В таблице перечислены поля, которые могут быть включены в журнал веб-прокси Шлюз Microsoft Forefront Threat Management. Обратите внимание: в журналах формата Forefront TMG в нерегистрируемых полях ставится прочерк (-). В журнале формата консорциума W3C такие поля не отображаются. В столбце «Номер поля» указывается порядковое положение данного поля в файле журнала формата Forefront TMG.
Номер поля | Имя поля (средство просмотра журналов) | Имя поля (формат журналов SQL Server и SQL Server, экспресс-выпуск) | Имя поля (формат W3C) | Описание |
---|---|---|---|---|
0 |
IP-адрес клиента |
ClientIP |
c-ip |
IP-адрес клиента, от которого поступил запрос. |
1 |
Имя пользователя клиента |
ClientUserName |
cs-username |
Учетная запись пользователя, от которого поступил запрос. Вопросительный знак (?) указывает на то, что имя пользователя было передано, но серверу Forefront TMG не удалось установить его подлинность. Если механизм управления доступом Forefront TMG не применяется, сервер Forefront TMG использует имя «Anonymous». |
2 |
Агент клиента |
ClientAgent |
c-agent |
Название и версия клиентского приложения, переданные клиентом в заголовке протокола HTTP. Если сервер Forefront TMG работает в режиме активного кэширования, в данное поле заносится значение Forefront TMG. |
3 |
Прошедший проверку клиент |
ClientAuthenticate |
sc-authenticated |
Информирует о том, прошел ли клиент аутентификацию на сервере Forefront TMG. Возможные значения - Y или N. |
4 |
Дата записи |
logTime |
date |
Дата возникновения регистрируемого события. В форматах SQL Server и SQL Server, экспресс-выпуск дата и время указываются в поле logTime, причем значение должно быть установлено как для даты, так и для времени. |
5 |
Время записи |
logTime |
time |
Местное время возникновения регистрируемого события. В формате W3C и для баз данных SQL Server, совместимых с ODBC, это время приводится в формате UTC. В форматах SQL Server и SQL Server, экспресс-выпуск дата и время указываются в поле logTime, причем значение должно быть установлено как для даты, так и для времени. |
6 |
Служба |
service |
s-svcname |
Имя службы, в отношении которой внесена запись в журнал. Значением может быть Proxy (Прокси) или Reverse Proxy (Обратный прокси). |
7 |
Имя сервера |
servername |
s-computername |
Имя сервера Forefront TMG. |
8 |
Отсылающий сервер |
referredserver |
cs-referred |
Зарезервировано для использования в будущем. |
9 |
Имя узла назначения |
DestHost |
r-host |
Доменное имя удаленного компьютера, обслуживающего данный запрос. Прочерк (-) в этом поле, как правило, означает, что объект извлечен из кэша сервера веб-прокси, а не с запрашиваемого компьютера |
10 |
IP-адрес назначения |
DestHostIP |
r-ip |
IP-адрес удаленного компьютера, обслуживающего данное соединение. Прочерк (-) в этом поле, как правило, означает, что объект получен из кэша сервера веб-прокси, а не с запрашиваемого компьютера. Исключение - обратное кэширование. В этом случае указывается IP-адрес, по которому возвращен кэшируемый объект. |
11 |
Порт назначения |
DestHostPort |
r-port |
Номер порта удаленного компьютера, обслуживающего данное соединение. |
12 |
Время обработки |
processingtime |
time-taken |
Общее время (в миллисекундах), затраченное сервером Forefront TMG на обработку данного соединения. Указывает время, прошедшее с момента поступления первого запроса до возврата результатов клиенту и окончания сеанса связи. Для запросов, выполняемых через фильтр веб-прокси, указывается время, затраченное на полную обработку запроса и возврат клиенту объекта из кэша. |
13 |
Получено байт |
bytesrecvd |
cs-bytes |
Количество байт, отправленных удаленным компьютером и полученных клиентом при обработке данного запроса. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта. |
14 |
Отправлено байт |
bytessent |
sc-bytes |
Общее количество байт, отправленных источником удаленному компьютеру за период данного соединения. Если данное поле содержит прочерк (-), нулевое (0) или отрицательное значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта. |
15 |
Протокол |
protocol |
cs-protocol |
Прикладной протокол, используемый для соединения. Обычно принимает значения HTTP, FTP или HTTPS. |
16 |
Транспорт |
transport |
cs-transport |
Протокол передачи, используемый для соединения. Для веб-запросов значение всегда TCP. |
17 |
HTTP-метод |
operation |
s-operation |
Определяет используемый HTTP-метод. Обычно принимает значения GET, PUT, POST и HEAD. |
18 |
URL-адрес |
uri |
cs-uri |
Запрошенный URL-адрес. |
19 |
MIME-тип |
mimetype |
cs-mime-type |
MIME-тип текущего объекта. В поле ставится прочерк (-), если тип MIME не задан или не поддерживается удаленным компьютером, либо если поле не используется. |
20 |
Источник объекта |
objectsource |
s-object-source |
Содержит источник текущего объекта. Возможные значения этого поля перечислены в разделе Значения поля «Источник объекта» журнала веб-прокси. |
21 |
Код состояния HTTP |
resultcode |
sc-status |
Код ошибки Windows (Win32®) (значения меньше 100); код состояния HTTP (значения в диапазоне 100 - 1000); код ошибки Winsock (значения в диапазоне 10004 - 11031) или код ошибки Forefront TMG. Возможные значения этого поля перечислены в разделе Значения поля журнала «Код результата». |
22 |
Информация кэша |
CacheInfo |
s-cache-info |
Статус кэширования объекта, отражающий причину, по которой объект был или не был помещен в кэш. В поле указывается число, являющееся суммой всех значений, для которых выполняются условия. Возможные значения этого поля перечислены в разделе Значения поля «Информация кэша» журнала веб-прокси. |
23 |
Правило |
Rule |
rule |
Правило, согласно которому разрешена или запрещена пересылка запроса. Поле заполняется следующим образом. Если пересылка исходящего запроса разрешена, то в поле заносится соответствующее правило доступа, разрешившее пересылку запроса. Если пересылка исходящего запроса запрещена правилом политики, то в поле заносится соответствующее правило доступа, запретившее пересылку запроса. Если пересылка входящего запроса запрещена правилом политики, в поле заносится правило веб-публикации или правило публикации серверов, запретившее пересылку запроса. Если сервер Forefront TMG запретил соединение по иным причинам (например, вследствие попытки атаки), в данном поле ставится прочерк (-), а в поле «Код результата» (номер 21) указывается причина. |
24 |
Сведения о фильтре |
FilterInfo |
FilterInfo |
Сведения, предоставленные веб-фильтром. Например, в этом поле может указываться причина, по которой фильтр HTTP отклонил запрос. |
25 |
Исходная сеть |
SrcNetwork |
cs-Network |
Имя сети, откуда был получен запрос. |
26 |
Сеть назначения |
DstNetwork |
sc-Network |
Имя сети назначения, куда был отправлен запрос. |
27 |
Сведения об ошибке |
ErrorInfo |
error-info |
32-разрядная битовая маска, которая содержит дополнительные сведения о запросе, помогающие выявить причины возникших ошибок. Возможные значения разрядов этого поля перечислены в разделе Значения полей журнала ошибок веб-прокси. |
28 |
Действие |
Action |
action |
Действие, выполняемое службой межсетевого экрана Microsoft для текущего сеанса или подключения. Вероятные значения определены в перечислимом типе FpcAction. |
29 |
Время записи (GMT) |
GmtLogTime |
GmtLogTime |
Дата и время создания записи журнала в формате UTC. |
30 |
Сервер проверки подлинности |
AuthenticationServer |
AuthenticationServer |
Имя сервера проверки подлинности. |
31 |
Threat Name (Имя угрозы) |
ThreatName |
ThreatName |
Строка с описанием типа угрозы. |
32 |
Malware Inspection Action (Действие по проверке вредоносных программ) |
MalwareInspectionAction |
MalwareInspectionAction |
Действие, примененное к проверяемому содержимому. Возможные значения - Allowed (Разрешено), Cleaned (Очищено) и Blocked (Блокировано). |
33 |
Malware Inspection Result (Результат проверки вредоносных программ) |
MalwareInspectionActionResult |
MalwareInspectionActionResult |
Результат выполнения проверки вредоносных программ. Поле может принимать следующие значения. No Violation Detected (Нарушений не обнаружено) Low and Medium Level Threats Not Blocked (Незаблокированные угрозы низкого и среднего уровней) Infected File (Зараженный файл) Suspicious File (Подозрительный файл) Encrypted File (Зашифрованный файл) Maximum Archive Nesting Exceeded (Превышена глубина вложенности архива) Maximum Size Exceeded (Превышен максимальный размер) Maximum Unpacked File Size Exceeded (Превышен максимальный размер нераспакованного файла) Unknown Encoding (Неизвестная кодировка) Corrupted File (Поврежденный файл) Time Out (Время ожидания вышло) Storage Space Limit Exceeded (Превышен предельный размер дискового пространства) Unknown (Неизвестно) Malware Inspection Disabled (Проверка вредоносных программ отключена) Malware Inspection Disabled for the Matching Policy Rule (Проверка вредоносных программ отключена для соответствующего правила политики) Malware Inspection Disabled for the Matching Policy Rule (Проверка вредоносных программ отключена для соответствующего правила веб-цепочки) Destination Included in Malware Inspection Exceptions List (Назначение включено в список исключений из проверки вредоносных программ) Response Originated from Proxy Server (Запрос получен от прокси-сервера) Request Served by Malware Inspection Web Filter (Запрос обслужен веб-фильтром проверки вредоносных программ) Request/Response Pair Identified as Exempted Protocol Message (Пара вопрос-ответ является недопустимым сообщением протокола) Response Identified as a 200 Response to a CONNECT Request (На запрос CONNECT получен ответ с кодом статуса 200) Response Scanned Before Being Routed by CARP (Перед передачей по протоколу CARP ответ был проверен - только для выпуска Forefront TMG Enterprise Edition) ) |
34 |
Метод доставки содержимого |
MalwareInspectionContentDeliveryMethod |
MalwareInspectionContentDeliveryMethod |
Информирует о том, производилась ли проверка в потоковом режиме или пользователи получали уведомления о выполнении. |
32 |
Malware Inspection Duration (Продолжительность проверки вредоносных программ) |
MalwareInspectionDuration |
MalwareInspectionDuration |
Продолжительность проверки (в миллисекундах). Если содержимое не проверяется, поле принимает нулевое (0) значение. В случае проверки содержимого минимальное значение равно 1. |
35 |
Threat Level (Уровень угрозы) |
MalwareInspectionThreatLevel |
MalwareInspectionThreatLevel |
Указывается уровень угрозы. Поле может принимать следующие значения. Low (Низкий) Medium (Средний) High (Высокий) Severe (Критический) |