В следующей таблице перечислены поля, которые могут быть включены в файлы журнала Шлюз Microsoft Forefront Threat Management. Обратите внимание на то, что в журналах формата Forefront TMG в нерегистрируемых полях ставится прочерк (-). В журнале формата консорциума W3C такие поля не отображаются. В столбце «Номер поля» указывается порядковое положение данного поля в файле журнала формата Forefront TMG.

Номер поля Имя поля (средство просмотра журналов) Имя поля (формат журналов SQL Server и SQL Server, экспресс-выпуск) Имя поля (формат W3C) Описание

0

Имя сервера

servername

computer

Имя компьютера, на котором работает Forefront TMG. Соответствует имени компьютера в операционной системе.

1

Дата записи

logTime

date

Дата возникновения регистрируемого события. В форматах SQL Server и SQL Server, экспресс-выпуск эта запись включает как дату, так и время.

2

Время записи

logTime

time

Время возникновения регистрируемого события. В формате W3C это время приводится в формате UTC. В других форматах используется местное время. В форматах SQL Server и SQL Server, экспресс-выпуск дата и время указываются в поле logTime.

3

Транспорт

protocol

IP Protocol

Протокол передачи, используемый для соединения. Как правило, это протоколы TCP и UDP.

4

IP-адрес и порт клиента

SourceIP

SourcePort

source

Порт источника и IP-адрес клиента, отправившего запрос. В формате SQL Server и SQL Server, экспресс-выпуск существуют отдельные поля SourceIP и SourcePort, что позволяет осуществлять фильтрацию по каждому параметру. Для ICMP-пакетов поле SourcePort содержит тип ICMP.

5

IP-адрес и порт назначения

DestinationIP

Destination Port

destination

Сетевой IP-адрес и номер порта удаленного компьютера, выполняющего роль сервера для текущего подключения. Номер порта используется клиентским приложением, направившим запрос. В формате SQL Server и SQL Server, экспресс-выпуск существуют отдельные поля DestinationIP и DestinationPort, что позволяет осуществлять фильтрацию по каждому параметру. Для ICMP-пакетов поле DestinationPort содержит код ICMP.

6

Исходный IP-адрес клиента

OriginalClientIP

original client IP

IP-адрес клиента, отправившего запрос.

7

Исходная сеть

SourceNetwork

source network

Имя сети, откуда был получен запрос.

8

Сеть назначения

DestinationNetwork

destination network

Имя сети назначения, куда был отправлен запрос.

9

Действие

Action

action

Действие, выполняемое межсетевым экраном для текущего сеанса или подключения. Вероятные значения определены в перечислимом типе FpcAction.

10

Код результата

Resultcode

status

Код ошибки Windows или Forefront TMG в формате HRESULT.

11

Правило

Rule

rule

Правило, согласно которому разрешена или запрещена пересылка запроса.

Поле заполняется следующим образом: если пересылка исходящего запроса разрешена, то в поле заносится правило протокола, разрешившее пересылку запроса. Если пересылка исходящего запроса запрещена, то в поле заносится правило протокола, запретившее пересылку запроса.

Если пересылка входящего запроса разрешена, в поле заносится правило веб-публикации или правило публикации серверов, разрешившее пересылку запроса. Если пересылка входящего запроса запрещена, в поле заносится правило веб-публикации или правило публикации серверов, запретившее пересылку запроса.

Если пересылка входящего или исходящего запроса запрещена по иным причинам (например, вследствие попытки атаки), данное поле не заполняется, а в поле «Код результата» указывается причина.

12

Протокол

ApplicationProtocol

application protocol

Имя прикладного протокола, используемого для соединения, на основе определения протоколов.

13

Двунаправленный

Bidirectional

bidirectional

Значение перечислимого типа FpcBidirection, указывающее, является ли соединение двунаправленным.

14

Отправлено байт

bytessent

bytes sent

Общее количество байт, отправленных источником серверу назначения за период данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что компьютер назначения не предоставил этой информации или ему не было отправлено ни одного байта.

15

Изменение отправленных байтов

bytessentDelta

bytes sent intermediate

Количество байт, отправленных клиентом на удаленный компьютер с момента предыдущей записи в журнале для данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что компьютер назначения не предоставил этой информации или ему не было отправлено ни одного байта.

16

Получено байт

bytesrecvd

bytes received

Количество байт, отправленных удаленным компьютером и полученных клиентом за время данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта.

17

Изменение полученных байтов

bytesrecvdDelta

bytes received intermediate

Количество байт, отправленных удаленным компьютером и полученных клиентом с момента предыдущей записи в журнале для данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта.

18

Время обработки

connectiontime

connection time

Общее время (в миллисекундах), затраченное сервером Forefront TMG на обработку данного соединения. Указывает время, прошедшее с момента поступления первого запроса до возврата результатов клиенту и окончания сеанса связи.

19

Изменение времени обработки

connectiontimeDelta

connection time intermediate

Время (в миллисекундах), прошедшее с момента предыдущей записи в журнале для данного соединения

22

Имя узла клиента

SourceName

Source Name

Зарезервировано для использования в будущем.

23

Имя узла назначения

DestinationName

destination name

Доменное имя удаленного компьютера, обслуживающего данное соединение.

24

Имя пользователя клиента

ClientUserName

username

Учетная запись пользователя, от которого поступил запрос. Вопросительный знак (?) рядом с именем пользователя указывает на то, что имя пользователя было передано, но серверу Forefront TMG не удалось установить его подлинность. Если механизм управления доступом Forefront TMG не применяется, сервер Forefront TMG использует имя «Anonymous».

25

Агент клиента

ClientAgent

agent

Имя клиентского приложения, выполнившего запрос. Данное поле не применяется для клиентов SecureNAT.

26

ИД сеанса

sessionid

session ID

Идентификатор соединений данной сессии. На клиентах межсетевого экрана каждый процесс, подключаемый через межсетевой экран, инициирует отдельный сеанс. Для клиентов SecureNAT открывается один сеанс для всех подключений с одного IP-адреса.

27

ИД подключения

connectionid

connection ID

Идентификатор подключения, отмечающий записи, относящиеся к данному подключению. Для внешнего TCP-подключения обычно создаются две записи на каждое подключение: при создании и при разрыве подключения. В протоколе UDP на каждый удаленный адрес приходится две записи.

28

Сетевой интерфейс

Interface

interface

Сетевая плата, с которой сервер Forefront TMG установил подключение.

29

Заголовок Raw IP

IPHeader

IP header

IP-заголовок текущего пакета. В данное поле вносятся сведения только о тех пакетах, которые были заблокированы и отброшены Forefront TMG.

30

Необработанные полезные данные

Payload

protocol payload

Заголовок протокола текущего пакета. В данное поле вносятся сведения только о тех пакетах, которые были заблокированы и отброшены Forefront TMG.

31

Время записи (GMT)

GmtLogTime

GMT Time

Время по Гринвичу, соответствующее местному времени в поле «Время записи».