При проведении атаки на межсетевой экран может произойти значительное увеличение количества записей в журнале. Если возникает ошибка ведения журнала, выдается соответствующе оповещение, которое останавливает службу межсетевого экрана. В этом случае Forefront TMG входит в режим блокировки. Подобным образом, если процесс записи в журнал длится дольше 30 секунд, может произойти сбой ведения журнала, приводящий к активации режима блокировки. В режиме блокировки происходит следующее.

Чтобы настроить исключения блокировки при ведении журналов, выполните следующие действия:

Чтобы настроить Forefront TMG на продолжение ведения журнала в этих обстоятельствах (несмотря на большое количество событий, которые могут быть занесены в журнал), следуйте приведенным далее инструкциям.

  • Для объединения фрагментированных файлов и папок воспользуйтесь дефрагментатором диска. Чтобы избежать длительных фиксаций, необходимо часто выполнять дефрагментацию дисков, на которых хранятся файлы журналов. Для этого нажмите кнопку Пуск и последовательно выберите команды Все программы, Стандартные, Служебные и Дефрагментация диска.

  • Чтобы создать достаточные и точные данные журнала, проверьте, как выполнена настройка ведения журналов для каждого правила политики. В частности, может потребоваться отключить ведение журнала для заданного по умолчанию правила. Затем создайте другое запрещающее правило (с включенной функцией ведения журнала) для отслеживания нежелательного трафика. Подобным образом, учитывая потребности организации, можно отключить ведение журналов для правил, применимых к NetBIOS и DHCP.

  • Настройте папки журналов межсетевого экрана и веб-прокси на разных дисках.

  • Сократите количество полей, включенных в журнал.

  • Если используются журналы SQL, измените значение роста размера файла или его значение роста в процентном отношении для журналов базы данных. Дополнительные сведения см. в разделе ИЗМЕНЕНИЕ БАЗЫ ДАННЫХ на веб-сайте Центра разработки SQL Server.

  • Если Forefront TMG не может записать действие в журнал, выдается оповещение о сбое журнала, и служба межсетевого экрана останавливается по умолчанию. Рассмотрите возможность настройки оповещения на отправку сообщения на адрес электронной почты администратора, особенно если нужно обеспечить максимальную работоспособность.

  • Ведение журналов может привлечь злоумышленников, поскольку для этого процесса используется большое количество действий ввода-вывода и значительный объем ресурсов ЦП. Чтобы указать, что запрещенный трафик не будет занесен в журнал в случае достижения ограничения "числа запросов, отбрасываемых в секунду", воспользуйтесь функцией предотвращения Flood-атаки для защиты сети. Дополнительные сведения см. в разделе Задание ограничений числа подключений с целью предотвращения Flood-атак.

  • Forefront TMG представляет функцию организации очереди журналов, которая помогает исключить сбои журналов в случае, когда скорость создания записей журналов превышает скорость их обработки. Дополнительные сведения см. в разделе Настройка очереди журнала.

  • При ведении журнала в текстовом файле длина записи журнала ограничивается 1600 знаками. Это значение изменить нельзя; оно включает данные и другие сведения, например отметку времени. Это может быть проблемой, если сведения об отсылающем сервере в HTTP-запросе имеют большую длину. Чтобы избежать возникновения таких проблем, настройте журналы не вносить записи в поле "Отсылающий сервер". Инструкции см. в разделе Выбор полей журнала.

См. также

Основные понятия

Настройка журналов Forefront TMG


© Корпорация Майкрософт, 2009 Все права защищены.