ISA监控及日志分析

目前好多公司网络使用ISA，但只停留在配置访问控制列表的阶段上，而针对局域网的用户的网络访问的监视和日志记录却很少，有针对性的使用。下面从理论和实际介绍下监控和日志的使用方法和注意事项。

第一部分：理论

现在一个很普遍的现象：管理员总是爱记录日志，但没有优先次序的记录日志，或是记录下来根本就不看日志。类似与这种情况的还有很多。下面我就具体说下监控和日志记录的要点。

1．注重查看日志

虽然收集和存储日志很重要，但只有经常查看日志，了解网络环境中发生了哪些情况，才能及时做出响应。这里要注意的是发现非正常访问要提高警惕。

2．设置监控及日志的优先次序

在这里，你第一步要做的就得明确你的目标。回答下述问题会有助于你定制策略和确立监视目标：“最担心什么？”“攻击得逞了吗？”“以前发生过这种攻击吗？” 建立有目的的日志及监控，既可以达到监控的目的，又可以减轻网管员的负担。

3．延长日志存储时间

许多用户认为自己拥有进行监控和调查所需要的所有日志，但是在遭遇安全事件之后才发现，相应的日志信息已经被删除了。安全事件通常是在攻击或滥用行为发生后很长时间才被发现。所以建议保留的日志分两个部分：短期的在线存储和长期的离线存储。

这部分对监控和日志的需注意点做了简单的介绍，下面具体讲述下ISA 2004的监控及日志用法。

第二部分：ISA 2004 监控及日志的用法

1．首先，需了解监视面板各模块的功能。

仪表板：ISA
服务器仪表板汇总了有关会话、警报、服务、报告、连接性和系统总体运行状况的监视信息。通过仪表板，可以迅速了解网络的工作状态。
　　
　　警报：当指定的事件发生时，ISA
服务器警报会向您发出通知。通过警报面板，您可以直观的看出出现错误或警告的事件。

特点：直观的看到ISA的故障点。

　　会话：可查看所有的活动连接。您可以排序单独的会话或成组的会话，也可以断开这些会话连接。使用内置的会话筛选功能，您可以筛选会话界面中的项目，关注您感兴趣的会话。

　　报告：使用报告功能，您可以总结和分析使用模式，并可以监视网络的安全性。

　　

日志：您可以实时查看防火墙日志和 Web 代理日志。可以使用内置的日志查询功能来查询日志文件。

2．监视方案
　　ISA Server 2000 中使用网络嗅探器或网络监视器 (netmon) 来诊断常见的网络故障，现在可以使用内置的监视工具来诊断这些故障。

（1）使用连接性验证程序
　　按以下步骤创建验证程序

1.在“ISA 服务器管理”的“监视”节点中，单击“连接性”选项卡。
　　2.在任务窗格中，单击“创建新连接性验证程序”。
　　3.在“创建新连接性验证程序向导”中，为验证程序指定一个名称，然后单击“下一步”。

4.在“连接性验证详细信息”页上，配置验证程序。指定一个服务器名称、IP 地址或 URL，并为验证程序指定一个类别。选择一种验证方法。单击“下一步”，然后单击“完成”以完成向导。
　　

这样，一个测试ISA连通性的配置就做完了。

（2）日志
　　您可以查看过去的日志、实时监视日志和根据表达式筛选日志。有了这种能力，您就可以将日志功能用作一种实时的故障排除工具。您可以实时筛选日志，并可选择由当前日志文件记录的某一段时间。您可以选择多个筛选表达式来运行查询，并可将筛选器保存起来以备将来使用。

　1.在“ISA 服务器管理”的“监视”节点中，单击“日志”选项卡。
　2.在详细信息窗格中，单击“编辑筛选器”。在“筛选依据”中，选择“客户端用户名”；在“条件”中，选择“等于”；在“值”中，添加您要监视的用户名。然后单击“添加到列表”。

3.单击“启动查询”。
　　
　　然后查询将会运行，允许您监视该用户的实时通讯。请注意，要监视该用户，您的访问规则必须要求该用户进行身份验证。

（3）会话

该项和日志功能查不多，不过他更重于实时的用户通话记录，并且可已断开该用户的网络连接。

注意：在“日志”和“会话”中，最应该掌握的就是条件查询法，这些操作可以最有效的遏制用户的非法连接。

（4）报告

这是ISA 2004中新增的功能，对一段时间的网络汇总，网络性能评估有着较大的作用。针对用户的总访问量，用户使用的协议，用户的流量统计等可以提供一个图形化，直观的报表。由于操作简便，故不累述。

报告将生成网页格式，便于阅读。

位于报告页面左侧的是分类列表项，这里列表项很多，但作为日志分析员有几项应稍加注意