resource.attribute.labels.FilterKey.value	필터의 키입니다.
FilterName	security_result.about.resource.attribute.labels.FilterName.value	필터의 이름입니다.
FilterType	security_result.about.resource.attribute.labels.FilterType.value	필터 유형입니다.
호스트	target.hostname	대상 머신의 호스트 이름입니다.
host.architecture	principal.asset.hardware.cpu_platform	호스트 머신의 아키텍처입니다.
host.geo.name	additional.fields.geo_name.value.string_value	호스트 머신의 지리적 위치입니다.
host.hostname	target.hostname, target.asset.hostname	호스트 머신의 호스트 이름입니다.
host.id	observer.asset_id	호스트 머신의 ID입니다.
host.ip	principal.ip, principal.asset.ip	호스트 머신의 IP 주소입니다.
host.mac	principal.mac	호스트 머신의 MAC 주소입니다.
host.os.build	additional.fields.os_build.value.string_value	호스트 머신의 운영체제 빌드 번호입니다.
host.os.kernel	principal.platform_patch_level	호스트 머신의 운영체제 커널 버전입니다.
host.os.name	additional.fields.os_name.value.string_value	호스트 머신의 운영체제 이름입니다.
host.os.platform	principal.platform	호스트 머신의 운영체제 플랫폼입니다.
host.os.version	principal.platform_version	호스트 머신의 운영체제 버전입니다.
http_method	network.http.method	클라이언트에서 사용하는 HTTP 메서드입니다.
http_response	network.http.response_code	HTTP 응답 코드입니다.
http_status_code	network.http.response_code	응답의 HTTP 상태 코드입니다.
http_substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
인스턴스	additional.fields.instance.value.string_value	작업의 인스턴스 ID입니다.
intermediary_devicename	intermediary.hostname, intermediary.asset.hostname	중간 기기의 호스트 이름입니다.
json_message		JSON 형식의 원시 로그 메시지입니다.
kv_fields		원시 로그 메시지에서 키-값 쌍을 추출하는 데 사용됩니다.
LayerKey	security_result.about.resource.attribute.labels.LayerKey.value	레이어의 키입니다.
LayerName	security_result.about.resource.attribute.labels.LayerName.value	레이어의 이름입니다.
LayerId	security_result.about.resource.attribute.labels.LayerId.value	레이어의 ID입니다.
log.file.path	target.file.full_path	로그 파일의 전체 경로입니다.
log.offset	metadata.product_log_id	로그 파일에서 이벤트의 오프셋입니다.
logstash.collect.host	observer.hostname	로그를 수집한 머신의 호스트 이름입니다.
logstash.process.host	intermediary.hostname	로그를 처리한 머신의 호스트 이름입니다.
logstash_json_message		JSON 형식의 원시 로그 메시지입니다.
메시지	security_result.description	원시 로그 메시지입니다.
ministry	additional.fields.ministry.value.string_value	이벤트와 연결된 부서입니다.
name		항목 이름입니다.
NewValue	additional.fields.NewValue.value.string_value	구성 설정의 새 값입니다.
OldValue	additional.fields.OldValue.value.string_value	구성 설정의 이전 값입니다.
포트	principal.port	클라이언트의 포트 번호입니다.
priority_code		syslog 메시지의 우선순위 코드입니다.
ProcessID	principal.process.pid	이벤트를 생성한 프로세스의 프로세스 ID입니다.
ProviderGuid	security_result.about.resource.attribute.labels.ProviderGuid.value	제공업체의 GUID입니다.
ProviderKey	security_result.about.resource.attribute.labels.ProviderKey.value	제공업체의 키입니다.
ProviderName	security_result.about.resource.attribute.labels.ProviderName.value	제공업체의 이름입니다.
리퍼러_url	network.http.referral_url	클라이언트를 현재 페이지로 안내한 URL입니다.
request_url	target.url	클라이언트가 요청한 URL입니다.
s-computername	target.hostname	대상 머신의 호스트 이름입니다.
s-ip	target.ip, target.asset.ip	대상 머신의 IP 주소입니다.
s-port	target.port	대상 머신의 포트 번호입니다.
s-sitename	additional.fields.sitename.value.string_value	사이트의 이름입니다.
sc-bytes	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
sc-status	network.http.response_code	응답의 HTTP 상태 코드입니다.
sc-substatus	additional.fields.sc_substatus.value.string_value	응답의 HTTP 하위 상태 코드입니다.
sc-win32-status		응답의 Windows 상태 코드입니다.
scbyte	network.sent_bytes	클라이언트로 전송된 바이트 수입니다.
scstatus	network.http.response_code	응답의 HTTP 상태 코드입니다.
줄이는 것을	security_result.severity	이벤트의 심각도입니다.
service.type	additional.fields.service_type.value.string_value	서비스 유형입니다.
sIP	principal.ip, principal.asset.ip	클라이언트의 IP 주소입니다.
sPort	principal.port	클라이언트의 포트 번호입니다.
sSiteName	additional.fields.sitename.value.string_value	사이트의 이름입니다.
src_ip	principal.ip, principal.asset.ip, observer.ip	클라이언트의 IP 주소입니다.
src_port	principal.port	클라이언트의 포트 번호입니다.
sysdate		syslog 메시지의 날짜 및 시간입니다.
syslog_facility	security_result.severity_details	syslog 메시지의 기능입니다.
syslog_pri		syslog 메시지의 우선순위입니다.
syslog_severity	security_result.severity_details	syslog 메시지의 심각도입니다.
syslog_severity_code		syslog 메시지의 심각도 코드입니다.
tags	security_result.rule_name	이벤트와 연결된 태그입니다.
태스크	additional.fields.task.value.string_value	태스크 이름
시간		원시 로그 타임스탬프가 잘못된 경우 이벤트 타임스탬프를 생성하는 데 사용됩니다.
time-taken		요청 기간(밀리초)입니다.
uri_query	target.url	클라이언트가 요청한 URL의 쿼리 문자열입니다.
user_agent	network.http.user_agent	클라이언트의 사용자 에이전트입니다.
사용자 이름	target.user.userid	사용자의 이름입니다.
UserSid	target.user.windows_sid	사용자의 Windows SID입니다.
가중치	security_result.about.resource.attribute.labels.Weight.value	필터의 가중치입니다.
win32_status		응답의 Windows 상태 코드입니다.
xforwardedfor		X-Forwarded-For 헤더: 쉼표로 구분된 IP 주소 목록이 포함됩니다.
	metadata.log_type	`IIS`
	network.direction	`INBOUND`
	metadata.vendor_name	`Microsoft`
	metadata.product_name	`Internet Information Server`
	metadata.event_type	`NETWORK_HTTP`, `USER_UNCATEGORIZED`, `GENERIC_EVENT`, `STATUS_UPDATE`, `USER_LOGOUT`, `USER_LOGIN`
	extensions.auth.type	`MACHINE`

변경사항

2025-01-27

개선사항:

XML 로그 파싱 지원을 추가했습니다.

2024-06-20

개선사항:

streamid를 additional.fields에 매핑했습니다.

2024-06-11

개선사항:

파싱되지 않은 로그를 파싱하는 Grok 패턴을 추가했습니다.

2024-02-18

개선사항:

값을 올바르게 매핑하도록 Grok 패턴 필드 이름을 수정했습니다.
이름을 intermediary_devicename에서 observer_devicename(으)로 수정했습니다.
이름을 src_ip에서 observer_ip(으)로 수정했습니다.
이름을 dst_ip에서 principal_or_intermediary_ip(으)로 수정했습니다.
이름을 xff_ips에서 principal_xff_ips(으)로 수정했습니다.
observer_ip를 observer.ip에 매핑했습니다.
observer_devicename를 observer.hostname에 매핑했습니다.
principal_xff_ips를 principal.ip에 매핑했습니다.
principal_xff_ips가 있으면 principal_or_intermediary_ip를 intermediary.ip에 매핑했습니다.
principal_xff_ips이 없으면 principal_or_intermediary_ip을 principal.ip에 매핑했습니다.

2024-02-12

개선사항:

kv 데이터로 네트워크 로그를 지원하는 새로운 Grok 패턴이 추가되었습니다.
sc-substatus를 additional.fields에 매핑했습니다.

2024-01-09

개선사항:

키-값 데이터가 포함된 네트워크 로그를 지원하는 새로운 Grok 패턴을 추가했습니다.
dst_ip2를 target.ip에 매핑했습니다.
X-BackEndCookie, exchangecookie, OutlookSession, MapiContext, MapiRouting, content_type, MapiSequence를 additional.fields에 매핑했습니다.

2023-12-19

개선사항:

EventType이 VERBOSE과 같은 경우 Configuration를 metadata.product_event_type에 값으로 매핑했습니다.
Message를 security_result.description에 매핑했습니다.
PhysicalPath를 target.file.full_path에 매핑했습니다.
OldValue, NewValue, Configuration, ConfigPath를 additional.fields에 매핑했습니다.

2023-12-06

개선사항:

@timestamp를 metadata.event_timestamp에 매핑했습니다.
host.hostname를 target.hostname에 매핑했습니다.
logstash.process.host를 intermediary.hostname에 매핑했습니다.
logstash.collect.host를 observer.hostname에 매핑했습니다.
_user를 principal.user.userid에 매핑했습니다.
http_response를 network.http.response_code에 매핑했습니다.
referer를 network.http.referral_url에 매핑했습니다.
syslog_severity를 security_result.severity_details에 매핑했습니다.
message를 security_result.description에 매핑했습니다.
request_url가 /login.aspx이고 entity가 AutoLogout=1인 경우 metadata.event_type를 USER_LOGOUT로 설정합니다.
request_url가 /login.aspx인 경우 metadata.event_type를 USER_LOGIN로 설정합니다.

2023-10-27

개선사항:

Noun.hostname 및 Noun.asset.hostname를 동일한 값에 매핑했습니다.
cIP를 target.ip에 매핑했습니다.
csUriStem를 `target.url에 매핑했습니다.
sPort를 principal.port에 매핑했습니다.
csUserAgent를 http.user_agent에 매핑했습니다.
sIP를 principal.ip에 매핑했습니다.
csMethod를 network.http.method에 매핑했습니다.
scStatus를 http.response_code에 매핑했습니다.
sComputerName를 target.hostname에 매핑했습니다.
_resourceId를 target.resource.id에 매핑했습니다.
scBytes를 network.sent_bytes에 매핑했습니다.
csBytes를 network.received_bytes에 매핑했습니다.
sSiteName, TenantId, EventProcessedUtcTime, ManagementGroupName, EventEnqueuedUtcTime를 additional.fields에 매핑했습니다.
TimeGenerated를 about.resource.attribute.labels에 매핑했습니다.
SourceSystem를 security_result.detection_fields에 매핑했습니다.

2023-06-23

버그 수정:

로그 형식 변경
변경된 로그 패턴의 grok을 정의했습니다.
cs-host를 principal.application에 매핑했습니다.
if-else를 사용하여 uristem 및 cs-uri-stem을 target.url에 매핑했습니다.
cs-version을 network.tls.version_protocol에 매핑했습니다.
심각도 값을 Level 필드의 값으로 대체했습니다.
sitename 값을 s-sitename으로 대체했습니다.
UserSid 값을 UserID로 대체했습니다.
AgentDevice를 라벨 키 및 값으로 매핑했습니다.
app_name를 principal.application에 매핑했습니다.
ChannelID를 security_result.about.resource.attribute에 매핑했습니다.
Level를 security_result.severity에 매핑했습니다.
ExecutionProcessID를 principal.process.pid에 매핑했습니다.
ExecutionThreadID를 principal.process.product_specific_process_id에 매핑했습니다.
Domain를 principal.user.userid에 매핑했습니다.
UserID를 principal.user.windows_sid에 매핑했습니다.
AccountType를 principal.user.role_name에 매핑했습니다.

2023-05-12

개선사항:

파싱 실패 JSON 로그
cshost를 principal.hostname에 매핑함
csusername를 principal.user.user_display_name에 매핑했습니다.
sip를 target.ip에 매핑했습니다.
uristem를 target.url에 매핑했습니다.
sport를 target.port에 매핑했습니다.
csversion를 network.tls.version_protocol에 매핑했습니다.
csuseragent를 network.http.user_agent에 매핑했습니다.
csip를 principal.ip에 매핑했습니다.
xforwardedfor를 principal.ip에 매핑했습니다.
csmethod를 network.http.method에 매핑했습니다.
csreferer를 network.http.referral_url에 매핑했습니다.
scstatus를 network.http.response_code에 매핑했습니다.
computername를 target.asset.hostname에 매핑했습니다.
scbyte를 network.sent_bytes에 매핑했습니다.
csbyte를 network.received_bytes에 매핑했습니다.
date 및 time를 metadata.event_timestamp에 매핑했습니다.

2023-03-01

개선사항:

c-*, s-*, cs-*, sc-*와 같은 키가 있는 JSON 형식 로그에 대한 지원을 추가했습니다.

2022-10-25

개선사항:

로그에서 uri_query,intermediary_device_name,principal_username,sent_bytes,received_bytes를 추출했습니다.
dst_port에서 src_port로 변경됨
src_port를 principal.port에 매핑했습니다.
target.url 매핑을 request_url+?+uri_query로 업데이트했습니다.
token_data를 security_result.detection_fields에 Cookie로 매핑했습니다.
sent_bytes를 network.sent_bytes에 매핑했습니다.
received_bytes를 network.received_bytes에 매핑했습니다.
target_host가 비어 있으면 intermediary_devicename를 target.hostname에 매핑하고, 그렇지 않으면 intermediary.hostname에 매핑했습니다.
principal_username를 principal.user.userid에 매핑했습니다.
target_host가 비어 있을 때만 Devicename를 target.hostname에 매핑했습니다.
xff_ips가 비어 있으면 src_ip를 principal.ip에 매핑했습니다.
xff_ips가 비어 있지 않은 경우:
src_ip를 intermediary.ip에 매핑했습니다.
xff_ips를 principal.ip에 매핑했습니다.
추가 로그 유형에 대한 Grok 패턴을 추가했습니다.

2022-10-01

개선사항:

파싱되지 않은 syslog를 파싱하는 Grok를 작성했습니다.
Severity를 security_result.severity에 매핑했습니다.
UserName를 target.user.userid에 매핑했습니다.
UserSid를 target.user.windows_sid에 매핑했습니다.
ProviderKey를 security_result.about.resource.attribute.labels에 매핑했습니다.
LayerKey를 security_result.about.resource.attribute.labels에 매핑했습니다.
LayerName를 security_result.about.resource.attribute.labels에 매핑했습니다.
LayerId를 security_result.about.resource.attribute.labels에 매핑했습니다.
Weight를 security_result.about.resource.attribute.labels에 매핑했습니다.
Conditions를 security_result.about.resource.attribute.labels에 매핑했습니다.
Action를 security_result.about.resource.attribute.labels에 매핑했습니다.
CalloutKey를 security_result.about.resource.attribute.labels에 매핑했습니다.
CalloutName를 security_result.about.resource.attribute.labels에 매핑했습니다.
Channel를 security_result.about.resource.attribute.labels에 매핑했습니다.
FilterId를 security_result.about.resource.attribute.labels에 매핑했습니다.
FilterKey를 security_result.about.resource.attribute.labels에 매핑했습니다.
FilterName를 security_result.about.resource.attribute.labels에 매핑했습니다.
FilterType를 security_result.about.resource.attribute.labels에 매핑했습니다.
ProviderGuid를 security_result.about.resource.attribute.labels에 매핑했습니다.
ProviderName를 security_result.about.resource.attribute.labels에 매핑했습니다.
SourceName를 security_result.about.resource.attribute.labels에 매핑했습니다.
SyslogSeverity를 security_result.about.resource.attribute.labels에 매핑했습니다.
Category를 security_result.category_details에 매핑했습니다.
EventType를 metadata.product_event_type에 매핑했습니다.
EventID를 metadata.product_log_id에 매핑했습니다.
ProcessID를 principal.process.pid에 매핑했습니다.
SourceModuleName를 target.resource.name에 매핑했습니다.
SourceModuleType를 observer.application에 매핑했습니다.

2022-09-30

개선사항:

xff 헤더 IP를 intermediary.ip에 매핑했습니다.
호스트 이름을 target.hostname에 매핑했습니다.
추가 정보가 포함된 특정 로그를 올바르게 파싱하기 위한 추가 Grok 패턴을 추가하고 추가 필드에 해당 추가 정보를 매핑했습니다.
ASP.NET_Session_id를 network.session_id에 매핑했습니다.

2022-03-30

개선사항:

추가 필드를 파싱합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.