Konfiguration der Protokollierung am ISA Server
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Der ISA Server kann nahezu jede Aktion protokollieren. Jeder Verbindungsaufbau oder jede Ablehnung wird festgehalten. Dazu stehen prinzipiell zwei Möglichkeiten zur Datenhaltung zur Verfügung. Standardmäßig protokolliert der ISA seine Daten in Textfiles. Eine Alternative dazu bietet die Speicherung der Daten in einer SQL/ODBC Datenbank. Letzteres wurde bereits in einem Artikel auf der msisafaq.de vorgestellt. Die Protokollierung in Textfiles soll hier nun näher betrachtet werden.
Die Einstellungen für die Protokollierung sind hier zu finden:
Es stehen drei Protokollkomponenten zur Verfügung:
Dies bedeutet, dass für jeden der drei Dienste ein eigenes Protokollierungsverfahren festgelegt werden kann. Es kann durchaus das Log-Ziel unterschiedlich sein, Paketfilter können z.B. in Textfiles protokolliert werden, während Verbindungen des Firewall- und Webproxydienstes in eine SQL-Datenbank gespeichert werden. Die Textlogfiles liegen standardmäßig in folgendem Verzeichnis:
1. Paketfilterung
Für die Paketfilterprotokollierung stehen folgende Optionen zur Verfügung:
Es stehen zwei verschiedene Dateiformate zur Verfügung:
- Erweitertes W3C-Protokollierungsdateiformat: W3C-Protokolle
enthalten sowohl Daten als auch Steueranweisungen, die Version, Datum und
protokollierte Felder beschreiben. Da die Felder in der Datei beschrieben
sind, erfolgt keine Protokollierung nicht ausgewählter Felder. Als
Trennzeichen werden Tabulatorzeichen verwendet. Datum und Zeit werden in GMT
angegeben.
- ISA-Dateiformat: Das ISA-Format enthält lediglich Daten ohne Steueranweisungen. Es werden immer alle Felder protokolliert; nicht ausgewählte Felder werden zur Anzeige, dass sie leer sind, als Strich protokolliert. Als Trennzeichen werden Kommas verwendet. Datum- und Zeitfelder werden in Ortszeit angegeben.
Neue Dateien können täglich, wöchentlich, monatlich oder jährlich erstellt werden. Im Regelfall empfiehlt es sich, täglich neue Protokolldateien erstellen zu lassen.
Der Name der Dateien ist nach folgendem Schema festgelegt: IPPEXTDyyyymmdd.log für das W3C-Format und IPPDyyyymmdd.log für das ISA-Format.
In den Dateioptionen kann zusätzlich der Speicherpfad (default: ISA-InstallVerzeichnis\ISALogs; z.B. c:\Programme\Microsoft ISA Server\ISALogs) verändert werden, angegeben werden, ob die Protokolldateien komprimiert werden sollen (was viel Platz auf der Festplatte spart, aber je nach System Performanceeinbußen zur Folge haben kann) und ob aus Platzspargründen nur eine bestimmten Anzahl Dateien aufbewahrt werden soll.
Achtung: Wird dir Option "Anzahl der Protokollierungsdateien limitieren" default gelassen, werden die Protokolldateien nach 7 Tagen unwiederbringlich entfernt.
Auf der Registerkarte "Felder" können die zu protokollierenden Felder ausgewählt werden. Je nach Format werden die nichtausgewählten Felder als leere Spalten eingefügt.
In der nachstehenden Tabelle sind die Felder aufgeführt, die in den einzelnen ISA Server-Protokollierungsdateien enthalten sein können:
| Pos | Feldname | Beschreibung |
| 1 | Datum (date) | Datum, an dem das Paket empfangen wurde. |
| 2 | Uhrzeit (time) | Die Uhrzeit, zu der das Paket empfangen wurde (Dienstinformationsfelder) |
| 3 | Quell-IP (source-ip) | Die IP-Adresse (Internetprotokoll) des Quellcomputers (Remotecomputers), wobei der Quellcomputer der Computer ist, von dem die Datenpakete stammen. |
| 4 | Ziel-IP (destination-ip) | Die IP-Adresse des Zielcomputers (lokal). Beim Zielcomputer handelt es sich normalerweise um den ISA Server-Computer. |
| 5 | Protokoll (protocol) | Das jeweilige Protokoll auf Transportebene, das während der Verbindung verwendet wird, wie z. B. TCP (Transmission Control Protocol), UDP (User Datagram-Protokoll) oder ICMP (Internet Control Message Protocol). |
| 6 | Quellport (oder Protokolltyp, falls ICMP) (Param#1) | Bei TCP und UDP der Remoteport, mit dem die Verbindung erstellt wurde. Bei ICMP der beim Erstellen der Verbindung verwendete Typ. |
| 7 | Zielport (oder Protokolltyp, falls ICMP) (Param#2) | Bei TCP und UDP der lokale Port, mit dem die Verbindung erstellt wurde. Bei ICMP der beim Erstellen der Verbindung verwendete Code. |
| 8 | TCP-Flags (tcp-flags) | Stellt bei einem TCP-Datenpaket den Wert des TCP-Flags im IP-Header dar. Die möglichen Werte sind: FIN, SYN, RST, PSH, ACK und URG. |
| 9 | Schnittstelle (filter-rule) | Zeigt an, ob das Paket akzeptiert (1) oder verworfen (0) wurde. Standardmäßig werden nur verworfene Pakete protokolliert. |
| 10 | Schnittstellen-IP-Adresse (interface) | Schnittstelle, auf der das Paket empfangen wurde. Normalerweise ist nur eine Schnittstelle vorhanden. |
| 11 | Header (ip-header) | Der gesamte IP-Header des Datenpakets, das das Alarmereignis erzeugt hat. Der IP-Header wird im Hexadezimalformat protokolliert. |
| 12 | Nutzlast (payload) | Eine Auflistung eines Teils des Datenpakets (hinter dem IP-Header). Die Protokollierung erfolgt im Hexadezimalformat. |
Für die IP-Paketfilterung gibt es noch zwei besondere Optionen:
- Protokollierung von zugelassenen Paketen:
- Protokollierung von gesperrten Paketen:
2. Firewalldienst
Für die Firewalldienstprotokollierung stehen folgende Optionen zur Verfügung:
Es stehen zwei verschiedene Dateiformate zur Verfügung:
- Erweitertes W3C-Protokollierungsdateiformat: W3C-Protokolle
enthalten sowohl Daten als auch Steueranweisungen, die Version, Datum und
protokollierte Felder beschreiben. Da die Felder in der Datei beschrieben
sind, erfolgt keine Protokollierung nicht ausgewählter Felder. Als
Trennzeichen werden Tabulatorzeichen verwendet. Datum und Zeit werden in GMT
angegeben.
- ISA-Dateiformat: Das ISA-Format enthält lediglich Daten ohne Steueranweisungen. Es werden immer alle Felder protokolliert; nicht ausgewählte Felder werden zur Anzeige, dass sie leer sind, als Strich protokolliert. Als Trennzeichen werden Kommas verwendet. Datum- und Zeitfelder werden in Ortszeit angegeben.
Neue Dateien können täglich, wöchentlich, monatlich oder jährlich erstellt werden. Im Regelfall empfiehlt es sich, täglich neue Protokolldateien erstellen zu lassen.
Der Name der Dateien ist nach folgendem Schema festgelegt: FWSEXTDyyyymmdd.log für das W3C-Format und FWSDyyyymmdd.log für das ISA-Format.
In den Dateioptionen kann zusätzlich der Speicherpfad (default: ISA-InstallVerzeichnis\ISALogs; z.B. c:\Programme\Microsoft ISA Server\ISALogs) verändert werden, angegeben werden, ob die Protokolldateien komprimiert werden sollen (was viel Platz auf der Festplatte spart, aber je nach System Performanceeinbußen zur Folge haben kann) und ob aus Platzspargründen nur eine bestimmten Anzahl Dateien aufbewahrt werden soll.
Auf der Registerkarte "Felder" können die zu protokollierenden Felder ausgewählt werden. Je nach Format werden die nichtausgewählten Felder als leere Spalten eingefügt.
Die Beschreibung der Felder befindet sich weiter unten im Artikel bei der Beschreibung für die Felder der Webproxydienstprotokollierung, da beide Dienste die selben Feldinformationen bieten.
3. Webproxydienst
Für die Firewalldienstprotokollierung stehen folgende Optionen zur Verfügung:
Es stehen zwei verschiedene Dateiformate zur Verfügung:
- Erweitertes W3C-Protokollierungsdateiformat: W3C-Protokolle
enthalten sowohl Daten als auch Steueranweisungen, die Version, Datum und
protokollierte Felder beschreiben. Da die Felder in der Datei beschrieben
sind, erfolgt keine Protokollierung nicht ausgewählter Felder. Als
Trennzeichen werden Tabulatorzeichen verwendet. Datum und Zeit werden in GMT
angegeben.
- ISA-Dateiformat: Das ISA-Format enthält lediglich Daten ohne Steueranweisungen. Es werden immer alle Felder protokolliert; nicht ausgewählte Felder werden zur Anzeige, dass sie leer sind, als Strich protokolliert. Als Trennzeichen werden Kommas verwendet. Datum- und Zeitfelder werden in Ortszeit angegeben.
Neue Dateien können täglich, wöchentlich, monatlich oder jährlich erstellt werden. Im Regelfall empfiehlt es sich, täglich neue Protokolldateien erstellen zu lassen.
Der Name der Dateien ist nach folgendem Schema festgelegt: WEBEXTDyyyymmdd.log für das W3C-Format und WEBDyyyymmdd.log für das ISA-Format.
In den Dateioptionen kann zusätzlich der Speicherpfad (default: ISA-InstallVerzeichnis\ISALogs; z.B. c:\Programme\Microsoft ISA Server\ISALogs) verändert werden, angegeben werden, ob die Protokolldateien komprimiert werden sollen (was viel Platz auf der Festplatte spart, aber je nach System Performanceeinbußen zur Folge haben kann) und ob aus Platzspargründen nur eine bestimmten Anzahl Dateien aufbewahrt werden soll.
Auf der Registerkarte "Felder" können die zu protokollierenden Felder ausgewählt werden. Je nach Format werden die nichtausgewählten Felder als leere Spalten eingefügt.
In der nachstehenden Tabelle sind die Felder aufgeführt, die in den einzelnen ISA Server-Protokollierungsdateien für den Firewalldienst und den Webproxydienst enthalten sein können:
| Pos | Feldname | Beschreibung |
|---|---|---|
| 1 | Client-IP (c-ip) |
Die IP-Adresse (Internetprotokoll) des anfragenden Clients. |
| 2 | Clientbenutzername (cs-username) |
Konto des Benutzers, der die Anfrage durchführt. Ohne Verwendung der ISA Server-Zugriffssteuerung verwendet ISA Server anonym. |
| 3 | Clientagent (c-agent) |
Der Typ der Clientanwendung, der vom Client im HTTP-Header (Hyper Text Transfer-Protokoll) gesendet wurde. Ist auf ISA Server die aktive Zwischenspeicherung aktiviert, lautet der Clientagent ISA Server. Beim Firewalldienst enthält dieses Feld Informationen über das Betriebssystem des Clients. |
| 4 | Authentifizierungsstatus (sc-authenticated) |
Zeigt an, ob der Client bei ISA Server authentifiziert wurde oder nicht. Mögliche Werte sind J und N. |
| 5 | Datum (date) |
Das Datum, an dem das protokollierte Ereignis aufgetreten ist. |
| 6 | Uhrzeit (time) |
Die Uhrzeit, zu der das protokollierte Ereignis aufgetreten ist. Im W3C-Format erfolgt die Angabe in GMT (Greenwich Mean Time). |
| 7 | Dienstname (s-svcname) |
Der Name des protokollierten Dienstes.
|
| 8 | Proxyname (s-computername) |
Der Name des Computers, auf dem ISA Server ausgeführt wird. Dabei handelt es sich um den Computernamen, der in Windows 2000 zugewiesen wurde. |
| 9 | Zuständiger Servername (cs-referred) |
Wird ISA Server in einer verketteten Konfiguration als Upstreamserver verwendet, bezeichnet dieses Feld den Servernamen des Downstreamservers, von dem die Anfrage gesendet wurde. |
| 10 | Zielname (r-host) |
Der Domänenname des Remotecomputers, der den Dienst für die aktuelle Verbindung bereitstellt. Beim Webproxydienst kann ein Strich |
| 11 | Ziel-IP (r-ip) |
Die Netzwerk-IP-Adresse des Remotecomputers, der den Dienst für die aktuelle Verbindung bereitstellt. Beim Webproxydienst kann ein Strich |
| 12 | Zielport (r-port) |
Die reservierte Portnummer auf dem Remotecomputer, der den Dienst für die aktuelle Verbindung bereitstellt. Dieses Feld wird von der Clientanwendung verwendet, die die Anfrage einleitet. |
| 13 | Verarbeitungszeit (time-taken) |
Dieses Feld zeigt die Gesamtzeit in Millisekunden an, die von ISA Server für die Verarbeitung der aktuellen Verbindung benötigt wird. Gemessen wird die vergangene Serverzeit ab dem Zeitpunkt, zu dem der Server die Anfrage zum ersten Mal erhalten hat, bis zum Zeitpunkt der endgültigen Verarbeitung auf dem Server (wann die Ergebnisse an den Client zurückgeliefert wurden und die Verbindung geschlossen wurde).
Bei Cacheanfragen, die über den Webproxydienst verarbeitet wurden, misst die Verarbeitungszeit die vergangene Serverzeit, die für die vollständige Verarbeitung einer Clientanfrage und das Zurückliefern eines Objekts aus dem Servercache an den Client benötigt wurde. |
| 14 | Bytes gesendet (cs-bytes) |
Die Anzahl der Byte, die während der aktuellen Verbindung vom internen Client an den externen Server gesendet wurden. Ein Strich |
| 15 | Bytes empfangen (sc-bytes) |
Die Anzahl der Byte, die während der aktuellen Verbindung vom externen Computer gesendet und vom Client empfangen wurden. Ein Strich |
| 16 | Protokollname (cs-protocol) |
Gibt das Anwendungsprotokoll an, das für die Verbindung verwendet wurde. Häufige Werte dabei sind HTTP, FTP (File Transfer-Protokoll), Gopher und HTTPS (Secure Hyper Text Transfer-Protokoll). Beim Firewalldienst wird die Portnummer ebenfalls protokolliert. |
| 17 | Transport (cs-transport) |
Gibt das Transportprotokoll an, das für die Verbindung verwendet wurde. Häufige Werte sind TCP (Transmission Control Protocol) und UDP (User Datagram-Protokoll). |
| 18 | Vorgang (s-operation) |
Gibt die verwendete Anwendungsmethode an. Häufige Werte bei Webproxy sind GET, PUT, POST und HEAD. Häufige Werte beim Firewalldienst sind CONNECT, BIND, SEND, RECEIVE, GHBN (GetHostByName) und GHBA (GetHostByAddress). |
| 19 | Objektname (cs-uri) |
Beim Webproxydienst zeigt dieses Feld den Inhalt der URL-Anfrage. Dieses Feld gilt nur für das Webproxydienstprotokoll. |
| 20 | Objekt-MIME (cs-mime-type) |
Der Multipurpose Internet Mail Extensions (MIME)-Typ für das aktuelle Objekt. Dieses Feld kann auch einen Strich |
| 21 | Objektquelle (s-object-source) |
Zeigt die Quelle an, von der das aktuelle Objekt abgerufen wurde. Dieses Feld gilt nur für das Webproxydienstprotokoll. |
| 22 | Ergebniscode (sc-status) |
Mit diesem Feld kann angezeigt werden:
|
| 23 | Cacheinfo (s-cache-info) |
Diese Zahl gibt den Cachestatus des Objekts an. Dieser zeigt an, warum das Objekt zwischengespeichert wurde oder nicht. Dieses Feld gilt nur für das Webproxydienstprotokoll. |
| 24 | Regel #1 (rule#1) |
Dieses Feld zeigt die Regel, die den Zugriff auf die Anfrage entweder zugelassen oder verweigert hat, wie folgt an:
|
| 25 | Regel #2 (rule#2) |
In diesem Feld wird die zweite Regel, die den Zugriff auf die Anfrage entweder zugelassen oder verweigert hat, angezeigt:
|
| 26 | Sitzungskennung (sessionid) |
Dieses Feld kennzeichnet die Verbindungen einer Sitzung. Bei Firewallclients leitet jeder Prozess, der eine Verbindung über den Firewalldienst herstellt, eine Sitzung ein. Bei sicheren Netzwerkadressübersetzungs-Clients (SecureNAT-Clients) wird eine einzige Sitzung für alle Verbindungen, die von derselben IP-Adresse stammen, eröffnet. Dieses Feld ist im Webproxydienstprotokoll nicht enthalten, es gilt nur für das Firewalldienstprotokoll. |
| 27 | Verbindungskennung (connectionid) |
Dieses Feld zeigt die Einträge an, die zu demselben Socket gehören. Ausgehende TCP-Verbindungen verfügen normalerweise für jede Verbindung über zwei Einträge: wenn die Verbindung eingerichtet und wenn die Verbindung beendet wird. UDP-Verbindungen verfügen normalerweise für jede Remoteadresse über zwei Einträge: Dieses Feld ist im Webproxydienstprotokoll nicht enthalten, es gilt nur für das Firewalldienstprotokoll. |
| Quellenwerte | Beschreibung |
|---|---|
| 0 | Es stehen keine Quellinformationen zur Verfügung. |
| Cache | Quelle ist der Cache. Das Objekt wurde aus dem Cache zurückgeliefert. |
| Inet | Quelle ist das Internet. Das Objekt wurde zum Cache hinzugefügt. |
| Member | Das Objekt wurde von einem anderen Arraymitglied zurückgeliefert. |
| NotModified | Quelle ist der Cache. Der Client hat eine If-Modified-Since-Anfrage durchgeführt, das Objekt wurde aber nicht geändert. |
| NVCache | Quelle ist der Cache. Das Objekt konnte nicht anhand der Quelle überprüft werden. |
| Upstream | Das Objekt wurde von einem Upstreamproxycache zurückgeliefert. |
| Vcache | Quelle ist der Cache. Das Objekt wurde anhand der Quelle überprüft und wurde nicht geändert. |
| VFInet | Quelle ist das Internet. Das zwischengespeicherte Objekt wurde anhand der Quelle überprüft und geändert. |
Ergebniscodewerte
| Wert | Beschreibung |
|---|---|
| 200 | OK - Erfolgreiche Verbindung |
| 201 | Erstellt |
| 202 | Angenommen |
| 204 | Kein Inhalt |
| 301 | Permanent verschoben |
| 302 | Temporär verschoben |
| 304 | Nicht geändert |
| 400 | Fehlerhafte Anfrage |
| 401 | Keine Berechtigung |
| 403 | Verboten |
| 404 | Nicht gefunden |
| 500 | Interner Serverfehler |
| 501 | Nicht implementiert |
| 502 | Fehlerhaftes Gateway |
| 503 | Dienst nicht verfügbar |
| 10060 | Zeitlimit der Verbindung überschritten |
| 10061 | Verbindung von Ziel verweigert |
| 10065 | Host nicht erreichbar |
| 11001 | Host nicht gefunden |
| Wert | Beschreibung |
|---|---|
| 0x00000001 | Anfrage konnte nicht aus dem Cache bedient werden. |
| 0x00000002 | Anfrage enthält den Header IF-MODIFIED-SINCE. |
| 0x00000004 | Anfrage enthält einen der folgenden Header: CACHE-CONTROL:NO-CACHE oder PRAGMA:NO-CACHE |
| 0x00000008 | Anfrage enthält den Header AUTHORIZATION. |
| 0x00000010 | Anfrage enthält den Header VIA. |
| 0x00000020 | Anfrage enthält den Header IF-MATCH. |
| 0x00000040 | Anfrage enthält den Header RANGE. |
| 0x00000080 | Anfrage enthält den Header CACHE-CONTROL: NO-STORE. |
| 0x00000100 | Anfrage enthält den Header CACHE-CONTROL: MAX-AGE, CACHE-CONTROL: MAX-STALE oder CACHE-CONTROL: MIN-FRESH. |
| 0x00000200 | Der Cache konnte nicht aktualisiert werden. |
| 0x00000400 | Die Zeit IF-MODIFIED-SINCE in der Anfrage ist neuer als die zwischengespeicherte Zeit LASTMODIFIED. |
| 0x00000800 | Anfrage enthält den Header CACHE-CONTROL: ONLY-IF-CACHED. |
| 0x00001000 | Anfrage enthält den Header IF-NONE-MATCH. |
| 0x00002000 | Anfrage enthält den Header IF-UNMODIFIED-SINCE. |
| 0x00004000 | Anfrage enthält den Header IF-RANGE. |
| 0x00008000 | Mehr als ein Header VARY. |
| 0x00010000 | Antwort enthält den Header CACHE-CONTROL: PUBLIC. |
| 0x00020000 | Antwort enthält den Header CACHE-CONTROL: PRIVATE. |
| 0x00040000 | Antwort enthält den Header CACHE-CONTROL: NO-CACHE oder PRAGMA: NO-CACHE. |
| 0x00080000 | Antwort enthält den Header CACHE-CONTROL: NO-STORE. |
| 0x00100000 | Antwort enthält den Header CACHE-CONTROL: MUST-REVALIDATE oder CACHE-CONTROL: PROXY-REVALIDATE. |
| 0x00200000 | Antwort enthält den Header CACHE-CONTROL: MAX-AGE oder S-MAXAGE. |
| 0x00400000 | Antwort enthält den Header VARY. |
| 0x00800000 | Antwort enthält den Header LAST-MODIFIED. |
| 0x01000000 | Antwort enthält den Header EXPIRES. |
| 0x02000000 | Antwort enthält den Header SET-COOKIE. |
| 0x04000000 | Antwort enthält den Header WWW-AUTHENTICATE. |
| 0x08000000 | Antwort enthält den Header VIA. |
| 0x10000000 | Antwort enthält den Header AGE. |
| 0x20000000 | Antwort enthält den Header TRANSFER-ENCODING. |
| 0x40000000 | Antwort soll nicht zwischengespeichert werden. |
| Wert | Beschreibung |
|---|---|
| 0:3.95 | Windows 95 (16-Bit) |
| 2:4.10 | Windows 98 (32-Bit) |
| 2:4.0 | Windows 95 (32-Bit) |
| 3:4.0 | Windows NT 4.0 |
| 3:5.0 | Windows 2000 |
4. Abschliessendes
Die Protokolldateien dienen u.a. der integrierten Berichtsfunktion als Datenquelle. Ferner gibt es viele Zusatztools zur (grafischen) Darstellung der Protokollinformationen.
Stand: Friday, 28. August 2009/DR.
