目前公司网络使用ISA已有段时间了,但只停留在配置访问控制列表的阶段上,而针对局域网的用户的网络访问的监视和日志记录却很少系统,有针对性的使用。下面从理论和实际介绍下监控和日志的使用方法和注意事项。
第一部分:理论
现在一个很普遍的现象:管理员总是爱记录日志,但没有优先次序的记录日志,或是记录下来根本就不看日志。类似与这种情况的还有很多。下面我就具体说下监控和日志记录的要点。
1.注重查看日志
虽然收集和存储日志很重要,但只有经常查看日志,了解网络环境中发生了哪些情况,才能及时做出响应。这里要注意的是发现非正常访问要提高警惕。
2.设置监控及日志的优先次序
在这里,你第一步要做的就得明确你的目标。回答下述问题会有助于你定制策略和确立监视目标:“最担心什么?”“***得逞了吗?”“以前发生过这种***吗?” 建立有目的的日志及监控,既可以达到监控的目的,又可以减轻网管员的负担。
3.延长日志存储时间
许多用户认为自己拥有进行监控和调查所需要的所有日志,但是在遭遇安全事件之后才发现,相应的日志信息已经被删除了。安全事件通常是在***或滥用行为发生后很长时间才被发现。所以建议保留的日志分两个部分:短期的在线存储和长期的离线存储。
这部分对监控和日志的需注意点做了简单的介绍,下面具体讲述下ISA 2004的监控及日志用法。
第二部分:ISA 2004 监控及日志的用法
1.首先,需了解监视面板各模块的功能。
仪表板:ISA 服务器仪表板汇总了有关会话、警报、服务、报告、连接性和系统总体运行状况的监视信息。通过仪表板,可以迅速了解网络的工作状态。
警报:当指定的事件发生时,ISA 服务器警报会向您发出通知。通过警报面板,您可以直观的看出出现错误或警告的事件。
警报:当指定的事件发生时,ISA 服务器警报会向您发出通知。通过警报面板,您可以直观的看出出现错误或警告的事件。
特点:直观的看到ISA的故障点。
会话:可查看所有的活动连接。您可以排序单独的会话或成组的会话,也可以断开这些会话连接。使用内置的会话筛选功能,您可以筛选会话界面中的项目,关注您感兴趣的会话。
报告:使用报告功能,您可以总结和分析使用模式,并可以监视网络的安全性。
日志:您可以实时查看防火墙日志和 Web 代理日志。可以使用内置的日志查询功能来查询日志文件。
2.监视方案
ISA Server 2000 中使用网络嗅探器或网络监视器 (netmon) 来诊断常见的网络故障,现在可以使用内置的监视工具来诊断这些故障。
ISA Server 2000 中使用网络嗅探器或网络监视器 (netmon) 来诊断常见的网络故障,现在可以使用内置的监视工具来诊断这些故障。
(1)使用连接性验证程序
按以下步骤创建验证程序
按以下步骤创建验证程序
1.在“ISA 服务器管理”的“监视”节点中,单击“连接性”选项卡。
2.在任务窗格中,单击“创建新连接性验证程序”。
3.在“创建新连接性验证程序向导”中,为验证程序指定一个名称,然后单击“下一步”。
2.在任务窗格中,单击“创建新连接性验证程序”。
3.在“创建新连接性验证程序向导”中,为验证程序指定一个名称,然后单击“下一步”。
4.在“连接性验证详细信息”页上,配置验证程序。指定一个服务器名称、IP 地址或 URL,并为验证程序指定一个类别。选择一种验证方法。单击“下一步”,然后单击“完成”以完成向导。
这样,一个测试ISA连通性的配置就做完了。
(2)日志
您可以查看过去的日志、实时监视日志和根据表达式筛选日志。有了这种能力,您就可以将日志功能用作一种实时的故障排除工具。您可以实时筛选日志,并可选择由当前日志文件记录的某一段时间。您可以选择多个筛选表达式来运行查询,并可将筛选器保存起来以备将来使用。
您可以查看过去的日志、实时监视日志和根据表达式筛选日志。有了这种能力,您就可以将日志功能用作一种实时的故障排除工具。您可以实时筛选日志,并可选择由当前日志文件记录的某一段时间。您可以选择多个筛选表达式来运行查询,并可将筛选器保存起来以备将来使用。
1.在“ISA 服务器管理”的“监视”节点中,单击“日志”选项卡。
2.在详细信息窗格中,单击“编辑筛选器”。在“筛选依据”中,选择“客户端用户名”;在“条件”中,选择“等于”;在“值”中,添加您要监视的用户名。然后单击“添加到列表”。
2.在详细信息窗格中,单击“编辑筛选器”。在“筛选依据”中,选择“客户端用户名”;在“条件”中,选择“等于”;在“值”中,添加您要监视的用户名。然后单击“添加到列表”。
3.单击“启动查询”。
然后查询将会运行,允许您监视该用户的实时通讯。请注意,要监视该用户,您的访问规则必须要求该用户进行身份验证。
然后查询将会运行,允许您监视该用户的实时通讯。请注意,要监视该用户,您的访问规则必须要求该用户进行身份验证。
(3)会话
该项和日志功能查不多,不过他更重于实时的用户通话记录,并且可已断开该用户的网络连接。
注意:在“日志”和“会话”中,最应该掌握的就是条件查询法,这些操作可以最有效的遏制用户的非法连接。
(4)报告
这是ISA 2004中新增的功能,对一段时间的网络汇总,网络性能评估有着较大的作用。针对用户的总访问量,用户使用的协议,用户的流量统计等可以提供一个图形化,直观的报表。由于操作简便,故不累述。
报告将生成网页格式,便于阅读。
位于报告页面左侧的是分类列表项,这里列表项很多,但作为日志分析员有几项应稍加注意
1. 在“摘要”中应注意:
协议
此报告期间,使用了以下通信协议,通过 ISA 服务器进行网络通讯。使用最频繁的协议排列在最前面。此报告包括 Web 和非 Web 通讯。(图略)
此报告期间,使用了以下通信协议,通过 ISA 服务器进行网络通讯。使用最频繁的协议排列在最前面。此报告包括 Web 和非 Web 通讯。(图略)
在这里您可以了解到你的网络的通信情况,对自己的网络有大概性的了解。
用户排名
此报告期间,以下用户通过 ISA 服务器生成的网络通讯最多。产生通讯最多的用户排在前面。当 ISA 服务器无法识别用户名称时,会向其提交网络地址。(SecureNAT 客户端和未经身份验证的 Web 代理服务器客户。)此报告包括 Web 和非 Web 通讯。
此报告期间,以下用户通过 ISA 服务器生成的网络通讯最多。产生通讯最多的用户排在前面。当 ISA 服务器无法识别用户名称时,会向其提交网络地址。(SecureNAT 客户端和未经身份验证的 Web 代理服务器客户。)此报告包括 Web 和非 Web 通讯。
通过这个图表,您可以看到那些用户会进入您的视线。
每天通讯
以下图表简明表示报告期间每天不同时间通过 ISA 服务器的平均网络通讯。此报告包括 Web 和非 Web 通讯。
以下图表简明表示报告期间每天不同时间通过 ISA 服务器的平均网络通讯。此报告包括 Web 和非 Web 通讯。
如果不出什么意外,它的流量是不会有突出的变化的,除非你成心折腾它。(但要留意天天BT的贪婪用户)
2.在“WEB使用”中,应注意:
网站排名
以下是报告期间客户端访问最频繁的网站。最受欢迎的网站排列在最前面。
以下是报告期间客户端访问最频繁的网站。最受欢迎的网站排列在最前面。
有的网站尽管排名不高,但也要留意,因为这是你了解用户上什么网站的最有效的方法。
HTTP 响应
以下图表简明表示报告期间 ISA 服务器响应 HTTP 请求的方式。
以下图表简明表示报告期间 ISA 服务器响应 HTTP 请求的方式。
有响应必定消耗系统资源,结合资源管理器分析。
3.“应用程序使用”中:
应用程序用户排名
报告期间,以下用户通过 ISA 服务器生成的应用程序通讯最多。当 ISA 服务器无法识别用户名称时,会向其提交网络地址(SecureNAT 客户)。应用程序通讯包括除外 Web 通讯以外的所有通讯。
报告期间,以下用户通过 ISA 服务器生成的应用程序通讯最多。当 ISA 服务器无法识别用户名称时,会向其提交网络地址(SecureNAT 客户)。应用程序通讯包括除外 Web 通讯以外的所有通讯。
此项应结合着ISA客户端,但公司户用暂时没有,所以大部分都显SecureNat。
目标排名
以下是报告期间客户端请求最频繁的目标。最受欢迎的目标排列在最前面。应用程序通讯包括除 Web 通讯以外的所有通讯。
以下是报告期间客户端请求最频繁的目标。最受欢迎的目标排列在最前面。应用程序通讯包括除 Web 通讯以外的所有通讯。
在排名的含义中,表明了的是一种趋势,身作网管,你得时刻掌握着趋势的变化。
4.通讯和使用情况:
连接
以下制图表总结报告期间每天高峰期的同时连接数。
以下制图表总结报告期间每天高峰期的同时连接数。
能统计出连接数,对精密排查可能有帮助。
处理时间
以下制图表总结报告期间每天的平均请求处理时间。
以下制图表总结报告期间每天的平均请求处理时间。
每天的的处理时间应大致相同,除了突发事件外。
错误
此报告期间,ISA 服务器遇到以下问题,无法与其他计算机进行通信。
此报告期间,ISA 服务器遇到以下问题,无法与其他计算机进行通信。
有的用户尝试进行非法通信,ISA可对其进行拦截,但系统的性能也会大幅度下降。
5.安全性中:
授权失败
下面的图表总结了在报告期间有最大数量的授权失败的用户。首先列出的是生成了最多授权失败的用户。
下面的图表总结了在报告期间有最大数量的授权失败的用户。首先列出的是生成了最多授权失败的用户。
非法连接也会在其中,分析到每台机器。
丢弃的数据包
以下图表显示报告期间丢弃网络数据包数量最多的用户。丢弃数据包最多的用户排在最前面。
以下图表显示报告期间丢弃网络数据包数量最多的用户。丢弃数据包最多的用户排在最前面。
这也是分析系统性能的一项指标,请关注。