Sunday, July 22nd, 2018

Устранение неисправностей: Ведение журналов событий

Published on Февраль 6, 2009 by   ·   Комментариев нет

Введение

В этом руководстве по устранению неисправностей описываются часто встречающиеся проблемы, возникающие при ведении журналов в Microsoft Internet Security and Acceleration (ISA) Server 2004 Standard Edition и ISA Server 2004 Enterprise Edition. Также детально рассматриваются действия по устранению данных проблем.

Разделы документа:

  • Общие проблемы ведения журналов. Описывается устранение неисправностей, обычных для всех форматов журнала: файл, базы данных Microsoft SQL Server 2000 Desktop Engine (MSDE) или база данных SQL.
  • Проблемы журналов в формате MSDE. Описывается устранение неисправностей при ведении журналов в формате базы данных MSDE.
  • Проблемы журналов в формате SQL. Описывается устранение неисправностей при ведении журналов в формате базы данных.

Общие проблемы ведения журналов

В данном разделе описываются проблемы при ведении журналов в любом формате: файл, MSDE или SQL.

В журнале отображаются запросы от анонимных пользователей

Проблема: Анонимный доступ блокирован, но в журнале отображаются запросы от анонимных пользователей.

Причина: При запросе аутентификации пользователя соединение ведет себя следующим образом:

  • Пользователь посылает анонимный запрос. ISA-сервер отвечает ошибкой 407 и завершает соединение. Анонимный запрос записывается в журнал.
  • Пользователь посылает тот же самый запрос с опцией Keep-Alive и информацией аутентификации NTLM. ISA-сервер снова отвечает ошибкой 407 и запросом аутентификации. Соединение не прерывается. Еще один анонимный запрос записывается в журнал.
  • Пользователь посылает тот же самый запрос с ответом аутентификации. Теперь запрос аутентифицирован и принят.

Решение: Убедитесь, что за анонимными запросами следуют запросы реального, аутентифицированного пользователя.

В ином случае возможно, что политика брандмауэра настроена неправильно.

Имя пользователя заменено символом «?»

Проблема: В файле журнала в поле Имя пользователя стоит знак вопроса (?).

Причина: Знак вопроса говорит о том, что пользователь не аутентифицировался. Это происходит при запросе от клиента брандмауэра. Клиент брандмауэра всегда посылает имя пользователя, и потому оно всегда отображается в журнале. Однако, в случае, если политикой брандмауэра не установлено требование аутентификации, имя пользователя записывается как знак вопроса.

Решение: Если вы хотите, чтобы в журнале отображалось имя пользователя, а не вопросительный знак, настройте политику брандмауэра на требование аутентификации.

В журнал пишутся IP-адреса, а не имена пользователей

Проблема: в файл журнала пишутся IP-адреса, а не имена пользователей.

Причина: Если соединение создано клиентом SecureNAT, а не клиентами (аутентифицированными) клиентов web-прокси или брандмауэра, в журнал пишется только IP-адрес. Имя пользователя в этом случае определить невозможно.

Решение: Если вам требуются имена пользователей, установите программное обеспечение клиента брандмауэра.

Невозможно найти информацию аутентификации

Проблема: В файле журнала нет информации об аутентификации клиента (имени пользователя).

Причина: ISA-сервер не всегда требует от клиентов аутентификацию. Если клиент не аутентифицирован, ему дается анонимный доступ и информация об аутентификации в журнал не записывается.

Решение: Путем настройки свойств входящих и исходящих web-запросов можно настроить ISA-сервер на то, чтобы он всегда требовал у клиентов web-прокси аутентификации.

Для настройки методов аутентификации на web-приемнике (входящие запросы) выполните следующее:

  1. В консоли управления ISA-сервером выберите пункт Firewall Policy (Политика брандмауэра):
    • Для ISA Server 2004 Enterprise Edition для политики уровня массива раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Имя_массива и нажмите Firewall Policy (Политика брандмауэра).
    • Для ISA Server 2004 Standard Edition раскройте узел Microsoft Internet Security and Acceleration Server 2004, далее Имя_сервера и нажмите Firewall Policy (Политика брандмауэра).
  2. На вкладке Toolbox (Панель инструментов) нажмите Network Objects (Сетевые объекты).
  3. Раскройте узел Web Listeners (Web-приемники) и нажмите на нужный web-приемник.
  4. В панели инструментов нажмите Edit (Редактировать).
  5. На вкладке Preferences (Предпочтения) нажмите Authentication (Аутентификация).
  6. Выберите пункт Require all users to authenticate (Требовать аутентификацию всех пользователей) для того, чтобы заставить пользователей сети аутентифицироваться с помощью выбранных методов аутентификации.

Для настройки аутентификации клиентов Web-прокси выполните следующее:

  1. В консоли управления ISA-сервером выберите пункт Networks (Сети):
    • Для ISA Server 2004 Enterprise Edition для политики уровня массива раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Имя_массива, далее Configuration (Настройка) и Networks (Сети).
    • Для ISA Server 2004 Standard Edition раскройте узел Microsoft Internet Security and Acceleration Server 2004, далее Имя_сервера, нажмите Configuration (Настройка) и Networks (Сети).
  2. Щелкните по вкладке Networks (Сети) и выберите необходимую сеть.
  3. На вкладке Tasks (Задачи) нажмите Edit Selected Network (Редактировать выбранную сеть).
  4. На вкладке Web Proxy (Web-прокси) нажмите Authentication (Аутентификация).
  5. Выберите пункт Require all users to authenticate (Требовать аутентификацию всех пользователей) для того, чтобы заставить пользователей сети аутентифицироваться с помощью выбранных методов аутентификации.

В журнал пишутся адреса 0.0.0.0

Проблема: В журнале web-прокси появляются IP-адреса 0.0.0.0, показывающие ресурс назначения запроса.

Причина: В некоторых случаях в качестве ресурса назначения доступны только адреса URL. В этом случае IP-адрес записывается в виде 0.0.0.0. Это происходит, если запрос был запрещен или для него не было выполнено разрешение имен DNS.

Решение: Для определения IP-адреса URL запустите следующую команду:

ping имя_URL

При запрете запроса правилом в журнал пишется пустое значение

Проблема: При запрете запроса правилом в поле Rule (Правило) пишется значение «-» (пустое).

Причина: В поле Rule (Правило) пишется пустое значение в том случае, если ISA-сервер запрещает соединение по какой-либо причине, не связанной с правилом политики. В поле Result Code (Код результата) пишется причина. Например, правило может быть запрещено по следующим причинам:

  • Между источником и приемником не были определены сетевые отношения.
  • ISA-сервер считает трафик спуфингом.
  • Запрос поступил от клиента с большим количеством открытых соединений.

В журнал пишется пустое значение типа содержимого

Проблема: В поле MIME type (MIME-тип) пишется значение «-» (пустое) типа.

Причина: В поле MIME type (MIME-тип) пишется значение «-» (пустое), если ответ сервера назначения не содержит заголовка типа содержимого. ISA-сервер пишет в журнал информацию о типе содержимого только в случае, если ответ сервера назначения содержит заголовок типа содержимого.

Ложные записи в журнале

Проблема: В журнал пишется предупреждение о сканировании всех портов с IP-адреса внутренней сети. Создается ложное предупреждение.

Причина: Иногда ложные предупреждения создаются, если API WinINet (Microsoft Windows Internet) и службы Windows HTTP (WinHTTP) для уменьшения сетевых пакетов сбрасывают соединения, и не закрывают их должным образом. В частности это происходит при ответе от предыдущего сервера. В этом случае ISA-сервер создает предупреждение о сканировании всех портов.

Решение: Для того чтобы убедиться, что предупреждение было ложным, проверьте следующее:

  • В журнале ISA-сервера содержится трафик к IP-адресу.
  • Дата и время, указанные в журнале, соответствуют пакету, который, в свою очередь, соответствует последнему обратному соединению (IP-адресы и порты источника и ресурса назначения поменялись местами) от ISA-сервера к предыдущему серверу.

Слишком много информации

Проблема: В журнал пишется слишком много информации.

Причина: По умолчанию при создании правила все запросы, попадающие по него, пишутся в журнал. Поскольку правило по умолчанию запрещает весь трафик, любой запрос, не разрешенный созданными вами правилами, пишется в журнал. Именно это может переполнять файл журнала.

Решение: Если вы заметили, что с данного ресурса или по данному протоколу в журнал пишется слишком много информации, создайте новое правило, которое будет применяться к этому типу трафика и настройте его так, чтобы запросы не писались в журнал. Например, если ваша политики не разрешает DHCP-запросы, они запрещены. Вместо использования правила по умолчанию, создайте новое правило доступа, запрещающее DHCP-запросы, но не записывающее их в журнал.

Для записи в журнал запросов, подчиняющихся правилу, выполните следующее:

  1. В консоли управления ISA-сервером выберите пункт Firewall Policy (Политика брандмауэра) (для Standard Edition и для запросов уровня массива в Enterprise Edition) или Enterprise Policies (Политики предприятия) (для запросов уровня предприятия в Enterprise Edition):
    • Для ISA Server 2004 Enterprise Edition для политики уровня предприятия раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Enterprise (Предприятие), далее Enterprise Policies (Политики предприятия) и нажмите Политика_предприятия.
    • Для ISA Server 2004 Enterprise Edition для политики уровня массива раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Имя_массива и нажмите Firewall Policy (Политика брандмауэра).
    • Для ISA Server 2004 Standard Edition раскройте узел Microsoft Internet Security and Acceleration Server 2004, далее Имя_сервера и нажмите Firewall Policy (Политика брандмауэра)
  2. В окне деталей щелкните по правилу, для которого вы хотите включить запись в журнал.
  3. На вкладке Tasks (Задачи) нажмите Edit Selected Rule (Редактировать выбранное правило).
  4. На вкладке Action (Действие) отметьте пункт Log requests matching this rule (Записывать в журнал запросы, подчиняющиеся правилу).

    Не отображается журнал

Запрос прерван из-за ошибки

Проблема: Возникает сообщение об ошибке: «Запрос прерван из-за ошибки, возникшей при его выполнении».

Причина: Неправильно настроены разрешения на таблицу базы данных SQL-сервера.

Решение: На компьютере с SQL-сервером убедитесь, что на соответствующие таблицы было дано разрешение на выборку (SELECT) для пользователей, прошедших аутентификацию на SQL-сервере.

Отображаются поля журнала, которые не были выбраны

Проблема: Некоторые поля журнала брандмауэра и web-прокси отображаются, даже если они не были выбраны для отображения в журнале.

Причина: Это известная проблема. Некоторые поля отображаются в журнале, даже если они не были выбраны для отображения при настройке журнала.

В журнале брандмауэра отображаются следующие поля:

  • Action (Действие)
  • Server (Сервер)
  • Resultcode (Код результата)

В журнале web-прокси отображаются следующие поля:

  • Server Name (Имя сервера)
  • Transport (Протокол)
  • Bytes Received (Получено, байт)
  • Bytes Sent (Послано, байт)
  • Service (Служба)
  • Authenticated Client (Клиент, прошедший аутентификацию)
  • HTTP Status Code (Код состояния HTTP)
  • Action (Действие)

Решение: Данную проблему исправить нельзя.

Ошибка удаления журнала

Проблема: Возникает событие Log Deletion Failure (Ошибка удаления журнала).

Причина: Ошибка при удалении журнала может возникать при блокировке базы данных.

Решение: Запустите утилиту osql, которую можно найти на компьютере с SQL-сервером в папке \Program Files\Microsoft SQL Server\80\Tools\Binn\. В командной строке наберите следующее:

OSQL.EXE» –E –S <имя_сервера >\msfw

Затем в командной строке наберите:

sp_who2

Go

Появится список сессий SQL-объектов.

Если после запуска программы список SQL-объектов пуст, проверьте файл журнала ошибок MSDE с именем ERRORLOG, который расположен в папке \Program Files\Microsoft SQL Server\MSSQL$MSFW\LOG, и убедитесь, что в списке нет баз ISA-сервера. В частности проверьте следующее:

  • «udopen: Ошибка операционной системы, 32(Процесс не получил доступа к файлу, поскольку данный файл используется другим процессом.), во время создания/открытия физического устройства d:\logfiles\ISALOG_20041120_FWS_000.mdf.»
  • «FCB::Ошибка открытия: Невозможно открыть устройство d:\logfiles\ISALOG_20041120_FWS_000.mdf для виртуального номера устройства (VDN) 1.»

Если база больше не нужна, запустите утилиту osql, как было описано выше. Затем введите:

Drop database <Имя_базы_данных>

Go

Указанная база данных будет удалена. Теперь вы можете безопасно удалить ее.

Создаются большие файлы журналов

Проблема: Создаются файлы журналов брандмауэра большого размера. Некоторые могут быть размером в 1 ГБ и более. Эти файлы могут переполнить жесткий диск, на котором они хранятся. По умолчанию, файлы журнала брандмауэра хранятся в сжатом виде в папке C:\Program Files\Microsoft ISA Server\ISALogs.

Причина: Такое может случиться, если внешний адаптер ISA-сервера соединен с сетью, которая использует большой широковещательный NetBIOS-трафик.

Решение: Для того чтобы избежать этой проблемы, выполните следующее:

  • Сократите влияние внешнего адаптера к широковещательным рассылкам. Один из способов сделать это – использовать для связи с сетью коммутатор.
  • Сократите набор полей для записи в журнал.
  • Отключите запись в журнал.

Для изменения настроек журнала выполните следующее:

  1. В консоли управления ISA-сервером выберите пункт Monitoring (Наблюдение):
    • Для ISA Server 2004 Enterprise Edition для политики уровня массива раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Имя_массива и нажмите Monitoring (Наблюдение).
    • Для ISA Server 2004 Standard Edition раскройте узел Microsoft Internet Security and Acceleration Server 2004, далее Имя_сервера и нажмите Monitoring (Наблюдение).
  2. В окне деталей выберите вкладку Logging (Журналы).
  3. В панели задач нажмите Configure Firewall Logging (Настроить журналы брандмауэра). Затем выполните следующее:
    • Для сокращения набора полей для записи в журнал выберите вкладку Fields (Поля) и уберите отметки с полей, которые вы не хотите писать в журнал.

      Невозможно найти удаленный сервер решение проблемы

    • Для отключения записи в журнал на вкладке Log (Журнал) уберите отметку с пункта Enable logging for this service (Включить запись в журнал для данной службы).

      Журнал неисправностей

Создаются новые журналы

Проблема: Создаются новые журналы брандмауэра и web-прокси.

Причина: При перезапуске службы Microsoft Firewall по умолчанию создаются новые журналы брандмауэра и web-прокси.

Решение: Можно не обращать внимания на создание этих журналов. Поскольку журналы подчиняются политике обслуживания, они будут со временем удалены в соответствии с настройками обслуживания.

Проблемы ведения журналов в формате MSDE

В этом разделе описываются проблемы при ведении журналов в базе данных MSDE.

Невозможно удалить MSDE

Проблема: В Панели Управления при использования апплета Добавить/Удалить программы невозможно изменить параметры ISA-сервера и удалить функцию Advanced Logging (Расширенная запись в журналы).

Причина: Вы не можете удалить функцию Advanced Logging (Расширенная запись в журналы) при настройке ISA-сервера (или любого из членов массива в Enterprise Edition) на запись журнала в базу данных MSDE.

Решение: Перед удалением функции Advanced Logging (Расширенная запись в журналы) переключитесь на запись журналов в текстовом формате. Обратите внимание, что вы должны обладать полномочиями на уровне массива для переключения формата журналов.

Невозможно удаленно соединиться с базой данных MSDE

Проблема: Невозможно удаленно соединиться с базой данных MSDE с ISA-сервера.

Причина: В реализации MSDE, используемой ISA-сервером, сетевые протоколы отключены. Поэтому с ней нельзя соединиться удаленно. Соединение возможно только с использованием консоли управления SQL, установленной на компьютере ISA-сервера.

Решение: Для соединения с базой данных MSDE используйте консоль управления SQL на ISA-сервере.

В программе автономного просмотра журнала не запускаются запросы

Проблема: В программе автономного просмотра журнала не запускаются запросы.

Причина: При удалении файла базы данных MSDE 2000 без отсоединения его от MSDE 2000, в программе автономного просмотра журнала запросы могут не запускаться.

Решение: ISA-сервер поддерживает автоматическую очистку файлов баз данных. Кроме этого вы можете удалить файл базы данных MSDE 2000 вручную. Перед удалением не забудьте отсоединить базу данных от MSDE.

Проблемы при ведении журналов в формате SQL

В этом разделе описываются часто встречающиеся проблемы при ведении журнала в базе данных SQL.

Версии SQL

Проблема: При использовании сервера SQL Server Workgroup Edition для записи журналов ISA-сервера, запись не работает.

Причина: ISA-сервер может записывать журналы в любую базу данных (включая SQL Server Workgroup Edition) при условии соблюдения следующих параметров:

  • Технология поддерживает команды стандарта T-SQL.
  • База данных может быть определена в системном имени источника данных (data source name — DSN).
  • Технология соответствует параметрам производительности ISA-сервера.

Решение: Используйте любую технологию баз данных, соответствующую этим параметрам. Сервер SQL Server Workgroup Edition соответствует данным условиям.

Ошибка времени ожидания SQL-сервера

Проблема: Запись в журнал невозможна из-за ошибки времени ожидания SQL-сервера.

Причина: Возможно, неверно настроен доступ к SQL-серверу.

Решение: Проверьте правильность настройки доступа к SQL-серверу. На SQL-сервере на вкладке Logging Options (Параметры записи журнала) нажмите Test (Проверка). Инструкции можно посмотреть в статье Настройка записи журнала в базу данных SQL. Если проверка не прошла успешно:

  • Проверьте работу SQL-сервера.
  • Проверьте правильность установки разрешений базы данных, таблицы и пользователя.
  • Проверьте, включено ли правило системной политики для записи журнала на удаленный SQL-сервер.
  • Создайте правило доступа, разрешающее доступ к порту на компьютере с SQL-сервером, если был указан не порт по умолчанию (1433)
  • Проверьте, не превышена ли квота памяти SQL-сервера.
  • Проверьте, работает ли разрешение имен DNS на SQL-сервере. При использовании шифрования данных, запросы обратного просмотра DNS на SQL-сервера должны разрешаться для всех членов массива.

Ошибка доступа к процедуре sp_batch_insert

Проблема: Служба Firewall может выдать отчет об ошибке доступа к процедуре sp_batch_insert, что выражается в невозможности продолжения работы службы, вследствие чего ISA-сервер блокируется. В таком случае появляется следующее событие:

The Microsoft Firewall failed to log information to MSDE

Database ISALOG_20041217_FWS_001 in path D:\Program Files\Microsoft

ISA Server\ISALogs. The MSDE Error description is: Could not find

stored procedure ‘sp_batch_insert’.. The problem may be resolved by restarting

the MSSQL$MSFW service.

Причина: Слишком много активных журналов.

Решение: Уменьшите число журналов, обслуживающихся MSDE.

В журнале событий после изменения расположения папки журналов по умолчанию появляется событие 11002

Проблема: После изменения места расположения папки журналов по умолчанию при записи журналов в файл или в базу данных MSDE 2000 появляется следующее событие: Событие 11002 Служба Microsoft Firewall не может запуститься. Ошибка возникла во время создания модуля журнала из-за того, что свойство PropertyName не верно. Описание ошибки: Неверный синтаксис имени файла, имени каталога или имени диска.

Причина: Для папки журналов не были верно настроены разрешения.

Решение: Убедитесь, что разрешения настроены верно. Служба Network Service должна прочитать разрешения из корневого раздела и любой родительской папки. Для самой папки журналов требуются следующие разрешения:

  • Network Service: Полный доступ
  • System: Полный доступ
  • Administrators: Полный доступ

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]