0

IP-адрес клиента

ClientIP

c-ip

IP-адрес клиента, от которого поступил запрос.

1

Имя пользователя клиента

ClientUserName

cs-username

Учетная запись пользователя, от которого поступил запрос. Вопросительный знак (?) указывает на то, что имя пользователя было передано, но серверу Forefront TMG не удалось установить его подлинность. Если механизм управления доступом Forefront TMG не применяется, сервер Forefront TMG использует имя «Anonymous».

2

Агент клиента

ClientAgent

c-agent

Название и версия клиентского приложения, переданные клиентом в заголовке протокола HTTP. Если сервер Forefront TMG работает в режиме активного кэширования, в данное поле заносится значение Forefront TMG.

3

Прошедший проверку клиент

ClientAuthenticate

sc-authenticated

Информирует о том, прошел ли клиент аутентификацию на сервере Forefront TMG. Возможные значения - Y или N.

4

Дата записи

logTime

date

Дата возникновения регистрируемого события. В форматах SQL Server и SQL Server, экспресс-выпуск дата и время указываются в поле logTime, причем значение должно быть установлено как для даты, так и для времени.

5

Время записи

logTime

time

Местное время возникновения регистрируемого события. В формате W3C и для баз данных SQL Server, совместимых с ODBC, это время приводится в формате UTC. В форматах SQL Server и SQL Server, экспресс-выпуск дата и время указываются в поле logTime, причем значение должно быть установлено как для даты, так и для времени.

6

Служба

service

s-svcname

Имя службы, в отношении которой внесена запись в журнал. Значением может быть Proxy (Прокси) или Reverse Proxy (Обратный прокси).

7

Имя сервера

servername

s-computername

Имя сервера Forefront TMG.

8

Отсылающий сервер

referredserver

cs-referred

Зарезервировано для использования в будущем.

9

Имя узла назначения

DestHost

r-host

Доменное имя удаленного компьютера, обслуживающего данный запрос. Прочерк (-) в этом поле, как правило, означает, что объект извлечен из кэша сервера веб-прокси, а не с запрашиваемого компьютера

10

IP-адрес назначения

DestHostIP

r-ip

IP-адрес удаленного компьютера, обслуживающего данное соединение. Прочерк (-) в этом поле, как правило, означает, что объект получен из кэша сервера веб-прокси, а не с запрашиваемого компьютера. Исключение - обратное кэширование. В этом случае указывается IP-адрес, по которому возвращен кэшируемый объект.

11

Порт назначения

DestHostPort

r-port

Номер порта удаленного компьютера, обслуживающего данное соединение.

12

Время обработки

processingtime

time-taken

Общее время (в миллисекундах), затраченное сервером Forefront TMG на обработку данного соединения. Указывает время, прошедшее с момента поступления первого запроса до возврата результатов клиенту и окончания сеанса связи. Для запросов, выполняемых через фильтр веб-прокси, указывается время, затраченное на полную обработку запроса и возврат клиенту объекта из кэша.

13

Получено байт

bytesrecvd

cs-bytes

Количество байт, отправленных удаленным компьютером и полученных клиентом при обработке данного запроса. Если данное поле содержит прочерк (-) либо нулевое (0) значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта.

14

Отправлено байт

bytessent

sc-bytes

Общее количество байт, отправленных источником удаленному компьютеру за период данного соединения. Если данное поле содержит прочерк (-), нулевое (0) или отрицательное значение, это означает, что удаленный компьютер не предоставил этой информации или ему не было отправлено ни одного байта.

15

Протокол

protocol

cs-protocol

Прикладной протокол, используемый для соединения. Обычно принимает значения HTTP, FTP или HTTPS.

16

Транспорт

transport

cs-transport

Протокол передачи, используемый для соединения. Для веб-запросов значение всегда TCP.

17

HTTP-метод

operation

s-operation

Определяет используемый HTTP-метод. Обычно принимает значения GET, PUT, POST и HEAD.

18

URL-адрес

uri

cs-uri

Запрошенный URL-адрес.

19

MIME-тип

mimetype

cs-mime-type

MIME-тип текущего объекта. В поле ставится прочерк (-), если тип MIME не задан или не поддерживается удаленным компьютером, либо если поле не используется.

20

Источник объекта

objectsource

s-object-source

Содержит источник текущего объекта. Возможные значения этого поля перечислены в разделе Значения поля «Источник объекта» журнала веб-прокси.

21

Код состояния HTTP

resultcode

sc-status

Код ошибки Windows (Win32®) (значения меньше 100); код состояния HTTP (значения в диапазоне 100 - 1000); код ошибки Winsock (значения в диапазоне 10004 - 11031) или код ошибки Forefront TMG. Возможные значения этого поля перечислены в разделе Значения поля журнала «Код результата».

22

Информация кэша

CacheInfo

s-cache-info

Статус кэширования объекта, отражающий причину, по которой объект был или не был помещен в кэш. В поле указывается число, являющееся суммой всех значений, для которых выполняются условия. Возможные значения этого поля перечислены в разделе Значения поля «Информация кэша» журнала веб-прокси.

23

Правило

Rule

rule

Правило, согласно которому разрешена или запрещена пересылка запроса.

Поле заполняется следующим образом. Если пересылка исходящего запроса разрешена, то в поле заносится соответствующее правило доступа, разрешившее пересылку запроса.

Если пересылка исходящего запроса запрещена правилом политики, то в поле заносится соответствующее правило доступа, запретившее пересылку запроса.

Если пересылка входящего запроса запрещена правилом политики, в поле заносится правило веб-публикации или правило публикации серверов, запретившее пересылку запроса.

Если сервер Forefront TMG запретил соединение по иным причинам (например, вследствие попытки атаки), в данном поле ставится прочерк (-), а в поле «Код результата» (номер 21) указывается причина.

24

Сведения о фильтре

FilterInfo

FilterInfo

Сведения, предоставленные веб-фильтром. Например, в этом поле может указываться причина, по которой фильтр HTTP отклонил запрос.

25

Исходная сеть

SrcNetwork

cs-Network

Имя сети, откуда был получен запрос.

26

Сеть назначения

DstNetwork

sc-Network

Имя сети назначения, куда был отправлен запрос.

27

Сведения об ошибке

ErrorInfo

error-info

32-разрядная битовая маска, которая содержит дополнительные сведения о запросе, помогающие выявить причины возникших ошибок. Возможные значения разрядов этого поля перечислены в разделе Значения полей журнала ошибок веб-прокси.

28

Действие

Action

action

Действие, выполняемое службой межсетевого экрана Microsoft для текущего сеанса или подключения. Вероятные значения определены в перечислимом типе FpcAction.

29

Время записи (GMT)

GmtLogTime

GmtLogTime

Дата и время создания записи журнала в формате UTC.

30

Сервер проверки подлинности

AuthenticationServer

AuthenticationServer

Имя сервера проверки подлинности.

31

Threat Name (Имя угрозы)

ThreatName

ThreatName

Строка с описанием типа угрозы.

32

Malware Inspection Action (Действие по проверке вредоносных программ)

MalwareInspectionAction

MalwareInspectionAction

Действие, примененное к проверяемому содержимому. Возможные значения - Allowed (Разрешено), Cleaned (Очищено) и Blocked (Блокировано).

33

Malware Inspection Result (Результат проверки вредоносных программ)

MalwareInspectionActionResult

MalwareInspectionActionResult

Результат выполнения проверки вредоносных программ. Поле может принимать следующие значения.

No Violation Detected (Нарушений не обнаружено)

Low and Medium Level Threats Not Blocked (Незаблокированные угрозы низкого и среднего уровней)

Infected File (Зараженный файл)

Suspicious File (Подозрительный файл)

Encrypted File (Зашифрованный файл)

Maximum Archive Nesting Exceeded (Превышена глубина вложенности архива)

Maximum Size Exceeded (Превышен максимальный размер)

Maximum Unpacked File Size Exceeded (Превышен максимальный размер нераспакованного файла)

Unknown Encoding (Неизвестная кодировка)

Corrupted File (Поврежденный файл)

Time Out (Время ожидания вышло)

Storage Space Limit Exceeded (Превышен предельный размер дискового пространства)

Unknown (Неизвестно)

Malware Inspection Disabled (Проверка вредоносных программ отключена)

Malware Inspection Disabled for the Matching Policy Rule (Проверка вредоносных программ отключена для соответствующего правила политики)

Malware Inspection Disabled for the Matching Policy Rule (Проверка вредоносных программ отключена для соответствующего правила веб-цепочки)

Destination Included in Malware Inspection Exceptions List (Назначение включено в список исключений из проверки вредоносных программ)

Response Originated from Proxy Server (Запрос получен от прокси-сервера)

Request Served by Malware Inspection Web Filter (Запрос обслужен веб-фильтром проверки вредоносных программ)

Request/Response Pair Identified as Exempted Protocol Message (Пара вопрос-ответ является недопустимым сообщением протокола)

Response Identified as a 200 Response to a CONNECT Request (На запрос CONNECT получен ответ с кодом статуса 200)

Response Scanned Before Being Routed by CARP (Перед передачей по протоколу CARP ответ был проверен - только для выпуска Forefront TMG Enterprise Edition)

)

34

Метод доставки содержимого

MalwareInspectionContentDeliveryMethod

MalwareInspectionContentDeliveryMethod

Информирует о том, производилась ли проверка в потоковом режиме или пользователи получали уведомления о выполнении.

32

Malware Inspection Duration (Продолжительность проверки вредоносных программ)

MalwareInspectionDuration

MalwareInspectionDuration

Продолжительность проверки (в миллисекундах). Если содержимое не проверяется, поле принимает нулевое (0) значение. В случае проверки содержимого минимальное значение равно 1.

35

Threat Level (Уровень угрозы)

MalwareInspectionThreatLevel

MalwareInspectionThreatLevel

Указывается уровень угрозы. Поле может принимать следующие значения.

Low (Низкий)

Medium (Средний)

High (Высокий)

Severe (Критический)