Collecter les données DNS de Microsoft Windows
Ce document:
- Décrit l'architecture de déploiement et les étapes d'installation, ainsi que la configuration requise pour produire des journaux compatibles avec l'analyseur Chronicle pour les événements DNS de Microsoft Windows. Pour en savoir plus sur l'ingestion de données Chronicle, consultez la section Ingestion de données vers Chronicle.
- Inclut des informations sur la manière dont l'analyseur mappe les champs du journal d'origine avec les champs du modèle de données unifié Chronicle.
Les informations contenues dans ce document s'appliquent à l'analyseur portant le libellé d'ingestion WINDOWS_DNS. Le libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré.
Avant de commencer
Examinez l'architecture de déploiement recommandée.
Le schéma suivant illustre les composants de base recommandés dans une architecture de déploiement pour collecter et envoyer des événements DNS de Microsoft Windows à Chronicle. Comparez ces informations avec votre environnement pour vous assurer que ces composants sont installés. Chaque déploiement client sera différent de cette représentation et pourra être plus complexe. Les éléments suivants sont obligatoires:
- Serveur DNS de Microsoft avec la journalisation des diagnostics DNS activée.
- Tous les systèmes configurés avec le fuseau horaire UTC
- NXLog installé sur des serveurs Microsoft Windows en cluster pour collecter et transférer les journaux vers le serveur Microsoft Windows ou Linux central.
- Le redirecteur Chronicle est installé sur le serveur Microsoft Windows ou Linux central.
Consultez la liste des appareils et versions compatibles.
L'analyseur Chronicle est compatible avec les journaux des versions Microsoft Windows Server suivantes. Microsoft Windows Server est publié avec les éditions suivantes : Foundation, Essentials, Standard et Datacenter. Le schéma d'événements des journaux générés par chaque édition ne diffère pas.
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
L'analyseur Chronicle est compatible avec les journaux collectés par NXLog Enterprise Edition.
Examinez les types de journaux acceptés. L'analyseur Chronicle accepte les types de journaux suivants, générés par les serveurs DNS Microsoft Windows. Pour en savoir plus sur ces types de journaux, consultez la documentation Journalisation et diagnostic DNS Microsoft Windows. Cette fonctionnalité est compatible avec les journaux générés en anglais et ne l'est pas.
- Journaux d'audit: pour obtenir une description de ce type de journal, consultez la documentation Microsoft Journaux d'audit de Microsoft.
- Journaux Analytics: pour obtenir une description de ce type de journaux, consultez la documentation sur les journaux Analytics de Microsoft Windows.
Configurez les serveurs DNS Microsoft Windows. Pour en savoir plus sur l'installation et l'activation de la journalisation des diagnostics DNS, consultez la documentation Microsoft Windows.
Installez et configurez le serveur central de Windows ou de Linux.
Configurez tous les systèmes avec le fuseau horaire UTC.
Configurer le redirecteur NXLog et Chronicle
- Installez NXLog sur chaque serveur DNS Microsoft Windows. Suivez la documentation NXLog.
Créez un fichier de configuration pour chaque instance NXLog. Utilisez le module d'entrée im_etw pour l'extraction de journaux d'analyse DNS et le module d'entrée im_msvistalog pour les journaux d'audit.
- Pour plus d'informations sur le module d'entrée im_etw, consultez la page Événements de traçage pour Microsoft Windows (im_etw), y compris des informations sur la configuration de NXLog pour le DNS Windows de Microsoft.
- Pour plus d'informations sur le module d'entrée im_msvistalog, consultez la page Journal des événements pour Microsoft Windows 2008/Vista et versions ultérieures (im_msvistalog).
Voici un exemple de configuration NXLog. Remplacez les valeurs
<hostname>
et<port>
par des informations sur le serveur Microsoft Windows ou Linux central. Pour convertir et analyser les journaux au format JSON plutôt que XML, vous pouvez remplacer la ligneExec to_xml();
parExec to_json();
. Pour en savoir plus, consultez la documentation NXLog sur le module om_tcp.define ROOT C:\Program Files\nxlog define WINDNS_OUTPUT_DESTINATION_ADDRESS <hostname> define WINDNS_OUTPUT_DESTINATION_PORT <port> Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension syslog> Module xm_syslog </Extension> # To collect XML logs, use the below NXLog module <Extension xml> Module xm_xml </Extension> # To collect JSON logs, use the below NXLog module <Extension json> Module xm_json </Extension> <Input eventlog> Module im_etw Provider Microsoft-Windows-DNSServer </Input> <Input auditeventlog> Module im_msvistalog <QueryXML> <QueryList> <Query Id="0" Path="Microsoft-Windows-DNSServer/Audit"> <Select Path="Microsoft-Windows-DNSServer/Audit">*</Select> </Query> </QueryList> </QueryXML> </Input> <Output out_chronicle_windns> Module om_tcp Host %WINDNS_OUTPUT_DESTINATION_ADDRESS% Port %WINDNS_OUTPUT_DESTINATION_PORT% Exec $EventTime = integer($EventTime) / 1000; Exec $EventReceivedTime = integer($EventReceivedTime) / 1000; Exec to_xml(); # To collect JSON, use to_json() </Output> <Route analytical_windns_to_chronicle> Path eventlog => out_chronicle_windns </Route> <Route audit_windns_to_chronicle> Path auditeventlog => out_chronicle_windns </Route>
Installez le redirecteur Chronicle sur le serveur Microsoft Windows ou Linux central. Pour plus d'informations sur l'installation et la configuration du redirecteur, consultez les pages Installer et configurer le redirecteur sous Linux ou Installer et configurer le redirecteur sous Microsoft Windows.
Configurez le redirecteur Chronicle pour envoyer les journaux à Chronicle. Voici un exemple de configuration de redirecteur.
- syslog: common: enabled: true data_type: WINDOWS_DNS batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Référence de mappage de champs: champs de journal de l'appareil vers champs UDM
Cette section décrit comment l'analyseur mappe les champs de journal d'appareils d'origine avec les champs de modèle de données unifié (UDM).
Champs courants
Champ NXLog | Champ UDM | Commenter |
---|---|---|
SourceName | metadata.vendor_name = "Microsoft ; metadata.product_name = "Windows DNS Server |
|
ID de l'événement | security_result.rule_name (nom de la règle de sécurité) | Stocké sous l'identifiant "EventID: "{EventID}". Dans les événements avec les niveaux d'erreur et d'avertissement, le champ is_alert est défini sur "true". |
Gravité | security_result.Gravité | Les valeurs sont mappées à l'énumération du champ UDM comme suit : 0 (Aucune) : UNKNOWN_SEVERITY 1 (Critique) - INFORMATIONAL 2 (Erreur) - ERROR 3 (Avertissement) - ERROR 4 (Information) - INFORMATIONAL 5 (Détaillé) - INFORMATION |
Heure de l'événement | metadata.event_timestamp [horodatage_événement.horodatage] | |
ID d'exécution du processus | principal.process.pid / target.process.pid | Valeur stockée dans target.process.pid pour les ID d'événement 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Valeur stockée dans principal.process.pid pour tous les autres ID d'événement. |
Canal | metadata.product_event_type | |
Hostname | principal.hostname / target.nom_hôte | Valeur stockée dans target.hostname pour les ID d'événement suivants: 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Valeur stockée dans principal.hostname depuis tous les autres ID d'événement. |
ID utilisateur | principal.user.windows_sid / target.user.windows_sid | Elles sont stockées dans target.user.windows_sid pour les ID d'événement suivants: 256, 259, 261, 263, 266, 268, 270, 272,273, 275, 278, 279, 280. Stocké dans principal.user.windows_sid pour tous les autres ID d'événement |
Journaux Analytics
Champ de journal d'origine | Champ UDM | Commenter |
---|---|---|
AA | network.dns.authoritative | |
Destination | target.ip / principal.ip | Renseigné dans le compte principal et dans la cible. |
InterfaceIP | target.ip / principal.ip | Il stocke l'adresse IP du serveur DNS dans target.ip pour les ID d'événement suivants, 256, 259, 261, 263, 266, 268, 270, 272, 273, 275, 278, 279, 280. Stocké dans principal.ip pour tous les autres ID d'événement (réponse DNS). |
Paquets de données | network.dns.answers.binary_data | |
Port | target.port / principal.port | |
QNAME | network.dns.questions.name | |
QTYPE | network.dns.questions.type. | |
RCODE | code.dns.response_code | |
Disque | network.dns.recursion_want | |
Motif | security_result.summary (résumé_sécurité) | |
Source | principal.ip / target.ip | Adresse IPv4/IPv6 source de la machine qui a initié la requête DNS. Enregistré dans target.ip pour l'ID d'événement 274. Elles sont stockées dans target.ip pour les ID d'événement 265 et 269. InterfaceIP contient l'adresse IP (principale) du serveur secondaire et la source (cible) est l'adresse IP du serveur principal. |
TCP | network.ip_protocol | |
ID XID | network.dns.id |
Journaux d'audit
Champ de journal d'origine | Champ UDM | Remarque |
---|---|---|
Name | target.resource.name | La valeur est collectée à partir des événements ayant l'ID d'événement 512. |
Stratégie | target.resource.name | La valeur est collectée à partir des événements dont les ID d'événement sont 577, 578, 579, 580, 581 et 582, et qui sont mis en correspondance avec les types d'événements Setting_*. |
QNAME | network.dns.questions.name | |
QTYPE | network.dns.questions.type. | |
RecursionScope | target.resource.name | La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*. |
Champ d'application | target.resource.name | La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*. |
Paramètre | target.resource.name | La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*. |
Source | principal.ip | |
Zone | target.resource.name | La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*. |
Portée | target.resource.name | La valeur est collectée à partir des événements dont les ID d'événement sont mappés aux types d'événements Setting_*. |
Référence de mappage de champs: ID de l'événement sur le type d'événement UDM
Cette section décrit la façon dont l'analyseur associe les ID d'événement aux types d'événements UDM. En général, les événements sont mappés avec le paramètre metadata.event_type NETWORK_DNS, à l'exception des ID d'événement de la section suivante.
ID de l'événement | Texte de l'événement | Type d'événement UDM | Remarques |
---|---|---|---|
275 | XFR_NOTIFY_ACK_IN: Source=%1 ; InterfaceIP=%2 ; Paquets=%4 | GÉNÉRIQUE | |
276 | IXFR_RESP_OUT: TCP=%1; InterfaceIP=%2; Destination=%3; QNAME=%4; XID=%5; ZoneScope=%6; Zone=%7; RCODE=%8; Paquets=%10 | GÉNÉRIQUE | |
512 | PARAMTRES_CREATION | ||
513 | La zone %1 a été supprimée. | PARAMTRES_DELETION | |
514 | La zone %1 a été mise à jour. Le paramètre %2 a été défini sur %3. | PARAMTRES_MODIFICATION | |
515 | Un enregistrement de ressources de type %1, nommé %2, TTL %3 et RDATA %5, a été créé dans le champ d'application %7 de la zone %6. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
516 | Un enregistrement de ressources de type %1, nommé %2 et RDATA %5, a été supprimé du champ d'application %7 de la zone %6. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
517 | Tous les enregistrements de ressources de type %1, nommés %2, ont été supprimés du champ d'application %4 de la zone %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
518 | Tous les enregistrements de ressources associés au nom de nœud %1 ont été supprimés du champ d'application %3 de la zone %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
519 | Un enregistrement de ressources de type %1, nommé %2, TTL %3 et RDATA %5, a été créé dans le champ d'application %7 de la zone %6 via une mise à jour dynamique effectuée à partir de l'adresse IP %8. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
520 | Un enregistrement de ressources de type %1, nommé %2 et RDATA %5 a été supprimé du champ d'application %7 de la zone %6 via une mise à jour dynamique de l'adresse IP %8. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
521 | Un enregistrement de ressources de type %1, nommé %2, TTL %3 et RDATA %5, a été récupéré à partir du champ d'application %7 de la zone %6. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
522 | Le niveau d'accès %1 a été créé dans la zone %2. | PARAMTRES_CREATION | |
523 | Le niveau d'accès %1 a été supprimé dans la zone %2. | PARAMTRES_DELETION | |
525 | La zone %1 a été signée avec les propriétés suivantes: DenialOfExistence=%2; DistributionTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; IsKeyMasterServer=%8; KeyMasterServer=%9; OneSecSecDe%1S%=%1%Du%1%1%Du%1%1%1%6%1%Est%e%=%1%Du%1%1%Du%1%1%%2%3%%6%1%Est%=%1%Du%1%Est%=%1%Du%1%%De%1%%2 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
526 | La signature de la zone %1 a été annulée. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
527 | La zone %1 a été de nouveau signée avec les propriétés suivantes: DenialOfExistence=%2; DistributionTrustAnchor=%3; DnsKeyRecordSetTtl=%4; DSRecordGenerationAlgorithm=%5; DSRecordSetTtl=%6; EnableRfc5011KeyRollover=%7; IsKeyMasterServer=%Sec1%1%Du1%3%Al%C3%A9%=%1%EstDu%1%EstDu%1%EstDu%1%EstDu%1% savezDu%1%1%Du%1%1%3%%2%2%3%%2%2%3%%2%2%Fi%L%C3%Ale%1 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
528 | Le survol a été lancé sur le type %1 avec le GUID %2 de la zone %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
529 | Le survol a été effectué sur le type %1 avec le GUID %2 de la zone %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
530 | Le type %1 avec le GUID %2 de la zone %3 a été marqué pour être retiré. La clé sera supprimée une fois le survol terminé. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
531 | Le survol manuel a été déclenché sur le type %1 avec le GUID %2 de la zone %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
533 | La clé de signature de clés avec le GUID %1 sur la zone %2 qui attendait une mise à jour du signataire(DS) sur le parent a été forcée de se terminer par le survol. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
534 | Les métadonnées du paramètre DNSSEC ont été exportées pour les métadonnées de clé de signature de clé %1 depuis la zone %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
535 | Les métadonnées du paramètre DNSSEC ont été importées dans la zone %1. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
536 | Enregistrement A du type %1, QNAME %2 a été supprimé définitivement du champ d'application %3 du cache. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
537 | La liste du redirecteur pour le champ d'application %2 a été réinitialisée sur %1. | PARAMTRES_MODIFICATION | La valeur target.resource.name est définie sur la liste du redirecteur sur le champ d'application : "{scope_name}". |
540 | Les indicateurs racine ont été modifiés. | PARAMTRES_MODIFICATION | target.resource.name renseigné avec le texte "Root Hints" |
541 | Le paramètre %1 sur le champ d'application %2 a été défini sur %3. | PARAMTRES_MODIFICATION | |
542 | Le champ d'application %1 du serveur DNS a été créé. | PARAMTRES_CREATION | |
543 | Le champ d'application %1 du serveur DNS a été supprimé. | PARAMTRES_DELETION | |
544 | Le DNSKEY avec le protocole de clé %2, les données en base64 %4 et l'algorithme de chiffrement %5 a été ajouté au point de confiance %1. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
545 | Le DS avec le tag clé: %2, Type de condensé: %3, Digest: %5 et Algorithme de chiffrement : %6 a été ajouté au point de confiance %1. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
546 | Le point de confiance de %1 de type %2 a été supprimé. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
547 | L'ancre de confiance pour la zone racine a été ajoutée. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
548 | Une requête de redémarrage du service de serveur DNS a été reçue. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
549 | Les journaux de débogage ont été effacés de %1 sur le serveur DNS. | SYSTEM_AUDIT_LOG_WIPE | |
550 | Le contenu en mémoire de toutes les zones du serveur DNS a été vidé dans leurs fichiers respectifs. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
551 | Toutes les données statistiques relatives au serveur DNS ont été effacées. | SYSTEM_AUDIT_LOG_WIPE | |
552 | Un cycle de récupération des enregistrements de ressources a démarré sur le serveur DNS. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
553 | %1 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
554 | Le cycle de récupération de l'enregistrement de ressources a été arrêté sur le serveur DNS. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
555 | Le serveur DNS a été préparé pour la rétrogradation en supprimant les références à toutes les zones stockées dans Active Directory. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
556 | Les informations sur les indices racine sur le serveur DNS ont été réécrites dans l'espace de stockage persistant. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
557 | Les adresses sur lesquelles le serveur DNS écoute a été remplacée par %1. | PARAMTRES_MODIFICATION | target.resource.name renseigné avec le texte "Écouter les adresses" |
558 | Une actualisation active RFC 5011 immédiate a été planifiée pour tous les points de confiance. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
559 | La zone %1 est en pause. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
560 | La zone %1 est réactivée. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
561 | Les données de la zone %1 ont été rechargées à partir de %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
562 | Les données de la zone %1 ont été actualisées du serveur maître %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
563 | La zone secondaire %1 a expiré et de nouvelles données ont été demandées au serveur maître %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
564 | La zone %1 a été rechargée à partir d'Active Directory. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
565 | Le contenu de la zone %1 a été écrit sur le disque et la notification a été envoyée à tous les serveurs de notifications. | PARAMTRES_MODIFICATION | |
566 | L'horodatage de l'ensemble des enregistrements DNS du nœud %1 de la zone %2 sera défini sur l'heure actuelle.%3 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
567 | La zone intégrée Active Directory %1 a été mise à jour. Seul %2 peut exécuter le nettoyage. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
568 | Le rôle principal de clé pour la zone %1 est %2.%3 | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
569 | Une clé sing %1 (%2) Descriptor a été ajoutée à la zone %3 avec les propriétés suivantes: KeyId=%4; KeyType=%5; CurrentState=%6; KeyStorageProvider=%7; StoreKeysInAD=%8; CryptoAlgorithm=%9; KeyLength=%10; DnKeyKeyKey; %%=%=%=6; ;;%=%=;;=%===...==%1=%=%=%=%=%=%6%%3%%6% que celle_%=%=%=5%=%1Est%=%=Est%=%=Est=%=Est=%=est qui se termine par deux %. La zone sera de nouveau signée avec le %2 généré avec ces propriétés. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
570 | Un descripteur de clé chantée %1 (%2) avec GUID %3 a été mis à jour sur la zone %4. Les propriétés de ce descripteur %2 ont été définies sur : KeyId=%5; KeyType=%6; CurrentState=%7; KeyStorageProvider=%8; StoreKeysInAD=%9; CryptoAlgorithm=%10; KeyLength=%11; DnsKeySignatureValidityPeriod=%12; DSSignatureValidityPeriod=%13; ZoneSignatureValid%Period=%Du1%=%1=%12;%=2=2;;%==%=%==%=%=%=%=%23%%24%23 % : 1 estelle ;(20-25%2020%20202016). La zone sera de nouveau signée avec le %2 généré avec ces propriétés. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
571 | Une clé de chant %1 (%2) du descripteur %4 a été supprimée de la zone %3. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
572 | L'état de la clé de signature %1 (%2) %3 a été modifié sur la zone %4. La nouvelle clé active est %5, la clé de secours est %6 et la clé suivante est %7. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
573 | Une délégation pour %1 dans le champ d'application %2 de la zone %3 avec le serveur de noms %4 a été ajoutée. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
574 | L'enregistrement de sous-réseau client nommé %1 valeur %2 a été ajouté au mappage du sous-réseau client. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
575 | L'enregistrement de sous-réseau client nommé %1 a été supprimé de la carte de sous-réseau client. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
576 | L'enregistrement de sous-réseau client associé au nom %1 a été mis à jour à partir du mappage de sous-réseau client. Les nouveaux sous-réseaux clients auxquels il fait référence sont %2. | SYSTEM_AUDIT_LOG_UNCATEGORIZED | |
577 | Une règle de niveau serveur %6 pour %1 a été créée sur le serveur %2 avec les propriétés suivantes: ProcessingOrder:%3; Criteria:%4; Action:%5. | PARAMTRES_CREATION | |
578 | Une règle au niveau de la zone %8 a été créée pour la zone %1 sur le serveur %2 avec les propriétés suivantes: ProcessingOrder:%3; Criteria:%4; Action:%5; Scopes:%7. | PARAMTRES_CREATION | |
579 | Une règle de transfert %6 a été créée sur le serveur %2 avec les propriétés suivantes: ProcessingOrder:%3; Criteria:%4; Action:%5; Scope:%1. | PARAMTRES_CREATION | |
580 | La règle au niveau du serveur %1 a été supprimée du serveur %2. | PARAMTRES_DELETION | |
581 | La règle au niveau de la zone %1 a été supprimée de la zone %3 sur le serveur %2. | PARAMTRES_DELETION | |
582 | La règle de transfert %1 a été supprimée du serveur %2. | PARAMTRES_DELETION |