TMG Back to Basics - Parte 2: Usando o TMG Firewall Log Viewer

introduo
Continuando nossa srie Back to Basics, desta vez vamos falar sobre como usar o TMG
visualizador de log do Firewall. O firewall TMG, como o firewall ISA, antes disso,
um produto que pode fazer muitas coisas boas. Ela pode servir como um firewall de
rede, frente e verso, servidor web proxy, servidor de acesso remoto VPN, site para o
servidor VPN site, web e anti- malware e filtragem de URL do servidor, estes so alguns
dos papis principais do firewall TMG pode jogar em seu rede. Mas uma caracterstica
que pode no ser aparente para o novo TMG firewall do administrador a caracterstica
poderosa e til de registro. Neste artigo, vamos fornecer uma viso geral do recurso de
log do firewall do TMG.
No h melhor maneira de entender como ele funciona do que v- lo em ao. Para
comear a nossa viso, vamos clicar nos Logs e Relatrios n no painel esquerdo do
console firewall TMG, como visto na Figura 1 abaixo.

A Figura 1
No Painel de Tarefas, na guia Tarefas, voc ver um nmero de opes disponveis para
configurar e executar a funo de registro no firewall TMG. Vamos comear clicando no link
Firewall Configurar o registro na aba Tasks, como visto na Figura 2 abaixo.

A Figura 2
Isso traz a Firewall Logging caixa de dilogo Propriedades. Na guia Log, voc pode
escolher o tipo de log que voc deseja ativar. H trs opes:
Banco de Dados SQL Server Express (no servidor local)
banco de Dados DQL
arquivo
A configurao padro SQL Server Express banco de dados (no servidor local). Se
voc deseja fazer logon em um servidor SQL off-box, voc deve selecionar a opo
Banco de dados SQL e clique no boto Opes para configurar o banco de dados SQL
do firewall TMG usaria para registro. Se voc quiser entrar em um arquivo simples,
voc pode selecionar a opo Arquivo e selecione o tipo de arquivo, neste caso, tanto
W3C Extended Log File Format e TMG formato de arquivo de log so opes
disponveis.
Assim como voc decide que melhor para voc? O log de arquivos mais rpido do
SQL extrao de madeira, mas voc tem limitadas capacidades de consulta sobre a
explorao madeireira arquivo simples, por isso, se voc no tem uma caixa-off banco
de dados SQL que voc deseja usar, eu recomendo que voc use a opo de log padro.
Clique no boto Opes para o direito do banco de dados SQL Server Express (no
servidor local) opo, que mostrado na Figura 3.

A Figura 3
Na caixa de dilogo Opes, configure o local onde voc deseja salvar os arquivos de
log, como mostrado na Figura 4. O local padro a pasta Logs na pasta de instalao
padro TMG no disco rgido local, mas voc pode selecionar outro local, digitando o
caminho completo ou navegar por ele. Voc tambm pode configurar limites de
armazenamento de arquivos de log. Os padres so:
Limitar tamanho total dos arquivos de log limitado a 8 GB por padro
Espao em disco principal livre definido como 512 MB por padro - isso impede
que o disco rgido de tornar-se completa com os arquivos de log
Limites de log principal de armazenamento por: Excluso de arquivos de log mais
antigos quando necessrio a configurao padro quando os limites forem
ultrapassados de armazenamento, voc tambm tem a opo de descartar novas entradas
se voc preferir manter as entradas antigas
Excluir arquivos mais antigos que (dias) definido como 7 por padro
Observe que a opo Compress log arquivos fica acinzentado quando foram
selecionados para registrar em um banco de dados SQL ou SQL Express. Isso porque
voc s pode comprimir os logs de arquivo simples.

A Figura 4
Clique na guia Fields, mostrado na Figura 5. Aqui voc pode especificar quais campos o firewall
TMG ir registrar para cada uma das conexes que esto conectados ao servio de firewall. Se
voc achar que seus arquivos de log so muito grandes, uma coisa que voc pode fazer para
diminuir o tamanho reduzir o nmero de campos que sero registrados para as conexes.

A Figura 5
Observe que as opes similares esto disponveis quando voc clica no link de Configurar
Proxy da Web Log na guia Tarefas no painel de tarefas.
Agora, vamos clicar no link de Configurar Queue Log na guia Tarefas no painel de tarefas. Isso
traz o registro de fila de armazenamento pasta caixa de dilogo que mostrada na Figura 6.
Aqui voc pode configurar onde voc quer colocar a fila de log. A fila de log um local de
armazenamento de entradas de log que precisam esperar o firewall para format-los
corretamente. O objetivo da fila log permitir que o firewall TMG para manter entradas de log
que poderiam ter sido perdidos porque eles estavam chegando rpido demais. Com a fila de
log do firewall TMG, essas entradas so rapidamente colocados na fila e esperar ali at que o
firewall capaz de processar as entradas de log.

A Figura 6
Agora clique no link Exibir o status Log na guia Tarefas no painel de tarefas. Isto ir
exibir o Log caixa de dilogo Status, que mostrado na Figura 7. Voc pode visualizar
as seguintes informaes aqui:
Servidor mostra o servidor onde a fila de log est sendo relatado
Atualizado at mostra o tempo para que o arquivo de log foi atualizado
Queue Log (KB) mostra o nmero de entradas de log que esto atualmente na fila de
log
Status mostra o status da fila de log
Esta toda a informao til para verificar se voc suspeitar que voc est sendo
inundado por um vrus ou worms.

A Figura 7
Em seguida, clique no link de texto Definir Log Cores na guia Tarefas no painel de
tarefas e voc ver o Defina Text Log caixa de dilogo Cores que mostrado na Figura
8. As cores padro so listadas aqui para as entradas de log mais comuns de arquivos de
interesse. Cdigo de cores das entradas do arquivo de log torna muito mais fcil para
voc obter uma representao visual rpida do que o nmero de entradas de cada tipo
existem, e para encontrar as entradas que voc est procurando. Voc pode clicar no
boto cor se voc quiser mudar a cor de qualquer uma destas entradas. Outra
caracterstica til que voc pode usar o esquema de cores e Exportao Importao
boto esquema de cores para exportar e importar esquemas de cores de outros firewalls
TMG.

A Figura 8
The Hide log IPv6 link entradas na guia Tarefas no painel de tarefas, mostrado na
Figura 9, uma opo muito til. Quando voc passa muito tempo lendo os arquivos de
log TMG, voc ver que h um nmero muito grande de transmisses IPv6 em sua rede.
Estas entradas IPv6 pode fazer o arquivo de log muito confuso e difcil "globo ocular".
Quando voc clicar neste boto, as entradas IPv6 ainda sero registrados, mas eles vo
ser escondido da vista de modo que mais fcil para voc ver as entradas do registro,
sem o barulho IPv6.

A Figura 9
Agora clique no link Editar Filtro na guia Tarefas no painel de tarefas. Aqui voc vai
ver que existem trs valores padro:
Log Record Type definida como firewall ou filtro web proxy. Voc normalmente
no vai mudar isso.
Tempo de log definido para viver - s vezes voc vai querer mudar isso
Ao definida como o status da conexo no igual - isso ajuda a reduzir o rudo
no filtro arquivo de log
Na Figura 10 abaixo, voc pode ver que eu tenha selecionado a hora de entrada do
registro e em seguida, clicar na seta para baixo para a queda Condio down box. Voc

vai ver aqui que h muitas opes para filtrar a janela de tempo para as entradas de
arquivo de log que voc deseja ver. Note que depois de alterar o valor, voc ter que
clicar no boto Atualizar para alterar o valor de filtragem.

A Figura 10
Voc pode filtrar os arquivos de log por um grande nmero de fatores. Nas Figuras 11,
12 e 13 abaixo voc pode ver as opes do filtro de lista suspensa. Quando voc
seleciona um valor na lista, voc clique na seta para baixo Condio para selecionar a
condio e, em seguida, voc definir o valor. Depois que voc fizer estas trs coisas,
voc clique no boto Adicionar Lista de modo que ele aparecer na lista de filtros.

A Figura 11

A Figura 12

A Figura 13
Na Figura 14 abaixo, selecionei a entrada IP do cliente no Filtrar por lista suspensa.
Ento eu cliquei na seta para baixo para a queda Condio down box. Aqui voc pode
ver que voc tem um nmero de opes, que permite a voc fazer drill-down para as
entradas que mais lhe interessam.

A Figura 14
Depois de fazer as selees que deseja para o filtro de log, clique no boto Iniciar Consulta.
Depois de um tempo, voc vai ver na barra de status na parte inferior do console que a
consulta feita e ele vai mostrar o nmero de entradas de arquivo de log que correspondem
aos parmetros da sua consulta, como mostrado na Figura 15.

A Figura 15
Os resultados da consulta ser exibido no console e as cores das entradas ir coincidir com
aqueles que voc configurou na caixa de dilogo log cores que vimos anteriormente. Note-se
que os nomes dos campos esto nas colunas para cada uma das entradas de arquivo de log,
como mostrado na Figura 16. Voc pode rolar para a direita para ver os detalhes de cada uma
das entradas do arquivo de log.

A Figura 16
Note que as colunas que voc v em primeiro lugar so os campos padro configurados
para ser exibido. Se h um campo que voc est interessado e ele no aparecer, voc
pode clicar uma das colunas e clique no boto Adicionar / Remover colunas de
comando, como visto na Figura 17 abaixo.

A Figura 17
Isso traz o Adicionar / Remover Colunas caixa de dilogo. No lado esquerdo uma lista
de colunas disponveis, que voc pode ver na Figura 18. Role a lista e encontrar o
campo (s) que voc est interessado e, em seguida, clique no boto Adicionar para
mov-lo para a seo de colunas exibidas. Clique em OK e, em seguida, retornar para o
console. Agora rolar para a direita e voc ver as informaes para as colunas que voc
adicionou listados para as entradas de arquivo de log que voc filtrados. Prazer!

A Figura 18
Quando voc clica em uma entrada de arquivo de log, voc pode ver mais detalhes na
seo de detalhes abaixo a lista das entradas do arquivo de log. Na Figura 19 abaixo
voc pode ver informaes detalhadas sobre a entrada, incluindo HTTP valioso e
informaes relacionadas proxy na seo de informaes adicionais.

A Figura 19
resumo
Neste "Back to Basics" artigo, mostramos- lhe uma viso de alto nvel da explorao
madeireira e registrar filtragem recursos que esto includos com o firewall TMG.
Como voc pode ver, o firewall TMG registra uma grande quantidade de informaes
sobre cada ligao feita para e atravs do firewall TMG. Voc pode usar o visualizador
de log para perfurar at as entradas que so de maior interesse para voc e para o
processo de filtragem abrangente e muito fcil de configurar. Espero que tenham
gostado desta viso geral e se voc tem alguma dvida sobre como usar o recurso de log
e filtragem includo com o firewall TMG