当我们在使用TMGBPA程序进行对TMG日志、网络及策略等信息执行抓包时,有时会遇到异外关闭命令提示符现象或操作异常时按下Ctrl+C 结束BPA运行程序,但是经过我的测试与实践后发现了这样做可能给服务器带来的一些风险,也就这个问题总结了一下将自己的心得分享给所有博友供大家参考。
在以前刚开始搞ISA时很多朋友都说ISA很容易,这点确实不错,ISA做为微软的产品继承了微软非常人性化的UI操作界面,保证了我们任何一个人即使你没有学过ISA的情况下,也是可以非常easy地完成基本安装与配置,但是遇到排错时,可能需要花费的精力是非常多的,比如如何优化策略,如何来对客户端与服务器之间地通信数据包进行分析以及分析过程中,哪些包或日志是有价值、采用哪种客户端代理模式更适合企业,以及是否有必要使用NLB及EMS,以及用最小的成本构建适合企业的冗余方案,这些可能都是需要真正实践才能知道哪些更适合企业及后期的运维工作。
那么在运维过程中,随着网络环境的复杂度不断增加,在企业中采用TMG的构建方式也会不断更新,从最早地网关模式到今天的旁路模式,尽管看似相同,但在不同的企业,不同的网络下适用度也不相同的,面对复杂地网络环境下,TMG的构建相对不难,但是其排错可能会比简单网络下要比较复杂一些,当出现问题时,我们所要考虑的不仅仅是TMG与客户端本身的问题,也会需要考虑到像性能、压力以及网络通信、FWC与第三方应用程序的兼容性问题等等很多,那么利用TMGBPA我们又能实现哪些操作,换句话说,TMGBPA能否真正帮助我们在进行分析时起到作用呢?当然,我们说结果是肯定的,开过微软CASE的兄弟们应该都会用过这个工具,微软工程师在同我们进行远程连线排错时,经常需要使用到这个程序来捕获相关数据信息,以便于拿回微软对数据进行分析。
但是由于进行BPA数据捕获服务器及客户端自身性能方面的原因,可能会出现BPA捕获过程中无法正常完成操作,如界面假死、捕获界面异常退出、服务器无响应、以及捕获界面显示结果异常等,这时很多操作人员都会习惯性思维去按下Ctrl+C来中断命令行下的捕获进程,这种方法也好,还是界面假死后人为关闭捕获界面以及异常退出,这些时候,BPA可能并没有完成退出捕获进程,会在后台继续进行抓取操作,这种结果就会导致磁盘空间迅速增长,这种情况我在测试环境中也进行了模拟,结果看到了磁盘空间一段时间后爆满,遇到这种杯具的情况,我们如何来应对呢?如何来找到占据我们磁盘空间的真凶呢?这时对于我们也只能做一样事情,卸载BPA程序来阻止捕获操作进程继续进行,然后进入C盘(默认捕获的数据会存在C盘,整个捕获结束后会将C盘下所有零散的数据生成一个整的压缩包,默认这个压缩包会放在桌面上),然后对C盘进行搜索,搜索方式采用按日期搜索,查看最近的BPA生成捕获后哪个包最大或者说其在不断增长,那这个包就有可能是异常中断后后台继续捕获造成的,我查到的是在“C:\Users\您的登录用户名\AppData\Local\Temp”中,进入这个Temp,删除里边的文件,这时再看C盘空间已经回到了正常状态。
所以总结来看,在进行命令行方式抓取数据及日志分析报告时,一定不要人为干预停止,人为干预停止可能会导致程序以后台方式继续执行而无法停止,最终无休止地产生大量已经无价值地捕获信息,如果由于这些内容导致C盘空间资源枯竭,那后果是非常可怕的,测试环境中我们可以进行相关测试,但是真正生产环境时,我们一定要注意,防止因为这些小的习惯性细节操作而造成更大的杯具。
以上就是我自己总结的关于TMGBPA使用时的一些注意点,希望能对博友们的日志TMG维护及排错时有所帮助,也想通过这个心得让大家更好地规避这类风险。
