Microsoft ISA服务器配置及日志分析-编程知识

Microsoft ISA 分析器工具，可分析 Microsoft ISA 服务器（或 Forefront 威胁管理网关服务器）的日志并生成安全和流量报告。支持来自 Microsoft ISA 服务器组件的以下日志：

数据包过滤器
ISA 服务器防火墙服务
ISA 服务器网络代理服务

除了Microsoft ISA服务器日志外，还能分析来自各种网络外围安全设备的日志，如防火墙，代理服务器，IDS，IPS，VPN。

ISA 日志分析器（Firewall Analyzer），支持 W3C 扩展日志文件格式和 ISA 服务器文件日志格式。ISA 服务器防火墙服务支持此 W3C 扩展日志文件格式，并且只有 ISA 服务器 Web 代理服务支持 ISA 服务器文件日志格式。根据要求，管理员必须配置 Microsoft ISA 服务器以支持上述日志格式之一。

配置 Microsoft ISA 服务器

打开“ISA 管理”控制台。
从左侧控制台树中选择“监视配置”，然后选择“日志”文件夹。
在“日志”文件夹中，右键单击列出的每个组件（如数据包过滤器、ISA 服务器防火墙服务、ISA 服务器 Web 代理服务），选择“属性”并将日志格式设置为 W3C 扩展日志文件格式。

配置后，可以手动将 ISA 防火墙日志文件导入 Firewall Analyzer 或使用定期导入设置。如果希望定期导入 ISA 服务器日志，请使用“远程主机”中的 FTP 导入设置，时间间隔大于 ISA 服务器中设置的时间间隔。

导入 ISA 防火墙日志文件

“导入的日志文件”链接允许从本地计算机或通过 FTP 远程导入日志文件，“导入的日志文件”页面显示导入的日志文件的列表，以及导入日志文件的主机和导入状态等详细信息，还支持导入创建的存档文件（.gz 格式）和压缩日志文件（.zip 格式）。

本地主机

如果日志文件存在于Firewall Analyzer服务器的本地计算机中，请选择本地主机。注意：仅当从服务器计算机本身调用客户端时，才会显示“动态计划”和“动态更改文件名”选项。

在“文件位置”文本框中，输入文件的位置或包含日志文件的整个目录是否存在，否则单击“浏览”按钮以选择日志文件或包含日志文件的整个目录。
“忽略未解析/垃圾记录”选项能够跳过导入的日志文件中格式不受支持的记录，并继续分析文件中后续支持的记录。如果未选中，将不会分析整个日志文件，即使一条记录包含不受支持的日志格式也是如此。
选项“将其视为具有 IP 地址的虚拟防火墙 _”复选框，然后输入虚拟防火墙的 IP 地址。
用于将导入的日志文件标识为特定虚拟防火墙（vdom）中的日志文件。选中该复选框，然后在 IP 地址文本框中提供相应的防火墙物理 IP 地址。否则，导入的日志将被视为物理防火墙设备的日志。
输入时间间隔（计划时间（以分钟为单位），之后应检索新的日志文件。
如果要导入动态更改其名称的日志文件，请选择“动态更改文件名”选项。
从“文件名模式：”组合框中选择日期和/或时间文件名模式，或使用蓝十字图标添加新模式。
最后，单击“导入”将日志文件导入数据库。

远程主机

如果需要从网络上的远程位置导入特定日志文件或包含日志文件的整个目录，请选择远程主机。

在远程主机名/IP 文本框中输入远程主机的主机名或 IP 地址，在远程用户名和远程密码文本框中输入 FTP 用户名和密码。
FTP 的默认端口为 21，SFTP/SSH 的默认端口为 22。选择协议时，将显示默认值，根据需要更改“端口”。
选择文件传输协议，可用的协议是FTP和SFTP / SSH。根据需要选择协议。
根据需要选择“忽略未分析/垃圾记录”选项。
选项“将其视为具有 IP 地址的虚拟防火墙 ”复选框，然后输入虚拟防火墙的 IP 地址。

Microsoft ISA 防火墙日志在 ISA 报告的帮助下揭示了有关进出防火墙的流量性质的大量信息，帮助管理员加强网络安全。分析这些防火墙日志对于了解网络安全和带宽使用情况至关重要，并且在优化业务使用方面发挥着重要作用。Firewall Analyzer提供了许多功能，可帮助收集、分析和报告Microsoft ISA 服务器日志。

ISA 日志查看器从Microsoft ISA 防火墙日志中生成以下网络安全和流量的 ISA 日志报告：

安全报告：