Вы можете пользоваться средством просмотра журналов Шлюз Microsoft Forefront Threat Management для отслеживания и анализа трафика, а также для устранения неполадок с сетевыми операциями. По умолчанию средство просмотра журналов отображает все записи для журнала веб-прокси и журнала межсетевого экрана по мере их появления; каждое новое событие отображается после того, как оно будет занесено в журнал. Для отображения записей с фильтром по умолчанию щелкните по вкладке Ведение журнала На вкладке Задачи нажмите кнопку Выполнить запрос.
Вы можете изменить настройки фильтра по умолчанию в средстве просмотра журналов для отображения данных, отвечающих заданным параметрам. Средство просмотра выводит данные, только если они полностью совпадают с критериями фильтра. Критерии фильтра объединяются с помощью логического оператора «И». Например, вы хотите просмотреть все записи журнала, внесенные для определенного IP-адреса. Для этого необходимо изменить настройки фильтра следующим образом.
- Укажите соответствующий IP-адрес в качестве параметра «IP-адрес
клиента».
- установите параметр «Срок жизни журнала» в режиме реального
времени (Live).
При настройке фильтра журнала вы выбираете, отображать только журнал веб-прокси, только журнал межсетевого экрана или оба журнала.
Вы можете отфильтровать данные по времени их внесения во всех форматах журнала. Для текстовых журналов и параметра «Срок жизни журнала» вы вправе выбрать только режим реального времени (live). Это называется просмотр в интерактивном режиме, при котором данные отображаются в режиме реального времени. Ведение журнала SQL Server, экспресс-выпуск и SQL позволяет задать другие значения параметра «Срок жизни журнала». В этом случае вы можете просматривать не только данные в режиме реального времени, но и те данные, занесенные в журнал за определенный период. Это называется просмотр в автономном режиме. Когда данные отображаются в автономном режиме, средство просмотра журналов отправляет запросы в базу данных.
Когда вы создаете фильтр, вы задаете критерий, условие и значение. Вы выбираете поле, по которому фильтруется журнал, а затем уставливаете условия из списка доступных условий для данного поля. Затем выберите значение. Для некоторых полей вы можете выбрать из предопределенных значений или ввести значение с клавиатуры. Некоторые поля и условия не имеют связанных с ними значений.
Вы не можете удалять записи в фильтре по умолчанию, но вы вправе выбрать поля, которые отображаются в запросе по умолчанию, и внести изменения в значения.
Список критериев, по которым можно настроить фильтр журнала, см. в разделе Параметры запросов к журналам.
При использовании фильтра журнала обратите внимание на следующее:
- Средство просмотра журнала отображает до 10 000
результатов.
- Forefront TMG заносит в журнал каждый запрос в ходе проверки
подлинности для клиента веб-прокси. IP-адрес назначения и номер
порта не заносятся в журнал, если запрос был отклонен.
- Некоторые сведения, включая данные IP, заголовок Raw IP и
интерфейс, отображаются только для трафика, не разрешенного по
причинам, отличающимся от правила политики или фильтра приложений.
Например, если трафик отброшен как поддельный, эти сведения
отображаются.
- Если не задано ни одного правила, разрешающего исходящие и
входящие запросы, имя правила заносится в журнал как «Правило по
умолчанию» («Default Rule»). Это означает следующее:
- В соединении было отказано, но отказ не связан с политикой
доступа. Например:
- Не определено отношение сетей между исходной сетью и сетью
назначения.
- Система обнаружения атак отбросила трафик как поддельный.
- Запрос поступил от клиента, превысившего лимиты соединения.
- Соединение было разрешено неявно, без особого правила системной
политики или правила доступа, разрешающего его. Это может произойти
в ряде случаев. Например, фильтр приложений, выполняемый на
Forefront TMG, может обновлять свои файлы из Интернета и открывать
соединение с веб-сервером без особого правила политики,
разрешающего это соединение. В этом случае поле для имени правила в
журнале останется пустым, и не будет содержать значение «Правило по
умолчанию» («Default Rule»).
После того как вы определите фильтр и выполните с его помощью запрос, можете сохранить его как xml-файл для последующего использования. Часто полезно создание набора запросов, каждый из которых фокусируется на отдельном типе сеанса. При необходимости вы можете импортировать сохраненные определения запроса с использованием фильтра.