locked
TMG Loggt Zugriff nicht RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ein komisches Phänomen: Eine TMG (aktuell gepatchet) steht hinter einer Cisco ASA.

    Diese ASA logged Zugriffe auf eine MalwareURL (87.255.51.229) vom externen Bein der TMG. Es beunruhigt mich, dass ich diese Zugriffe NICHT in den Logs der TMG sehen kann (in der Vergangenheit hatte ich Malware eines kompromitierten PC durch die TMG immer erkannt). Ist die TMG "gehackt"? Alle aktuellen Virenscanner auf der Maschine selber sagen aber: Grünes Licht... Hat jemand eine Idee, wie das sein kann oder woher das kommt?

    Greetings/Grüße Gernot


    Dienstag, 18. Juni 2013 10:03

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Aha! Problem erkannt. Ich habe wohl den Logparser mit einem falschen Parameter gefüttert.

    Die Logeinträge sind da und der infizierte PC ist gefunden!

    Greetings/Grüße Gernot

    • Als Antwort markiert Gernot Meyer Dienstag, 18. Juni 2013 15:34
    Dienstag, 18. Juni 2013 15:34

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    hast Du schon mal eine Ebene tiefer geschaut? Mit NETSH TMG SHOW CONNECTIONS mal nachschauen.
    Sonst kannst Du auch nochmal einen TMG Trace (ISA Trace) aktivieren:
    http://www.isaserver.org/articles-tutorials/configuration-general/Troubleshooting-Forefront-TMG.html

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    Dienstag, 18. Juni 2013 10:57
  • Question
    Anmelden
    0
    Anmelden

    Danke für die Antwort!

    Aktuell kommen 'natürlich' keine Zugriffe. Als das passierte, war ich nicht vor Ort.

    Ich habe mal den isatrace runter geladen: http://en.sourceforge.jp/projects/sfnet_isatrace/releases/

    Wie installiert man das Ding bzw. bekommt es ans Laufen?

    Greetings/Grüße Gernot

    Dienstag, 18. Juni 2013 11:49
  • Question
    Anmelden
    0
    Anmelden

    Aha! Problem erkannt. Ich habe wohl den Logparser mit einem falschen Parameter gefüttert.

    Die Logeinträge sind da und der infizierte PC ist gefunden!

    Greetings/Grüße Gernot

    • Als Antwort markiert Gernot Meyer Dienstag, 18. Juni 2013 15:34
    Dienstag, 18. Juni 2013 15:34