none
Il registro eventi "ISA Server Diagnostic" non contiene nemmeno un evento.... RRS feed

  • Domanda

  • Un saluto a tutti,
    nel server SBS 2003 aziendale noto che ci sono vari registri eventi, oltre ad Application. Security e System c’è "Directory Service" "Dns Server" "File replication service" e infine "Internet Explorer" ma sopratutto "Isa Server Diagnostic" nel quale non è mai stato registrato un evento (anche nel registro internet explorer non ho mai visto eventi...). Forse bisogna attivare qualcosa in ISA affinchè qualche evento particolare sia registrato in quel registro?

    Con un apposito programma di raccolta eventi colleziono e centralizzo gli eventi di vari server ma in effetti non ho mai visto eventi imputabili a ISA server e anche nei registri "application" e "system" non  mi pare ce ne siano di relativi a ISA e ciò mi sembra molto strano.....Cosa ne dite?

    Grazie

    mercoledì 1 dicembre 2010 22:19

Risposte

Tutte le risposte

  • Il log resta vuoto fino a che non abiliti il diagnostic logging di ISA

    http://www.isaserver.org/tutorials/Using-ISA-2004-Firewalls-Diagnostic-Log-Viewer.html

    Qui trovi le istruzioni per attivare il logging

    http://technet.microsoft.com/en-us/library/cc707229.aspx

    Ovviamente, se non hai necessità di fare un debug di ISA, valuta attentamente se vale la pena di procedere e cosa inserire nel log.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 2 dicembre 2010 00:49
  • Ok Grazie.

    In sostanza il servizio (o i servizi non so quanti sono) di ISA server, non genera alcun evento di tipo error o warnings (ma anche information) che possano finire nei registri eventi "application" o "system". Cioè non troverò mai degli eventi registrati scatenati da ISA nei normali registri eventi di Windows?....Li troverò solo attivando il logging di ISA, è così?

    Grazie

    giovedì 2 dicembre 2010 09:20
  • aggiungo solo che anche la sezione Internet Explorer del registro eventi rimane vuota fino a quando non si abilita la registrazione eventi nel modo indicato qui

    http://msmvps.com/blogs/spywaresucks/archive/2007/01/21/508759.aspx

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 2 dicembre 2010 09:23
    Moderatore
  • Cioè non troverò mai degli eventi registrati scatenati da ISA nei normali registri eventi di Windows?....Li troverò solo attivando il logging di ISA, è così?

    Si, è corretto.

    Eventuali errori o warning critici finiscono nel registro "System".

    Questo (ulteriore) registro serve solo per raccogliere degli eventi di tipologie selezionate da te (cosa che in genere si fa con un daemon di syslog come il Kiwi, ad esempio)


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 2 dicembre 2010 09:27
  • Grazie per aver dato una risposta in merito al registro Internet Explorer. Ero proprio curioso di sapere come si attivava...
    giovedì 2 dicembre 2010 22:03
  • Eventuali errori o warning critici finiscono nel registro "System".

    Questo (ulteriore) registro serve solo per raccogliere degli eventi di tipologie selezionate da te (cosa che in genere si fa con un daemon di syslog come il Kiwi, ad esempio)


    Scusa ma non capisco questa frase. Abbiamo appena detto che nessun evento ISA finisce nei normali registri windows (application o system). Ora non capisco perchè qui affermi che eventuali errori possono finire in System e poi mi parli di syslog... Puoi spiegare meglio. Grazie

    giovedì 2 dicembre 2010 22:10
  • Allora : ISA installato su Windows è un "normale" applicativo che sfrutta servizi e via discorrendo.

    Quindi se (ad esempio) un servizio di ISA non parte regolarmente, l'evento finirà sicuramente nel log system o application del server.

    Tiriamo una linea e passiamo al punto due.

    Essendo un firewall ISA, ti può segnalare centinaia di tipi di evento legati alla sicurezza e simili (porte e servizi filtrati, tentativi di accesso e così via).

    Questo viene definito "logging" e può essere impostato a livelli più o meno paranoici (ad esempio segnalare qualsiasi evento di sicurezza, anche poco significativo oppure non segnalare mai nulla)

    In genere l'impostazione "tipo" prevede che (una volta impostato il livello di logging) il firewall mandi questi "log" ad un server che è in ascolto (syslog) e salva le notifiche (su un database , file o simili).

    Questo anche perchè molti firewall sono appliance o hardware dedicati che non potrebbero salvare nulla localmente.

    Nel caso di ISA è stata aggiunta la possibilità di scrivere gli eventi del logging in un registro apposito di Windows.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 2 dicembre 2010 22:31
  • Ok tutto chiaro. Ti ringrazio!!!
    venerdì 3 dicembre 2010 06:47