ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Übersicht Monitoring
Alarmkonfiguration
Konnektivitätsverifizierung
Protokollierung

 

Alarmkonfiguration


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server  2004

 

Der ISA Server bietet die Möglichkeit, eine vordefinierte Reaktion auf ein bestimmtes Ereignis auszuführen. Der ISA Server-Alarmdienst fungiert dann als Verteiler und als Ereignisfilter. Er ist für das Erfassen von Ereignissen verantwortlich, überprüft die Erfüllung bestimmter Bedingungen (z.B. Schwellenwerte) und führt die entsprechenden Aktionen aus. Eine solche Aktion kann zum Beispiel ein Eintrag im Ereignisprotokoll oder eine E-Mail an den Firewalladministrator sein.

Um dem Administrator etwas Arbeit abzunehmen, liefert der ISA Server serienmäßig eine ganze Reihe Alarmdefinitionen mit. Um die Alarmdefinitionen zu konfigurieren öffnen Sie den Aufgabenbereich im Knoten Überwachung -> Alarme:

Hier eine Aufstellung der im Auslieferungszustand enthaltenen Alarmdefinitionen und deren Aktivierungsstatus:




Bevor wir eine neue Alarmdefinition hinzufügen sollten wir uns die bestehenden am Beispiel von "Dienst gestartet" einmal genauer ansehen:

Auf der ersten Registerkarte werden Name, Beschreibung, Kategorie sowie die Information über den Schweregrad des Alarms angegeben. Hier kann außerdem der Alarm aktiviert oder deaktiviert werden, was auch in der Übersicht durch setzen oder löschen des Häkchens getätigt werden kann.

Folgende Kategorien stehen zur Auswahl:

  • Sicherheit
  • Cache
  • Routing
  • Firewalldienst
  • Andere

Folgende Schweregrade stehen zur Verfügung:

  • Fehler
  • Warnung
  • Information

Auf der zweiten Registerkarte wird der Alarm näher spezifiziert und ein Ereignis wird zugrunde gelegt.

Folgende Ereignisse sind wählbar (Auszug aus der Online-Hilfe):

Ereignis Beschreibung 
Alarmaktionsfehler  Die dem Alarm zugeordnete Aktion ist fehlgeschlagen.  
Cachecontainer-Initialisierungsfehler  Die Cachecontainerinitialisierung ist fehlgeschlagen und die Initialisierung wurde ignoriert. 
Cachecontainerwiederherstellung abgeschlossen  Die Wiederherstellung eines einzelnen Cachecontainers wurde abgeschlossen. 
Fehler bei der Cachedatei-Größenänderung  Die Größe der Cachedatei konnte nicht verkleinert werden. 
Cacheinitialisierungsfehler  Der Webcacheproxy wurde aufgrund eines globalen Fehlers deaktiviert. 
Cachewiederherstellung abgeschlossen  Der Cacheinhalt wurde wiederhergestellt. 
Cacheschreibfehler  Der Versuch, Inhalt in den Cache zu schreiben, ist fehlgeschlagen. 
Cacheobjekt verworfen  Während der Cachewiederherstellung wurde ein Objekt mit in Konflikt stehenden Informationen gefunden. Dieses Objekt wurde verworfen. 
Komponentenladefehler  Eine Erweiterungskomponente konnte nicht geladen werden.  
Konfigurationsfehler  Beim Lesen der Konfigurationsinformationen ist ein Fehler aufgetreten. 
Das Verbindungslimit wurde überschritten  Ein Benutzer oder eine IP-Adresse hat das Verbindungslimit überschritten. 
Das Verbindungslimit für eine Regel wurde überschritten  Die Anzahl der pro Sekunde für eine Regel zugelassenen Verbindungen wurde überschritten. 
Ermittlungsmechanismus gegen bösartige DHCP-Eindringversuche wurde deaktiviert  Der Ermittlungsmechanismus gegen bösartige DHCP-Eindringversuche wurde deaktiviert.  
Fehler bei Wählen bei Bedarf  Die DFÜ-Verbindung konnte nicht erstellt werden, da entweder keine Antwort empfangen wurde oder die Leitung besetzt ist. 
DNS-Zonentransfer-Eindringversuch  Ein Zonentransferangriff ist aufgetreten. 
Ereignisprotokollfehler  Die Ereignisinformationen konnten nicht im Systemereignisprotokoll protokolliert werden. In der Standardeinstellung ist dieser Alarm deaktiviert. 
Firewallkommunikationsfehler  Zwischen dem Firewallclient und dem ISA Server-Dienst ist ein Kommunikationsfehler aufgetreten. 
FTP-Filter-Initialisierungswarnung  Der FTP-Filter konnte die zugelassenen FTP-Befehle nicht analysieren. Vergewissern Sie sich, dass die Befehle im richtigen Format gespeichert sind. Befehle dürfen nicht mehr als 4 Zeichen lang sein und müssen durch ein Leerzeichen getrennt werden.  
Eindringversuch festgestellt  Ein externer Benutzer hat versucht einzudringen. 
Ungültige Zertifikatliste gefunden  Das Clientzertifikat wurde aufgrund einer ungültigen oder fehlenden Zertifikatsperrliste widerrufen. Möglicherweise ist die Zertifikatsperrliste abgelaufen, und es konnte keine gültige Zertifikatsperrliste gedownloadet werden. Stellen Sie sicher, dass die Konfigurationsgruppe für die Systemrichtlinie zum Downloaden von Zertifikatsperrlisten aktiviert ist und dass eine Verbindung zu den Sperrlisten-Verteilungspunkten besteht. 
Ungültiges DHCP-Angebot  Die IP-Adresse des DHCP-Angebots ist ungültig. 
Die Anmeldeinformationen für Wählen bei Bedarf sind ungültig.  Ungültige Anmeldeinformationen für Wählen bei Bedarf wurden ermittelt. 
Ungültige ODBC-Protokoll-Anmeldeinformationen  Der angegebene Benutzername oder das Kennwort ist für diese ODBC-Datenbank ungültig. 
IP-Spoofing  Die IP-Paketquelladresse ist ungültig. 
Ein Neustart des ISA Server-Computers ist erforderlich.  Änderungen an der Konfiguration werden erst nach dem Neustart des Computers wirksam.  
Protokollierungsfehler  Die Protokollierung für Dienstname ist fehlgeschlagen. 
Protokollspeicherlimits  Mindestens ein Protokollspeicherlimit wurde erreicht.  
Veränderte Netzwerkkonfiguration  Es wurde eine Netzwerkkonfigurationsänderung festgestellt, die ISA Server betrifft. 
Keine Ports verfügbar  Es konnte kein Netzwerksocket erstellt werden, weil keine Ports verfügbar sind. 
Keine Konnektivität  ISA Server konnte keine Verbindung mit dem angeforderten Server herstellen. 
Betriebssystem-Komponentenkonflikt  Eine der folgenden Komponenten steht in Konflikt mit dem Betriebssystem: IP-Netzwerkadressübersetzung-Editor (NAT), Gemeinsame Nutzung der Internetverbindung (ICS) oder Routing und RAS (RRAS). 
Zu großes UDP-Paket  Ein UDP-Paket (User Datagram Protocol) wurde von ISA Server verworfen, da es größer als die im Registrierungsschlüssel maximal zugelassene UDP-Paketgröße ist. 
POP-Eindringversuch  Es wurde ein POP-Pufferüberlauf (Post Office Protocol) festgestellt. 
Änderungen des Quarantänen-VPN-Clientnetzwerks  Ein Benutzer wurde aus dem Quarantänen-VPN-Clientnetzwerk entfernt. In der Standardeinstellung ist dieser Alarm deaktiviert. 
Berichtszusammenfassungs-Erstellungsfehler  Beim Erstellen der Berichtzusammenfassung aus den Protokollierungsdateien ist ein Fehler aufgetreten. 
Ressourcenzuweisungsfehler  Ein Ressourcenzuweisungsfehler ist aufgetreten. Möglicherweise stand nicht genügend Arbeitsspeicher zur Verfügung. 
Routing(verkettungs-)fehler  ISA Server konnte die Anforderung nicht an einen Upstreamserver weiterleiten. 
Routing(verkettungs-)wiederherstellung  ISA Server hat die Weiterleitung an einen Upstreamserver wieder aufgenommen. 
RPC-Filter - Bindungsfehler  RPC-Filter kann den definierten Port nicht verwenden, da er bereits verwendet wird. 
RPC-Filter: Konnektivität wurde geändert  Die Konnektivität zum Veröffentlichungs-RPC-Dienst Servername wurde geändert. Zusätzliche Schlüssel 
Serververöffentlichungsfehler  Die Serververöffentlichungsregel wurde falsch konfiguriert. 
Serververöffentlichung ist unzutreffend  Die Serververöffentlichungsregel kann nicht angewendet werden. 
Serververöffentlichung-Wiederherstellung  Die Serververöffentlichungsregel kann jetzt angewendet werden. 
Dienstinitialisierungfehler  Der Dienst konnte nicht initialisiert werden. 
Dienst antwortet nicht Ein ISA Server-Dienst wurde beendet bzw. unerwarteterweise angehalten. 
Dienst heruntergefahren  Ein Dienst wurde ordnungsgemäß beendet. %Dienstname% 
Dienst gestartet  Ein Dienst wurde ordnungsgemäß gestartet. %Dienstname% 
Langsame Konnektivität  ISA Server hat eine langsame Verbindung mit dem angeforderten Server festgestellt. 
SMTP-Filterereignis  Eine SMTP-Befehlsregel (Simple Mail Transfer Protocol) wurde verletzt. 
SOCKS-Konfigurationsfehler  Der in den SOCKS-Eigenschaften angegebene Port wird von einem anderen Protokoll verwendet. 
SYN-Angriff  Durch ISA Server wurde ein SYN-Angriff festgestellt. 
Nicht registriertes Ereignis  Ein nicht registriertes Ereignis ist aufgetreten.  
Upstreamverkettungs-Anmeldeinformationen  Die Upstreamverkettungs-Anmeldeinformationen sind ungültig. 
VPN-Verbindungsfehler  Ein VPN-Clientverbindungsversuch ist fehlgeschlagen. 

In Abhängigkeit des gewählten Ereignisses stehen verschiedene Auswahlmöglichkeiten als "Zusätzliche Bedingung" zur Verfügung.

Im Beispiel der Alarmdefinition für "Dienst gestartet" stehen folgende Bedingungen zur Verfügung:

  • Beliebiger ISA Server-Dienst
  • ISA Server-Steuerungsdienst
  • ISA Server-Firewalldienst
  • ISA Server-Auftragsplanungsdienst

In der unteren Hälfte der Registerkarte werden weitere Eigenschaften des Alarms definiert. So wird hier zum Beispiel festgelegt, wie oft das oben ausgewählte Ereignis auftreten muss, bevor ein Alarm registriert werden soll. Die ist bei häufig auftretenden Ereignissen sinnvoll. So könnte z.B. ein einmal auftretendes SMTP-Filterereignis noch nicht beunruhigend sein. Wenn dieses Ereignis jedoch mehrmals pro Sekunde auftritt ist es eher meldenswert, da dann davon auszugehen ist, dass entweder ein unberechtigter Nutzungsversuch oder ggfs. ein Kommunikationsproblem zwischen den beteiligten Mailservern vorliegt.

Die letzte Registerkarte bietet verschiedene Möglichkeiten an, welche Aktion der ISA Server ausführen soll, wenn das definierte Ereignis eingetreten ist.

Eine der möglichen Aktionen ist, eine E-Mail zu versenden. Dazu müssen lediglich ein paar Angaben gemacht werden:

Tipp: Viele Mobilfunknetzbetreiber bieten Ihren Kunden eine individuelle Mailadresse an (z.B. Rufnummer@Provider.de. Damit lassen sich recht einfach wichtige Meldungen als SMS auf das Handy des Firewalladmins übertragen - vorausgesetzt natürlich, es besteht (noch) eine Internetverbindung und der Mailserver kann diese auch nutzen ;-)

Durch eine Systemrichtlinie ist es dem ISA Server erlaubt, SMTP Verbindungen an interne Mailserver aufzubauen. Sofern diese Systemrichtlinie für Ihre individuellen Bedürfnisse nicht ausreichend ist kann sie erweitert oder durch eine zusätzliche Firewallrichtlinie ergänzt werden:

Über die Test-Funktion kann Überprüft werden, ob alle notwendigen Konfigurationen vorgenommen wurden. Wenn alles richtig ist, bekommt der Administrator aus dem Beispiel folgende E-Mail:

Zusätzlich zur oder statt der Mail-Benachrichtigung kann auch ein Programm (oder ein Script) ausgeführt werden, das wiederum verschiedene Aktionen startet. Wählen Sie dazu das Kontrollkästchen Programm aus und geben dann den an einer Eingabeaufforderung auszuführenden Befehl sowie das Konto ein, unter dem das Programm ausgeführt werden soll, wenn beim Auftreten der Alarmbedingung eine Anwendung ausgeführt werden soll.

Über die Option "In Windows-Ereignisprotokoll schreiben" wird das Ereignis im Eventlog des Computers protokolliert:

Zum Beenden des ISA Servers wählen Sie das Kontrollkästchen Ausgewählte Dienste beenden aus und klicken dann zur Auswahl der ISA Server-Dienste, die beim Auftreten der Alarmbedingungen beendet werden sollen, auf Auswählen.

An dieser Stelle können lediglich die folgenden beiden ISA Server-spezifischen Dienste ausgewählt werden:

Sollen andere Dienste gestoppt/gestartet werden als die vorgegebenen, besteht lediglich die Möglichkeit, dies per Batchfile oder Skript festzulegen und dies als Programm auszuführen.

Zum Starten von ISA Server wählen Sie das Kontrollkästchen Ausgewählte Dienste starten aus und klicken dann zur Auswahl der Dienste, die beim Auftreten der Alarmbedingungen gestartet werden sollen, auf Auswählen.

 

Vergessen Sie nicht, durchgeführte Änderungen noch zu Übernehmen:

 

In der ISA Server-Verwaltung wird die vollständige Liste aller vorgefallenen Ereignisse nach dem Alarmtyp sortiert angezeigt (Information, Warnung oder Fehler).

Im Dashboard ist eine Übersicht über den aktuellen Alarm-Zustand zu sehen:

Die Registerkarte Alarm zeigt dann nähere Details:



Durch die Auswahl des entsprechenden Alarmheaders können Sie eine ganze Gruppe von Alarminstanzen zurücksetzen. In der Alarmansicht werden Alarminstanzen der Kategorie entsprechend in Gruppen zusammengefasst (zum Beispiel Dienst heruntergefahren). Sie können die Gruppenheader erweitern oder reduzieren und so die enthaltenen Elemente anzeigen oder ausblenden.

Mithilfe der ISA Server-Verwaltung können Sie durch das Bestätigen von Ereignissen anzeigen, ob Sie ein spezifisches Ereignis oder eine Gruppe von Ereignissen bearbeiten. Wenn Sie ein Ereignis (oder eine Gruppe von Ereignissen) als anerkannt markieren, wechselt der Status der entsprechenden Ereignisse in der Alarmansicht, und diese Ereignisse werden nicht mehr in der Übersichtsansicht angezeigt.



Auf die gleiche Weise können Sie einen Alarm zurücksetzen, was zur Folge hat, dass er aus der Alarmansicht entfernt wird.

Hinweis: Gehen Sie mit den Alarm-Benachrichtigungen sorgfältig und bedächtig um. Es empfiehlt sich z.B. nicht, jedes Ereignis sofort als Mail zu versenden. In der Praxis kann es durchaus vorkommen, dass ein Server mehrere Dutzend PortScans am Tag aushalten muss. Wenn der Administrator darüber jedes mal eine Mail bekommt ist sein Postfach bald überfüllt und/oder der interne Mailserver streikt wegen Überlastung, obwohl er gar nicht das eigentliche Angriffsziel war.

Hinweis: Bei einem Neustart des ISA Server-Computers werden alle Alarme zurückgesetzt.

 

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher