Recursos de Monitoramento do ISA Server 2004
Nesta página
Visão geral
Monitorando Cenários
Apêndice A: Campos de Log
Visão geral
O Microsoft® Internet Security and Acceleration (ISA) Server 2004 fornece uma variedade de ferramentas de monitoramento para ajudá-lo a controlar o status da rede e o tráfego do ISA Server, tornando mais fácil garantir que a rede esteja funcionando como esperado, e a começar a solucionar os problemas onde for necessário. Os principais recursos de monitoramento incluem:
-
Dashboard. O Dashboard do ISA Server resume informações de monitoramento em sessões, alertas, serviços, relatórios, conectividade e integridade do sistema geral. O Dashboard fornece uma visualização rápida sobre o funcionamento da rede.
-
Alertas. Os alertas do ISA Server avisam quando eventos especificados ocorrem. Você pode configurar as definições de alerta para disparar uma série de ações quando ocorrer um evento. O alerta do ISA Server age como um distribuidor e um filtro de evento. Ele é responsável por capturar eventos, verificar se determinadas condições são atendidas e tomar as respectivas medidas.
-
Sessões. Você pode exibir todas as conexões ativas. A partir de um modo de exibição Sessão, é possível classificar ou desconectar sessões individuais ou em grupos. Além disso, você pode filtrar as entradas na interface da sessão para focalizar as sessões de interesse usando o recurso de filtragem de sessões internas.
-
Serviços. Você pode usar o modo de exibição Serviços no monitoramento para verificar o status dos serviços do ISA Server e para interromper e iniciar o serviço do Microsoft Firewall, do Agendador de Tarefas do Microsoft ISA Server e do Microsoft Data Engine.
-
Relatórios. É possível usar os recursos de relatório para resumir e analisar os padrões de uso, bem como monitorar a segurança da rede.
-
Conectividade. Você pode usar os verificadores de conectividade para examinar as conexões de um nome de computador, endereço IP ou URL específicos. Use os seguintes métodos para determinar a conectividade: Ping, protocolo TCP conectado a uma porta ou protocolo HTTP GET.
-
Log. É possível exibir os logs do firewall e do proxy da Web em tempo real. Você pode consultar os arquivos de log usando o recurso de consulta de log interno. Os logs do Microsoft Data Engine (MSDE) também podem ser consultados sobre informações contidas em qualquer campo registrado nos logs.
Estes recursos de monitoramento podem ser acessados do nó Monitoring no ISA Server Management, como mostrado na figura abaixo.
O Dashboard
O modo de exibição Dashboard está disponível no nó Monitoring do ISA Server Management. O modo de exibição Dashboard padrão exibe as seguintes informações:
-
Conectividade. Verifica a conectividade do ISA Server em outros computadores (ou URLs) definida pelo administrador do sistema.
-
Alertas. Lista os eventos que ocorreram no computador com ISA Server.
-
Serviços. Lista os serviços ativos nos computadores com ISA Server que estão funcionando no momento.
-
Sessões. Lista as sessões de cliente ativas.
-
Relatórios. Lista os últimos relatórios executados no sistema.
-
Desempenho do Sistema. Exibe informações de desempenho sobre o computador com ISA Server.
O modo de exibição Dashboard é mostrado na figura a seguir.
Para obter mais informações sobre outros recursos de monitoramento, consulte a Ajuda online do ISA Server.
Monitorando Cenários
No ISA Server 2000, um sniffer de rede ou Monitor de Rede (netmon) foi usado para solucionar problemas comuns de rede que agora podem ser diagnosticados usando as ferramentas de monitoramento interno. A seguinte seção fornece alguns exemplos de como os recursos de monitoramento do ISA Server podem ser usados para diagnosticar problemas. Nos exemplos a seguir, a configuração de rede simples mostrada na figura será usada.
Usando Verificadores de Conectividade
Você pode configurar os verificadores de conectividade para monitorar servidores de rede importantes.
Criando um Verificador de DNS
Crie um verificador de DNS para monitorar o status do servidor DNS local usando as seguintes etapas.
-
No nó Monitoring do ISA Server Management, clique na guia Connectivity.
-
No painel de tarefas, clique em Create New Connectivity Verifier.
-
Em New Connectivity Verifier Wizard, especifique um nome para o verificador e clique em Next.
-
Na página Connectivity Verification Details, configure o verificador. Especifique um nome de servidor, endereço IP ou URL e especifique uma categoria para o verificador. Selecione um método de verificação. Clique em Next e em Finish para concluir o assistente.
Depois que o verificador de DNS for criado, você pode monitorar o servidor usando a guia Connectivity do Dashboard.
Observação
Ao escolher um método de verificação, é preferível estabelecer uma conexão TCP com a porta 53 para enviar uma solicitação de ping. Isso porque garante que você está conectando-se ao serviço em vez de usar cache local, arquivos Hosts, lmhost ou WINS para resolução de nome.
Criando um Verificador de Active Directory
O mesmo método para criar um verificador de DNS pode ser usado para criar um verificador a fim de garantir que o Active Directory esteja respondendo. Neste caso, selecione LDAP.
Log
Você pode usar logs antigos, monitorar em tempo real e filtrar logs baseados em expressões. Esta funcionalidade torna o recurso de log útil como uma ferramenta de solução de problemas em tempo real. É possível filtrar logs em tempo real e selecionar uma seção de tempo registrado pelos arquivos de log atuais. Você pode executar uma consulta selecionando um número de expressões de filtro e salvar o filtro para uso futuro. Por exemplo, para monitorar uma atividade de navegação na Web de um usuário€™ específico, use as seguintes etapas.
-
No nó Monitoring do ISA Server Management, clique na guia Logging.
-
No painel de detalhes, clique em Edit Filter. Em Filter by, selecione Client Username, em Condition, selecione Equals e em Value, adicione o nome de usuário que você deseja monitorar. Em seguida, clique em Add To List.
-
Clique em Start Query.
A consulta será executada, permitindo que você monitore o tráfego em tempo real para o usuário. Observe que para monitorar o usuário, as regras de acesso devem atender ao usuário a ser autenticado.
Você pode copiar os resultados de uma consulta para a área de transferência e colá-los em um aplicativo como uma planilha do Excel. Para obter mais informações sobre o visualizador de log, consulte a Ajuda online do ISA Server.
Solução de Problemas de Cenários
Esta seção explica como solucionar problemas quando um site não está disponível e quando as mensagens de email SMTP não estão fluindo através do ISA Server.
Cenário 1: Site Não Disponível
Neste cenário, um servidor da Web externo não está disponível para usuários da rede. Os recursos de monitoramento podem ajudá-lo a identificar o problema, usando as seguintes etapas.
-
Na guia Monitoring do ISA Server Management, clique na guia Connectivity.
-
No painel de tarefas, clique em Create New Connectivity Verifier.
-
Em New Connectivity Verifier Wizard, especifique um nome para o verificador e clique em Next.
-
Especifique o nome do site que não está disponível e selecione Send an HTTP "GET" request.
-
Monitore a guia Connectivity conforme o ISA Server verifica a URL.
Ver a imagem no tamanho normalNeste caso, uma falha na resolução de DNS causou o problema.
-
Na guia Alerts, uma mensagem de erro mais detalhada pode ser vista.
Especificando o Endereço IP
De maneira alternativa, se você souber o endereço IP do site que não pode ser acessado, poderá especificá-lo no assistente.
Quando o HTTP GET falha, a seguinte mensagem é exibida na guia Alerts.
Isso indica que não há resposta para as solicitações HTTP Get do ISA Server do site.
Quando você executa uma consulta de log para um período de tempo, vê o seguinte.
Ver a imagem no tamanho normal
Indica que você não pôde estabelecer uma conexão HTTP. (O ISA Server não está bloqueando a solicitação e há conectividade.) Como não há resposta para a solicitação GET, isso indica que o computador está respondendo, porém o site pode estar indisponível.
Cenário 2: As Mensagens de Email SMTP Não Estão Fluindo através do ISA Server
Outro cenário comum ocorre quando as mensagens de email SMTP não estão fluindo para um servidor Exchange ou SMTP. Neste caso, especifique uma conexão TCP com a porta 25 do SMTP para o verificador de conectividade.
Você pode usar um verificador para examinar as comunicações com o servidor Interno ou Externo. Também é possível verificar se há conectividade do computador com ISA Server.
Se nenhum lado indicar erros de conectividade, verifique a guia Logging.
Para criar um filtro de log de SMTP, use as seguintes etapas.
-
No nó Monitoring do ISA Server Management, selecione a guia Logging.
-
No painel de detalhes, clique em Edit Filter.
-
Para registrar todo o tráfego do SMTP, siga um destes procedimentos:
-
Em Filter by, selecione Destination Port e em Condition, selecione Equals. Em Value, especifique 25.
-
De maneira alternativa, em Filter by, selecione Protocol e em Condition, selecione Equals. Em Value, selecione SMTP.
-
-
Clique em Add to list e em Start query.
Tente enviar um email SMTP e monitore a guia Logging. Neste exemplo, a consulta mostra que o ISA Server está permitindo o tráfego.
Ver a imagem no tamanho normal
Se o ISA Server estiver bloqueando o tráfego do SMTP, você verá que a regra está bloqueada no log da seguinte maneira.
Ver a imagem no tamanho normal
Se não houver regra permitindo o tráfego do SMTP, você pode ver o seguinte.
Ver a imagem no tamanho normal
Mostra que o ISA Server negou o tráfego. Neste caso, não há regra definida. O campo de código de resultado e o código de erro podem fornecer mais detalhes sobre a razão da falha.
Apêndice A: Campos de Log
A seguinte tabela lista os campos e as descrições disponíveis no log.
Nome descritivo |
Descrição |
---|---|
Duração do Log |
A duração (no formato de hora local do servidor) do evento. |
IP do Host de Destino |
O endereço IP da rede para o computador remoto que fornece serviço para a conexão atual. |
Porta de Destino |
O número da porta reservada no computador remoto que fornece serviço para a conexão atual. Ela é usada pelo aplicativo cliente iniciando a solicitação. |
Protocolo |
O protocolo do aplicativo usado para a conexão. Os valores comuns são HTTP, FTP, Gopher e HTTPS. |
Ação |
A ação a ser realizada para o pacote. O status da ação pode incluir Conexão Negada, Conexão Fechada ou Conexão Estabelecida. |
Regra |
O nome da regra aplicada. Se nenhuma regra corresponder, a Regra de Negação Principal será indicada como a regra. Se o tráfego for cancelado antes de obter o mecanismo de regras, nenhuma regra será especificada no log. |
IP do Cliente |
O endereço IP do cliente que está solicitando. |
Nome de Usuário do Cliente |
A conta do usuário que está fazendo a solicitação. Se o controle de acesso do ISA Server não estiver sendo usado, o ISA Server usa o acesso anônimo. Ele também indica se o nome de usuário é autenticado. |
Rede de Origem |
Indica a rede de origem como definida no nó Configuration da guia Networks. |
Rede de Destino |
Indica a rede de destino como definida no nó Configuration da guia Networks. |
Método HTTP |
O método do aplicativo usado. Para o proxy da Web, os valores comuns são GET, PUT, POST e HEAD. |
URL |
O localizador uniforme de recursos, que é o endereço de um arquivo ou recurso na Internet. |
IP Original do Cliente |
O endereço IP que distingue conexões secundárias inversas. |
Agente do Cliente |
O tipo de aplicativo cliente enviado pelo cliente no cabeçalho HTTP. |
Cliente Autenticado |
Indica se o cliente foi autenticado com o ISA Server (somente log da Web). |
Serviço |
O nome do serviço registrado. |
Nome do Servidor |
O nome do servidor que criou o log. |
Servidor Referido |
Se o ISA Server for usado no upstream em uma configuração encadeada, indica que o nome do servidor downstream enviou a solicitação. |
Nome do Host de Destino |
O nome de domínio para o computador remoto que fornece serviço para a conexão atual. |
Transporte |
O protocolo do transporte usado para a conexão. Os valores comuns são TCP e UDP. |
Tipo de MIME |
O tipo de MIME para o objeto atual. Este campo também pode conter um hífen (-) para indicar que o campo não é usado, ou que um tipo de MIME válido não foi definido ou teve o suporte do computador remoto. |
Origem do Objeto |
A origem usada para recuperar o objeto atual. Este campo aplica-se somente ao log de serviços do proxy da Web. |
Proxy de Origem |
Se um proxy upstream for usado, isso indicará que o servidor proxy enviou a solicitação. |
Proxy de Destino |
Se um servidor proxy downstream for usado, isso indicará o servidor proxy onde o pacote foi encaminhado. Se nenhum servidor proxy downstream for usado, o endereço IP do próximo roteador de salto será registrado, junto com a porta IP de origem no ISA Server. |
Bidirecional |
Indica se o protocolo está enviando somente dados ou se ele está enviando dados e aguardando-os de volta. As difusões UDP mostrarão NÃO, porém as solicitações UDP (como as consultas DNS) mostrarão SIM, pois será necessário abrir uma porta de retorno dinamicamente. |
Nome do Host Cliente |
O nome do computador cliente. |
Informações de Filtro |
As informações do filtro HTTP. |
Interface de Rede |
O primeiro endereço IP da interface que recebeu o tráfego. |
Cabeçalho IP Simplificado |
O cabeçalho IP simplificado do pacote. |
Carga Não Processada |
Os dados não processados do pacote. |
Porta de Origem |
O número da porta que informou o registro reportado pelo serviço de Firewall. Uma porta 0€ é reportada para solicitações da Web. |
Tempo de Processamento |
O tempo total, em milissegundos, exigido pelo ISA para processar a conexão atual. |
Bytes Enviados |
O número de bytes enviados de um cliente interno para o servidor externo durante a conexão atual. Um hífen (-), um zero (0) ou um número negativo neste campo indica que essa informação não foi fornecida pelo computador remoto ou que nenhum byte foi enviado para o computador remoto. |
Bytes Recebidos |
O número de bytes enviados de um computador externo e recebidos pelo cliente durante a conexão atual. Um hífen (-), um zero (0) ou um número negativo neste campo indica que essa informação não foi fornecida pelo computador remoto ou que nenhum byte foi recebido do computador externo. |
Código de Resultado |
Este campo pode ser usado para indicar: Valores menores que 100, um código de erro do Windows (Win32). Valores entre 100 e 1.000, um código de status HTTP. Valores entre 10.000 e 11.004, um código de erro do Winsock. |
Informações de Cache |
Este número reflete o status de cache do objeto, que indica a razão do objeto estar ou não em cache. Este campo aplica-se somente ao log de serviços do proxy da Web. |
Informações de Erro |
Um número de erro do proxy da Web. Os valores possíveis são: #define ERROR_INFO_IO_RECV_FROM_CLIENT 0x00000001 #define ERROR_INFO_IO_SEND_TO_CLIENT 0x00000002 #define ERROR_INFO_IO_SEND_TO_SERVER 0x00000004 #define ERROR_INFO_IO_RECV_FROM_SERVER 0x00000008 #define ERROR_INFO_DEST_IS_MEMBER 0x00000010 #define ERROR_INFO_CLIENT_IS_MEMBER 0x00000020 #define ERROR_INFO_DURING_CONNECT 0x00000040 |
Tipo de Registro de Log |
O serviço registrado em log, por exemplo, Filtro de Proxy da Web ou Firewall. |