Prévia do material em texto
TMG Back to Basics - Parte 2: Usando o TMG Firewall Log Viewer introdução Continuando nossa série Back to Basics, desta vez vamos falar sobre como usar o TMG visualizador de log do Firewall. O firewall TMG, como o firewall ISA, antes disso, é um produto que pode fazer muitas coisas boas. Ela pode servir como um firewall de rede, frente e verso, servidor web proxy, servidor de acesso remoto VPN, site para o servidor VPN site, web e anti-malware e filtragem de URL do servidor, estes são alguns dos papéis principais do firewall TMG pode jogar em seu rede. Mas uma característica que pode não ser aparente para o novo TMG firewall do administrador é a característica poderosa e útil de registro. Neste artigo, vamos fornecer uma visão geral do recurso de log do firewall do TMG. Não há melhor maneira de entender como ele funciona do que vê- lo em ação. Para começar a nossa visão, vamos clicar nos Logs e Relatórios nó no painel esquerdo do console firewall TMG, como visto na Figura 1 abaixo. A Figura 1 No Painel de Tarefas, na guia Tarefas, você verá um número de opções disponíveis para configurar e executar a função de registro no firewall TMG. Vamos começar clicando no link Firewall Configurar o registro na aba Tasks, como visto na Figura 2 abaixo. A Figura 2 Isso traz a Firewall Logging caixa de diálogo Propriedades. Na guia Log, você pode escolher o tipo de log que você deseja ativar. Há três opções: Banco de Dados SQL Server Express (no servidor local) banco de Dados DQL arquivo A configuração padrão é SQL Server Express banco de dados (no servidor local). Se você deseja fazer logon em um servidor SQL off-box, você deve selecionar a opção Banco de dados SQL e clique no botão Opções para configurar o banco de dados SQL do firewall TMG usaria para registro. Se você quiser entrar em um arquivo simples, você pode selecionar a opção Arquivo e selecione o tipo de arquivo, neste caso, tanto W3C Extended Log File Format e TMG formato de arquivo de log são opções disponíveis. Assim como você decide que é melhor para você? O log de arquivos é mais rápido do SQL extração de madeira, mas você tem limitadas capacidades de consulta sobre a exploração madeireira arquivo simples, por isso, se você não tem uma caixa-off banco de dados SQL que você deseja usar, eu recomendo que você use a opção de log padrão. Clique no botão Opções para o direito do banco de dados SQL Server Express (no servidor local) opção, que é mostrado na Figura 3. A Figura 3 Na caixa de diálogo Opções, configure o local onde você deseja salvar os arquivos de log, como mostrado na Figura 4. O local padrão é a pasta Logs na pasta de instalação padrão TMG no disco rígido local, mas você pode selecionar outro local, digitando o caminho completo ou navegar por ele. Você também pode configurar limites de armazenamento de arquivos de log. Os padrões são: Limitar tamanho total dos arquivos de log é limitado a 8 GB por padrão Espaço em disco principal livre é definido como 512 MB por padrão - isso impede que o disco rígido de tornar-se completa com os arquivos de log Limites de log principal de armazenamento por: Exclusão de arquivos de log mais antigos quando necessário é a configuração padrão quando os limites forem ultrapassados de armazenamento, você também tem a opção de descartar novas entradas se você preferir manter as entradas antigas Excluir arquivos mais antigos que (dias) é definido como 7 por padrão Observe que a opção Compress log arquivos fica acinzentado quando foram selecionados para registrar em um banco de dados SQL ou SQL Express. Isso é porque você só pode comprimir os logs de arquivo simples. A Figura 4 Clique na guia Fields, mostrado na Figura 5. Aqui você pode especificar quais campos o firewall TMG irá registrar para cada uma das conexões que estão conectados ao serviço de firewall. Se você achar que seus arquivos de log são muito grandes, uma coisa que você pode fazer para diminuir o tamanho é reduzir o número de campos que serão registrados para as conexões. A Figura 5 Observe que as opções similares estão disponíveis quando você clica no link de Configurar Proxy da Web Log na guia Tarefas no painel de tarefas. Agora, vamos clicar no link de Configurar Queue Log na guia Tarefas no painel de tarefas. Isso traz o registro de fila de armazenamento pasta caixa de diálogo que é mostrada na Figura 6. Aqui você pode configurar onde você quer colocar a fila de log. A fila de log é um local de armazenamento de entradas de log que precisam esperar o firewall para formatá-los corretamente. O objetivo da fila log é permitir que o firewall TMG para manter entradas de log que poderiam ter sido perdidos porque eles estavam chegando rápido demais. Com a fila de log do firewall TMG, essas entradas são rapidamente colocados na fila e esperar ali até que o firewall é capaz de processar as entradas de log. A Figura 6 Agora clique no link Exibir o status Log na guia Tarefas no painel de tarefas. Isto irá exibir o Log caixa de diálogo Status, que é mostrado na Figura 7. Você pode visualizar as seguintes informações aqui: Servidor mostra o servidor onde a fila de log está sendo relatado Atualizado até mostra o tempo para que o arquivo de log foi atualizado Queue Log (KB) mostra o número de entradas de log que estão atualmente na fila de log Status mostra o status da fila de log Esta é toda a informação útil para verificar se você suspeitar que você está sendo inundado por um vírus ou worms. A Figura 7 Em seguida, clique no link de texto Definir Log Cores na guia Tarefas no painel de tarefas e você verá o Defina Text Log caixa de diálogo Cores que é mostrado na Figura 8. As cores padrão são listadas aqui para as entradas de log mais comuns de arquivos de interesse. Código de cores das entradas do arquivo de log torna muito mais fácil para você obter uma representação visual rápida do que o número de entradas de cada tipo existem, e para encontrar as entradas que você está procurando. Você pode clicar no botão cor se você quiser mudar a cor de qualquer uma destas entradas. Outra característica útil é que você pode usar o esquema de cores e Exportação Importação botão esquema de cores para exportar e importar esquemas de cores de outros firewalls TMG. A Figura 8 The Hide log IPv6 link entradas na guia Tarefas no painel de tarefas, mostrado na Figura 9, é uma opção muito útil. Quando você passa muito tempo lendo os arquivos de log TMG, você verá que há um número muito grande de transmissões IPv6 em sua rede. Estas entradas IPv6 pode fazer o arquivo de log muito confuso e difícil "globo ocular". Quando você clicar neste botão, as entradas IPv6 ainda serão registrados, mas eles vão ser escondido da vista de modo que é mais fácil para você ver as entradas do registro, sem o barulho IPv6. A Figura 9 Agora clique no link Editar Filtro na guia Tarefas no painel de tarefas. Aqui você vai ver que existem três valores padrão: Log Record Type é definida como firewall ou filtro web proxy. Você normalmente não vai mudar isso. Tempo de log é definido para viver - às vezes você vai querer mudar isso Ação é definida como o status da conexão não é igual - isso ajuda a reduzir o ruído no filtro arquivo de log Na Figura 10 abaixo, você pode ver que eu tenha selecionado a hora de entrada do registro e em seguida, clicar na seta para baixo para a queda Condição down box. Você vai ver aqui que há muitas opções para filtrar a janela de tempo para as entradas de arquivo de log que você deseja ver. Note quedepois de alterar o valor, você terá que clicar no botão Atualizar para alterar o valor de filtragem. A Figura 10 Você pode filtrar os arquivos de log por um grande número de fatores. Nas Figuras 11, 12 e 13 abaixo você pode ver as opções do filtro de lista suspensa. Quando você seleciona um valor na lista, você clique na seta para baixo Condição para selecionar a condição e, em seguida, você definir o valor. Depois que você fizer estas três coisas, você clique no botão Adicionar à Lista de modo que ele aparecerá na lista de filtros. A Figura 11 A Figura 12 A Figura 13 Na Figura 14 abaixo, selecionei a entrada IP do cliente no Filtrar por lista suspensa. Então eu cliquei na seta para baixo para a queda Condição down box. Aqui você pode ver que você tem um número de opções, que permite a você fazer drill-down para as entradas que mais lhe interessam. A Figura 14 Depois de fazer as seleções que deseja para o filtro de log, clique no botão Iniciar Consulta. Depois de um tempo, você vai ver na barra de status na parte inferior do console que a consulta é feita e ele vai mostrar o número de entradas de arquivo de log que correspondem aos parâmetros da sua consulta, como mostrado na Figura 15. A Figura 15 Os resultados da consulta será exibido no console e as cores das entradas irá coincidir com aqueles que você configurou na caixa de diálogo log cores que vimos anteriormente. Note-se que os nomes dos campos estão nas colunas para cada uma das entradas de arquivo de log, como mostrado na Figura 16. Você pode rolar para a direita para ver os detalhes de cada uma das entradas do arquivo de log. A Figura 16 Note que as colunas que você vê em primeiro lugar são os campos padrão configurados para ser exibido. Se há um campo que você está interessado e ele não aparecer, você pode clicar uma das colunas e clique no botão Adicionar / Remover colunas de comando, como visto na Figura 17 abaixo. A Figura 17 Isso traz o Adicionar / Remover Colunas caixa de diálogo. No lado esquerdo é uma lista de colunas disponíveis, que você pode ver na Figura 18. Role a lista e encontrar o campo (s) que você está interessado e, em seguida, clique no botão Adicionar para movê-lo para a seção de colunas exibidas. Clique em OK e, em seguida, retornar para o console. Agora rolar para a direita e você verá as informações para as colunas que você adicionou listados para as entradas de arquivo de log que você filtrados. Prazer! A Figura 18 Quando você clica em uma entrada de arquivo de log, você pode ver mais detalhes na seção de detalhes abaixo a lista das entradas do arquivo de log. Na Figura 19 abaixo você pode ver informações detalhadas sobre a entrada, incluindo HTTP valioso e informações relacionadas proxy na seção de informações adicionais. A Figura 19 resumo Neste "Back to Basics" artigo, mostramos- lhe uma visão de alto nível da exploração madeireira e registrar filtragem recursos que estão incluídos com o firewall TMG. Como você pode ver, o firewall TMG registra uma grande quantidade de informações sobre cada ligação feita para e através do firewall TMG. Você pode usar o visualizador de log para perfurar até as entradas que são de maior interesse para você e para o processo de filtragem é abrangente e muito fácil de configurar. Espero que tenham gostado desta visão geral e se você tem alguma dúvida sobre como usar o recurso de log e filtragem incluído com o firewall TMG