目前公司網絡使用ISA已有段時間了,但只停留在配置訪問控制列表的階段上,而針對局域網的用戶的網絡訪問的監視和日誌記錄卻很少系統,有針對性的使用。下面從理論和實際介紹下監控和日誌的使用方法和注意事項。
第一部分:理論
現在一個很普遍的現象:管理員總是愛記錄日誌,但沒有優先次序的記錄日誌,或是記錄下來根本就不看日誌。類似與這種情況的還有很多。下面我就具體說下監控和日誌記錄的要點。
1.注重查看日誌
雖然收集和存儲日誌很重要,但只有經常查看日誌,瞭解網絡環境中發生了哪些情況,才能及時做出響應。這裏要注意的是發現非正常訪問要提高警惕。
2.設置監控及日誌的優先次序
在這裏,你第一步要做的就得明確你的目標。回答下述問題會有助於你定製策略和確立監視目標:“最擔心什麼?”“***得逞了嗎?”“以前發生過這種***嗎?” 建立有目的的日誌及監控,既可以達到監控的目的,又可以減輕網管員的負擔。
3.延長日誌存儲時間
許多用戶認爲自己擁有進行監控和調查所需要的所有日誌,但是在遭遇安全事件之後才發現,相應的日誌信息已經被刪除了。安全事件通常是在***或濫用行爲發生後很長時間才被發現。所以建議保留的日誌分兩個部分:短期的在線存儲和長期的離線存儲。
這部分對監控和日誌的需注意點做了簡單的介紹,下面具體講述下ISA 2004的監控及日誌用法。
第二部分:ISA 2004 監控及日誌的用法
1.首先,需瞭解監視面板各模塊的功能。
儀表板:ISA 服務器儀表板彙總了有關會話、警報、服務、報告、連接性和系統總體運行狀況的監視信息。通過儀表板,可以迅速瞭解網絡的工作狀態。
警報:當指定的事件發生時,ISA 服務器警報會向您發出通知。通過警報面板,您可以直觀的看出出現錯誤或警告的事件。
警報:當指定的事件發生時,ISA 服務器警報會向您發出通知。通過警報面板,您可以直觀的看出出現錯誤或警告的事件。
特點:直觀的看到ISA的故障點。
會話:可查看所有的活動連接。您可以排序單獨的會話或成組的會話,也可以斷開這些會話連接。使用內置的會話篩選功能,您可以篩選會話界面中的項目,關注您感興趣的會話。
報告:使用報告功能,您可以總結和分析使用模式,並可以監視網絡的安全性。
日誌:您可以實時查看防火牆日誌和 Web 代理日誌。可以使用內置的日誌查詢功能來查詢日誌文件。
2.監視方案
ISA Server 2000 中使用網絡嗅探器或網絡監視器 (netmon) 來診斷常見的網絡故障,現在可以使用內置的監視工具來診斷這些故障。
ISA Server 2000 中使用網絡嗅探器或網絡監視器 (netmon) 來診斷常見的網絡故障,現在可以使用內置的監視工具來診斷這些故障。
(1)使用連接性驗證程序
按以下步驟創建驗證程序
按以下步驟創建驗證程序
1.在“ISA 服務器管理”的“監視”節點中,單擊“連接性”選項卡。
2.在任務窗格中,單擊“創建新連接性驗證程序”。
3.在“創建新連接性驗證程序嚮導”中,爲驗證程序指定一個名稱,然後單擊“下一步”。
2.在任務窗格中,單擊“創建新連接性驗證程序”。
3.在“創建新連接性驗證程序嚮導”中,爲驗證程序指定一個名稱,然後單擊“下一步”。
4.在“連接性驗證詳細信息”頁上,配置驗證程序。指定一個服務器名稱、IP 地址或 URL,併爲驗證程序指定一個類別。選擇一種驗證方法。單擊“下一步”,然後單擊“完成”以完成嚮導。
這樣,一個測試ISA連通性的配置就做完了。
(2)日誌
您可以查看過去的日誌、實時監視日誌和根據表達式篩選日誌。有了這種能力,您就可以將日誌功能用作一種實時的故障排除工具。您可以實時篩選日誌,並可選擇由當前日誌文件記錄的某一段時間。您可以選擇多個篩選表達式來運行查詢,並可將篩選器保存起來以備將來使用。
您可以查看過去的日誌、實時監視日誌和根據表達式篩選日誌。有了這種能力,您就可以將日誌功能用作一種實時的故障排除工具。您可以實時篩選日誌,並可選擇由當前日誌文件記錄的某一段時間。您可以選擇多個篩選表達式來運行查詢,並可將篩選器保存起來以備將來使用。
1.在“ISA 服務器管理”的“監視”節點中,單擊“日誌”選項卡。
2.在詳細信息窗格中,單擊“編輯篩選器”。在“篩選依據”中,選擇“客戶端用戶名”;在“條件”中,選擇“等於”;在“值”中,添加您要監視的用戶名。然後單擊“添加到列表”。
2.在詳細信息窗格中,單擊“編輯篩選器”。在“篩選依據”中,選擇“客戶端用戶名”;在“條件”中,選擇“等於”;在“值”中,添加您要監視的用戶名。然後單擊“添加到列表”。
3.單擊“啓動查詢”。
然後查詢將會運行,允許您監視該用戶的實時通訊。請注意,要監視該用戶,您的訪問規則必須要求該用戶進行身份驗證。
然後查詢將會運行,允許您監視該用戶的實時通訊。請注意,要監視該用戶,您的訪問規則必須要求該用戶進行身份驗證。
(3)會話
該項和日誌功能查不多,不過他更重於實時的用戶通話記錄,並且可已斷開該用戶的網絡連接。
注意:在“日誌”和“會話”中,最應該掌握的就是條件查詢法,這些操作可以最有效的遏制用戶的非法連接。
(4)報告
這是ISA 2004中新增的功能,對一段時間的網絡彙總,網絡性能評估有着較大的作用。針對用戶的總訪問量,用戶使用的協議,用戶的流量統計等可以提供一個圖形化,直觀的報表。由於操作簡便,故不累述。
報告將生成網頁格式,便於閱讀。
位於報告頁面左側的是分類列表項,這裏列表項很多,但作爲日誌分析員有幾項應稍加註意
1. 在“摘要”中應注意:
協議
此報告期間,使用了以下通信協議,通過 ISA 服務器進行網絡通訊。使用最頻繁的協議排列在最前面。此報告包括 Web 和非 Web 通訊。(圖略)
此報告期間,使用了以下通信協議,通過 ISA 服務器進行網絡通訊。使用最頻繁的協議排列在最前面。此報告包括 Web 和非 Web 通訊。(圖略)
在這裏您可以瞭解到你的網絡的通信情況,對自己的網絡有大概性的瞭解。
用戶排名
此報告期間,以下用戶通過 ISA 服務器生成的網絡通訊最多。產生通訊最多的用戶排在前面。當 ISA 服務器無法識別用戶名稱時,會向其提交網絡地址。(SecureNAT 客戶端和未經身份驗證的 Web 代理服務器客戶。)此報告包括 Web 和非 Web 通訊。
此報告期間,以下用戶通過 ISA 服務器生成的網絡通訊最多。產生通訊最多的用戶排在前面。當 ISA 服務器無法識別用戶名稱時,會向其提交網絡地址。(SecureNAT 客戶端和未經身份驗證的 Web 代理服務器客戶。)此報告包括 Web 和非 Web 通訊。
通過這個圖表,您可以看到那些用戶會進入您的視線。
每天通訊
以下圖表簡明表示報告期間每天不同時間通過 ISA 服務器的平均網絡通訊。此報告包括 Web 和非 Web 通訊。
以下圖表簡明表示報告期間每天不同時間通過 ISA 服務器的平均網絡通訊。此報告包括 Web 和非 Web 通訊。
如果不出什麼意外,它的流量是不會有突出的變化的,除非你成心折騰它。(但要留意天天BT的貪婪用戶)
2.在“WEB使用”中,應注意:
網站排名
以下是報告期間客戶端訪問最頻繁的網站。最受歡迎的網站排列在最前面。
以下是報告期間客戶端訪問最頻繁的網站。最受歡迎的網站排列在最前面。
有的網站儘管排名不高,但也要留意,因爲這是你瞭解用戶上什麼網站的最有效的方法。
HTTP 響應
以下圖表簡明表示報告期間 ISA 服務器響應 HTTP 請求的方式。
以下圖表簡明表示報告期間 ISA 服務器響應 HTTP 請求的方式。
有響應必定消耗系統資源,結合資源管理器分析。
3.“應用程序使用”中:
應用程序用戶排名
報告期間,以下用戶通過 ISA 服務器生成的應用程序通訊最多。當 ISA 服務器無法識別用戶名稱時,會向其提交網絡地址(SecureNAT 客戶)。應用程序通訊包括除外 Web 通訊以外的所有通訊。
報告期間,以下用戶通過 ISA 服務器生成的應用程序通訊最多。當 ISA 服務器無法識別用戶名稱時,會向其提交網絡地址(SecureNAT 客戶)。應用程序通訊包括除外 Web 通訊以外的所有通訊。
此項應結合着ISA客戶端,但公司戶用暫時沒有,所以大部分都顯SecureNat。
目標排名
以下是報告期間客戶端請求最頻繁的目標。最受歡迎的目標排列在最前面。應用程序通訊包括除 Web 通訊以外的所有通訊。
以下是報告期間客戶端請求最頻繁的目標。最受歡迎的目標排列在最前面。應用程序通訊包括除 Web 通訊以外的所有通訊。
在排名的含義中,表明了的是一種趨勢,身作網管,你得時刻掌握着趨勢的變化。
4.通訊和使用情況:
連接
以下製圖表總結報告期間每天高峯期的同時連接數。
以下製圖表總結報告期間每天高峯期的同時連接數。
能統計出連接數,對精密排查可能有幫助。
處理時間
以下製圖表總結報告期間每天的平均請求處理時間。
以下製圖表總結報告期間每天的平均請求處理時間。
每天的的處理時間應大致相同,除了突發事件外。
錯誤
此報告期間,ISA 服務器遇到以下問題,無法與其他計算機進行通信。
此報告期間,ISA 服務器遇到以下問題,無法與其他計算機進行通信。
有的用戶嘗試進行非法通信,ISA可對其進行攔截,但系統的性能也會大幅度下降。
5.安全性中:
授權失敗
下面的圖表總結了在報告期間有最大數量的授權失敗的用戶。首先列出的是生成了最多授權失敗的用戶。
下面的圖表總結了在報告期間有最大數量的授權失敗的用戶。首先列出的是生成了最多授權失敗的用戶。
非法連接也會在其中,分析到每臺機器。
丟棄的數據包
以下圖表顯示報告期間丟棄網絡數據包數量最多的用戶。丟棄數據包最多的用戶排在最前面。
以下圖表顯示報告期間丟棄網絡數據包數量最多的用戶。丟棄數據包最多的用戶排在最前面。
這也是分析系統性能的一項指標,請關注。