在发生指定的事件时,ISA 服务器的警报服务会向您发出通知。您可以配置警报定义,以在发生某个事件时触发一系列操作。ISA 服务器警报服务作为调度程序和事件筛选器。它负责捕获事件、检查是否满足某些条件,以及执行相应的操作。
ISA 服务器管理显示了已发生事件的完整列表,按警报类型分类:信息、警告和错误。
所有警报都显示在“警报”视图中。
确认和重置警报
事件发生之后,ISA 服务器将触发在警报定义中配置的操作。警报将显示在“警报”视图中,所有事件的摘要将列在“仪表板”视图中。
通过选择警报头,您可以重置整组警报实例。在“警报”视图中,警报实例按类别(如“服务关闭”)分组。您可以展开或折叠组标题以显示或隐藏包含的项目。
可以使用 ISA 服务器管理来表示您正在通过确认事件处理一个特定的事件或一组事件。将一个事件(或几组事件)标记为已确认之后,在“警报”视图中这些事件的状态将发生更改,并且在仪表板上将不再显示这些事件。有关说明,请参阅确认警报。
同样,您可以重置警报,从而可以有效的将其从“警报”视图中删除。有关说明,请参阅重置警报。
注意
- 在重新启动 ISA 服务器计算机之后将重置所有警报。
创建警报定义
在安装 ISA 服务器时,将为每个事件类型预配置一个警报。您可以定义更多特定的事件。例如,假设为“更改了网络配置”事件预配置警报定义。作为网络管理员,您可能要修改这个一般警报,并创建两个唯一的警报定义:
- 禁用网络时使用的警报定义。
- 启用网络时使用的警报定义。
前者的警报定义将触发一个操作来运行批处理文件,以便在禁用网络时使计算机与负载平衡群集断开连接。后者的警报定义可能会向您发送电子邮件。
注意
- 带有特定事件的警报优先于带有非特定事件的警报。例如,假设您已经配置了两个警报,一个用于“任何网络配置更改”,另一个用于“网络已连接”。网络连接之后,将执行后者的警报操作。
有关说明,请参阅添加警报定义。
配置警报定义
您可以选择触发警报操作的事件和其他条件。
您还可以配置以下阈值,该值决定执行警报操作的时间:
- 在发出警报之前每秒发生的事件次数(也称为事件频率阈值)。
- 在发生警报之前将发生的事件次数。
- 再次发出警报之前等待的时间。
有关说明,请参阅编辑警报条件。
警报操作
您可以设置在满足警报条件时要执行的以下一个或多个操作:
- 发送电子邮件。
- 运行特定操作。
- 在 Windows 事件日志中记录事件。
- 停止或启动 Microsoft 防火墙服务或计划内容下载服务。
可以配置在执行应用程序时将使用哪些凭据。使用本地安全策略来配置用户权限。
注意
- 请确保指定的用户具有“以批处理任务身份登录”权限。
当警报操作将要执行某个命令时,在 ISA 服务器计算机上必须存在为该命令操作指定的路径。我们建议您在路径名中使用环境变量(如 %SystemDrive%)。
有关说明,请参阅编辑警报操作。
如果配置电子邮件操作以使用位于内部网络的 SMTP 服务器,必须启用以下系统策略规则:允许本地主机网络使用 SMTP 协议访问内部网络。在“系统策略编辑器”的“远程监视”配置组中,选择“SMTP”,然后单击“启用”。将启用“允许 SMTP 协议从防火墙到受信任的服务器”规则。
如果配置电子邮件操作以使用外部 SMTP 服务器,必须创建一个访问规则,允许本地主机网络使用 SMTP 协议访问外部网络(或 SMTP 服务器所在的网络)。
事件
下表列出了事件及由 ISA 服务器定义的其他相关关键字。在创建警报时,请指定以下触发警报的事件之一。
| 事件 | 描述 |
|---|---|
| 警告操作失败 | 与此相关的警告操作失败。 |
| 缓存容器初始化错误 | 缓存容器初始化失败,容器被忽略。 |
| 缓存容器还原完成 | 还原单一容器完成。 |
| 调整缓存文件大小失败 | 减少缓存文件大小的操作失败。 |
| 缓存初始化失败 | 由于全局失败,Web 缓存代理被禁用。 |
| 缓存还原完成 | 缓存内容还原已完成。 |
| 缓存写入错误 | 将内容写入缓存失败。 |
| 缓存的对象被忽略 | 缓存还原时,检测到拥有冲突信息的对象。该对象被忽略。 |
| 组件加载失败 | 加载扩展组件失败。 |
| 配置错误 | 读取配置信息时发生错误。 |
| 超过连接限制 | 用户或 IP 地址超过其连接限制。 |
| 超过规则的连接限制 | 超过规则允许的每秒连接数。 |
| 禁用 DHCP 防中毒入侵检测 | 禁用 DHCP 防中毒入侵检测机制。 |
| 按需拨号失败 | 由于无回音或者占线,创建按需拨号连接失败。 |
| DNS 区域复制入侵 | 发生区域复制攻击。 |
| 事件日志失败 | 将事件信息记录到系统事件日志失败。默认情况下将禁用该警报。 |
| 防火墙通讯失败 | 防火墙客户端和 ISA 服务器服务之间的通信失败。 |
| FTP 筛选器初始化警告 | FTP 筛选器无法对允许的 ftp 命令进行语法分析。验证命令是否以正确的格式存储。每个命令的长度不得超过 4 个字符,并且用空格字符分隔各个命令。 |
| 检测到入侵 | 外部用户企图进行入侵攻击。 |
| 找到无效的 CRL | 由于证书吊销列表 (CRL) 无效或缺失,造成客户端证书被吊销。CRL 可能过期,并且 ISA 服务器不能下载有效的 CRL。验证是否启用 CRL 下载系统策略配置组,并且是否连接到 CRL 分发点 (CDP)。 |
| 无效 DHCP 提供 | DHCP 提供的 IP 地址无效。 |
| 无效按需拨号凭证 | 检测到无效按需拨号凭据。 |
| 无效的 ODBC 日志凭据 | 为此 ODBC 数据库指定的用户名或密码无效。 |
| IP 欺骗 | IP 数据包源地址无效。 |
| 需要重新启动 ISA 服务器计算机 | 重新启动计算机后对配置所作的更改才能生效。 |
| 日志失败 | <service name> 日志失败。 |
| 日志存储限制 | 达到了一个或多个日志存储限制。 |
| 更改了网络配置 | 检测到影响 ISA 服务器的网络配置更改。 |
| 无可用端口 | 无可用端口,创建网络套接字失败。 |
| 无连接 | ISA 服务器无法与请求的服务器建立连接。 |
| OS 组件冲突 | 与以下操作系统组件之一存在冲突:IP 网络地址转换 (NAT) 编辑器、Internet 连接共享 (ICS) 或路由和远程访问。 |
| 超大 UDP 数据包 | ISA 服务器放弃用户数据报协议 (UDP) 数据包,因为其超过按照注册表项指定的最大大小。 |
| POP 入侵 | 检测到邮局协议 (POP) 缓冲区溢出。 |
| 被隔离的 ××× 客户端网络发生更改 | 从被隔离的 ××× 客户端网络中删除用户。默认情况下将禁用该警报。 |
| 报告摘要生成失败 | 从日志文件生成报告摘要时发生错误。 |
| 资源分配失败 | 资源分配失败。例如,系统内存不足。 |
| 路由 (链) 失败 | ISA 服务器无法将请求路由到上游服务器。 |
| 路由 (链) 恢复 | ISA 服务器重新开始路由到上游服务器。 |
| RPC 筛选器 - 绑定失败 | RPC 筛选器不能使用正在使用的定义的端口。 |
| RPC 筛选器 - 连接更改 | 与发布 RPC 服务 <server name> 的连接已更改。<additional key> |
| 服务器发布失败 | 服务器发布规则配置不正确。 |
| 服务器发布无法应用 | 无法应用服务器发布规则。 |
| 服务器发布恢复 | 现在可以应用服务器发布规则。 |
| 服务初始化失败 | 服务初始化失败。 |
| 服务没有响应 | ISA 服务器服务意外终止或停止运行。 |
| 服务关闭 | 已正确停止服务。<%service name%> |
| 已启动服务 | 已正确启动服务。<%service name%> |
| 连接缓慢 | ISA 服务器与请求的服务器连接缓慢。 |
| SMTP 筛选器事件 | 违反简单邮件传输协议 (SMTP) 命令规则。 |
| SOCKS 配置失败 | 在 SOCKS 属性中指定的端口正在被其他协议使用。 |
| SYN 攻击 | ISA 服务器检测到 SYN 攻击。 |
| 未注册的事件 | 出现未注册的事件。 |
| 上游链凭证 | 上游链凭据不正确。 |
| ××× 连接失败 | ××× 客户端连接尝试失败。 |
