Alarmkonfiguration
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Der ISA Server bietet die Möglichkeit, eine vordefinierte Reaktion auf ein bestimmtes Ereignis auszuführen. Beispielsweise können Eindringversuche protokolliert werden, der Administrator kann per Mail benachrichtigt werden, wenn ein Dienst heruntergefahren wurde oder wenn sonst ein (kritisches) Ereignis eintritt.
Um dem Administrator etwas Arbeit abzunehmen, liefert der ISA Server
serienmäßig eine ganze Reihe Alarmdefinitionen mit. Eine vollständige Übersicht
finden Sie
hier.
Schauen wir uns einen Eintrag an (der auch angepasst werden kann):
Hier findet man den Namen und eine Beschreibung...
Folgende Ereignisse stehen zur Verfügung:
| Alarmierungsaktionsfehler | Die dem Alarm zugeordnete Aktion ist fehlgeschlagen. |
| Asymmetrische Installation | Nur Enterprise Edition |
| Cachecontainer-Initialisierungsfehler | Die Cachecontainerinitialisierung ist fehlgeschlagen und die Initialisierung wurde ignoriert. |
| Cachecontainerwiederherstellung abgeschlossen | Die Wiederherstellung eines einzelnen Cachecontainer wurde abgeschlossen. |
| Fehler bei der Cachedateigrößenänderung | Die Größe der Cachedatei konnte nicht verkleinert werden. |
| Cacheinitialisierungsfehler | Der Webcacheproxy wurde aufgrund eines globalen Fehlers deaktiviert. |
| Cachewiederherstellung abgeschlossen | Der Cacheinhalt wurde wieder hergestellt. |
| Cacheschreibfehler | Der Versuch, Inhalt in den Cache zu schreiben, ist fehlgeschlagen. |
| Cacheobjekt ignoriert | Während der Cachewiederherstellung wurde ein Objekt mit in Konflikt stehenden Informationen ermittelt. Dieses Objekt wurde verworfen. |
| Client/Server-Kommunikationsfehler | Zwischen dem Firewallclient und dem ISA Server-Firewalldienst ist ein Kommunikationsfehler aufgetreten. |
| Komponentenladefehler | Eine Erweiterungskomponente <%Modulname%> konnte nicht geladen werden. |
| Konfigurationsfehler | Die ISA Server-Konfiguration <%Speicherpfad%> ist ungültig. |
| Fehler bei Wählen bei Bedarf | Die DFÜ-Verbindung konnte nicht erstellt werden, da entweder keine Antwort empfangen wurde oder die Leitung besetzt ist. |
| DNS-Eindringung | Ein Hostnamenüberlauf, Längenüberlauf, hohe Ports in Zone oder Zonenübertragungsangriff ist aufgetreten. |
| Ereignisprotokollfehler | Die Ereignisinformationen konnten nicht in das Systemereignisprotokoll protokolliert werden. |
| Fehler beim Abrufen des Objekts | Das Objekt <URL>konnte nicht geladen werden. <Fehler> |
| Arrayinterne Anmeldeinformationen | Nur Enterprise Edition |
| Eindringversuch festgestellt | Ein externer Benutzer hat versucht einzudringen. |
| Ungültige Anmeldeinformationen für Wählen bei Bedarf | Ungültige Anmeldeinformationen für Wählen bei Bedarf |
| Ungültige ODBC-Protokoll-Anmeldeinformationen | Der angegebene Benutzername oder das Kennwort ist für diese ODBC-Datenbank ungültig. |
| Verworfenes IP-Paket | Ein IP-Paket, das von der Richtlinie nicht zugelassen wird, wurde verworfen. |
| IP-Protokollverletzung | Es wurde ein Paket mit ungültigen IP-Adressoptionen ermittelt. Das Paket wurde verworfen. |
| IP-Fehler | Die IP-Paketquelladresse ist ungültig. |
| Protokollierungsfehler | Das Protokoll für <Dienstname> ist fehlgeschlagen. |
| Veränderte Netzwerkkonfiguration | Es wurde eine Netzwerkkonfigurationsänderungen, die ISA Server betrifft, gemeldet. |
| Betriebssystem-Komponentenkonflikt | Eine der folgenden Komponenten steht in Konflikt mit dem Betriebssystem: NAT-Editor, ICS oder RRAS. |
| Zu großes UDP-Paket | Ein UDP-Paket wurde von ISA Server verworfen, weil es größer als die in der Registrierung festgelegte UDP-Paketgröße ist. |
| POP-Eindringung | Ermittelt POP-Pufferüberläufe. |
| Berichtszusammenfassungs-Erstellungsfehler | Beim Erstellen der Berichtzusammenfassung aus den Protokollierungsdateien ist ein Fehler aufgetreten. |
| Ressourcenzuweisungsfehler | Ressourcenzuweisungsfehler (z. B. zuwenig Speicher) |
| RPC-Filter: Konnektivität wurde geändert | Die Konnektivität zum Veröffentlichungs-RPC-Dienst <Servername> wurde verändert. <Zusätzliche Bedingung> |
| Serververöffentlichungsfehler | Die Serververöffentlichungsregel kann nicht angewendet werden. |
| Dienstinitialisierungfehler | Dienstinitialisierungfehler |
| Dienst antwortet nicht | Ein ISA Server-Dienst wurde beendet oder angehalten. |
| Dienst heruntergefahren | Der Dienst <%Dienstname%>wurde beendet. |
| Der Dienst wurde gestartet. | Der Dienst <%Dienstname%>wurde gestartet. |
| SMTP-Filterereignis | SMTP-Filterereignis |
| SOCKS-Konfigurationsfehler | Der in den SOCKS-Eigenschaften angegebene Port wird von einem anderen Protokoll verwendet. |
| SOCKS-Anfrage abgewiesen | Die SOCKS-Anfrage wurde wegen einer Richtlinienverletzung abgewiesen. |
| Der Server befindet sich außerhalb des Arraystandorts. | Nur Enterprise Edition |
| Nicht registriertes Ereignis | Ein nicht registriertes Ereignis wurde signalisiert. Ereigniskennung: %1 |
| Upstreamverkettungs-Anmeldeinformationen | Falsche Upstreamverkettungs-Anmeldeinformationen |
| Webproxy-Routingfehler | Der ISA Server-Webproxydienst konnte die Anfrage an einen Upstreamproxyserver nicht umleiten. |
| Webproxyrouting-Wiederherstellung | Der Webproxy hat das Routing zum Upstreamproxyserver wieder aufgenommen. |
| Fehler in der WMT aktiven Datenstromaufteilung | Beim Aufteilen des WMT aktiven Datenstroms ist ein Fehler aufgetreten. |
Manche Ereignisse erlauben eine weitere Bedingung, die dann im Feld "Zusätzliche Bedingung" ausgewählt werden kann:
Damit Sie nicht mit einer Vielzahl von Alarmmeldungen überflutet werden, können Sie noch die Ausführungsbedingungen festlegen:
In der Standardeinstellung wird der Alarm sofort wieder ausgelöst (und ggfs. sofort wieder angezeigt). Legen Sie eine Zeitspanne fest, wann der Alarm in Folge frühestens wieder angezeigt werden soll.
Nachdem alle Ereignisbedingungen festgelegt sind können auf der nächsten Seite die Ereignisaktionen definiert werden:
Wenn der Administrator (oder eine andere Person) zeitnah eine Mail-Benachrichtigung erhalten soll, sobald ein Ereignis eingetreten ist, aktivieren Sie "E-Mail senden" und geben Sie einen SMTP-Server und den/die Empfänger der Mail ein. Damit zugeordnet werden kann, woher die Nachrichten kommen können sie im Feld Von: noch einen Absender ein, der den ISA Server eindeutig kennzeichnet. Mit dem Test-Button können Sie sofort überprüfen, ob die eingetragenen Daten korrekt sind.
Tipp: Viele Mobilfunknetzbetreiber bieten Ihren Kunden eine individuelle Mailadresse an (z.B. Rufnummer@Betreiber.de).
Zusätzlich zur Mail-Benachrichtigung kann auch ein Programm (oder ein Script) ausgeführt werden, das wiederum verschiedene Aktionen startet. Wählen Sie dazu das Kontrollkästchen Programm aus und geben dann den an einer Eingabeaufforderung auszuführenden Befehl sowie das Konto ein, unter dem das Programm ausgeführt werden soll, wenn beim Auftreten der Alarmbedingung eine Anwendung ausgeführt werden soll.
Über die Option "An Windows 2000-Ereignisprotokoll melden" wird das Ereignis im Eventlog des Computers protokolliert.
Zum Beenden des ISA Servers wählen Sie das Kontrollkästchen Ausgewählte Dienste beenden aus und klicken dann zur Auswahl der ISA Server-Dienste, die beim Auftreten der Alarmbedingungen beendet werden sollen, auf Auswählen.
Zum Starten von ISA Server wählen Sie das Kontrollkästchen Ausgewählte Dienste starten aus und klicken dann zur Auswahl der Dienste, die beim Auftreten der Alarmbedingungen gestartet werden sollen, auf Auswählen.
Wenn die vordefinierten Alarme nicht ausreichen können selbstverständlich jederzeit neue hinzugefügt werden, die bestehenden können auch verändert oder gelöscht werden.
Gehen Sie mit den Alarm-Benachrichtigungen sorgfältig und bedächtig um. Es empfiehlt sich z.B. nicht, jedes Ereignis sofort als Mail zu versenden. In der Praxis kann es durchaus vorkommen, dass ein Server mehrere Dutzend PortScans am Tag aushalten muss. Wenn der Administrator darüber jedes mal eine Mail bekommt ist sein Postfach bald überfüllt und/oder der interne Mailserver streikt wegen Überlastung, obwohl er gar nicht das eigentliche Angriffsziel war.
Stand: Friday, 28. August 2009/DR.
