В следующей таблице перечислены поля, которые могут быть включены в файлы журнала Шлюз Microsoft Forefront Threat Management. Обратите внимание на то, что в журналах формата Forefront TMG в нерегистрируемых полях ставится прочерк (-). В журнале формата консорциума W3C такие поля не отображаются. В столбце «Номер поля» указывается порядковое положение данного поля в файле журнала формата Forefront TMG.
| Номер поля | Имя поля (средство просмотра журналов) | Имя поля (формат журналов SQL Server и SQL Server, экспресс-выпуск) | Имя поля (формат W3C) | Описание |
|---|---|---|---|---|
|
0 |
Имя сервера |
servername |
computer |
Имя компьютера, на котором работает Forefront TMG. Соответствует имени компьютера в операционной системе. |
|
1 |
Дата записи |
logTime |
date |
Дата возникновения регистрируемого события. В форматах SQL Server и SQL Server, экспресс-выпуск эта запись включает как дату, так и время. |
|
2 |
Время записи |
logTime |
time |
Время возникновения регистрируемого события. В формате W3C это время приводится в формате UTC. В других форматах используется местное время. В форматах SQL Server и SQL Server, экспресс-выпуск дата и время указываются в поле logTime. |
|
3 |
Транспорт |
protocol |
IP Protocol |
Протокол передачи, используемый для соединения. Как правило, это протоколы TCP и UDP. |
|
4 |
IP-адрес и порт клиента |
SourceIP SourcePort |
source |
Порт источника и IP-адрес клиента, отправившего запрос. В формате SQL Server и SQL Server, экспресс-выпуск существуют отдельные поля SourceIP и SourcePort, что позволяет осуществлять фильтрацию по каждому параметру. Для ICMP-пакетов поле SourcePort содержит тип ICMP. |
|
5 |
IP-адрес и порт назначения |
DestinationIP Destination Port |
destination |
Сетевой IP-адрес и номер порта удаленного компьютера, выполняющего роль сервера для текущего подключения. Номер порта используется клиентским приложением, направившим запрос. В формате SQL Server и SQL Server, экспресс-выпуск существуют отдельные поля DestinationIP и DestinationPort, что позволяет осуществлять фильтрацию по каждому параметру. Для ICMP-пакетов поле DestinationPort содержит код ICMP. |
|
6 |
Исходный IP-адрес клиента |
OriginalClientIP |
original client IP |
IP-адрес клиента, отправившего запрос. |
|
7 |
Исходная сеть |
SourceNetwork |
source network |
Имя сети, откуда был получен запрос. |
|
8 |
Сеть назначения |
DestinationNetwork |
destination network |
Имя сети назначения, куда был отправлен запрос. |
|
9 |
Действие |
Action |
action |
Действие, выполняемое межсетевым экраном для текущего сеанса или подключения. Вероятные значения определены в перечислимом типе FpcAction. |
|
10 |
Код результата |
Resultcode |
status |
Код ошибки Windows или Forefront TMG в формате HRESULT. |
|
11 |
Правило |
Rule |
rule |
Правило, согласно которому разрешена или запрещена пересылка запроса. Поле заполняется следующим образом: если пересылка исходящего запроса разрешена, то в поле заносится правило протокола, разрешившее пересылку запроса. Если пересылка исходящего запроса запрещена, то в поле заносится правило протокола, запретившее пересылку запроса. Если пересылка входящего запроса разрешена, в поле заносится правило веб-публикации или правило публикации серверов, разрешившее пересылку запроса. Если пересылка входящего запроса запрещена, в поле заносится правило веб-публикации или правило публикации серверов, запретившее пересылку запроса. Если пересылка входящего или исходящего запроса запрещена по иным причинам (например, вследствие попытки атаки), данное поле не заполняется, а в поле «Код результата» указывается причина. |
|
12 |
Протокол |
ApplicationProtocol |
application protocol |
Имя прикладного протокола, используемого для соединения, на основе определения протоколов. |
|
13 |
Двунаправленный |
Bidirectional |
bidirectional |
Значение перечислимого типа FpcBidirection, указывающее, является ли соединение двунаправленным. |
|
14 |
Отправлено байт |
bytessent |
bytes sent |
Общее количество байт, отправленных источником серверу назначения за период данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что компьютер назначения не предоставил этой информации или ему не было отправлено ни одного байта. |
|
15 |
Изменение отправленных байтов |
bytessentDelta |
bytes sent intermediate |
Количество байт, отправленных клиентом на удаленный компьютер с момента предыдущей записи в журнале для данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что компьютер назначения не предоставил этой информации или ему не было отправлено ни одного байта. |
|
16 |
Получено байт |
bytesrecvd |
bytes received |
Количество байт, отправленных удаленным компьютером и полученных клиентом за время данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта. |
|
17 |
Изменение полученных байтов |
bytesrecvdDelta |
bytes received intermediate |
Количество байт, отправленных удаленным компьютером и полученных клиентом с момента предыдущей записи в журнале для данного соединения. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта. |
|
18 |
Время обработки |
connectiontime |
connection time |
Общее время (в миллисекундах), затраченное сервером Forefront TMG на обработку данного соединения. Указывает время, прошедшее с момента поступления первого запроса до возврата результатов клиенту и окончания сеанса связи. |
|
19 |
Изменение времени обработки |
connectiontimeDelta |
connection time intermediate |
Время (в миллисекундах), прошедшее с момента предыдущей записи в журнале для данного соединения |
|
22 |
Имя узла клиента |
SourceName |
Source Name |
Зарезервировано для использования в будущем. |
|
23 |
Имя узла назначения |
DestinationName |
destination name |
Доменное имя удаленного компьютера, обслуживающего данное соединение. |
|
24 |
Имя пользователя клиента |
ClientUserName |
username |
Учетная запись пользователя, от которого поступил запрос. Вопросительный знак (?) рядом с именем пользователя указывает на то, что имя пользователя было передано, но серверу Forefront TMG не удалось установить его подлинность. Если механизм управления доступом Forefront TMG не применяется, сервер Forefront TMG использует имя «Anonymous». |
|
25 |
Агент клиента |
ClientAgent |
agent |
Имя клиентского приложения, выполнившего запрос. Данное поле не применяется для клиентов SecureNAT. |
|
26 |
ИД сеанса |
sessionid |
session ID |
Идентификатор соединений данной сессии. На клиентах межсетевого экрана каждый процесс, подключаемый через межсетевой экран, инициирует отдельный сеанс. Для клиентов SecureNAT открывается один сеанс для всех подключений с одного IP-адреса. |
|
27 |
ИД подключения |
connectionid |
connection ID |
Идентификатор подключения, отмечающий записи, относящиеся к данному подключению. Для внешнего TCP-подключения обычно создаются две записи на каждое подключение: при создании и при разрыве подключения. В протоколе UDP на каждый удаленный адрес приходится две записи. |
|
28 |
Сетевой интерфейс |
Interface |
interface |
Сетевая плата, с которой сервер Forefront TMG установил подключение. |
|
29 |
Заголовок Raw IP |
IPHeader |
IP header |
IP-заголовок текущего пакета. В данное поле вносятся сведения только о тех пакетах, которые были заблокированы и отброшены Forefront TMG. |
|
30 |
Необработанные полезные данные |
Payload |
protocol payload |
Заголовок протокола текущего пакета. В данное поле вносятся сведения только о тех пакетах, которые были заблокированы и отброшены Forefront TMG. |
|
31 |
Время записи (GMT) |
GmtLogTime |
GMT Time |
Время по Гринвичу, соответствующее местному времени в поле «Время записи». |