54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > ISA >

ISA教程之配置警报

时间:2010-10-28 21:30来源:网络 编辑:Liy

  9.1 配置警报
  ISA Server警报服务负责捕获事件。它检查是否满足一定的条件并采取适当的措施。可以使用ISA Management来查看ISA Server所提供的全部事件列表,然后决定发生这些事件时应该采取哪些措施。
  
  本节学习目标
  l     在事件查看器中查看ISA Server事件。
  
  l     在ISA Management中查看ISA Server警报。
  
  l     配置警报条件、位置、阈值以及操作。
  
  估计学习时间:35分钟
  9.1.1 预先的配置警报
  在默认状态下,ISA Server包括了45项警报,其中39项是启用的。在Monitoring Configuration节点中选择Alerts文件夹,可以在ISA Management查看这些警报的列表。如图9.1所示。
   
  按照下列步骤启用警报:
  
  1.   在ISA Management控制台树中,展开Monitoring Configuration节点,单击Alerts文  件夹。
  
  2.  在详细信息窗格中,右击适当的警报,单击Enable。
  
  每一个警报都指定了一个事件。每一个启用的警报都默认配置为把特定的事件报告给Windows 2000事件日志。这些事件可以从事件查看器的应用日志中看到。图 9.2 所示为在Windows 2000事件日志中可视的ISA Server事件示例。
  
   注意 您也可以在ISA Management的Monitoring节点的警报文件夹中查看ISA Server的事件。不过,ISA Management中只能显示自上次关机起事件第一次发生的情况。要查看ISA Server事件的全部信息,必须使用事件查看器。
   
  可以创建一个新警报或者修改一个已经存在的警报。使用New Alert向导可以创建一个新警报。
  
  Ø     按照下列步骤创建新警报:
  
  1.  在ISA Management控制台树,展开Mornitoring Configuration节点。
  
  2.  右击Alerts文件夹,指向New,然后单击Alert。
  
  3.  New Alert打开时,按屏幕指示操作。
  
  9.1.2 警报条件
  新警报是以现存警报为基础的,但是它通常还包括必须要满足的附加的、具体的条件。例如,DNS入侵警报通常将“任何DNS入侵”条件指定为附加条件。但是,可以在DNS入侵警报的基础上建立一个主机名溢出警报。要创建该警报,选择DNS intrusion作为警报事件,并选择Hostname Overflow作为附加条件,如图9.3所示。
  
  也可以修改任何预配置警报的警报条件。
   
  按照下列步骤修改警报条件:
  
  1.  在ISA Management控制台树中,展开Monitoring Configuration节点,单击Alerts文  件夹。
  
  2.  在详细信息窗格中,右击现行的警报,选择Properties。
  
  3.  在Events选项卡
  
  u     在Events下拉列表框中,选择触发警报的事件。
  
  u     如果事件需要附加条件,在Addition Condition下拉列表框中,选择相应的条件。
  
  u     在By Server下拉列表框中,单击阵列中的应该触发警报的服务器,或者是如果要应用到所有阵列成员时,默认设置为Any。
  
  9.1.3 事件位置
  可以配置一个和已有警报具有相同事件和附加条件的新警报,但是它把事件检测限定在阵列中的特定的服务器。事件检测所在的服务器就是事件位置。所有已有的警报默认状态是把事件位置指定为阵列中的所有服务器。不过,可以重新配置一个警报的事件位置为某一特定的服务器,以便所选的服务器上发生事件时可以触发警报。
  
  9.1.4 事件阈值
  一旦警报配置好后,可以通过指定以下阈值来修改警报。这些阈值确定什么时候应该采取警报操作。
  
  l     在发出警报之前应该每秒发生几次事件(也叫做事件频率阈值)。
  
  l     在发出警报之前应该发生多少事件。
  
  l     警报再次发出之前需等待多长时间。
  
  如图9.4所示,可以在警报的Properties对话框中的Events选项卡来修改阈值。
   
  按照下列步骤配置警报的阈值:
  
  1.  在ISA Management控制台树中,展开Monitoring Configuration节点,单击Alerts文  件夹。
  
  2.  在详细信息窗格中,右击现行的警报,然后选择Properties。
  
  3.  在Events选项卡里,选择Number Of Occurrences Before The Alert Is Issued复选框,并输入发出警报前应该发生多少事件。
  
  4.  选择Number Of Occurrences Before The Alert Is Issued复选框,并输入发出警报前应该每秒发生几次事件。
  
  5.  选择下面选项中之一:
  
  u     如果事件再发生应该立即再警报,选择Immediately单选按钮。
  
  u     如果只能在警报复位以后才能再警报,选择After Manual Reset Of Alert单选按钮。
  
  u     如果需要在指定的时间后再发出警报,选择If Time Since Last Execution Is More Than Minutes单选按钮,并输入执行操作前应该持续的分钟数。
  
  9.1.5 警报操作
  满足警报条件时,可以设定执行以下一个或多个操作:
  
  l     发出一个电子邮件消息。
  
  l     运行一个特定的程序。
  
  l     在Windows 2000事件日志中记录事件。
  
  l     停止或启动任何ISA Server服务:防火墙服务、Web代理服务、定时内容下载服务。
  
  配置一个警报运行指定的程序时,可以指定执行程序时应该使用何种用户证书。确保指定的用户具有登录批处理(Logon As A Batch Job)权限。用户权限可以使用本地安全策略(Local Security Policy)来配置。警报操作执行一个程序时,阵列中的所有服务器中必须有为命令操作指定的路径。使用路径名中的环境变量,比如%SystemDrive%等。这样,如果阵列成员的应用程序路径不一样,可以通过环境变量来定位程序。
  
  运行New Alert向导时,或者是修改警报的Properties对话框中的Actions选项卡中的设置时,都可以设置一个警报操作。如图9.5所示。
  
  Ø     按照下列步骤修改警报操作:
  
  1.  在ISA Management控制台树中,展开Monitoring Configuration节点,并单击Alerts文件夹。
  
  2.  在详细信息窗格中,右击现行的警报,然后选择Properties。
  
  3.  在Actions选项卡中:
  
  u     警报条件发生时,如果是发送E-mail,选择Send E-mail复选框,然后输入SMTP服务器名、收信人和发信人。
  
  u     警报条件发生时,如果是运行一个程序,选择Program复选框,然后在命令提示符中输入要运行的命令和程序所在的账户。
  
  u     如果是记录事件日志,选择Report To windows2000 Event Log复选框。
  
  u     如果是停止ISA Server,选择Stop Selected Services复选框,然后单击Select按钮来选择警报条件发生时需要停止的服务。
  
  u     如果是启动ISA Server,选择Start Selected Services复选框,然后选择警报条件发生时要启动的服务。
   
  注意 如果配置e-mail操作使用一个外部的SMTP服务器,必须创建一个静态数据包筛选器来允许SMTP协议。
  
  9.1.6 ISA Server事件
  表9.1列出了ISA Server定义的事件以及相关的附加表项。创建新警报时,可以指定下列事件之一触发警报。
   
   
  
  9.1.7 练习:配置警报发送E-mail信息
  在这个练习中,配置警报在无论何时检测到入侵事件时,给管理员发E-mail。在默认情况下,警报只给Windows 2000事件日志发消息。为了确保ISA管理员能发现警报,应该将警报修改为给给适当的人员发送警报。
  
  练习:配置入侵检测警报发送E-mail信息
  在这个练习中,修改入侵检测警报。无论何时ISA Server检测到对您的网络的外部入侵时它都发出E-mail信息。
  
  Ø     配置入侵检测警报发送E-mail信息 :
  
  1.  以Administrator身份登录到Server1。
  
  2.  打开ISA Management,展开Mornitoring Configuration节点。
  
  3.  单击Alerts选项卡。
  
  4.  在详细信息窗格中,右击Intrusion Retoded Alert,选择Properties。
  
  出现Intrusion Detected Properties对话框。
  
  5.  选择Actions选项卡。
  
  6.  选择Send E-mail复选框。
  
  7.  在SMTP Server文本框中,输入192.168.0.2。
  
  8.  在To文本框中,输入
  
  testuser@Server2.domain01.local
  
  。
  
  9.  在From文本框中,输入
  
  testuser@Server2.domain01.local
  
  。
  
  10.  单击Test按扭。
  
  收到一个消息框指明模拟成功。
  
  11. 点击OK。
  
  12. 在Intrusion Retoded Alert对话框中,单击OK。
  
  几分钟后,所指定的邮箱如果收到测

[责任编辑:Lavy]

------分隔线----------------------------