ISA Server nudi opciju za zabeležavanje svih aktivnosti koje se odnose na Firewall servis, Web Proxy servis i SMTP message servis. Beleženje treba koristiti za dobijanje korisnih informacija i, takođe beleženje možemo koristiti za dobijanje informacija koje se odnose na maliciozne ili neodgovarajuće akcije na serveru. Ova lekcija opisuje kako se konfiguriše logovanje (zabeležavanje) na ISA Server 2004.

 

Šta je zabeležavanje (Logging)?

Možemo da nadgledamo aktivnosti na ISA Serveru konfiguracijom zabeležavanja. Po defaultu, kada je ISA Server 2004 instaliran, zabeležavanje (logging) je omogućeno za sve komponente. Glavna prednost zabeležavanja na ISA Serveru je da, sa dodatkom da možemo da pogledamo zabeležene informacije u ISA Server Management konzoli, možemo takođe i da konfigurišemo prošireni prostor za logove (zapise) za smeštanje izveštaja, analizu trendova ili istraživanje sigurnosnih problema.

ISA Server 2004 nudi mogućnost nadgledanja aktivnosti u odrađivanje sledećih tipova Logging zadataka:

  • Firewall Logging - Zapisuje pokušaje komunikacije koristeći Firewall servis.
  • Web Proxy Logging - Zapisuje pokušaje komunikacije koristeći Web Proxy servis.
  • SMTP Message Screener Logging - Zapisuje SMTP Message Screener događaje i statusne infromacije.


Možemo da iskoristimo ISA Server Log Viewer da nadgledamo i analiziramo aktivnost na serveru. Svaki put kada je zapisan određeni događaj, događaj se prikazuje u Log Viewer-u ako je Log Viewer aktivan. Takođe, možemo da filterišemo podatke koji se prikazuju u Log Viewer-u tako da se u njemu prikazuju samo podaci koji ispunjavaju određeni kriterijum. Možemo takođe da iskopiramo (copy-past) podatke koji su prikazani u Log Viewer-u u tektualni fajl koji možemo da upotrebimo za dalju analizu ako je potrebna.

SMTP Message Screener log informacije se ne prikazuju u Log Viewer-u iz razloga što su informacije smeštene u tekstualni fajl. Samo logovi koji su smešteni u Microsoft Data Engine (MSDE) formatu mogu se videti koristeći Log Viewer.

 

Opcije za Log Storage

Da bi ispunili svoje sigurnosne u analitičke zahteve, veoma je važno da razumemo opcije za smeštanje ISA Server log informacije. ISA Server log informacije možemo da smestimo u:

  • Microsoft Data Engine (MSDE) bazu podataka
  • SQL bazu podataka
  • File

 

Smeštanje Log informacija u MSDE format

Smeštanje logova u MSDE format nudi mogućnost da događaje možemo videti u Log Viewer-u. MSDE baze podataka su ograničene na veličinu od 2 GB. Kada log pređe ograničenu veličinu od 2 GB, ISA Server automatski kreira novu bazu podataka. Takođe, na početku svakog dana kreira se nova Log-file baza podataka. Po default-u informacije web Proxy i Firewall servisa se smeštaju u MSDE formatu i mogu se nadgledati u Log Viewer-u.

 

Smeštanje logova u SQL bazu podataka

Možemo da smestimo log informacije u SQL bazu podataka da bi obezbedili napredne mogućnosti za smeštanje i analizu podataka. Korišćenje SQL baze podataka takođe nudi mogućnost smeštanja logova na udaljeni server ili na lokaciju na koju smeštamo podatke (storage location).

Sistemsko pravilo polise koje se naziva Allow remote logging using NetBIOS transport to trusted servers mora biti omogućeno da bi mogli da prebacujemo logove u SQL bazu podataka.

 

Smeštanje i čuvanje logova u File formatu

Možemo da sačuvamo logove ISA Servera u fajl u sledećim fajl formatima:

  • World Wide Web Consortium (W3C) format - W3C logovi sadrže i podatke i direktive koje opisuju versiju, datum, i log polja. Character tab se koristi kao graničnik. Datum i vreme su UTC formatu (Coordinated Universal Time format)
  • ISA Server format - ISA Server format sadrži samo podatke bez direktiva. Sva polja su uvek zapisana i Comma karakter (zarez) se koristi kao graničnik. Polja za datum i vreme su u lokalnom vremenu.


ISA Server log fajlovi su ograničeni na veličinu od 2 GB. Kada log pređe ograničenu veličinu od 2 GB, ISA Server automatski kreira novi fajl. Takođe, na početku svakog dana kreira se novi Log-file.

 

Održavanje Log-a (Log Maintenance)

MSDE i log fajlovi su po default-u smešteni u ISALogs folderu, koji se nalazi u ISA Server instalacionom folderu.

Kada konfigurišemo ISA Server da koristi MSDE bazu podataka ili da koristi fajl za logovanje, možemo da konfigurišemo koliko dugo će se Log informacija čuvati na lokalnom hard disku kao i koliko prostora na disku treba dodeliti za logovanje.
ISA Server proverava svakih 10 minuta da li Logovi prelaze određeno ograničenje.

 

Pogled na ISA Server logove


Metod koji koristimo za čitanje i pregled logova na ISA Serveru zavisi od tipa logova i njegovog Storage formata. Svaki log koji je snimljen u MSDE formatu može da se vidi koristeći Log Viewer. Logovi koji su smešteni u File formatu mogu da se vide koristeći standardni tekst editor kao što je Notepad. Logovi koji su smešteni u SQL bazu podataka može da se vide koristeći SQL softver za izveštaje (reporting software) kao što je Microsoft SQL 2000 Reporting Services, koji je lociran na adresi:

http://www.microsoft.com/sql/technologies/reporting/default.mspx

Da bi videli log fajl koji je sačuvan u File format, treba da pretražimo (browse): C:Program FilesMicrosoft ISA ServerISALogs ili na alternativnoj lokaciji u slučaju da smo ručno pomerili Log fajlove. Koristimo Notepad da otvorimo sledeće tipove fajlova:

  • ISALOG_yyyymmdd_FWS_nnn.w3c - Ovaj tip fajlova odgovara W3C formatu, gde yyyy predstavlja godinu, mm predstavlja mesec, dd predstavlja dan, nnn predstavlja više log fajlova koji su kreirani istog dana.
  • ISALOG_yyyymmdd_FWS_nnn.iis - Ovaj tip fajla odgovara ISA Server fajl formatu. Yyyy predstavlja godinu, mm predstavlja mesec, dd predstavlja dan, i nnn predstavlja više log fajlova koji su kreirani istog dana.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Konfiguracija logovanja (Logging) 1
  • Konfiguracija logovanja (Logging) 2
  • Konfiguracija logovanja (Logging) 3
  • Konfiguracija logovanja (Logging) 4
  • Konfiguracija logovanja (Logging) 5