Журналы и отчеты в ISA Server 2006

Microsoft ISA Server 2006 обеспечивает вас защитой сети по периметру, позволяет при всем этом получать удаленный доступ к приложениям и данным, защищая вашу информационную инфраструктуру от угроз, исходящих из Веба. При помощи ISA Server 2006 вы сможете расслабленно публиковать содержимое через удаленный доступ, устанавливать неопасные соединения c веб-сайтами удаленных кабинетов, также защищаться от наружных и внутренних угроз.

Так как ISA Server находится на границе сети и действует как охранник при аутентификации удаленного доступа, через него обычно проходит значимый объем сетевого трафика. Когда речь входит о мониторинге деятельности ISA Server, об оценке надежности сети, о судебном анализе трафика, вам нужно осознавать, как работать с журнальчиками и отчетами в ISA Server.

Работа со встроенными отчетами в ISA Server 2006

Спасибо компании Microsoft, что она пошевелила мозгами об этом и сделала относительно надежные средства ведения журналов и сотворения отчетов в ISA Server 2006. Отчеты в ISA Server 2006 позволяют вам просматривать общие шаблоны трафика, рассматривать, какие приложения и протоколы почаще употребляются, какие веб-сайты посещаются, выслеживать неавторизированные и вредные пробы доступа к сетевым ресурсам и почти все другое.

Ведение журнальчика по дефлоту в ISA Server 2006

ISA Server собирает данные из журналов веб-прокси и брандмауэра с помощью Dailysum.exe. Программка Dailysum.exe является частью ISA Server и запускается по дефлоту каждый денек в 12:30 для извлечения и резюмирования данных, приобретенных из этих источников. Даже если не настроено ни 1-го отчета, программка Dailysum.exe все равно будет запускаться, если ее не отключить. Сначала каждого месяца Dailysum.exe также генерирует итоговые отчеты по активности за предшествующий месяц. По дефлоту хранятся минимум 35 дневных итоговых отчета и 13 месячных. Эти итоговые отчеты сохраняются в файлах *.ILS базы данных в папке ISASummaries, которая находится в папке, в которую устанавливался ISA Server.

Интегрированные типы отчетов

В ISA Server есть масса предопределенных типов отчетов, которые позволяют вам просматривать общие данные трафика и критичную информацию по безопасности. Вот эти интегрированные типы отчетов:

Summary (Итоговые отчеты) – Отчеты Summary обеспечивают вас общим обзором сетевого трафика, отсортированного по приложениям.
Web Usage (Внедрение Web) – Отражает внедрение Web в сети, демонстрируя данные касательно более нередких юзеров Web, браузеров и посещаемых веб-сайтов.
Application Usage (Внедрение приложений) – Предоставляет данные об использовании Internet-приложений, включая более нередких юзеров и нередко применяемые приложения.
Traffic and Utilization (Трафик и утилизация) – Отражает общее внедрение Веба, включая средний сетевой трафик, наибольшее число соединений, частота воззваний к кэшу и почти все другое.
Security (Безопасность) – Предоставляет перечень попыток неавторизованного доступа и других возможных угроз безопасности сети.

Результаты фильтрации и создание собственных отчетов

Взяв эти отчеты за базу, ISA Server 2006 дает вам возможность настроить либо отфильтровать результаты по последующим аспектам:

Top protocols (Более нередко применяемые протоколы) – Показывает определенное число более нередко применяемых за определенный просвет времени протоколов
Top Users (Самые нередкие юзеры) – Показывает определенное число юзеров, более нередко использовавших сеть, либо сгенерировавших больший график за определенный просвет времени
Top Sites (Самые нередко посещаемые веб-сайты) – Указывает определенное число веб-сайтов, более нередко посещенных юзерами за определенный просвет времени
Cache hit ratio (Частота воззваний к кэшу) – Тут отображается соотношение меж числом воззваний к Web и числом получений данных из локального кэша
Object types (Типы объектов) – Указывает только определеннее число объектов, к которым обращаются в большинстве случаев
Browsers (Браузеры) – Этот отчет указывает определенное число браузеров, более нередко применяемых юзерами
Operating systems (Операционные системы) – Показывает определенное число операционных систем, более нередко применяемых юзерами
Destinations (Адреса предназначения) – Фильтрует результаты так, чтоб демонстрировать определенное число адресов, в большинстве случаев посещаемых юзерами
Client applications (Клиентские приложения) – В отчете показывается определенное число клиентских приложений, создающих больше всего сетевого трафика
Dropped packets (Отброшенные пакеты) – Показывает определенное число клиентов, имеющих наибольшее число отброшенных пакетов за определенный просвет времени
Authorization failures (Плохие пробы авторизации) – Указывает определенное число клиентов, вызвавших наибольшее число неудачных попыток авторизации за определенный просвет времени

Приложение ISARepGen.exe, устанавливаемое по дефлоту совместно с ISA Server, употребляется для генерации разовых либо текущих отчетов. Вы сможете создавать разовый отчет при помощи мастера New Report Wizard. Из наименования ясно, что такое отчет будет показан один раз после окончания работы мастера. Сделайте последующее для генерации разового отчета:

Щелкните на вкладку Reports в узле Monitoring
Изберите вкладку Tasks
Щелкните Generate a New Report

Вы также сможете настроить генерацию текущих отчетов за предопределенный просвет времени, к примеру, за денек, за неделю либо в месяц. Чтоб сделать новый текущий отчет, вам необходимо запустить мастер New Report Job Wizard и указать аспекты для определения содержимого отчета и частоты генерации отчетов. Для опции текущего отчета сделайте последующее:

Щелкните на вкладку Reports в узле Monitoring
Изберите вкладку Tasks
Щелкните Create and Configure Report Jobs

При разработке разового либо текущего отчета, вам необходимо будет указать мастеру дополнительную информацию для отчета: имя отчета, содержимое, включаемое в отчет, временные рамки для отчета либо расписание (зависимо от вида отчета), каталог, в каком будет размещен отчет, данные для доступа к данному каталогу, чтоб ISA Server мог записать отчет в этот каталог, также необходимость оповещения по электрической почте при разработке отчета и, соответственно, информация, нужная для упрощения процедуры оповещения.

Получение подробностей о выделенном юзере из журналов ISA

Данные из журналов могут записываться в текстовый файл, но даже в малеханьких либо средних бизнес-средах таковой текстовый файл может стремительно вырасти до немыслимых размеров. Желаемым вариантом является внедрение баз данных SQL Server либо подобных – MSDE. Есть несколько преимуществ в использовании наружного сервера SQL для работы с журнальными данными, но работа с SQL Server просит дополнительного лицензирования. MSDE предоставляет огромное количество способностей, подобных способностям SQL Server, но реализует при всем этом наименее надежную базы данных, располагающуюся локально на сервере ISA Server.

Вне зависимости от того, используете ли вы MSDE либо SQL Server, вы имеете возможность использовать SQL-запросы для получения инфы. SQL-запросы позволяют вам очень тщательно фильтровать журнальные данные и экспортировать таблицы туда, где с ними будет проще работать.

Например, представим, что во время просмотра каждодневного отчета по безопасности в ISA Server 2006, вы обнаруживаете необыкновенное количество неудачных попыток авторизации с определенного пользовательского аккаунта, MaryN. А юзер находится в декретном отпуске, как следует, действия Failed Access могут означать, что кто-то пробует взломать акк и просочиться в сеть. Естественно, вы возжелаете просмотреть данные, касающиеся этого аккаунта, за последнюю неделю, и попытаетесь найти сущность трудности и время ее начала.

При фильтрации журнальных данных вам необходимо указать аспекты, по которым вы желаете создавать фильтрацию, какое-либо условие, и значение. В нашем примере фильтрация могла бы выполняться последующим образом:

Filter by(Фильтровать по): ‘Client Username’(Имя клиента)
Condition(Условие): ‘equal to’(Равно)
Value(Значение): ‘MaryN’

Чтоб изучить аномальные пробы авторизации, вы желаете изучить журнальные данные за последнюю неделю. Потому вам необходимо ограничить результаты последующим образом:

Filter by(Фильтровать по): ‘GMT Log Time’(Журнальное время в формате GMT)
Condition(Условие): ‘On or After’(Начиная с)
Value(Значение): введите дату на неделю ранее текущего денька для отображения соответственных данных

Защита сети при помощи ISA Server 2006

ISA Server 2006 – это массивное и действенное средство защиты периметра вашей сети. Оно позволяет удаленным юзерам неопасно подсоединяться к внутренним ресурсам, защищая при всем этом внутреннюю сеть от неавторизированного доступа. Но для эффективности нужно, чтоб у вас были процедуры для постоянного ведения журналов и сотворения отчетов, также процедуры реагирования на проявления вредной либо аномальной деятельности. Третьесторонние средства могут расширить функциональность ISA Server 2006, также посодействуют в автоматизации и упрощении управления сетевой безопасностью, обеспечивая более эффективную отчетность.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.