记录ISA Server活动（4）

记录ISA Server活动
　　 9.2.8　日志记录包
　　　　 所有通过ISA Server 的数据包都可以记录到数据包筛选器日志，可以根据下列原则精确配置记录何种数据包。

　　 默认情况下，在安装ISA Server 时，所有丢弃的数据包都记录到数据包筛选器日志。禁用数据包筛选器以后，日志记录也一起关闭了。

　　 可以配置ISA Server禁用对因指定的阻塞模式IP数据包筛选器而丢弃的数据包记录日志。

　　 可以配置ISA Server记录所有通过ISA Server通信的数据包－允许的和丢弃的数据包。启用记录允许数据包时，所有通过ISA Server的数据包都记录在数据包筛选器日志中。

　　 记录允许数据包和阻塞数据包会造成服务器大量负载。

　　 Ø　　　　　按照下列步骤记录允许数据包：

　　 1.　　在ISA Management控制台树中，展开Access Policy节点，右击IP Packet Filters文件夹，然后选择Properties。

　　 2.　　在Packet Filters选项卡里，选择Log Packets From "allow" Filters复选框。


　　 注意　如果启用了数据包筛选，只能记录允许数据包。


　　 Ø　　　　　按照下列步骤记录阻塞数据包：

　　 1.　　在ISA Management控制台树中，展开Access Policy节点，右击IP Packet Filters文件夹，然后选择Properties。

　　 2.　　在View菜单中，确认选中了Advanced选项。

　　 3.　　在详细信息窗格中，右击要记录的阻塞模式IP数据包筛选器，然后选择Properties。

　　 4.　　在General选项卡中，选择Log Any Packets Mathing This Filter复选框。

　　 9.2.9　防火墙和Web代理日志字段
　　　　 选择服务日志属性中的Fields选项卡时，可以选择记录任何可用的字段数目。在默认情况下，数据包筛选器日志报告12个可能字段中的9个，防火墙服务日志和Web代理服务日志报告27可能字段中的18个。这些默认选择是随时可以更改或者是通过单击Restore Defaults按钮恢复的。

　　 Ø　　　　　按照下列步骤指定要记录的字段：

　　 1.　　 在ISA Management控制台树中，展开Monitoring Configuration节点，然后单击Logs文件夹。

　　 2.　　在详细信息窗格中，右击现行服务，选择Properties。

　　 3.　　单击Fields选项卡。

　　 4.　　在此选项卡中完成下列任务：

　　 u　　　　　要选择记录的指定字段，启用合适的复选框。

　　 u　　　　　要清除字段列表中的所有复选框，单击Clear All按扭。

　　 u　　　　　要启用字段列表中的所有复选框，单击Select All按扭。

　　 u　　　　　要启用ISA Server日志文件中的一组默认字段，单击Restor Defaults　　按扭。

　　　　 表9.2所列的是可以包括在每一个ISA Server防火墙和Web 代理日志文件中的字段。括号里的字段名是跟3C扩展日志文件格式相关的。对于W3C名称，注意前缀“c”代表客户操作，“s”代表服务器操作，“cs”代表客户端到服务器操作，“sc”代表服务器到客户端操作，“r”代表远程操作。

　　　　 某些字段要么与Web代理服务相关要么与防火墙服务相关，但不可和两者都相关。对于这样的每一个字段，该表指明字段可以应用的服务。需要注意的是，在ISA日志格式中，空字段用连字符(-)表示。在W3C日志文件格式中，如果空字段不可应用到服务中，则不出现空字段。

　　 表9.2到9.6列出了这些字段中的某些字段的可能值。通过ISA Management的Monitoring Configuration节点可以查看这些字段名。具体步骤是：单击Logs文件夹，然后双击属于ISA Server防火墙服务和ISA Server Web代理服务的日志文件，最后单击Fidlds选项卡，来查看可以记录的字段。

（图片较大 请放大查看）


（图片较大 请放大查看）

（图片较大 请放大查看）

（图片较大 请放大查看）

（图片较大 请放大查看）
　　 表9.3列出了ISA Server防火墙服务日志报告的客户代理(W3C格式的c-agent)参数的可能取值。它扩展了表9.2中的第3行所列信息。当选中所有字段要记录时，表9.3中所列出的一个值出现在该日志的第3个字段。该值表示客户使用的操作系统。

（图片较大 请放大查看）
　　 表9.4列出了ISA Server Web代理服务日志报告的对象源(W3C格式的s-object-source)参数的可能取值。它扩展了表9.2中的第21行所列信息。当选中所有字段进行记录时，表9.4中所列出的一个值出现在该日志的第21个字段。该值表示使用哪一个信源来检索当前对象。

（图片较大 请放大查看）

　　 表9.5列出了ISA Server防火墙和Web代理服务日志报告的结果代码(或者是W3C格式的sc-status)参数的可能值。它扩展了表9.2中第22行所列信息。

　　　　 该值通常用来表示一个Windows错误代码(值小于100)、一个HTTP状态代码(值在100到1 000之间)、一个Winsock错误代码(值在10,000到11,004)。一个连接通常有两个日志条目：第一个条目是何时建立连接；第二个条目是何时终止连接。第一个条目记录有结果代码0(成功连接)或者13301(连接拒绝)以及0的字节数。第二个条目记录有结果代码20000(连接正常终止)或20001(连接意外终止)以及相应的字节数。

　　　　 欲查询更详细的错误代码信息，请在线咨询微软开发人员网站，网址为http：//msdn. microsoft.com，或者是微软技术网页http：//www.microsoft.com/technet。

（图片较大 请放大查看）
　　 表9.6列出了ISA Server Web代理服务日志报告的缓存信息(W3C格式的s-cache info)的参数可能取值。它扩展了表9.2第23行所列信息。该值用来说明为什么缓存或者不缓存对象。

（图片较大 请放大查看）

（图片较大 请放大查看）

记录ISA Server活动（5）：【上一篇】
记录ISA Server活动（3）：【下一篇】