模板
教程
环境
性能
功能
管理
记录ISA Server活动(4)
记录ISA Server活动
9.2.8 日志记录包
所有通过ISA Server 的数据包都可以记录到数据包筛选器日志,可以根据下列原则精确配置记录何种数据包。
默认情况下,在安装ISA Server 时,所有丢弃的数据包都记录到数据包筛选器日志。禁用数据包筛选器以后,日志记录也一起关闭了。
可以配置ISA Server禁用对因指定的阻塞模式IP数据包筛选器而丢弃的数据包记录日志。
可以配置ISA Server记录所有通过ISA Server通信的数据包-允许的和丢弃的数据包。启用记录允许数据包时,所有通过ISA Server的数据包都记录在数据包筛选器日志中。
记录允许数据包和阻塞数据包会造成服务器大量负载。
Ø 按照下列步骤记录允许数据包:
1. 在ISA Management控制台树中,展开Aclearcase/" target="_blank" >ccess Policy节点,右击IP Packet Filters文件夹,然后选择Properties。
2. 在Packet Filters选项卡里,选择Log Packets From "allow" Filters复选框。
注意 如果启用了数据包筛选,只能记录允许数据包。
Ø 按照下列步骤记录阻塞数据包:
1. 在ISA Management控制台树中,展开Access Policy节点,右击IP Packet Filters文件夹,然后选择Properties。
2. 在View菜单中,确认选中了Advanced选项。
3. 在详细信息窗格中,右击要记录的阻塞模式IP数据包筛选器,然后选择Properties。
4. 在General选项卡中,选择Log Any Packets Mathing This Filter复选框。
9.2.9 防火墙和Web代理日志字段
选择服务日志属性中的Fields选项卡时,可以选择记录任何可用的字段数目。在默认情况下,数据包筛选器日志报告12个可能字段中的9个,防火墙服务日志和Web代理服务日志报告27可能字段中的18个。这些默认选择是随时可以更改或者是通过单击Restore Defaults按钮恢复的。
Ø 按照下列步骤指定要记录的字段:
1. 在ISA Management控制台树中,展开Monitoring Configuration节点,然后单击Logs文件夹。
2. 在详细信息窗格中,右击现行服务,选择Properties。
3. 单击Fields选项卡。
4. 在此选项卡中完成下列任务:
u 要选择记录的指定字段,启用合适的复选框。
u 要清除字段列表中的所有复选框,单击Clear All按扭。
u 要启用字段列表中的所有复选框,单击Select All按扭。
u 要启用ISA Server日志文件中的一组默认字段,单击Restor Defaults 按扭。
表9.2所列的是可以包括在每一个ISA Server防火墙和Web 代理日志文件中的字段。括号里的字段名是跟3C扩展日志文件格式相关的。对于W3C名称,注意前缀“c”代表客户操作,“s”代表服务器操作,“cs”代表客户端到服务器操作,“sc”代表服务器到客户端操作,“r”代表远程操作。
某些字段要么与Web代理服务相关要么与防火墙服务相关,但不可和两者都相关。对于这样的每一个字段,该表指明字段可以应用的服务。需要注意的是,在ISA日志格式中,空字段用连字符(-)表示。在W3C日志文件格式中,如果空字段不可应用到服务中,则不出现空字段。
表9.2到9.6列出了这些字段中的某些字段的可能值。通过ISA Management的Monitoring Configuration节点可以查看这些字段名。具体步骤是:单击Logs文件夹,然后双击属于ISA Server防火墙服务和ISA Server Web代理服务的日志文件,最后单击Fidlds选项卡,来查看可以记录的字段。
(图片较大 请放大查看)
(图片较大 请放大查看)
(图片较大 请放大查看)
(图片较大 请放大查看)
(图片较大 请放大查看)
表9.3列出了ISA Server防火墙服务日志报告的客户代理(W3C格式的c-agent)参数的可能取值。它扩展了表9.2中的第3行所列信息。当选中所有字段要记录时,表9.3中所列出的一个值出现在该日志的第3个字段。该值表示客户使用的操作系统。
(图片较大 请放大查看)
表9.4列出了ISA Server Web代理服务日志报告的对象源(W3C格式的s-object-source)参数的可能取值。它扩展了表9.2中的第21行所列信息。当选中所有字段进行记录时,表9.4中所列出的一个值出现在该日志的第21个字段。该值表示使用哪一个信源来检索当前对象。
(图片较大 请放大查看)
表9.5列出了ISA Server防火墙和Web代理服务日志报告的结果代码(或者是W3C格式的sc-status)参数的可能值。它扩展了表9.2中第22行所列信息。
该值通常用来表示一个Windows错误代码(值小于100)、一个HTTP状态代码(值在100到1 000之间)、一个Winsock错误代码(值在10,000到11,004)。一个连接通常有两个日志条目:第一个条目是何时建立连接;第二个条目是何时终止连接。第一个条目记录有结果代码0(成功连接)或者13301(连接拒绝)以及0的字节数。第二个条目记录有结果代码20000(连接正常终止)或20001(连接意外终止)以及相应的字节数。
欲查询更详细的错误代码信息,请在线咨询微软开发人员网站,网址为http://msdn. microsoft.com,或者是微软技术网页http://www.microsoft.com/technet。
(图片较大 请放大查看)
表9.6列出了ISA Server Web代理服务日志报告的缓存信息(W3C格式的s-cache info)的参数可能取值。它扩展了表9.2第23行所列信息。该值用来说明为什么缓存或者不缓存对象。
(图片较大 请放大查看)
(图片较大 请放大查看)
