В этой статье будет дан обзор компонентов ведения журналов брандмауэра TMG.

Введение

Продолжаем цикл статей об основах брандмауэра TMG рассмотрением программы просмотра журналов брандмауэра TMG. Брандмауэр TMG, как и его предшественник ISA, является продуктом, который способен выполнять разные задачи. Он может служить межсетевым экраном, прямым и обратным веб-прокси сервером, сервером удаленного доступа VPN, межсайтовым VPN сервером, сервером фильтрации вредоносного контента и URL адресов; это лишь некоторые ключевые роли, которые брандмауэр TMG может играть в вашей сети. Но один компонент, которому начинающие администраторы TMG могут и не уделять достаточного внимания, представляет собой мощную и полезную функцию ведения журналов.

Самым лучшим способом изучения принципов работы этого компонента является его практическое применение. Итак, нажимаем на раздел Журналы и отчеты (Logs & Reports) в левой панели консоли брандмауэра TMG, как показано на рисунке 1 ниже.

В панели задач (Task Pane) закладки задач (Tasks Tab) можно найти ряд опций, доступных для настройки и выполнения функции ведения журналов на брандмауэре TMG. Для начала нажмем на пункт настройки ведения журналов брандмауэра (Configure Firewall Logging) в закладке задач, как показано на рисунке 2 ниже.

Это вызовет диалог свойств ведения журнала брандмауэра (Firewall Logging Properties). В закладке Журнал (Log) можно выбрать тип журналов, ведение которых нужно включить. Здесь есть три варианта:

• SQL Server Express Database (на локальном сервере)
• DQL Database
• File

Параметром по умолчанию будет SQL Server Express Database (on local server). Если вы хотите сохранять журналы на отдельный SQL сервер, нужно выбрать опцию SQL Database, а затем нажать кнопку Опции (Options), чтобы настроить базу данных SQL, которую брандмауэр TMG будет использовать для ведения журналов. Если вы хотите записывать журналы в простой файл, нужно выбрать опцию File и указать тип файла; в этом случае будут доступны опции форматов файла для журналов W3C extended log file format и TMG Log File format.

Так как же определить, какой вариант самый оптимальный? Запись журналов в файл работает быстрее, чем запись в SQL, но у вас будет меньшее вариантов запросов информации при записи в файл, поэтому если у вас нет отдельной базы данных SQL, рекомендую использовать опцию ведения журналов по умолчанию. Нажмите на кнопку Опции справа от опции SQL Server Express Database (on local server), рисунок 3.

В диалоге Опции нужно настроить место, в которое будут сохраняться файлы журналов, рисунок 4. По умолчанию это будет папка Logs в папке установки брандмауэра TMG на локальном жестком диске, но можно выбрать другие место, указав путь в строке или перейдя к этому месту. Можно также настроить лимит хранения файлов журналов. По умолчанию будут установлены следующие значения:

• Ограниченный общий размер файлов журналов (Limit total size of log files) по умолчанию составляет 8 ГБ
• Свободное место на основном диске (Main free disk space) будет установлено на 512 МБ по умолчанию ‘ это позволяет предотвратить заполнение диска файлами журнала
• Ограничение хранения главного журнала с помощью: удаления старых журналов по мере необходимости (Main log storage limits by: Deleting older log files as necessary) — это будет поведением по умолчанию, когда превышен лимит хранения журнала; у вас также есть опция игнорирования новых записей, если вы хотите сохранить старые записи
• Удалять папки старше (дней) (Delete files older than (days)) — здесь по умолчанию установлено 7.

Обратите внимание, что опция Сжимать файлы журналов (Compress log files) неактивна, когда вы выбираете опцию записи журналов в базу данных SQL или SQL Express. Можно сжимать только простые файлы журналов.

Нажмите на закладку Поля (Fields), как показано на рисунке 5. Здесь можно указывать то, какие поля брандмауэр TMG будет заполнять для всех подключений, информация о которых заносится в журнал службой брандмауэра. Если вы обнаружите, что ваши файлы журналов слишком большие, для уменьшения размера вам нужно будет сократить количество полей, которые заполняются в журнале для подключений.

Обратите внимание, что подобные опции доступны, когда вы нажимаете на пункт настройки ведения журналов веб-прокси Configure Web Proxy Logging в закладке задачи на панели задач.

Теперь нажимаем на пункт настройки очереди журналов (Configure Log Queue) в закладке задачи панели задач. В результате откроется диалог Папка хранения очереди журналов (Log Queue Storage Folder), рисунок 6. Здесь можно указать, куда сохранять очередь журналов. Очередь журналов является хранилищем для записей журналов, которым необходимо подождать, пока брандмауэр не отформатирует их должным образом. Задачей очереди журналов является обеспечение возможности для брандмауэра TMG хранить записи журналов, которые в противном случае могли бы быть потеряны, поскольку поступали слишком быстро. Благодаря очереди журналов TMG записи быстро помещаются в очередь и будут ждать до тех пор, пока брандмауэр не сможет обработать эти записи журналов.

Теперь нажмите на пункт Посмотреть состояние журнала (View Log Status) в закладке задач панели задач. Это отобразит диалог состояния журнала (Log Status), показанный на рисунке 7. Здесь можно найти следующую информацию:

• Сервер (Server) показывает сервер, на который отправляется очередь журналов
• Обновленный до (Updated Up To) показывает время, до которого журнал был обновлен
• Очередь журнала (Log Queue (KB)) показывает количество записей журналов, которые в данный момент находятся в очереди
• Состояние (Status) показывает состояние очереди журналов

Эта полезная информация, если вы подозреваете атаку вирусом или червем.

Переходим в пункт определения цветов текста журналов (Define Log Text Colors) в панели задач, где у нас открывается диалог определения цветов текста журналов, показанный на рисунке 8. Здесь указаны стандартные цвета для часто просматриваемых файлов журналов. Цветовая кодировка записей в журналах значительно упрощает анализ журнала, оценку количества разных типов записей и поиск необходимых записей. Можно нажать на кнопку Цвет (Color), если вы хотите изменить цвет любой из этих записей. Еще одной полезной возможностью являются кнопки экспорта и импорта цветовых схем (Export Colors Scheme) и (Import Colors Scheme), позволяющие экспортировать и импортировать цветовые схемы с других брандмауэров TMG.

Пункт Скрыть записи журнала для IPv6 (Hide IPv6 log entries) в закладке задач панели задач, рисунок 9, является очень полезной опцией. Если вы проводите много времени за чтением журналов TMG, вы обнаружите, что есть большое количество IPv6 вещаний в вашей сети. Эти IPv6 записи могут значительно усложнять журналы. Когда вы нажимаете на эту кнопку, записи IPv6 будут также записываться в журнал, но они будут скрыты при просмотре, чтобы вам было проще просматривать записи журнала без этих IPv6 записей.

Теперь нажимает на пункт Редактировать фильтр (Edit Filter) в закладке задач панели задач. Здесь вы найдете три стандартных значения:

• Тип записи журнала (Log Record Type) задается для фильтра брандмауэра или прокси-сервера. Это значение, как правило, лучше оставлять без изменений.
• Время записи журнала (Log Time) имеет значение live ‘ иногда его нужно изменять
• Действие (Action) имеет значение not equal Connection Status ‘ помогает снизить уровень посторонней информации в фильтре журнала

На рисунке 10 ниже показано, что я выбрала Log Time объект и затем нажала на стрелку вниз в раскрывающемся списке Условие (Condition). Вы увидите, что здесь есть множество опций для временного окна фильтрации записей журналов. Обратите внимание, что после изменения значения необходимо нажать кнопку Обновить (Update), чтобы изменить значение фильтрации.

Можно отфильтровывать журналы по многим условиям. На рисунках 11, 12 и 13 ниже показаны опции раскрывающегося списка Фильтровать по (Filter by). Когда вы выбираете значение из этого списка, нужно затем нажать стрелку Условие (Condition) для выбора условия и затем указать Значение (Value). После выполнения этих трех операций нужно нажать кнопку Добавить в список (Add To List), чтобы они появились в списке фильтров.

На рисунке 14 ниже я выбрала запись клиентского IP адреса (Client IP) в списке Фильтровать по. Затем я нажала стрелку вниз для раскрывающегося списка Условие. Здесь представлено несколько опций на выбор, которые позволяют вам просматривать те записи, которые вам более интересны.

После указания опций фильтрации журналов нужно нажать кнопку Начать запрос (Start Query). Через некоторое время вы увидите в шкале состояния внизу консоли, что Запрос выполнен (Query is done), и здесь вам будет показан ряд записей файлов журналов, которые соответствуют параметрам вашего запроса, как показано на рисунке 15.

Результат запроса появится в консоли, и цвета записей будут соответствовать тем цветам, которые мы настроили в диалоге настройки цветов записей журнала ранее. Обратите внимание, что названия полей даны в столбцах для каждой записи журнала, как показано на рисунке 16. Можно пролистывать вправо для просмотра подробной информации о каждой записи журнала.

Обратите внимание, что первые столбцы являются столбцами, настроенными по умолчанию. Если есть поле, которое вас интересует, но оно не отображено, нужно нажать правой клавишей на одном из столбцов и выбрать опцию Добавить или удалить столбец (Add/Remove Columns), как показано на рисунке 17 below.

У вас откроется диалог добавления и удаления столбцов (Add/Remove Columns). С левой стороны будет дан список Доступных столбцов (Available columns), который показан на рисунке 18. Пролистайте этот список и найдите интересующие вас поля, после чего нажмите кнопку Добавить (Add), чтобы переместить их в раздел Отображенных столбцов (Displayed columns). Нажмите OK и вернитесь в консоль. Теперь пролистайте вправо, и вы увидите информацию в тех столбцах, которые добавили. Здорово!

Когда вы нажимаете на записи файла журнала, вы можете получить более детальную информацию в разделе подробной информации под списком записей журналов. На рисунке 19 ниже показана подробная информация о записи, включая ценную информацию, связанную с HTTP и прокси, в разделе Дополнительной информации (Additional information).

Заключение

В этой части цикла статей об основах брандмауэра TMG мы рассмотрели функцию ведения журналов и фильтрации записей журналов, включенную в брандмауэр TMG. Как вы видите, брандмауэр TMG записывает много информации в журнал о каждом подключении, которое проходит через него. Вы можете использовать программу просмотра журналов для получения информации о самых важных записях журналов, а процесс фильтрации полон и прост в настройке. Надеюсь, вам понравился этот обзор, и если у вас есть вопросы по поводу использования функции ведения журналов и фильтрации в TMG, дайте мне знать! Свяжитесь со мной по адресу dshinder@isaserver.org и я отвечу, как только смогу. Спасибо!

Если вы хотите прочитать первую часть этого цикла статей, перейдите по ссылке Назад к основам TMG — часть 1: Правила публикации сервера.

Автор: Деб Шиндер (Deb Shinder)

Дебра Литтлджон Шиндер (DEBRA LITTLEJOHN SHINDER), MCSE, MVP (Security) является консультантом по технологиям, инструктором и писателем, автором множества книг по компьютерным операционным системам, сетям и безопасности. Она также является техническим редактором, редактором по разработкам и соавтором для более чем 20 дополнительных книг. Ее статьи регулярно публикуются на TechProGuild Web-сайте TechRepublic и Windowsecurity.com и появляются в печатных журналах, таких как Windows IT Pro (прежнее название: Windows & .NET) Magazine. Она создала учебные материалы, корпоративные технические описания, маркетинговые материалы и документацию по продуктам для Microsoft Corporation, Hewlett-Packard, DigitalThink, GFI Software, Sunbelt Software, CNET и других технологических компаний. Деб живет и работает в Dallas-Ft Worth районе и может быть доступна по почте mailo:deb@shinder.net или через web-сайт www.shinder.net.

Эта статья опубликована с разрешения: www.isaserver.org
Оригинал: http://www.isaserver.org/tutorials/TMG-Back-Basics-Part2.html