9.1
配置警报
ISA Server警报服务负责捕获事件。它检查是否满足一定的条件并采取适当的措施。可以使用ISA Management来查看ISA Server所提供的全部事件列表,然后决定发生这些事件时应该采取哪些措施。
本节学习目标
l
在事件查看器中查看ISA Server事件。
l
在ISA Management中查看ISA Server警报。
l
配置警报条件、位置、阈值以及操作。
估计学习时间:35分钟
9.1.1
预先的配置警报
在默认状态下,ISA Server包括了45项警报,其中39项是启用的。在Monitoring Configuration节点中选择Alerts文件夹,可以在ISA Management查看这些警报的列表。如图9.1所示。
按照下列步骤启用警报:
1.
在ISA Management控制台树中,展开Monitoring Configuration节点,单击Alerts文
件夹。
2.
在详细信息窗格中,右击适当的警报,单击Enable。
每一个警报都指定了一个事件。每一个启用的警报都默认配置为把特定的事件报告给Windows 2000事件日志。这些事件可以从事件查看器的应用日志中看到。图 9.2 所示为在Windows 2000事件日志中可视的ISA Server事件示例。
注意
您也可以在ISA Management的Monitoring节点的警报文件夹中查看ISA Server的事件。不过,ISA Management中只能显示自上次关机起事件第一次发生的情况。要查看ISA Server事件的全部信息,必须使用事件查看器。
可以创建一个新警报或者修改一个已经存在的警报。使用New Alert向导可以创建一个新警报。
Ø
按照下列步骤创建新警报:
1.
在ISA Management控制台树,展开Mornitoring Configuration节点。
2.
右击Alerts文件夹,指向New,然后单击Alert。
3.
New Alert打开时,按屏幕指示操作。
9.1.2
警报条件
新警报是以现存警报为基础的,但是它通常还包括必须要满足的附加的、具体的条件。例如,DNS入侵警报通常将“任何DNS入侵”条件指定为附加条件。但是,可以在DNS入侵警报的基础上建立一个主机名溢出警报。要创建该警报,选择DNS intrusion作为警报事件,并选择Hostname Overflow作为附加条件,如图9.3所示。
也可以修改任何预配置警报的警报条件。
按照下列步骤修改警报条件:
1.
在ISA Management控制台树中,展开Monitoring Configuration节点,单击Alerts文
件夹。
2.
在详细信息窗格中,右击现行的警报,选择Properties。
3.
在Events选项卡
u
在Events下拉列表框中,选择触发警报的事件。
u
如果事件需要附加条件,在Addition Condition下拉列表框中,选择相应的条件。
u
在By Server下拉列表框中,单击阵列中的应该触发警报的服务器,或者是如果要应用到所有阵列成员时,默认设置为Any。
9.1.3
事件位置
可以配置一个和已有警报具有相同事件和附加条件的新警报,但是它把事件检测限定在阵列中的特定的服务器。事件检测所在的服务器就是事件位置。所有已有的警报默认状态是把事件位置指定为阵列中的所有服务器。不过,可以重新配置一个警报的事件位置为某一特定的服务器,以便所选的服务器上发生事件时可以触发警报。
9.1.4
事件阈值
一旦警报配置好后,可以通过指定以下阈值来修改警报。这些阈值确定什么时候应该采取警报操作。
l
在发出警报之前应该每秒发生几次事件(也叫做事件频率阈值)。
l
在发出警报之前应该发生多少事件。
l
警报再次发出之前需等待多长时间。
如图9.4所示,可以在警报的Properties对话框中的Events选项卡来修改阈值。
按照下列步骤配置警报的阈值:
1.
在ISA Management控制台树中,展开Monitoring Configuration节点,单击Alerts文
件夹。
2.
在详细信息窗格中,右击现行的警报,然后选择Properties。
3.
在Events选项卡里,选择Number Of Occurrences Before The Alert Is Issued复选框,并输入发出警报前应该发生多少事件。
4.
选择Number Of Occurrences Before The Alert Is Issued复选框,并输入发出警报前应该每秒发生几次事件。
5.
选择下面选项中之一:
u
如果事件再发生应该立即再警报,选择Immediately单选按钮。
u
如果只能在警报复位以后才能再警报,选择After Manual Reset Of Alert单选按钮。
u
如果需要在指定的时间后再发出警报,选择If Time Since Last Execution Is More Than Minutes单选按钮,并输入执行操作前应该持续的分钟数。
9.1.5
警报操作
满足警报条件时,可以设定执行以下一个或多个操作:
l
发出一个电子邮件消息。
l
运行一个特定的程序。
l
在Windows 2000事件日志中记录事件。
l
停止或启动任何ISA Server服务:防火墙服务、Web代理服务、定时内容下载服务。
配置一个警报运行指定的程序时,可以指定执行程序时应该使用何种用户证书。确保指定的用户具有登录批处理(Logon As A Batch Job)权限。用户权限可以使用本地安全策略(Local Security Policy)来配置。警报操作执行一个程序时,阵列中的所有服务器中必须有为命令操作指定的路径。使用路径名中的环境变量,比如%SystemDrive%等。这样,如果阵列成员的应用程序路径不一样,可以通过环境变量来定位程序。
运行New Alert向导时,或者是修改警报的Properties对话框中的Actions选项卡中的设置时,都可以设置一个警报操作。如图9.5所示。
Ø
按照下列步骤修改警报操作:
1.
在ISA Management控制台树中,展开Monitoring Configuration节点,并单击Alerts文件夹。
2.
在详细信息窗格中,右击现行的警报,然后选择Properties。
3.
在Actions选项卡中:
u
警报条件发生时,如果是发送E-mail,选择Send E-mail复选框,然后输入SMTP服务器名、收信人和发信人。
u
警报条件发生时,如果是运行一个程序,选择Program复选框,然后在命令提示符中输入要运行的命令和程序所在的账户。
u
如果是记录事件日志,选择Report To windows2000 Event Log复选框。
u
如果是停止ISA Server,选择Stop Selected Services复选框,然后单击Select按钮来选择警报条件发生时需要停止的服务。
u
如果是启动ISA Server,选择Start Selected Services复选框,然后选择警报条件发生时要启动的服务。
注意
如果配置e-mail操作使用一个外部的SMTP服务器,必须创建一个静态数据包筛选器来允许SMTP协议。
9.1.6
ISA Server事件
表9.1列出了ISA Server定义的事件以及相关的附加表项。创建新警报时,可以指定下列事件之一触发警报。
9.1.7
练习:配置警报发送E-mail信息
在这个练习中,配置警报在无论何时检测到入侵事件时,给管理员发E-mail。在默认情况下,警报只给Windows 2000事件日志发消息。为了确保ISA管理员能发现警报,应该将警报修改为给给适当的人员发送警报。
练习:配置入侵检测警报发送E-mail信息
在这个练习中,修改入侵检测警报。无论何时ISA Server检测到对您的网络的外部入侵时它都发出E-mail信息。
Ø
配置入侵检测警报发送E-mail信息 :
1.
以Administrator身份登录到Server1。
2.
打开ISA Management,展开Mornitoring Configuration节点。
3.
单击Alerts选项卡。
4.
在详细信息窗格中,右击Intrusion Retoded Alert,选择Properties。
出现Intrusion Detected Properties对话框。
5.
选择Actions选项卡。
6.
选择Send E-mail复选框。
7.
在SMTP Server文本框中,输入192.168.0.2。
8.
在To文本框中,输入
testuser@Server2.domain01.local
。
9.
在From文本框中,输入
testuser@Server2.domain01.local
。
10.
单击Test按扭。
收到一个消息框指明模拟成功。
11.
点击OK。
12.
在Intrusion Retoded Alert对话框中,单击OK。
几分钟后,所指定的邮箱如果收到测
