none
Логирование ISA 2004 St RRS feed

  • Вопрос

  • Добрый день!

    Интересует чем вызвана данная активность, привожу сообщение из лога. Таких сообщение масса.

    Адрес 192.168.4.2 это сеть периметра,  за ним - UTM - инет.

     

    Denied Connection

    ISA-SERVER 22.04.2010 16:23:50 Log type: Firewall service Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer. Rule: Source: Local Host ( 192.168.4.2:48192) Destination: External ( 66.235.138.18:80) Protocol: HTTP

    User:  

    Почему волнует данный вопрос, при анализе логов, 70% трафика почему то именно с этого фейса, и не получатеся проанализировать источник( локального клиента по сути).

    30 % трафика имеет вид пригодный для анализа:

    Allowed Connection ISA-SERVER 22.04.2010 16:23:56 Log type: Web Proxy (Forward) Status: 200 OK Rule: serv2ext Source: Internal ( 192.168.x.x:0) Destination: External ( 217.69.128.51:80)

    Request: GET http://win.mail.ru/cgi-bin/checknew?182707100&folder=0

    Аутентифицируется народ клиентом FWC или Secure NAT.

    Хочу добится чтобы пор наработанному трафику было возможно определить кто его генерит.

    Пока что вижу что это  трафик http, явно наработан народом. Но вот кем -вопрос.

    22 апреля 2010 г. 10:39

Ответы

  • если логи в текстовике то можно через logparser или любым другим парсером

    если в скуле то через скулевый запросик

    вариантов много, даже екселем можно собрать сводку :)

    28 апреля 2010 г. 8:25
    Отвечающий
  • Понял, я думал вы имели ввиду что можно средствами иса это сделать.

    Да я думаю логи придется исследовать ручками чтоб ясно стало.

     

    28 апреля 2010 г. 10:04

Все ответы

  • Адрес 192.168.4.2 это сеть периметра,  за ним - UTM - инет.

    А конкретнее - кому в сети принадлежит это адрес?

    ISA-SERVER 22.04.2010 16:23:50 Log type: Firewall service Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer. Rule: Source: Local Host ( 192.168.4.2:48192) Destination: External ( 66.235.138.18:80) Protocol: HTTP

    Источником этого запроса является сам ISA-сервер.

    Allowed Connection ISA-SERVER 22.04.2010 16:23:56 Log type: Web Proxy (Forward) Status: 200 OK Rule: serv2ext Source: Internal ( 192.168.x.x:0) Destination: External ( 217.69.128.51:80)

    Request: GET http://win.mail.ru/cgi-bin/checknew?182707100&folder=0

    Аутентифицируется народ клиентом FWC или Secure NAT.

    Хочу добится чтобы пор наработанному трафику было возможно определить кто его генерит.

    Пока что вижу что это  трафик http, явно наработан народом. Но вот кем -вопрос.

    В журнале есть также такие поля как Source IP и Autenticted User. Возможно, они у вас не включены в лог. Чтобы их включить, поставьте на них галочки в настройке ведения журнала.
    Клиентов Secure Nat распознаём по IP, клиентов FWC по имени пользователя.

    22 апреля 2010 г. 11:44
  • Я понимаю что источником является сам ИСА. Это его фейс , адаптер смотрящий в сторону UTM, для ИСА он Local Host коненчно.

    В логи пишется вся необходимая информация.

    Проблема в том что после анализа логов, видно что 70 % общего трафика HTTP идет от имени 192.168.4.2 с типом FirewallService

    30% отсавшегося определены как по ip клиента так и по имени - этого от того что часть авторизуется secure nat а часть клиентом ИСА.

    Это все понятно.

    Вопрос: почему 70 % трафика от имени хоста ИСА 192.168.4.2. И как настроить чтобы весь трафик учитывался верно, как те 30 %.

    23 апреля 2010 г. 5:02
  • а ты уверен насчет 70%?

    то что идет от исы либо ее собственный трафик, что бывает редко, либо результат работы прокси и его учитывать не надо.

    23 апреля 2010 г. 6:33
    Отвечающий
  • Ну уверен конечно. Не то чтобы я так предполагаю.  У меня на руках есть отчеты от ProxiInspectora и статистика от провайдера. Я провел анализ и получил такую картину. Из общего наработанного трафика 70 % от хоста 192.168.4.2. Вот пример за вчера

    Пользователь

    192.168.4.2

    Запросы

    58 918

     

    825

    Отправлено

    142 783 097

    Получено

    1 814 271 081

    Общий

    1 957 054 178

    % Общий трафик

    60.26%

    Остальные 40 % распределились между локальными клиентами. Клиентов 40 человек.

    Эти 60% не  служебный и не иной трафик. Более детализированная статистика по пользователю 192.168.4.2 показывает что трафик наработан посредством http. IP принадлежат вполне адекватным сайтам, то есть явно с ними работают люди.

     







    23 апреля 2010 г. 7:41
  • Проблема в том что после анализа логов, видно что 70 % общего трафика HTTP идет от имени 192.168.4.2 с типом FirewallService

    30% отсавшегося определены как по ip клиента так и по имени - этого от того что часть авторизуется secure nat а часть клиентом ИСА.

    Все нормально. Есть ДВА журнала - журнал межсетевого экрана и журнал веб-прокси. Веб-запросы от пользователей фиксируются в журнале веб-прокси. Запросы клиентских приложений фиксируются в журнале межсетевого экрана. Когда ISA передаёт запрос пользователя в нет, он опять же фиксируется в журнале межсетевого экрана как запрос от ISA.

    Для глубокого анализа логов лучше используйте сторонний софт, здесь об этом уже много было написано.

    23 апреля 2010 г. 7:42
  • Для анализа логов я использую ПО ProxyInspector. Это сторонее ПО.

    Я так и не понял, запросы по http, запрашиваются посредством браузера. Это расценивать как приложение? если да то что имеется ввиду по веб запросом. Факт инициации клиентом запроса к определенной страничке в интернет?

    В любом случае я так и не понял каким образом мне опознать источник запроса, то есть кто конкретно и с какого ip наработал данный конкретный трафик. 

    Получается что все запросы с типом FirewallService представлены адресом 192.168.4.2 и нет возможности рассортировать запросы по локальным клиентам.

     

    23 апреля 2010 г. 9:23
  • Получается что все запросы с типом FirewallService представлены адресом 192.168.4.2 и нет возможности рассортировать запросы по локальным клиентам.

    Уже было сказано, эти запросы от ISA являются продолжением выполнения запросов пользователей, которые уже зафиксированы в одном из журналов.

    Если эти запросы игнорировать, то сумма потреблённого трафика сходится со счетчиками провайдера?

    23 апреля 2010 г. 9:58
  • Вообщем в цифрах и буквах:

    Данные от провайдера: 28 Гб трафика, направление - входящее.

    Если обработать ТОЛЬКО логи веб прокси, все красиво, все по пользователям, но общий трафик около 8 Гб.

    Где оставшиеся 20?

    Обрабатываем логи ТОЛЬКО Firewall Service:

    Общий трафик примерно 28 Гб. Из них 20 Гб с небольшим от LocalHost ISA, остальное по пользователям. 

    Трафик HTTP.




     

     

    26 апреля 2010 г. 3:01
  • Вообщем в цифрах и буквах:

    Данные от провайдера: 28 Гб трафика, направление - входящее.

    Если обработать ТОЛЬКО логи веб прокси, все красиво, все по пользователям, но общий трафик около 8 Гб.

    Где оставшиеся 20?

    Обрабатываем логи ТОЛЬКО Firewall Service:

    Общий трафик примерно 28 Гб. Из них 20 Гб с небольшим от LocalHost ISA, остальное по пользователям. 

    Трафик HTTP.

    Да, действительно, цифры очень странные. Может быть ваш ProxyInspector не все правильно понимает? А не пробовали включить отчеты на ISA и посмотреть, посравнивать цифры по ним обоим?
    26 апреля 2010 г. 6:50
  • Отчет ИСа только добавляют путаницы.

    В них превалирует трафик направления Bytes Out.

    Пришло всего показывает: Bytes In 5 Gb, ушло: Bytes Out 15 Gb.

    в  сгенерированном отчете ИСа запросов с хоста 192.168.4.2 вообще не вижу, зато есть запросы с веб сервера сети периметра, о котором в отчете ПроксиИнспектора вообще ничего.

    Голову можно сломать, единой картины никак не вырисовывается.

    Такая ситуация совсем не радует, когда не понятно куда уходит трафик.

    Мониторить каждую машину по отдельности совсем не хочется.

    26 апреля 2010 г. 7:46
  • все верно, если ты хочешь сравнить данные с провом то обрабатывать нужно только фаервол логи.

    и не забывай что в проксилогах bytesreceived это трафик полученный исой от клиента, а bytessent трафик отправленный исой клиенту, то есть поля там наоборот если сравнивать с фаерлогами

    26 апреля 2010 г. 11:29
    Отвечающий
  • Сравнить то я сравнил, но вопрос так и остается открытым: необходимо определить источник с точностью до айпи адреса клиента представленного в логах записью от имени LocalHost ISA:

    Пользователь| Запросы  |Отправлено         |Получено          |Общий трафик* |%(Общий трафик)

    192.168.4.2      |948 280     |2 393 473 557         |25 051 597 359    |27 445 070 916    |86.17%

     

    27 апреля 2010 г. 4:05
  • идешь в проксилоги, там все есть, тупор делаешь выборку по нужным тебе полям и смотришь

    например по полю client ip с суммированием по полю bytessent где action = allowed

    27 апреля 2010 г. 6:10
    Отвечающий
  • Не совсем понял о чем речь, каким инструментом я могу такое сделать?

    У меня в наличии два:

    Отчеты ИСА 2004 - я там в мастере создания отчета никаких выборок не увидел.

    ПроксиИнспектор - тоже нет возможности выборки полей.

     

    28 апреля 2010 г. 1:59
  • если логи в текстовике то можно через logparser или любым другим парсером

    если в скуле то через скулевый запросик

    вариантов много, даже екселем можно собрать сводку :)

    28 апреля 2010 г. 8:25
    Отвечающий
  • Понял, я думал вы имели ввиду что можно средствами иса это сделать.

    Да я думаю логи придется исследовать ручками чтоб ясно стало.

     

    28 апреля 2010 г. 10:04
  • у исы нет средств для анализа, ее дело, как и любого фаера, фильтровать трафик и записывать свои действия в логи :)

    28 апреля 2010 г. 10:17
    Отвечающий
  • Уважаемый k0st13 ,

    я так понимаю, что вопрос решен? Отметьте тогда правильный ответ.

    29 апреля 2010 г. 7:11
    Модератор