当前位置：首页 > news >正文

Microsoft ISA服务器配置及日志分析

news 2025/6/10 10:33:18

Microsoft ISA 分析器工具，可分析 Microsoft ISA 服务器（或 Forefront 威胁管理网关服务器）的日志并生成安全和流量报告。支持来自 Microsoft ISA 服务器组件的以下日志：

数据包过滤器
ISA 服务器防火墙服务
ISA 服务器网络代理服务

除了Microsoft ISA服务器日志外，还能分析来自各种网络外围安全设备的日志，如防火墙，代理服务器，IDS，IPS，VPN。

ISA 日志分析器（Firewall Analyzer），支持 W3C 扩展日志文件格式和 ISA 服务器文件日志格式。ISA 服务器防火墙服务支持此 W3C 扩展日志文件格式，并且只有 ISA 服务器 Web 代理服务支持 ISA 服务器文件日志格式。根据要求，管理员必须配置 Microsoft ISA 服务器以支持上述日志格式之一。

配置 Microsoft ISA 服务器

打开“ISA 管理”控制台。
从左侧控制台树中选择“监视配置”，然后选择“日志”文件夹。
在“日志”文件夹中，右键单击列出的每个组件（如数据包过滤器、ISA 服务器防火墙服务、ISA 服务器 Web 代理服务），选择“属性”并将日志格式设置为 W3C 扩展日志文件格式。

配置后，可以手动将 ISA 防火墙日志文件导入 Firewall Analyzer 或使用定期导入设置。如果希望定期导入 ISA 服务器日志，请使用“远程主机”中的 FTP 导入设置，时间间隔大于 ISA 服务器中设置的时间间隔。

导入 ISA 防火墙日志文件

“导入的日志文件”链接允许从本地计算机或通过 FTP 远程导入日志文件，“导入的日志文件”页面显示导入的日志文件的列表，以及导入日志文件的主机和导入状态等详细信息，还支持导入创建的存档文件（.gz 格式）和压缩日志文件（.zip 格式）。

本地主机

如果日志文件存在于Firewall Analyzer服务器的本地计算机中，请选择本地主机。注意：仅当从服务器计算机本身调用客户端时，才会显示“动态计划”和“动态更改文件名”选项。

在“文件位置”文本框中，输入文件的位置或包含日志文件的整个目录是否存在，否则单击“浏览”按钮以选择日志文件或包含日志文件的整个目录。
“忽略未解析/垃圾记录”选项能够跳过导入的日志文件中格式不受支持的记录，并继续分析文件中后续支持的记录。如果未选中，将不会分析整个日志文件，即使一条记录包含不受支持的日志格式也是如此。
选项“将其视为具有 IP 地址的虚拟防火墙 _”复选框，然后输入虚拟防火墙的 IP 地址。
用于将导入的日志文件标识为特定虚拟防火墙（vdom）中的日志文件。选中该复选框，然后在 IP 地址文本框中提供相应的防火墙物理 IP 地址。否则，导入的日志将被视为物理防火墙设备的日志。
输入时间间隔（计划时间（以分钟为单位），之后应检索新的日志文件。
如果要导入动态更改其名称的日志文件，请选择“动态更改文件名”选项。
从“文件名模式：”组合框中选择日期和/或时间文件名模式，或使用蓝十字图标添加新模式。
最后，单击“导入”将日志文件导入数据库。

远程主机

如果需要从网络上的远程位置导入特定日志文件或包含日志文件的整个目录，请选择远程主机。

在远程主机名/IP 文本框中输入远程主机的主机名或 IP 地址，在远程用户名和远程密码文本框中输入 FTP 用户名和密码。
FTP 的默认端口为 21，SFTP/SSH 的默认端口为 22。选择协议时，将显示默认值，根据需要更改“端口”。
选择文件传输协议，可用的协议是FTP和SFTP / SSH。根据需要选择协议。
根据需要选择“忽略未分析/垃圾记录”选项。
选项“将其视为具有 IP 地址的虚拟防火墙 ”复选框，然后输入虚拟防火墙的 IP 地址。

Microsoft ISA 防火墙日志在 ISA 报告的帮助下揭示了有关进出防火墙的流量性质的大量信息，帮助管理员加强网络安全。分析这些防火墙日志对于了解网络安全和带宽使用情况至关重要，并且在优化业务使用方面发挥着重要作用。Firewall Analyzer提供了许多功能，可帮助收集、分析和报告Microsoft ISA 服务器日志。

ISA 日志查看器从Microsoft ISA 防火墙日志中生成以下网络安全和流量的 ISA 日志报告：

安全报告：

安全
病毒
攻击
垃圾邮件

流量报告：

内联网和互联网
协议方面
用户方面
专用网络
趋势

监控 Microsoft ISA 服务器流量

ISA 服务器流量监视工具，可生成流量报告，ISA 服务器日志监视工具充分利用防火墙提供的详尽带宽信息来提供广泛的流量报告，可以使用 ISA 服务器带宽监视报告来增加带宽。生成 ISA 服务器用户监视报告有：

用户流量
协议方面的流量
按国家/地区划分的流量
VPN 报告

用户流量

ISA 日志文件分析器工具的用户明智报告提供有关消耗带宽的前 10 个用户的概览信息，并显示展开时所有用户的带宽消耗。管理员可以分析带宽消耗高的原因，并采取必要的措施来优化其使用。

协议方面的流量

ISA 服务器日志分析器工具的协议报告将指示任何谨慎使用的协议何时消耗的带宽超过每个协议的平均带宽，视频流等协议消耗更多带宽，限制了其他业务流程所需的带宽。如果过度使用 Telnet 和 FTP 协议，则可能表明网络容易受到攻击。

按国家/地区划分的流量

ISA 日志文件分析器的国家/地区流量报告按带宽使用情况提供国家/地区列表，如果发现流量来自具有网络攻击跟踪记录的区域，则可以采取保护措施来减少流量。

VPN 报告

查看 VPN 使用情况的大图，可以找到谁在使用 VPN、哪个 VPN 用户组正在使用 VPN 以及哪些用户被拒绝访问 VPN 。这些 ISA 日志报告将帮助管理员确定关键业务带宽使用情况的优先级。

在这里插入图片描述

Firewall Analyzer 是满足 ISA 服务器监控需求的综合解决方案，是一个功能强大的 ISA 报告工具，只需简单的操作即可提供深入的报告，例如 Microsoft ISA 报告。