Một phần quan trọng trong kế hoạch giám sát ISA Server của bạn là cấu hình và quản lý các Alert. ISA Server được sẽ cấu hình để đưa ra một cảnh báo khi có những sự kiện liên quan xảy ra. Bài này sẽ giải thích làm thế nào tạo và quản lý các Alert của ISA Server 2004....
Alert là gì?
Để duy trì tính năng và bảo mật cho ISA, bạn- người quản trị ISA cần phải biết khi nào các sự kiện của ISA sẽ xảy ra. Ví dụ, bạn cần phải được biết nếu các dịch vụ của ISA bất thình lình "đột tử", hay một cuộc xâm nhập trái phép được phát hiện. Bạn có thể cấu hình để ISA thông báo cho bạn khi có một sự kiện nào đó xảy ra. Một Alert là một thông báo, hay một hành động nào đó được thực hiện trên máy ISA. Sau đây là một vài kiểu sự kiện (được cấu hình mặc định sẵn) sẽ kích hoạt Alert:
- Dịch vụ khởi động. Cảnh báo khi có dịch vụ nào đó trên ISA khởi động.
- Giả mạo địa chỉ IP - IP Spoofing. Cảnh báo khi ISA phát hiện gói tin có địa chỉ IP nguồn không đúng. IP Spoofing sẽ xảy ra khi gói tin đến từ một interface nào đó của ISA nhưng địa chỉ IP nguồn lại thuộc về một mạng gắn với một interface khác.
- Phát hiện xâm nhập. Cảnh báo khi ISA phát hiện ra có sự xâm nhập trái phép...
Để đáp lại các sự kiện, bạn có nhiều cách cấu hình hành động của Alert, như gửi thư thông báo, chạy một chương trình, ghi vào nhật ký Event Log, start hay stop một dịch vụ nào đó. Ví dụ, bạn có thể cấu hình ISA gửi mail thông báo cho bạn khi nó phát hiện có sự xâm nhập trái phép.
Xem các Alert ở đâu?
Khi sự kiện xảy ra và ISA thực hiện Alert như bạn đã cấu hình, ISA Server Management Console sẽ hiển thị cảnh báo đó trong thẻ Alerts của phần Monitoring. Trong đó bạn có thể lấy được các thông tin sau:
- Alert: cột Alert chỉ ra kiểu cảnh báo dựa trên danh sách Alert và Event mà bạn đã cấu hình trước.
- Latest: cột Latest chỉ ra ngày, giờ xảy ra cảnh báo.
- Status: trạng thái của Alert. Nếu Alert có trạng thái là New (tức là cảnh báo mới xảy ra), nó sẽ được hiển thị trong bảng Dashboard (Dashboard là bảng hiển thị các thông tin chung nhất mà ISA thống kê được. Để hiển thị Dashboard bạn chỉ cần đơn giản chuyển sang thẻ Dashboard). Nếu bạn chuyển trạng thái sang Acknowledge (ý muốn nói với ISA là bạn đã biết rồi đấy) thì Alert sẽ không hiển thị trong Dashboard nữa.
- Category. Cột Category chỉ ra Alert thuộc category nào. Có các loại category sau: Security, Cache, Routing, Firewall, Service, Other.
Bạn có thể hiển thị nhiều thông tin hơn về mỗi Alert bằng cách vào menu View, chọn Add/Remove Columns. Bạn có thể add các cột khác vào, ví dụ:
- Server: tên của máy ISA Server phát hành ra Alert vừa rồi.
- Count: số lần Alert vừa rồi được thực hiện.
Cấu hình Alert
ISA Server có rất nhiều Alert đã được cấu hình sẵn. Bạn có thể chỉnh sửa các Alert đã có bằng cách cấu hình các sự kiện sẽ kích hoạt Alert hay hành động mà Alert sẽ thực hiện. Bạn cũng có thể định nghĩa Alert mới.
Để cấu hình sự kiện hay điều kiện kích hoạt Alert, ta làm như sau:
1. Trong ISA Server Management Console, click Monitoring và chọn thẻ Alerts.
2. Ở khung Task pane bên tay phải, chọn Configure Alert Definitions. Trong hộp thoại Alert Difinitions sẽ hiển thị tất cả Alert mà bạn đã tạo.
3. Để kích hoạt hay vô hiệu hóa một Alert bạn tích hay bỏ tích ở check box trước mỗi Alert.
4. Chọn Alert Definition mà bạn muốn cấu hình rồi nhấn nút Edit ở phía dưới. Ví dụ, ở đây chúng ta chọn Alert tên là DNS Instrusion.
5. Trên hộp thoại Properties xuất hiện, ở thẻ General, bạn có thể chỉnh Name, Description, Category, Severity của Alert. Bạn cũng có thể kích hoạt hay vô hiệu hóa Alert ở đây bằng cách tích hay bỏ tích ở ô Enable.
6. Sang thẻ Event bạn cấu hình sự kiện sẽ kích hoạt Alert.
-
Event: sự kiện sẽ kích hoạt Alert. Hộp text-box Description ở dưới mô tả chi tiết về Event mà bạn chọn.
-
Additional Condition: nếu Event có những điều kiện thêm nào đó thì bạn cấu hình ở đây.
-
Number of occurrences: chỉ ra sự kiện phải xảy ra bao nhiêu lần thì mới kích hoạt Alert.
-
Number of events per second: chỉ ra sự kiện phải xảy ra bao nhiêu lần trong một giây thì mới kích hoạt Alert.
Hành động của cảnh báo - Alert Action
Alert Action là hành động sẽ được thực hiện khi các sự kiện và điều kiện của Alert xảy ra. Action có thể là một trong các lựa chọn sau:
-
Gửi Email. Khi đó bạn điền địa chỉ của SMTP Server, From, To...
-
Run a program. Chạy một chương trình nào đó khi Alert Event xảy ra.
-
Report to Windows Event Log. Ghi một mục vào nhật ký Event Log.
-
Stop Selected Services. Dừng một dịch vụ nào đó.
-
Start Selected Services. Chạy một dịch vụ nào đó.
Cấu hình Alert mới
Để cấu hình Alert mới, chúng ta làm các bước sau đây:
1. Trong ISA Server Management Console, click Monitoring và chọn thẻ Alerts.
2. Ở khung Task pane bên tay phải, chọn Configure Alert Definitions. Trong hộp thoại Alert Difinitions sẽ hiển thị tất cả Alert mà bạn đã tạo.
3. Để tạo một Alert Definition, bạn nhấn nút Add. Hộp thoại New Alert Wizard xuất hiện. Bạn cần cung cấp những thông tin sau:
-
Tên của Alert.
-
Chọn Event và Additional Condition sẽ kích hoạt Alert.
-
Chỉ định Category và Severity cho alert của bạn.
-
Chọn Alert Action cho Alert của bạn.
Phần tiếp theo chúng ta sẽ tìm hiểu phần giám sát Session và Connectivity trong ISA Server 2004