Recursos de Monitoramento do ISA Server 2004

Publicado em: 16 de junho de 2004

Nesta página

Visão geral
Monitorando Cenários
Apêndice A: Campos de Log

Visão geral

O Microsoft® Internet Security and Acceleration (ISA) Server 2004 fornece uma variedade de ferramentas de monitoramento para ajudá-lo a controlar o status da rede e o tráfego do ISA Server, tornando mais fácil garantir que a rede esteja funcionando como esperado, e a começar a solucionar os problemas onde for necessário. Os principais recursos de monitoramento incluem:

  • Dashboard. O Dashboard do ISA Server resume informações de monitoramento em sessões, alertas, serviços, relatórios, conectividade e integridade do sistema geral. O Dashboard fornece uma visualização rápida sobre o funcionamento da rede.

  • Alertas. Os alertas do ISA Server avisam quando eventos especificados ocorrem. Você pode configurar as definições de alerta para disparar uma série de ações quando ocorrer um evento. O alerta do ISA Server age como um distribuidor e um filtro de evento. Ele é responsável por capturar eventos, verificar se determinadas condições são atendidas e tomar as respectivas medidas.

  • Sessões. Você pode exibir todas as conexões ativas. A partir de um modo de exibição Sessão, é possível classificar ou desconectar sessões individuais ou em grupos. Além disso, você pode filtrar as entradas na interface da sessão para focalizar as sessões de interesse usando o recurso de filtragem de sessões internas.

  • Serviços. Você pode usar o modo de exibição Serviços no monitoramento para verificar o status dos serviços do ISA Server e para interromper e iniciar o serviço do Microsoft Firewall, do Agendador de Tarefas do Microsoft ISA Server e do Microsoft Data Engine.

  • Relatórios. É possível usar os recursos de relatório para resumir e analisar os padrões de uso, bem como monitorar a segurança da rede.

  • Conectividade. Você pode usar os verificadores de conectividade para examinar as conexões de um nome de computador, endereço IP ou URL específicos. Use os seguintes métodos para determinar a conectividade: Ping, protocolo TCP conectado a uma porta ou protocolo HTTP GET.

  • Log. É possível exibir os logs do firewall e do proxy da Web em tempo real. Você pode consultar os arquivos de log usando o recurso de consulta de log interno. Os logs do Microsoft Data Engine (MSDE) também podem ser consultados sobre informações contidas em qualquer campo registrado nos logs.

Estes recursos de monitoramento podem ser acessados do nó Monitoring no ISA Server Management, como mostrado na figura abaixo.

isamnt01.gif

O Dashboard

O modo de exibição Dashboard está disponível no nó Monitoring do ISA Server Management. O modo de exibição Dashboard padrão exibe as seguintes informações:

  • Conectividade. Verifica a conectividade do ISA Server em outros computadores (ou URLs) definida pelo administrador do sistema.

  • Alertas. Lista os eventos que ocorreram no computador com ISA Server.

  • Serviços. Lista os serviços ativos nos computadores com ISA Server que estão funcionando no momento.

  • Sessões. Lista as sessões de cliente ativas.

  • Relatórios. Lista os últimos relatórios executados no sistema.

  • Desempenho do Sistema. Exibe informações de desempenho sobre o computador com ISA Server.

O modo de exibição Dashboard é mostrado na figura a seguir.

isamnt02.gif

Para obter mais informações sobre outros recursos de monitoramento, consulte a Ajuda online do ISA Server.

Monitorando Cenários

No ISA Server 2000, um sniffer de rede ou Monitor de Rede (netmon) foi usado para solucionar problemas comuns de rede que agora podem ser diagnosticados usando as ferramentas de monitoramento interno. A seguinte seção fornece alguns exemplos de como os recursos de monitoramento do ISA Server podem ser usados para diagnosticar problemas. Nos exemplos a seguir, a configuração de rede simples mostrada na figura será usada.

isamnt03.gif

Usando Verificadores de Conectividade

Você pode configurar os verificadores de conectividade para monitorar servidores de rede importantes.

Criando um Verificador de DNS

Crie um verificador de DNS para monitorar o status do servidor DNS local usando as seguintes etapas.

  1. No nó Monitoring do ISA Server Management, clique na guia Connectivity.

  2. No painel de tarefas, clique em Create New Connectivity Verifier.

  3. Em New Connectivity Verifier Wizard, especifique um nome para o verificador e clique em Next.

    isamnt04.gif

  4. Na página Connectivity Verification Details, configure o verificador. Especifique um nome de servidor, endereço IP ou URL e especifique uma categoria para o verificador. Selecione um método de verificação. Clique em Next e em Finish para concluir o assistente.

    isamnt05.gif

    Depois que o verificador de DNS for criado, você pode monitorar o servidor usando a guia Connectivity do Dashboard.

    isamnt06.gif

    Observação

    Ao escolher um método de verificação, é preferível estabelecer uma conexão TCP com a porta 53 para enviar uma solicitação de ping. Isso porque garante que você está conectando-se ao serviço em vez de usar cache local, arquivos Hosts, lmhost ou WINS para resolução de nome.

Criando um Verificador de Active Directory

O mesmo método para criar um verificador de DNS pode ser usado para criar um verificador a fim de garantir que o Active Directory esteja respondendo. Neste caso, selecione LDAP.

isamnt07.gif

Log

Você pode usar logs antigos, monitorar em tempo real e filtrar logs baseados em expressões. Esta funcionalidade torna o recurso de log útil como uma ferramenta de solução de problemas em tempo real. É possível filtrar logs em tempo real e selecionar uma seção de tempo registrado pelos arquivos de log atuais. Você pode executar uma consulta selecionando um número de expressões de filtro e salvar o filtro para uso futuro. Por exemplo, para monitorar uma atividade de navegação na Web de um usuário€™ específico, use as seguintes etapas.

  1. No nó Monitoring do ISA Server Management, clique na guia Logging.

    isamnt08.gif

  2. No painel de detalhes, clique em Edit Filter. Em Filter by, selecione Client Username, em Condition, selecione Equals e em Value, adicione o nome de usuário que você deseja monitorar. Em seguida, clique em Add To List.

    isamnt09.gif

  3. Clique em Start Query.

    isamnt10.gif

    A consulta será executada, permitindo que você monitore o tráfego em tempo real para o usuário. Observe que para monitorar o usuário, as regras de acesso devem atender ao usuário a ser autenticado.

    isamnt11.gif

Você pode copiar os resultados de uma consulta para a área de transferência e colá-los em um aplicativo como uma planilha do Excel. Para obter mais informações sobre o visualizador de log, consulte a Ajuda online do ISA Server.

Solução de Problemas de Cenários

Esta seção explica como solucionar problemas quando um site não está disponível e quando as mensagens de email SMTP não estão fluindo através do ISA Server.

Cenário 1: Site Não Disponível

Neste cenário, um servidor da Web externo não está disponível para usuários da rede. Os recursos de monitoramento podem ajudá-lo a identificar o problema, usando as seguintes etapas.

  1. Na guia Monitoring do ISA Server Management, clique na guia Connectivity.

  2. No painel de tarefas, clique em Create New Connectivity Verifier.

  3. Em New Connectivity Verifier Wizard, especifique um nome para o verificador e clique em Next.

  4. Especifique o nome do site que não está disponível e selecione Send an HTTP "GET" request.

    isamnt12.gif

  5. Monitore a guia Connectivity conforme o ISA Server verifica a URL.  

    isamnt13_big.gif


    Ver a imagem no tamanho normal

    Neste caso, uma falha na resolução de DNS causou o problema.

    isamnt14.gif


    Ver a imagem no tamanho normal

  6. Na guia Alerts, uma mensagem de erro mais detalhada pode ser vista.

    isamnt15.gif

Especificando o Endereço IP

De maneira alternativa, se você souber o endereço IP do site que não pode ser acessado, poderá especificá-lo no assistente.

isamnt16.gif

Quando o HTTP GET falha, a seguinte mensagem é exibida na guia Alerts.

isamnt17.gif

Isso indica que não há resposta para as solicitações HTTP Get do ISA Server do site.

Quando você executa uma consulta de log para um período de tempo, vê o seguinte.

isamnt18_big.gif


Ver a imagem no tamanho normal

Indica que você não pôde estabelecer uma conexão HTTP. (O ISA Server não está bloqueando a solicitação e há conectividade.) Como não há resposta para a solicitação GET, isso indica que o computador está respondendo, porém o site pode estar indisponível.  

Cenário 2: As Mensagens de Email SMTP Não Estão Fluindo através do ISA Server

Outro cenário comum ocorre quando as mensagens de email SMTP não estão fluindo para um servidor Exchange ou SMTP. Neste caso, especifique uma conexão TCP com a porta 25 do SMTP para o verificador de conectividade.

isamnt19.gif

Você pode usar um verificador para examinar as comunicações com o servidor Interno ou Externo. Também é possível verificar se há conectividade do computador com ISA Server.

Se nenhum lado indicar erros de conectividade, verifique a guia Logging.

isamnt20.gif

Para criar um filtro de log de SMTP, use as seguintes etapas.

  1. No nó Monitoring do ISA Server Management, selecione a guia Logging.

  2. No painel de detalhes, clique em Edit Filter.

    isamnt21.gif

  3. Para registrar todo o tráfego do SMTP, siga um destes procedimentos:

    • Em Filter by, selecione Destination Port e em Condition, selecione Equals. Em Value, especifique 25.

    • De maneira alternativa, em Filter by, selecione Protocol e em Condition, selecione Equals. Em Value, selecione SMTP.

  4. Clique em Add to list e em Start query.

Tente enviar um email SMTP e monitore a guia Logging. Neste exemplo, a consulta mostra que o ISA Server está permitindo o tráfego.

isamnt22_big.gif


Ver a imagem no tamanho normal

Se o ISA Server estiver bloqueando o tráfego do SMTP, você verá que a regra está bloqueada no log da seguinte maneira.

isamnt23_big.gif


Ver a imagem no tamanho normal

Se não houver regra permitindo o tráfego do SMTP, você pode ver o seguinte.

isamnt24.gif


Ver a imagem no tamanho normal

Mostra que o ISA Server negou o tráfego. Neste caso, não há regra definida. O campo de código de resultado e o código de erro podem fornecer mais detalhes sobre a razão da falha.

Apêndice A: Campos de Log

A seguinte tabela lista os campos e as descrições disponíveis no log.

Nome descritivo

Descrição

Duração do Log

A duração (no formato de hora local do servidor) do evento.

IP do Host de Destino

O endereço IP da rede para o computador remoto que fornece serviço para a conexão atual.

Porta de Destino

O número da porta reservada no computador remoto que fornece serviço para a conexão atual. Ela é usada pelo aplicativo cliente iniciando a solicitação.

Protocolo

O protocolo do aplicativo usado para a conexão. Os valores comuns são HTTP, FTP, Gopher e HTTPS.

Ação

A ação a ser realizada para o pacote. O status da ação pode incluir Conexão Negada, Conexão Fechada ou Conexão Estabelecida.

Regra

O nome da regra aplicada. Se nenhuma regra corresponder, a Regra de Negação Principal será indicada como a regra. Se o tráfego for cancelado antes de obter o mecanismo de regras, nenhuma regra será especificada no log.

IP do Cliente

O endereço IP do cliente que está solicitando.

Nome de Usuário do Cliente

A conta do usuário que está fazendo a solicitação. Se o controle de acesso do ISA Server não estiver sendo usado, o ISA Server usa o acesso anônimo. Ele também indica se o nome de usuário é autenticado.

Rede de Origem

Indica a rede de origem como definida no nó Configuration da guia Networks.

Rede de Destino

Indica a rede de destino como definida no nó Configuration da guia Networks.

Método HTTP

O método do aplicativo usado. Para o proxy da Web, os valores comuns são GET, PUT, POST e HEAD.

URL

O localizador uniforme de recursos, que é o endereço de um arquivo ou recurso na Internet.

IP Original do Cliente

O endereço IP que distingue conexões secundárias inversas.

Agente do Cliente

O tipo de aplicativo cliente enviado pelo cliente no cabeçalho HTTP.

Cliente Autenticado

Indica se o cliente foi autenticado com o ISA Server (somente log da Web).

Serviço

O nome do serviço registrado.

Nome do Servidor

O nome do servidor que criou o log.

Servidor Referido

Se o ISA Server for usado no upstream em uma configuração encadeada, indica que o nome do servidor downstream enviou a solicitação.

Nome do Host de Destino

O nome de domínio para o computador remoto que fornece serviço para a conexão atual.

Transporte

O protocolo do transporte usado para a conexão. Os valores comuns são TCP e UDP.

Tipo de MIME

O tipo de MIME para o objeto atual. Este campo também pode conter um hífen (-) para indicar que o campo não é usado, ou que um tipo de MIME válido não foi definido ou teve o suporte do computador remoto.

Origem do Objeto

A origem usada para recuperar o objeto atual. Este campo aplica-se somente ao log de serviços do proxy da Web.

Proxy de Origem

Se um proxy upstream for usado, isso indicará que o servidor proxy enviou a solicitação.

Proxy de Destino

Se um servidor proxy downstream for usado, isso indicará o servidor proxy onde o pacote foi encaminhado. Se nenhum servidor proxy downstream for usado, o endereço IP do próximo roteador de salto será registrado, junto com a porta IP de origem no ISA Server.

Bidirecional

Indica se o protocolo está enviando somente dados ou se ele está enviando dados e aguardando-os de volta. As difusões UDP mostrarão NÃO, porém as solicitações UDP (como as consultas DNS) mostrarão SIM, pois será necessário abrir uma porta de retorno dinamicamente.

Nome do Host Cliente

O nome do computador cliente.

Informações de Filtro

As informações do filtro HTTP.

Interface de Rede

O primeiro endereço IP da interface que recebeu o tráfego.

Cabeçalho IP Simplificado

O cabeçalho IP simplificado do pacote.

Carga Não Processada

Os dados não processados do pacote.

Porta de Origem

O número da porta que informou o registro reportado pelo serviço de Firewall. Uma porta 0€ é reportada para solicitações da Web.

Tempo de Processamento

O tempo total, em milissegundos, exigido pelo ISA para processar a conexão atual.

Bytes Enviados

O número de bytes enviados de um cliente interno para o servidor externo durante a conexão atual. Um hífen (-), um zero (0) ou um número negativo neste campo indica que essa informação não foi fornecida pelo computador remoto ou que nenhum byte foi enviado para o computador remoto.

Bytes Recebidos

O número de bytes enviados de um computador externo e recebidos pelo cliente durante a conexão atual. Um hífen (-), um zero (0) ou um número negativo neste campo indica que essa informação não foi fornecida pelo computador remoto ou que nenhum byte foi recebido do computador externo.

Código de Resultado

Este campo pode ser usado para indicar:

Valores menores que 100, um código de erro do Windows (Win32).

Valores entre 100 e 1.000, um código de status HTTP.

Valores entre 10.000 e 11.004, um código de erro do Winsock.

Informações de Cache

Este número reflete o status de cache do objeto, que indica a razão do objeto estar ou não em cache. Este campo aplica-se somente ao log de serviços do proxy da Web.

Informações de Erro

Um número de erro do proxy da Web. Os valores possíveis são:

#define ERROR_INFO_IO_RECV_FROM_CLIENT 0x00000001

#define ERROR_INFO_IO_SEND_TO_CLIENT 0x00000002

#define ERROR_INFO_IO_SEND_TO_SERVER 0x00000004

#define ERROR_INFO_IO_RECV_FROM_SERVER 0x00000008

#define ERROR_INFO_DEST_IS_MEMBER 0x00000010

#define ERROR_INFO_CLIENT_IS_MEMBER 0x00000020

#define ERROR_INFO_DURING_CONNECT 0x00000040  

Tipo de Registro de Log

O serviço registrado em log, por exemplo, Filtro de Proxy da Web ou Firewall.

Mostrar: