none
Значения полей в FWS- и WEB- журналах MSDE ISA 2006 RRS feed

  • Вопрос

  • Есть ISA 2006 Ent.
    Логи (fws и web) ведутся в MSDE, прямо на ISA.
    Нужно в конце каждого месяца оформлять отчеты по трафику по каждому внутреннему ClientIP.
    Отчеты, которые формирует ISA, не подходят потому что отражают потребленный трафик между ISA и клиентами, и в этом трафике также присутствуют объекты, возвращённые из кэша.

    Сделан скрипт для SQL, который объединяет все дневные (за месяц) SQL-базы FWS и WEB в две большие SQL-базы.
    Месячная база FWS идет в подсчет без изменений, а вот в WEB нужно делать отбор записей, чтобы получить реальные цифры.

    Методом логического анализа и опытным путём определились следующие значения полей и условия отбора:

    action = 9 - разрешенные действия
    resultcode = 200 - успешно выполненный запрос
    objectsource = 5 - запрошенный объект получен из Интернета
    objectsource = 4 - запрошенный объект получен из Интернета с обновлением файла в кэше
    Два последних, разумеется, нужно связать по ИЛИ.

    Однако по сумме всё равно не выхожу на объём потребленного от провайдера трафика, у меня получается на 10-15% больше. Где и чего ещё нужно подрезать?

    Может кто чего знает - поделитесь опытом плз. Привожу структуру базы WEB:

     

    [ClientIP] bigint,
    [ClientUserName] nvarchar(514),
    [ClientAgent] varchar(128),
    [ClientAuthenticate] smallint,
    [logTime] datetime,
    [service] smallint,
    [servername] nvarchar(32),
    [referredserver] varchar(255),
    [DestHost] varchar(255),
    [DestHostIP] bigint,
    [DestHostPort] int,
    [processingtime] int,
    [bytesrecvd] bigint,
    [bytessent] bigint,
    [protocol] varchar(12),
    [transport] varchar(8),
    [operation] varchar(24),
    [uri] varchar(2048),
    [mimetype] varchar(32),
    [objectsource] smallint,
    [resultcode] int,
    [CacheInfo] int,
    [rule] nvarchar(128),
    [FilterInfo] nvarchar(256),
    [SrcNetwork] nvarchar(128),
    [DstNetwork] nvarchar(128),
    [ErrorInfo] int,
    [Action] varchar(32),
    [GmtLogTime] datetime,
    [AuthenticationServer] varchar(255)

    Подозреваю что нужно как-то анализировать CacheInfo, но там в лоб ничего не разглядеть. Судя по всему, это 32-битовое поле признаков.
    31 марта 2009 г. 12:36

Ответы