Раздел: Документация
0 ... 91 92 93 94 95 96 97 ... 131 New Alt*il WJuercl Evcsnls and I Jir.dilioni An alert i;4iigoeied by a spsdric event. Some events skjwjou to reted addhorel conditmw 6«* DNS mlruiion "3 ArtdnorJ cor** w
Рис. 9-3. Создание «иввешення о кер«п«лиеиин буфера имен узлов Местоположение события Иногда создают оповещение, возникающее при тех же условиях, что и любое из предустановленных, но только для конкретного сервера массива. Компьютер, на котором обнаружено соответствующее событие, называется местоположением события (event location). По умолчанию все предустановленныеотслеживают события на всех серверах массива, хотя ничто не мешает вам изменить параметры оповещения для реагирования на события лишь одного или определенного подмножества серверов. Порогинициированияоповещения После настройки оповещения определяется порог, при котором оно инициируется. В качестве порога задается: •число событий в секунду, при котором инициируется оповещение (частотный порог события); •число событий до инициирования оповещения; •время до инициации повторного оповещения. Пороги оповещений настраиваются на вкладке диалогового окна Properties (см. рис. 9-4) соответствующего оповещения. ► Настройка порогов инициирования озоисшений В дереве консоли ISA Management разверните узел Monitoring Configuration и щелкните папку 2.В области сведений щелкните правой кнопкой мыши нужное оповещение и выберите команду Properties. 3.На вкладке Events установите флажок Number of occurrences before the alert is issued и укажите, после какого числа событий инициируется оповещение. 4.Установите флажок Number of events per second before the alert is issued и введите частоту возникновения события (число событий в секунду), при которой инициируется оповещение. 5.Выберите один из следующих вари; нтеш: если при повторном возникновении события оповещение должно инициироваться немедленно, установите переключатель в положение Immediately; если новое оповещение должно инициироваться только после сброса предыдущего, установите переключатель в положение Afterreset of alert; если повторное оповещение должно инициироваться по истечении определенного периода времени, установите переключатель в положение If time since last execution is more than < чисм .минут> minutes и укажите число минут, по истечении которого инициируется повторное оповещение. £>>*• intrusion IT ujMiT и ч Qeneial Events Actkjra ] в A host name ovetftaw. length overflow, zom Additional condition: . DNS irttuacn3 r Г* the Recurring actons are pwfontied P )rjtmed»(eiy ,.; « Arte aarual reset of stent c"" If wwiiVice last execution в rnote thari OK j Ca.-it.ei J Рис. 9-4. Настройка порогов инициирования оповещений Действия, выполняемые в ответ на оповещение Вы вправе определить одно или несколько действий, которые будут выполняться при возникновении оповещения: •отправка сообщения по электронной почте; •запуск определенной программы; •создание записи в журнале событий Windows 2000; •запуск или останов какой-либо службы ISA-сервера: брандмауэра, Web-прокси или службы загрузкипо расписанию. Если в ответ на оповещение должна запускаться программа, в некоторых случаях требуется указать учетную запись, под которой она будет работать. Следует предусмотреть наличие у этой учетной записи привилегии Logon As A Batch Job (Вход в качестве пакетного задания). Привилегии пользователей назначаются в окне Local Security Policy. Путь, указанный в команде на выполнение программы, должен храниться на всех серверах мае- сива. При определении пути используйте переменные среды (например %SystemDrive%/. чтобы задать корректный путь для разных серверов массива. Действия, выполняемые в ответ на оповещения, определяются при создании нового оповещения или при изменении параметров существующего на вкладке Actions диалогового окна Properties (рис. 9-5). Sprvii е slarleiJ Properti*1:* Geneal J Event* Action* j
 !~~ ftograin Hunting рюдсапс Use thi* account Г У .log Г Stop-M;,/-,-,,. Г" Start seteoted *Btvfces Ctncel Рис. 9-5. Настройка ответных действий оповещения ► Настройка ответных действий оповещения 1.В дереве консоли ISA Management разверните узел Monitoring Configuration и щелкните папку Alerts. 2.В области сведений щелкните правой кнопкой мыши нужное оповещение и выберите команду Properties. 3.На вкладке Actions выполните следующие действия: •для отправки сообщения по электронной почте установите флажок Send e-mail и укажите имя SMTP-сервера, адрес получателя и отправителя; •для запуска приложения установите флажок Program и затем введите команду для запуска и имя учетной записи. под которой она будет выполняться; •для создания записи о событии установите флажок Report to Windows 2000 event log; •для остановки определенных сгс.жб установите флажок Stop selected services, затем щелкните кнопку Select и укажите службы; •для запуска определенных служб установите флажок Start selected services, затем щелкните кнопку Select и выберите службы. Примечание При использовании для отсылки сообщений внешнего SMTP-сервера следует создать статический фильтр пакетов, пропускающий трафик протокола SMTP. 0 ... 91 92 93 94 95 96 97 ... 131
|
