Microsoft 防火墙服务日志字段

可以使用 ISA 服务器日志来监视和分析 Microsoft 防火墙服务的状态。

下表列出了可以包含在每个 ISA 服务器日志文件中的字段。请注意,在 ISA 服务器日志格式中,如果禁用某个字段,则该字段在日志中显示为带有连字符 (-)。在万维网联合会 (W3C) 日志文件格式中,该字段将不显示。

字段列将引用 ISA 服务器文件格式的位置。

可以限制保存到日志中的字段。有关说明,请参阅指定要记录日志的字段

字段 防火墙 (W3C) 防火墙 (MSDE) 描述
1 计算机 服务器名 运行 ISA 服务器的计算机的名称。该名称是在 Microsoft Windows 中指派的计算机名。
2 日期 时间戳 日志事件发生的日期,是根据 ISA 服务器计算机上设置的时间和日期而定。这是一个 Microsoft 数据引擎 (MSDE) 格式的时间戳,其中包括日期和时间。
3 时间 不适用 日志事件发生的时间,是根据 ISA 服务器计算机上设置的时间和日期而定。在 W3C 格式中,它是以世界时 (UTC) 的形式。
4 IP 协议 协议 指定用于连接的传输协议。该值一般为 TCP 和用户数据报协议 (UDP)。
5 源 IP 发出请求的客户端的 IP 地址。源字段包含除 MSDE 以外的所有格式的 IP 地址和端口。在 MSDE 中,SourceIP 和 SourcePort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。
5 源端口 (仅限于 MSDE)对于 ICMP 数据包,此字段表示 ICMP 类型。在 MSDE 中,SourceIP 和 SourcePort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。
6 目标 目标 IP 为当前连接提供服务的远程计算机的网络 IP 地址。“目标”字段包含除 MSDE 以外的所有格式的 IP 地址和端口。在 MSDE 中,DestinationIP 和 DestinationPort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。
6 目标端口 (仅限于 MSDE)对于 ICMP 数据包,此字段表示 ICMP 代码。在 MSDE 中,DestinationIP 和 DestinationPort 字段被拆分为地址和端口,从而允许通过数字对每一个进行查询。
7 原始客户端 IP 原始客户端 IP 发出请求的客户端的 IP 地址。
8 源网络 源网络 发出请求的网络的名称。
9 目标网络 目标网络 为当前请求提供服务的网络的名称。
10 操作 操作 指定使用的应用程序方法。常见的值有 CONNECT、BIND、SEND、RECEIVE、GHBN (GetHostByName) 以及 GHBA (GetHostByAddress)。
11 状态 结果代码 该字段表示请求的状态。有关一些可能值的表格,请参阅结果代码日志值
12 规则 规则 它反映了以下规则:要么允许访问请求,要么拒绝访问请求。
13 应用程序协议 应用程序协议 基于协议定义指定应用程序协议的名称,如果无法确定应用程序协议,则为“Unidentified IP Traffic”(无法识别的 IP 通讯)。
14 双向 双向 指定 ApplicationProtocol 是否是双向的(发送和接收)。
15 发送字节数 发送字节数 在当前连接中,从源客户端向目标服务器发送的字节数。如果该字段中包含连字符 (-)、零 (0) 或负数,则表明该信息不是由目标计算机提供的,或者没有向目标计算机发送任何字节。
16 中间发送的字节数 发送字节增量 在当前连接过程中,已由源客户端向目标计算机发送的字节数。
17 接收字节数 接收字节数 在当前连接中,从目标计算机发送并由客户端接收的字节数。如果该字段中包含连字符 (-)、零 (0) 或负数,则表明该信息不是由目标计算机提供的,或者没有从目标计算机收到任何字节。
18 中间接收的字节数 接收字节增量 在当前连接过程中,目标计算机已从源客户端那里收到的字节数。
19 连接时间 连接时间 连接长度(以毫秒计)。
20 中间连接时间 连接时间增量 到目前为止的连接长度(以毫秒计)。
21 源代理 源代理 保留为将来使用。
22 目标代理 目标代理 保留为将来使用。
源名称 源名称 保留为将来使用。
24 目标名称 目标名称 保留为将来使用。
25 用户名 客户端用户名 发出请求的用户的帐户。如果没有使用 ISA 服务器访问控制,则 ISA 服务器使用匿名。
26 代理 客户端代理 对于防火墙客户端,以此格式指定操作系统:<Application_Name>:<OS_Signature>。
对于 SecureNAT 客户端,此字段为空。
27 会话 ID 会话 ID 标识会话的连接。对于防火墙客户端而言,通过防火墙服务连接的每个进程都启动一个会话。对于 SecureNAT 客户端而言,对从同一个 IP 地址发起的所有连接只打开一个会话。
28 连接 ID 连接 ID 标识属于同一个套接字的项目。出站 TCP 通常对于每个连接都有两个项目:连接建立时和连接终止时。UDP 通常对于每个远程地址都有两个项目。
29 接口 接口 接收请求的网络适配器的主 IP 地址。
30 IP 头 IP 头 数据包的 IP 头。
31 协议负载 负载 数据包的 IP 负载。



请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。