9.2
记录ISA Server活动
详细的安全和访问日志是ISA Server的主要特征。它们能以标准数据格式,比如W3C、ODBC等生成。ISA Server内置有3种日志:防火墙服务活动监视、Web代理服务以及数据包筛选器。新日志可以按年、月、周、日创建。
本节学习目标
l
查看和定位ISA Server关于防火墙服务、Web代理服务和数据包筛选器的日志。
l
修改ISA Server日志属性,如日志位置、日志字段以及日志文件压缩。
l
配置ISA Server使用ODBC数据源来记录日志。
估计学习时间:75分钟
9.2.1
管理ISA Server日志
ISA Server记录数据包筛选器、防火墙服务和Web代理服务的活动。在默认情况下,每天为每项服务生成新日志文件。每一个新日志文件都保存在ISA Server安装文件夹下的ISA logs文件夹中。该位置的典型路径是:%programfiles%microsoft ISA ServerISAlogs。
这3种服务日志的许多默认设置可以修改。例如,可以修改记录格式。默认情况下,ISA Server以W3C格式记录日志文件,但也可以选择以ISA格式记录日志文件。第3种选择是以ODBC格式记录到数据库。另一个可以修改的属性是日志报告的频率。ISA Server可以配置成每天、每周、每月或每年生成一个日志报告。ISA Server日志中其他可以修改的属性包括指定产生日志记录的区域或保存日志文件的位置。
日志文件属性修改是在ISA Management中的Monitoring Configuration节点的Logs文件夹中进行的。图9.6所示是在选定Logs文件夹以后,可以配置的3种服务器日志。
可以通过在详细信息窗格中双击一个服务日志图标来配置服务的日志属性。图 9.7所示是与属性对话框相联系的一个服务日志的Log选项卡。这个选项卡允许配置日志文件的格式和存储位置。
图9.8所示是服务日志属性对话框中的Fields选项卡。这个选项卡允许指定日志报告中可以包含哪些字段。
启用服务日志时,阵列中的每一个服务器都生成日志。然后,ISA Server集中这些日志,收集所有服务器的数据并将其组合成一个单独的日志报告。
9.2.2
记录到日志文件
ISA Server日志可以以下列格式保存到日志文件中:
l
W3C格式。
l
ISA格式。
尽管日志配置是阵列范围的,阵列中每个ISA Server都生成日志文件。可以在Options对话框中指定日志文件的位置,如图 9.9所示。在指定的服务日志的Properties对话框中单击Options按钮,可以访问Options对话框。
日志文件的默认位置是ISAlogs文件夹。如果保持其默认状态,日志文件会保存到阵列中所有ISA Server计算机上的安装文件夹的同一位置中。不过,如果指定另一个文件夹,必须保证该路径在阵列中的每个计算机中都存在。
注意
推荐将日志文件保存到NTFS分区中,以便日志文件利用NTFS的安全性以及数据压缩等功能。
9.2.3
W3C格式
W3C格式日志包含数据和描述版本、日期和记录字段等的指令。因为字段在文件中描述,未选择的字段就不记录。选项表字符用做定界符,日期和时间显示为格林威治标准时间(GMT)。图 9.10所示是部分W3C格式的Web代理日志文件。
9.2.4
ISA格式
ISA格式只包含数据,不包含指令。始终记录所有的字段,未选择的字段用破折号记录指明它们为空。逗号用作分界符。日期和时间显示为本地时间。图 9.11所示是ISA格式防火墙服务日志文件。
9.2.5
日志文件名
日志文件名是根据所记录的服务名、日志文件格式和记录日期所产生的。文件名前3个字母表示记录的服务。FWS表示防火墙服务;Web表示是Web代理服务;IPP表示IP数据包筛选器。如果文件是W3C扩展格式的日志文件,接下来的3个字母是EXT。(如果是ISA Server文件格式则无EXT)。接下来的一个字母表示文件记录的频率。D代表日记录,W代表周记录,M代表月记录,Y代表年记录。日志文件的日期格式是yyyymmdd。比如2002年5月21号用20020521表示。一个在该天生成的W3C格式的Web代理服务的日记录日志文件,可命名为WebEXTD20020521.log。一个在该天创建的ISA格式的防火墙服务月记录日志文件,可命名为FWSM20020521.log。
9.2.6
日志文件选项
为了节省存储日志文件的磁盘空间, ISA Server允许进行如下配置:
l
压缩日志文件,减小所需磁盘空间,不过文件只有在NTFS分区中才能压缩。
l
限制阵列内所有服务器上保存的日志文件的数目。
Ø
配置记入日志文件
1.
在ISA Management控制台树中,展开Mornitoring Configuration节点,选择Logs文
件夹。
2.
在详细信息窗格中,右击现行服务,选择properties。
3.
在Logs选项卡中,单击File单选按钮。
4.
在Format下拉列表框中,选择日志文件格式。
5.
在Creat A New File下拉列表框中,选择一个时间周期,指定创建新日志文件的频率。
6.
如果要修改日志文件的位置,单击Options按扭,然后进行下列操作之一:
u
将文件保存在默认文件夹中,单击ISAlogs单选按钮。
u
将文件保存到另外的文件夹中,单击Other folder单选按钮,然后在文本框中输入一个文件夹路径,或者单击Browse按扭来查找一个储存位置。
7.
要设置日志文件的最大数量,选择Limit Number Of Log Files复选框,在相关文本框中,输入为阵列保存的日志文件的最大数量。
8.
要压缩日志文件,选择Compress log Files复选框。
9.2.7
记录到数据库
ISA Server日志除了可以存储到文件中以外,还可以存储到ODBC数据库中。在服务日志的Properties对话框的Log选项卡中,单击Date Base单选按钮,就可以配置这一选项。
在将ISA Server配置为把日志写入ODBC之前,必须先创建一个数据库和多个表来支持日志写入。在ISA Server光盘的根文件夹下,包括以下创建数据库及表格支持数据库日志写入的脚本示例:
l
pf.sql定义了名为Packet Filter log的数据包筛选器日志表和索引来支持表查询。
l
WSProxy.sql定义了名为WebProxyLog的Web代理服务日志表和索引来支持表查询。
l
FWSRV.sql定义了名为FirewallLog的防火墙日志表和索引来支持表查询。
例如,要创建一个名为ISAlogs的SQL Server 2000日志数据库,其最大容量可以增长到100 MB,日志文件处理最大容量为50 MB,具体操作如下:
1.
打开SQL Query Analyzer并连接到要创建日志数据库的SQL Server。
2.
在Query窗口的Editor窗格中,输下列Transact-SQL代码:
USE master
GO
CREATE DATABASE
ISAlogs
该代码创建一个名为ISAlogs的数据库。
3.
在Editor窗格中,在刚才所输的代码之下输入下列代码:
ON PRIMARY
(
NAME:ISAlog.dat,
FILENAME=‘C:programfilesmicrosoft SQLServerMSSQLDATA
ISAlogs.mdf’,
SIZE=50
MAXSIZE=100
FILEGROWTH=1
)
该代码定义了主文件,其逻辑名为ISAlog.dat。操作系统使用的路径和文件名为“C:programfilesmicrosoft SQLServerMSSQLDATAISAlogs.mdf”。文件初始大小为50 MB,最大容量为100 MB,文件的增长增量是1 MB。
注意
如果代码中指定的路径与您的计算机中路径不同,必须在代码中指定正确的路径,或者保持该代码不变,并在执行第5步之前在驱动器C创建文件路径。
4.
在Editor窗格中,在刚才所输的代码之下输入下列代码:
LOG ON
(
NAME=ISAlog.log
FILENAME='C:programfilesmicrosoft SQLServer MSSQL DATA
ISAlogs.mdf'
SIZE=25
MAXSIZE=50
FILEGROWTH=1
)
GO
这些代码定义了日志文件,文件的逻辑名为ISAlog.log。操作系统使用的文件名和路径为:'C:programfilesmicrosoft SQLServer MSSQL DATA ISAlogs.mdf'。文件初始大小为25 MB,最大容量为50 MB,文件的增长增量是1 MB。
注意
如果代码中指定的路径与您的计算机中路径不同,必须在代码中指定正确的路径,或者保持该代码不变,并在执行第5步之前在驱动器C创建文件路径。
5.
把所有代码作为一条语句执行。
在结果窗格的消息选项卡中显示了两条消息,一条是说100 MB硬盘空间已经分配给了相应的主文件,另一个消息说已为事务日志文件分配了50 MB空间。
6.
确认当前数据库是ISALogs数据库,然后打开并执行出现在SA Server CD-ROM根目录下的每一个.sql文件。
