TMG Back to Basics Usando o TMG Firewall Log Viewer-2

Prévia do material em texto

TMG Back to Basics - Parte 2: Usando o TMG Firewall Log Viewer 
 
introdução 
 
Continuando nossa série Back to Basics, desta vez vamos falar sobre como usar o TMG 
visualizador de log do Firewall. O firewall TMG, como o firewall ISA, antes disso, é 
um produto que pode fazer muitas coisas boas. Ela pode servir como um firewall de 
rede, frente e verso, servidor web proxy, servidor de acesso remoto VPN, site para o 
servidor VPN site, web e anti-malware e filtragem de URL do servidor, estes são alguns 
dos papéis principais do firewall TMG pode jogar em seu rede. Mas uma característica 
que pode não ser aparente para o novo TMG firewall do administrador é a característica 
poderosa e útil de registro. Neste artigo, vamos fornecer uma visão geral do recurso de 
log do firewall do TMG. 
 
Não há melhor maneira de entender como ele funciona do que vê- lo em ação. Para 
começar a nossa visão, vamos clicar nos Logs e Relatórios nó no painel esquerdo do 
console firewall TMG, como visto na Figura 1 abaixo. 
 
A Figura 1 
 
No Painel de Tarefas, na guia Tarefas, você verá um número de opções disponíveis para 
configurar e executar a função de registro no firewall TMG. Vamos começar clicando no link 
Firewall Configurar o registro na aba Tasks, como visto na Figura 2 abaixo. 
 
A Figura 2 
 
Isso traz a Firewall Logging caixa de diálogo Propriedades. Na guia Log, você pode 
escolher o tipo de log que você deseja ativar. Há três opções: 
 
 Banco de Dados SQL Server Express (no servidor local) 
 banco de Dados DQL 
 arquivo 
 
A configuração padrão é SQL Server Express banco de dados (no servidor local). Se 
você deseja fazer logon em um servidor SQL off-box, você deve selecionar a opção 
Banco de dados SQL e clique no botão Opções para configurar o banco de dados SQL 
do firewall TMG usaria para registro. Se você quiser entrar em um arquivo simples, 
você pode selecionar a opção Arquivo e selecione o tipo de arquivo, neste caso, tanto 
W3C Extended Log File Format e TMG formato de arquivo de log são opções 
disponíveis. 
 
Assim como você decide que é melhor para você? O log de arquivos é mais rápido do 
SQL extração de madeira, mas você tem limitadas capacidades de consulta sobre a 
exploração madeireira arquivo simples, por isso, se você não tem uma caixa-off banco 
de dados SQL que você deseja usar, eu recomendo que você use a opção de log padrão. 
Clique no botão Opções para o direito do banco de dados SQL Server Express (no 
servidor local) opção, que é mostrado na Figura 3. 
 
A Figura 3 
 
Na caixa de diálogo Opções, configure o local onde você deseja salvar os arquivos de 
log, como mostrado na Figura 4. O local padrão é a pasta Logs na pasta de instalação 
padrão TMG no disco rígido local, mas você pode selecionar outro local, digitando o 
caminho completo ou navegar por ele. Você também pode configurar limites de 
armazenamento de arquivos de log. Os padrões são: 
 
 Limitar tamanho total dos arquivos de log é limitado a 8 GB por padrão 
 Espaço em disco principal livre é definido como 512 MB por padrão - isso impede 
que o disco rígido de tornar-se completa com os arquivos de log 
 Limites de log principal de armazenamento por: Exclusão de arquivos de log mais 
antigos quando necessário é a configuração padrão quando os limites forem 
ultrapassados de armazenamento, você também tem a opção de descartar novas entradas 
se você preferir manter as entradas antigas 
 Excluir arquivos mais antigos que (dias) é definido como 7 por padrão 
 
Observe que a opção Compress log arquivos fica acinzentado quando foram 
selecionados para registrar em um banco de dados SQL ou SQL Express. Isso é porque 
você só pode comprimir os logs de arquivo simples. 
 
A Figura 4 
 
Clique na guia Fields, mostrado na Figura 5. Aqui você pode especificar quais campos o firewall 
TMG irá registrar para cada uma das conexões que estão conectados ao serviço de firewall. Se 
você achar que seus arquivos de log são muito grandes, uma coisa que você pode fazer para 
diminuir o tamanho é reduzir o número de campos que serão registrados para as conexões. 
 
A Figura 5 
 
Observe que as opções similares estão disponíveis quando você clica no link de Configurar 
Proxy da Web Log na guia Tarefas no painel de tarefas. 
 
Agora, vamos clicar no link de Configurar Queue Log na guia Tarefas no painel de tarefas. Isso 
traz o registro de fila de armazenamento pasta caixa de diálogo que é mostrada na Figura 6. 
Aqui você pode configurar onde você quer colocar a fila de log. A fila de log é um local de 
armazenamento de entradas de log que precisam esperar o firewall para formatá-los 
corretamente. O objetivo da fila log é permitir que o firewall TMG para manter entradas de log 
que poderiam ter sido perdidos porque eles estavam chegando rápido demais. Com a fila de 
log do firewall TMG, essas entradas são rapidamente colocados na fila e esperar ali até que o 
firewall é capaz de processar as entradas de log. 
 
A Figura 6 
 
Agora clique no link Exibir o status Log na guia Tarefas no painel de tarefas. Isto irá 
exibir o Log caixa de diálogo Status, que é mostrado na Figura 7. Você pode visualizar 
as seguintes informações aqui: 
 
 Servidor mostra o servidor onde a fila de log está sendo relatado 
 Atualizado até mostra o tempo para que o arquivo de log foi atualizado 
 Queue Log (KB) mostra o número de entradas de log que estão atualmente na fila de 
log 
 Status mostra o status da fila de log 
 
Esta é toda a informação útil para verificar se você suspeitar que você está sendo 
inundado por um vírus ou worms. 
 
A Figura 7 
 
Em seguida, clique no link de texto Definir Log Cores na guia Tarefas no painel de 
tarefas e você verá o Defina Text Log caixa de diálogo Cores que é mostrado na Figura 
8. As cores padrão são listadas aqui para as entradas de log mais comuns de arquivos de 
interesse. Código de cores das entradas do arquivo de log torna muito mais fácil para 
você obter uma representação visual rápida do que o número de entradas de cada tipo 
existem, e para encontrar as entradas que você está procurando. Você pode clicar no 
botão cor se você quiser mudar a cor de qualquer uma destas entradas. Outra 
característica útil é que você pode usar o esquema de cores e Exportação Importação 
botão esquema de cores para exportar e importar esquemas de cores de outros firewalls 
TMG. 
 
A Figura 8 
 
The Hide log IPv6 link entradas na guia Tarefas no painel de tarefas, mostrado na 
Figura 9, é uma opção muito útil. Quando você passa muito tempo lendo os arquivos de 
log TMG, você verá que há um número muito grande de transmissões IPv6 em sua rede. 
Estas entradas IPv6 pode fazer o arquivo de log muito confuso e difícil "globo ocular". 
Quando você clicar neste botão, as entradas IPv6 ainda serão registrados, mas eles vão 
ser escondido da vista de modo que é mais fácil para você ver as entradas do registro, 
sem o barulho IPv6. 
 
 
A Figura 9 
 
Agora clique no link Editar Filtro na guia Tarefas no painel de tarefas. Aqui você vai 
ver que existem três valores padrão: 
 
 Log Record Type é definida como firewall ou filtro web proxy. Você normalmente 
não vai mudar isso. 
 Tempo de log é definido para viver - às vezes você vai querer mudar isso 
 Ação é definida como o status da conexão não é igual - isso ajuda a reduzir o ruído 
no filtro arquivo de log 
 
Na Figura 10 abaixo, você pode ver que eu tenha selecionado a hora de entrada do 
registro e em seguida, clicar na seta para baixo para a queda Condição down box. Você 
vai ver aqui que há muitas opções para filtrar a janela de tempo para as entradas de 
arquivo de log que você deseja ver. Note quedepois de alterar o valor, você terá que 
clicar no botão Atualizar para alterar o valor de filtragem. 
 
A Figura 10 
 
Você pode filtrar os arquivos de log por um grande número de fatores. Nas Figuras 11, 
12 e 13 abaixo você pode ver as opções do filtro de lista suspensa. Quando você 
seleciona um valor na lista, você clique na seta para baixo Condição para selecionar a 
condição e, em seguida, você definir o valor. Depois que você fizer estas três coisas, 
você clique no botão Adicionar à Lista de modo que ele aparecerá na lista de filtros. 
 
A Figura 11 
 
A Figura 12 
 
A Figura 13 
 
Na Figura 14 abaixo, selecionei a entrada IP do cliente no Filtrar por lista suspensa. 
Então eu cliquei na seta para baixo para a queda Condição down box. Aqui você pode 
ver que você tem um número de opções, que permite a você fazer drill-down para as 
entradas que mais lhe interessam. 
 
A Figura 14 
 
Depois de fazer as seleções que deseja para o filtro de log, clique no botão Iniciar Consulta. 
Depois de um tempo, você vai ver na barra de status na parte inferior do console que a 
consulta é feita e ele vai mostrar o número de entradas de arquivo de log que correspondem 
aos parâmetros da sua consulta, como mostrado na Figura 15. 
 
A Figura 15 
 
Os resultados da consulta será exibido no console e as cores das entradas irá coincidir com 
aqueles que você configurou na caixa de diálogo log cores que vimos anteriormente. Note-se 
que os nomes dos campos estão nas colunas para cada uma das entradas de arquivo de log, 
como mostrado na Figura 16. Você pode rolar para a direita para ver os detalhes de cada uma 
das entradas do arquivo de log. 
 
A Figura 16 
 
Note que as colunas que você vê em primeiro lugar são os campos padrão configurados 
para ser exibido. Se há um campo que você está interessado e ele não aparecer, você 
pode clicar uma das colunas e clique no botão Adicionar / Remover colunas de 
comando, como visto na Figura 17 abaixo. 
 
A Figura 17 
 
Isso traz o Adicionar / Remover Colunas caixa de diálogo. No lado esquerdo é uma lista 
de colunas disponíveis, que você pode ver na Figura 18. Role a lista e encontrar o 
campo (s) que você está interessado e, em seguida, clique no botão Adicionar para 
movê-lo para a seção de colunas exibidas. Clique em OK e, em seguida, retornar para o 
console. Agora rolar para a direita e você verá as informações para as colunas que você 
adicionou listados para as entradas de arquivo de log que você filtrados. Prazer! 
 
A Figura 18 
 
Quando você clica em uma entrada de arquivo de log, você pode ver mais detalhes na 
seção de detalhes abaixo a lista das entradas do arquivo de log. Na Figura 19 abaixo 
você pode ver informações detalhadas sobre a entrada, incluindo HTTP valioso e 
informações relacionadas proxy na seção de informações adicionais. 
 
A Figura 19 
resumo 
 
Neste "Back to Basics" artigo, mostramos- lhe uma visão de alto nível da exploração 
madeireira e registrar filtragem recursos que estão incluídos com o firewall TMG. 
Como você pode ver, o firewall TMG registra uma grande quantidade de informações 
sobre cada ligação feita para e através do firewall TMG. Você pode usar o visualizador 
de log para perfurar até as entradas que são de maior interesse para você e para o 
processo de filtragem é abrangente e muito fácil de configurar. Espero que tenham 
gostado desta visão geral e se você tem alguma dúvida sobre como usar o recurso de log 
e filtragem incluído com o firewall TMG