Раздел: Документация

0 ... 98 99 100 101 102 103 104 ... 131

Таблица 9-7. Поля журнала фильтров пакетов

Номер поля	Имя поля	Описание
1	Date (date)	Дата получения пакета
2	Time (time!	Время получения пакета
3	Source IP	IP-ддрес (удаленного) комшжлтра. отправившего
	(source-ip)	пакет
4	Destination II	IP-адрес (локального) компьютера, получившего
	(destination-ip)	пакет. Обычно это компьютер, на ко юром установлен ISA-сервер
5	Protocol (protocol)	Используемый в подключении транспортный ipca окчд. например или ICMP
6	Source port (or	При использовании протоколов TCP и 1 ! > Р в данном
	protocol type, if	поле указывается удаленный порт, через который
	lCMP)(param#l)	осуществлялось подключение, а при непольдананли протокола ICMP — тип протокола
7	Destination port	При использовании протоколов TCP и UDP здесь
	(or protocol code,	указывается локальный порт, через который осуще-
	if ICMP)(param#2)	ствлялось подключение, а при использовании протокола ICMP — код, использовавшийся при создании подключения
8	TCP flags (icp-flags)	В этом поле регистрируется значение флага TCP в IP-заголовке пакета данных. Возможные значения: "IN, SYN, RST, PSH, АСК или URG
9	Rule (filter-rule)	Информирует, принят пакет (1) или отброшен По умолчанию в журнале регистрируются только отброшенные пакеты
to	Interface IP address	Интерфейс, использовавшийся для принятия пакета,
	(interface)	Обычно указывается только один интерфейс
I!	Header (ip-header)	IP-заголовок пакета (в шестнадцатиричном формате), инициировавшего отношение
п	Payload (payload)	Область данных, следующая за IP-заголовком, Записывается в шестнадцатеричном формате

Практикум. Изучение журналов Web-прокси

Вы изучите образец журнала службы Web-прокси и ответите на вопросы. Обратите

внимание, что заголовки колонок немного смещены по отношению к самим значениям. Файл журнала оставлен в виде, в каком его создал ISA-сервер. При -просмотре журнала в Notepad (Блокнот) следует отключить перенос по словам (Word Wrap).

Задание Анализ журнала Web-прокси

©Для выполнения этого упражнения откройте журнал службы Web-прокси с именемОн расположен в папкеприлагаемом к книге на компакт-диске и записан в формате W3C. Ответьте на вопросы упражнения, используя таблицы и материалы этой главы. В ответах следует указывать точные значения полей.

---

Какой из двух трафиков данных — от клиента к серверу или от сервера к клиенту — в первом подключении, зарегистрированном в журнале в 02:31:35, больше? Совет: по таблице 9-2 определите имена полей, в которых регистрируется информаимя о количестве отправленных (Bytes Sent) и принятых > byies Received) байт, и сравните значения в первой записи журнала.

2.Откуда возвращены данные в ответ на запрос — из Интернета или из кэша? Совет: по таблице 9-2 определите имя поля, котором указывается источник получения объекта (Object Source). Затем сравните значение соответствующего поля журнала со значениями, приведенными в таблице 9-4.

3.Когда (в какое время) удаленный узел сбросил подключение? Совет: по 9-5

определите код результата,этому событию. Затем найдите в журна-

ле запись с таким кодом и посмотрите время события.

4.Найден ли запрошенный в 02:31:45 объект в кэше? Был ли он изменен? Из какого источника в конечном счетевозвращен клиенту?найдите в журнале запись о событии произошедшем в указанное время. По таблице 9-2 определите имя поля, в котором регистрируется код результата. Затем сравните значение соответству-

поля журнала со значениями, приведенными в

5.Какая операция выполнена в 04:.S5. н- Удалось ли обратиться к адресату? Совет: найдите в журнале запись о событии, произошедшем в указанное время. По таблице 9-2 определите имя поля, в котором содержится информация о выполненной операции, и найдитеполе взаписи. Затем определитеоперации, используя значения из таблицы 9-5.

Резюме

ISA-сервер ведет журналы для служб брандмауэра, для Web-прокси и для фильтров IP-пакетов. По умолчанию для каждой службы ежедневно создается новый файл журнала. Он размещается в подкаталоге ISALogs. расположенном в установочной папке ISA-сервера. Параметры журналов настраиваются в папке Logs узла Monitoring Configuration оснастки (SA Management.

Существует два формата журналов ISA-сервера в виде текстовых файлов - W3C и ISA. Кроме того, можно сохранять журналы JSA-серйерз в базе данных, поддерживающей протокол ODBC. Для экономии дискового пространства ISA-сервер позволяет сжимать файлы журналов и ограничивать общее число журналов в массиве.

Администратор ISA-сервера вправе выбирать поля, регистрируемые в журналах. Подробнее о перечне полей, доступных для регистрации в журналах конкретных служб, и об их возможных значениях — в справочной системе ISA-сервера.

---

Занятие Создание отчетов ISA-сервера

ISA-сервер автоматически создает графические отчеты на основании информации в журналах. Поддерживается различная периодичность генерации отчетов: однократно, ежедневно, ежемесячно или в указанный день недели.

Изучив материал этоговы сможете:

настроить ISA-сервер на создание отчетов по заданному расписанию; просматривать отчеты ISA-сервера и анализировать характер использования Интернета.

Продолжительность занятия - около 45 минут.

Конфигурирование отчетов

Механизм создания отчетов ISA-сервера позволяет создавать отчеты о характере использования Интернета клиентами и компьютерами. Отчеты создаются на основании предварительно сконфигурированных заданий в узле Monitoring Configuration дерева консоли ISA Management (рис. 9-12). Задания предусматривают создание одного или нескольких отчетов в соответствии с определеннымкроме того, можно генерировать вые цифры на основании данных журналов за заданный период времени.

Acta-. V«» О *+ [ ЕЯ1.-Ш=Щ}Лё?.
mm \			:**5*3*ti«*"; ts**** ......?-1Ш*«й** IS*. .lulMi
У Internee SMfeHty wi М-гШЛвп 5eJ jl MCrtflrtog ft. 3/ hjti Poky t*l 3j г <*:-гч 3 ММ Rtias !й J Pofcy Eerenfs ff Б C4rh»Cerfl9UHtnn U torts □ LOQI			Pti.ii ill.1 I4<- irjcrnoi ;i :: Ready
		** ... 1
1 Q nt*»MO* Corflrj -J н ВЛШМфи!
........				1

Рис. 9-12. Создание нового задания по созданию отчетов

Просмотр отчетов

Каждое задание создает набор из пяти отчетов, которые размешаются в отдельные папки узла Monitoring дерева консоли ISA Management (рис. 9-13). В папке Summary хранится сводный отчет, в папке Web Usage — отчет об использовании Web, в папке Application Usage — отчет об использовании клиентских приложений. Папка Traffic & Utilization содержит отчет об используемых приложениях и протоколах, а папка Security — отчеты об атаках на сеть. Отчет отображается в виде Web-страницы и содержит несколько вложенных отчетов.

0 ... 98 99 100 101 102 103 104 ... 131