鸿 网 互 联 www.68idc.cn

ISA教程之记录ISAServer活动

来源:互联网 作者:佚名 时间:2015-06-17 09:36
记录ISA Server活动 详细的安全和访问日志是ISA Server的主要特征 它们能以标准数据格式 比如W C ODBC等生成 ISA Server内置有 种日志 防火墙服务活动监视 Web代理服务以及数据包筛选器 新日志可以按年 月 周 日创建 本节学习目标 l 查看和定位ISA Server关

   记录ISA Server活动
  详细的安全和访问日志是ISA Server的主要特征它们能以标准数据格式比如WCODBC等生成ISA Server内置有种日志防火墙服务活动监视Web代理服务以及数据包筛选器新日志可以按年日创建
  
  本节学习目标
  l     查看和定位ISA Server关于防火墙服务Web代理服务和数据包筛选器的日志
  
  l     修改ISA Server日志属性如日志位置日志字段以及日志文件压缩
  
  l     配置ISA Server使用ODBC数据源来记录日志
  
  估计学习时间分钟
   管理ISA Server日志
  ISA Server记录数据包筛选器防火墙服务和Web代理服务的活动在默认情况下每天为每项服务生成新日志文件每一个新日志文件都保存在ISA Server安装文件夹下的ISA logs文件夹中该位置的典型路径是%programfiles%\microsoft ISA Server\ISAlogs\
  
  这种服务日志的许多默认设置可以修改例如可以修改记录格式默认情况下ISA Server以WC格式记录日志文件但也可以选择以ISA格式记录日志文件种选择是以ODBC格式记录到数据库另一个可以修改的属性是日志报告的频率ISA Server可以配置成每天每周每月或每年生成一个日志报告ISA Server日志中其他可以修改的属性包括指定产生日志记录的区域或保存日志文件的位置
  
  日志文件属性修改是在ISA Management中的Monitoring Configuration节点的Logs文件夹中进行的所示是在选定Logs文件夹以后可以配置的种服务器日志
  
  可以通过在详细信息窗格中双击一个服务日志图标来配置服务的日志属性所示是与属性对话框相联系的一个服务日志的Log选项卡这个选项卡允许配置日志文件的格式和存储位置
  
  图所示是服务日志属性对话框中的Fields选项卡这个选项卡允许指定日志报告中可以包含哪些字段
   
   
  启用服务日志时阵列中的每一个服务器都生成日志然后ISA Server集中这些日志收集所有服务器的数据并将其组合成一个单独的日志报告
  
   记录到日志文件
  ISA Server日志可以以下列格式保存到日志文件中
  
  l     WC格式
  
  l     ISA格式
  
  尽管日志配置是阵列范围的阵列中每个ISA Server都生成日志文件可以在Options对话框中指定日志文件的位置如图 所示在指定的服务日志的Properties对话框中单击Options按钮可以访问Options对话框
  
  日志文件的默认位置是ISAlogs文件夹如果保持其默认状态日志文件会保存到阵列中所有ISA Server计算机上的安装文件夹的同一位置中不过如果指定另一个文件夹必须保证该路径在阵列中的每个计算机中都存在
  
   注意 推荐将日志文件保存到NTFS分区中以便日志文件利用NTFS的安全性以及数据压缩等功能
   
   WC格式
  WC格式日志包含数据和描述版本日期和记录字段等的指令因为字段在文件中描述未选择的字段就不记录选项表字符用做定界符日期和时间显示为格林威治标准时间(GMT)所示是部分WC格式的Web代理日志文件
  
   ISA格式
  ISA格式只包含数据不包含指令始终记录所有的字段未选择的字段用破折号记录指明它们为空逗号用作分界符日期和时间显示为本地时间所示是ISA格式防火墙服务日志文件
   
   日志文件名
  日志文件名是根据所记录的服务名日志文件格式和记录日期所产生的文件名前个字母表示记录的服务FWS表示防火墙服务Web表示是Web代理服务IPP表示IP数据包筛选器如果文件是WC扩展格式的日志文件接下来的个字母是EXT(如果是ISA Server文件格式则无EXT)接下来的一个字母表示文件记录的频率D代表日记录W代表周记录M代表月记录Y代表年记录日志文件的日期格式是yyyymmdd比如号用表示一个在该天生成的WC格式的Web代理服务的日记录日志文件可命名为WebEXTDlog一个在该天创建的ISA格式的防火墙服务月记录日志文件可命名为FWSMlog
  
   日志文件选项
  为了节省存储日志文件的磁盘空间 ISA Server允许进行如下配置
  
  l     压缩日志文件减小所需磁盘空间不过文件只有在NTFS分区中才能压缩
  
  l     限制阵列内所有服务器上保存的日志文件的数目
  
  Ø     配置记入日志文件
  
    在ISA Management控制台树中展开Mornitoring Configuration节点选择Logs文  件夹
  
    在详细信息窗格中右击现行服务选择properties
  
    在Logs选项卡中单击File单选按钮
  
    在Format下拉列表框中选择日志文件格式
  
    在Creat A New File下拉列表框中选择一个时间周期指定创建新日志文件的频率
  
    如果要修改日志文件的位置单击Options按扭然后进行下列操作之一
  
  u     将文件保存在默认文件夹中单击ISAlogs单选按钮
  
  u     将文件保存到另外的文件夹中单击Other folder单选按钮然后在文本框中输入一个文件夹路径或者单击Browse按扭来查找一个储存位置
  
    要设置日志文件的最大数量选择Limit Number Of Log Files复选框在相关文本框中输入为阵列保存的日志文件的最大数量
  
    要压缩日志文件选择Compress log Files复选框
  
   记录到数据库
  ISA Server日志除了可以存储到文件中以外还可以存储到ODBC数据库中在服务日志的Properties对话框的Log选项卡中单击Date Base单选按钮就可以配置这一选项
  
  在将ISA Server配置为把日志写入ODBC之前必须先创建一个数据库和多个表来支持日志写入在ISA Server光盘的根文件夹下包括以下创建数据库及表格支持数据库日志写入的脚本示例
  
  l     pfsql定义了名为Packet Filter log的数据包筛选器日志表和索引来支持表查询
  
  l     WSProxysql定义了名为WebProxyLog的Web代理服务日志表和索引来支持表查询
  
  l     FWSRVsql定义了名为FirewallLog的防火墙日志表和索引来支持表查询
  
  例如要创建一个名为ISAlogs的SQL Server 日志数据库其最大容量可以增长到 MB日志文件处理最大容量为 MB具体操作如下
  
    打开SQL Query Analyzer并连接到要创建日志数据库的SQL Server
  
    在Query窗口的Editor窗格中输下列TransactSQL代码
  
  
  
  USE master
  
  GO
  
  CREATE DATABASE ISAlogs
  
  
  
  该代码创建一个名为ISAlogs的数据库
  
    在Editor窗格中在刚才所输的代码之下输入下列代码
  
  
  
  ON PRIMARY
  
  (
  
  NAMEISAlogdat
  
  FILENAME=C\programfiles\microsoft SQLServer\MSSQL\DATA\
  
  ISAlogsmdf
  
  SIZE=
  
  MAXSIZE=
  
  FILEGROWTH=
  
  )
  
  
  
  该代码定义了主文件其逻辑名为ISAlogdat操作系统使用的路径和文件名为C\programfiles\microsoft SQLServer\MSSQL\DATA\ISAlogsmdf文件初始大小为 MB最大容量为 MB文件的增长增量是 MB
  
  
   注意 如果代码中指定的路径与您的计算机中路径不同必须在代码中指定正确的路径或者保持该代码不变并在执行第步之前在驱动器C创建文件路径
  
  
    在Editor窗格中在刚才所输的代码之下输入下列代码
  
  
  
  LOG ON
  
  (
  
  NAME=ISAloglog
  
  FILENAME=C\programfiles\microsoft SQLServer \ MSSQL \ DATA \
  
  ISAlogsmdf
  
  SIZE=
  
  MAXSIZE=
  
  FILEGROWTH=
  
  )
  
  GO
  
  
  
  这些代码定义了日志文件文件的逻辑名为ISAloglog操作系统使用的文件名和路径为C\programfiles\microsoft SQLServer \ MSSQL \ DATA \ ISAlogsmdf文件初始大小为 MB最大容量为 MB文件的增长增量是 MB
  
  
   注意 如果代码中指定的路径与您的计算机中路径不同必须在代码中指定正确的路径或者保持该代码不变并在执行第步之前在驱动器C创建文件路径
  
  
    把所有代码作为一条语句执行
  
  在结果窗格的消息选项卡中显示了两条消息一条是说 MB硬盘空间已经分配给了相应的主文件另一个消息说已为事务日志文件分配了 MB空间
  
     确认当前数据库是ISALogs数据库然后打开并执行出现在SA Server CDROM根目录下的每一个sql文件
网友评论
<