 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
可以使用 ISA 服务器日志来监视和分析 Microsoft 防火墙服务的状态。
下表列出了可以包含在每个 ISA 服务器日志文件中的字段。请注意,在 ISA 服务器日志格式中,如果禁用某个字段,则该字段在日志中显示为带有连字符 (-)。在万维网联合会 (W3C) 日志文件格式中,该字段将不显示。
字段列将引用 ISA 服务器文件格式的位置。
可以限制保存到日志中的字段。有关说明,请参阅指定要记录日志的字段。
| 字段 | 防火墙 (W3C) | 防火墙 (MSDE) | 描述 |
|---|---|---|---|
| 1 | 计算机 | 服务器名 | 运行 ISA 服务器的计算机的名称。该名称是在 Microsoft Windows 中指派的计算机名。 |
| 2 | 日期 | 时间戳 | 日志事件发生的日期,是根据 ISA 服务器计算机上设置的时间和日期而定。这是一个 Microsoft 数据引擎 (MSDE) 格式的时间戳,其中包括日期和时间。 |
| 3 | 时间 | 不适用 | 日志事件发生的时间,是根据 ISA 服务器计算机上设置的时间和日期而定。在 W3C 格式中,它是以世界时 (UTC) 的形式。 |
| 4 | IP 协议 | 协议 | 指定用于连接的传输协议。该值一般为 TCP 和用户数据报协议 (UDP)。 |
| 5 | 源 | 源 IP | 发出请求的客户端的 IP 地址。源字段包含除 MSDE 以外的所有格式的 IP 地址和端口。在 MSDE 中,SourceIP 和 SourcePort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。 |
| 5 | 源端口 | (仅限于 MSDE)对于 ICMP 数据包,此字段表示 ICMP 类型。在 MSDE 中,SourceIP 和 SourcePort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。 | |
| 6 | 目标 | 目标 IP | 为当前连接提供服务的远程计算机的网络 IP 地址。“目标”字段包含除 MSDE 以外的所有格式的 IP 地址和端口。在 MSDE 中,DestinationIP 和 DestinationPort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。 |
| 6 | 目标端口 | (仅限于 MSDE)对于 ICMP 数据包,此字段表示 ICMP 代码。在 MSDE 中,DestinationIP 和 DestinationPort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。 | |
| 7 | 原始客户端 IP | 原始客户端 IP | 发出请求的客户端的 IP 地址。 |
| 8 | 源网络 | 源网络 | 发出请求的网络的名称。 |
| 9 | 目标网络 | 目标网络 | 为当前请求提供服务的网络的名称。 |
| 10 | 操作 | 操作 | 指定使用的应用程序方法。常见的值有 CONNECT、BIND、SEND、RECEIVE、GHBN (GetHostByName) 以及 GHBA (GetHostByAddress)。 |
| 11 | 状态 | 结果代码 | 该字段表示请求的状态。有关一些可能值的表格,请参阅结果代码日志值。 |
| 12 | 规则 | 规则 | 它反映了以下规则:要么允许访问请求,要么拒绝访问请求。 |
| 13 | 应用程序协议 | 应用程序协议 | 基于协议定义指定应用程序协议的名称,如果无法确定应用程序协议,则为“Unidentified IP Traffic”(无法识别的 IP 通讯)。 |
| 14 | 双向 | 双向 | 指定 ApplicationProtocol 是否是双向的(发送和接收)。 |
| 15 | 发送字节数 | 发送字节数 | 在当前连接中,从源客户端向目标服务器发送的字节数。如果该字段中包含连字符 (-)、零 (0) 或负数,则表明该信息不是由目标计算机提供的,或者没有向目标计算机发送任何字节。 |
| 16 | 中间发送的字节数 | 发送字节增量 | 在当前连接过程中,已由源客户端向目标计算机发送的字节数。 |
| 17 | 接收字节数 | 接收字节数 | 在当前连接中,从目标计算机发送并由客户端接收的字节数。如果该字段中包含连字符 (-)、零 (0) 或负数,则表明该信息不是由目标计算机提供的,或者没有从目标计算机收到任何字节。 |
| 18 | 中间接收的字节数 | 接收字节增量 | 在当前连接过程中,目标计算机已从源客户端那里收到的字节数。 |
| 19 | 连接时间 | 连接时间 | 连接长度(以毫秒计)。 |
| 20 | 中间连接时间 | 连接时间增量 | 到目前为止的连接长度(以毫秒计)。 |
| 21 | 源代理 | 源代理 | 保留为将来使用。 |
| 22 | 目标代理 | 目标代理 | 保留为将来使用。 |
| 源名称 | 源名称 | 保留为将来使用。 | |
| 24 | 目标名称 | 目标名称 | 保留为将来使用。 |
| 25 | 用户名 | 客户端用户名 | 发出请求的用户的帐户。如果没有使用 ISA 服务器访问控制,则 ISA 服务器使用匿名。 |
| 26 | 代理 | 客户端代理 | 对于防火墙客户端,以此格式指定操作系统:<Application_Name>:<OS_Signature>。 对于 SecureNAT 客户端,此字段为空。 |
| 27 | 会话 ID | 会话 ID | 标识会话的连接。对于防火墙客户端而言,通过防火墙服务连接的每个进程都启动一个会话。对于 SecureNAT 客户端而言,对从同一个 IP 地址发起的所有连接只打开一个会话。 |
| 28 | 连接 ID | 连接 ID | 标识属于同一个套接字的项目。出站 TCP 通常对于每个连接都有两个项目:连接建立时和连接终止时。UDP 通常对于每个远程地址都有两个项目。 |
| 29 | 接口 | 接口 | 接收请求的网络适配器的主 IP 地址。 |
| 30 | IP 头 | IP 头 | 数据包的 IP 头。 |
| 31 | 协议负载 | 负载 | 数据包的 IP 负载。 |
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|