微软IAS(半径)
Microsoft Network Policy Server (NPS),以前称为Internet身份验证服务(IAS),是远程身份验证用户拨号服务(RADIUS)的实现。RADIUS服务器可以完成认证、授权、VPN连接等功能。
您必须配置NPS将其日志发送到日志文件,然后可以关注和摄取insightIdr。
使用NPS开始日志记录:
Microsoft NPS仅在Windows机器上可用。
运行RADIUS计费向导
Network Policy Server可以通过几种方式记录其数据,因此必须在日志记录“Accounting”向导中指示NPS应该将日志发送到日志文件。
要这样做:
- 在Windows机器上,导航到启动>系统和安全>管理工具>网络策略服务器.
- 单击配置会计链接。
- 选择第二个选项,“将日志记录到本地计算机上的文本文件”。
- 单击下一个按钮。
- 在“Logging Information”下,检查将记录到文本文件的所有四种信息类型。
- 可以选择选中日志的“Logging Failure”框,以便在日志记录失败时忽略连接请求。
- 在“日志文件目录”字段中,单击浏览按钮以打开“LogFiles”默认路径。
- 单击新建文件夹按钮,并命名文件夹,如“NPS Logs”。单击好吧按钮。
- 单击下一个按钮。
- 查看NPS会计向导的“摘要”部分。单击下一个按钮。
- 单击完成按钮。
配置日志文件属性
完成“计费向导”后,需要配置NPS日志文件的日志属性。
要这样做:
- 在Windows机器上,导航到启动>系统和安全>管理工具>网络策略服务器.
- 单击更改日志文件属性链接。
- 在“设置”选项卡上,您将看到您在会计向导中配置的相同信息。选择日志文件选项卡。
- 在“格式”下,选择要使用的日志格式。InsightIDR接受DTS兼容格式。
- 在“创建新日志文件”下,选择您希望Windows计算机创建新日志文件的频率,或者该文件必须有多大。
- 可以选择在磁盘满时删除旧的日志文件。
- 单击应用按钮,然后按好吧按钮。
要了解更多信息,你可以在这里阅读微软的NPS日志配置文档:https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-accounting-configure#configure-nps-log-file-properties
在InsightIDR中配置Microsoft IAS (RADIUS)
现在必须配置InsightIDR事件源。
要这样做:
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源.
- 从“安全数据”部分,单击VPN图标。出现“添加事件源”面板。
- 选择您的收集器和选择微软IAS(半径)作为您的活动来源。如果您愿意,您还可以命名您的活动源。
- 选择时区与事件源日志的位置匹配。
- 可选择选择发送未经过滤的日志.
- 配置您的默认域和任何高级设置.
- 选择观察目录作为你的数据收集方法然后勾选复选框查看共享远程目录。
- 选择Windows计算机的现有凭据或可选凭据创建一个新的凭证.
- 输入在RADIUS计费向导中配置的文件夹路径。
- 输入扫描间隔,表示InsightIDR检查文件路径的频率。
- 可以选择包含日志文件的文件模式。
- 单击保存按钮。
这个页面对你有帮助吗?