记录ISA Server活动 详细的安全和访问日志是ISA Server的主要特征它们能以标准数据格式比如WCODBC等生成ISA Server内置有种日志防火墙服务活动监视Web代理服务以及数据包筛选器新日志可以按年月周日创建 本节学习目标 l查看和定位ISA Server关于防火墙服务Web代理服务和数据包筛选器的日志 l修改ISA Server日志属性如日志位置日志字段以及日志文件压缩 l配置ISA Server使用ODBC数据源来记录日志 估计学习时间分钟 管理ISA Server日志 ISA Server记录数据包筛选器防火墙服务和Web代理服务的活动在默认情况下每天为每项服务生成新日志文件每一个新日志文件都保存在ISA Server安装文件夹下的ISA logs文件夹中该位置的典型路径是%programfiles%\microsoft ISA Server\ISAlogs\ 这种服务日志的许多默认设置可以修改例如可以修改记录格式默认情况下ISA Server以WC格式记录日志文件但也可以选择以ISA格式记录日志文件第种选择是以ODBC格式记录到数据库另一个可以修改的属性是日志报告的频率ISA Server可以配置成每天每周每月或每年生成一个日志报告ISA Server日志中其他可以修改的属性包括指定产生日志记录的区域或保存日志文件的位置 日志文件属性修改是在ISA Management中的Monitoring Configuration节点的Logs文件夹中进行的图所示是在选定Logs文件夹以后可以配置的种服务器日志 可以通过在详细信息窗格中双击一个服务日志图标来配置服务的日志属性图 所示是与属性对话框相联系的一个服务日志的Log选项卡这个选项卡允许配置日志文件的格式和存储位置 图所示是服务日志属性对话框中的Fields选项卡这个选项卡允许指定日志报告中可以包含哪些字段 启用服务日志时阵列中的每一个服务器都生成日志然后ISA Server集中这些日志收集所有服务器的数据并将其组合成一个单独的日志报告 记录到日志文件 ISA Server日志可以以下列格式保存到日志文件中 lWC格式 lISA格式 尽管日志配置是阵列范围的阵列中每个ISA Server都生成日志文件可以在Options对话框中指定日志文件的位置如图 所示在指定的服务日志的Properties对话框中单击Options按钮可以访问Options对话框 日志文件的默认位置是ISAlogs文件夹如果保持其默认状态日志文件会保存到阵列中所有ISA Server计算机上的安装文件夹的同一位置中不过如果指定另一个文件夹必须保证该路径在阵列中的每个计算机中都存在 注意推荐将日志文件保存到NTFS分区中以便日志文件利用NTFS的安全性以及数据压缩等功能 WC格式 WC格式日志包含数据和描述版本日期和记录字段等的指令因为字段在文件中描述未选择的字段就不记录选项表字符用做定界符日期和时间显示为格林威治标准时间(GMT)图 所示是部分WC格式的Web代理日志文件 ISA格式 ISA格式只包含数据不包含指令始终记录所有的字段未选择的字段用破折号记录指明它们为空逗号用作分界符日期和时间显示为本地时间图 所示是ISA格式防火墙服务日志文件 日志文件名 日志文件名是根据所记录的服务名日志文件格式和记录日期所产生的文件名前个字母表示记录的服务FWS表示防火墙服务Web表示是Web代理服务IPP表示IP数据包筛选器如果文件是WC扩展格式的日志文件接下来的个字母是EXT(如果是ISA Server文件格式则无EXT)接下来的一个字母表示文件记录的频率D代表日记录W代表周记录M代表月记录Y代表年记录日志文件的日期格式是yyyymmdd比如年月号用表示一个在该天生成的WC格式的Web代理服务的日记录日志文件可命名为WebEXTDlog一个在该天创建的ISA格式的防火墙服务月记录日志文件可命名为FWSMlog 日志文件选项 为了节省存储日志文件的磁盘空间 ISA Server允许进行如下配置 l压缩日志文件减小所需磁盘空间不过文件只有在NTFS分区中才能压缩 l限制阵列内所有服务器上保存的日志文件的数目 Ø配置记入日志文件 在ISA Management控制台树中展开Mornitoring Configuration节点选择Logs文件夹 在详细信息窗格中右击现行服务选择properties 在Logs选项卡中单击File单选按钮 在Format下拉列表框中选择日志文件格式 在Creat A New File下拉列表框中选择一个时间周期指定创建新日志文件的频率 如果要修改日志文件的位置单击Options按扭然后进行下列操作之一 u将文件保存在默认文件夹中单击ISAlogs单选按钮 u将文件保存到另外的文件夹中单击Other folder单选按钮然后在文本框中输入一个文件夹路径或者单击Browse按扭来查找一个储存位置 要设置日志文件的最大数量选择Limit Number Of Log Files复选框在相关文本框中输入为阵列保存的日志文件的最大数量 要压缩日志文件选择Compress log Files复选框 记录到数据库 ISA Server日志除了可以存储到文件中以外还可以存储到ODBC数据库中在服务日志的Properties对话框的Log选项卡中单击Date Base单选按钮就可以配置这一选项 在将ISA Server配置为把日志写入ODBC之前必须先创建一个数据库和多个表来支持日志写入在ISA Server光盘的根文件夹下包括以下创建数据库及表格支持数据库日志写入的脚本示例 lpfsql定义了名为Packet Filter log的数据包筛选器日志表和索引来支持表查询 lWSProxysql定义了名为WebProxyLog的Web代理服务日志表和索引来支持表查询 lFWSRVsql定义了名为FirewallLog的防火墙日志表和索引来支持表查询 例如要创建一个名为ISAlogs的SQL Server 日志数据库其最大容量可以增长到 MB日志文件处理最大容量为 MB具体操作如下 打开SQL Query Analyzer并连接到要创建日志数据库的SQL Server 在Query窗口的Editor窗格中输下列TransactSQL代码 USE master GO CREATE DATABASEISAlogs 该代码创建一个名为ISAlogs的数据库 在Editor窗格中在刚才所输的代码之下输入下列代码 ON PRIMARY ( NAMEISAlogdat FILENAME=C\programfiles\microsoft SQLServer\MSSQL\DATA\ ISAlogsmdf SIZE= MAXSIZE= FILEGROWTH= ) 该代码定义了主文件其逻辑名为ISAlogdat操作系统使用的路径和文件名为C\programfiles\microsoft SQLServer\MSSQL\DATA\ISAlogsmdf文件初始大小为 MB最大容量为 MB文件的增长增量是 MB 注意如果代码中指定的路径与您的计算机中路径不同必须在代码中指定正确的路径或者保持该代码不变并在执行第步之前在驱动器C创建文件路径 在Editor窗格中在刚才所输的代码之下输入下列代码 LOG ON ( NAME=ISAloglog FILENAME=C\programfiles\microsoft SQLServer \ MSSQL \ DATA \ ISAlogsmdf SIZE= MAXSIZE= FILEGROWTH= ) GO 这些代码定义了日志文件文件的逻辑名为ISAloglog操作系统使用的文件名和路径为C\programfiles\microsoft SQLServer \ MSSQL \ DATA \ ISAlogsmdf文件初始大小为 MB最大容量为 MB文件的增长增量是 MB 注意如果代码中指定的路径与您的计算机中路径不同必须在代码中指定正确的路径或者保持该代码不变并在执行第步之前在驱动器C创建文件路径 把所有代码作为一条语句执行 在结果窗格的消息选项卡中显示了两条消息一条是说 MB硬盘空间已经分配给了相应的主文件另一个消息说已为事务日志文件分配了 MB空间 确认当前数据库是ISALogs数据库然后打开并执行出现在SA Server CDROM根目录下的每一个sql文件 |