Forefront TMG 2010 のログを読む
こんにちは。日本マイクロソフトの伊藤です。
前回の投稿では TMG のログを管理コンソールから確認する方法を、ご紹介しました。
TMG 管理コンソールからログを確認する
http://blogs.technet.com/b/isablogjp/archive/2012/09/24/3522135.aspx
今回は管理コンソールを利用せず、直接ログを確認する方法をご紹介します。
アクセス統計などの情報を確認する場合にはレポート機能がお勧めですが、特定ユーザーの通信、特定 IP への通信など、細かい分析が必要な場合にはログが便利なこともあります。
(ISA Server 2004, 2006 のログ解析も基本的な考え方は同じです。)
■ ログの記録内容を把握する
TMG のファイアウォール ログ、Web プロキシ ログは、既定の設定ですべてのログ フィールドを記録しません。
管理者さまの運用ポリシー、ログの参照目的に応じて、確認したいフィールドが有効かどうかをまずご確認ください。
ログ フィールドに関する情報は、こちらをご参照ください。
Web proxy log fields
http://technet.microsoft.com/en-us/library/cc441708.aspx
Firewall log fields
http://technet.microsoft.com/en-us/library/cc441692.aspx
■ ログの保存先を把握する
TMG のログをデータベース、ファイル、どちらに保存しているかによって確認の方法が異なります。
■ ログを解析する
ログのフィールドに関する情報を手掛かりに、実際のログを確認します。
ファイルへログを保存する環境であれば、メモ帳などでログを開くことで詳細を確認できますが、既定の SQL Server Express DB をご利用の場合にはファイルへエクスポートして確認する方法が簡単です。
手順の詳細は下記のブログ記事をご参照ください。
How to View TMG Logs when using SQL Server Express for Logging
http://blogs.technet.com/b/isablog/archive/2010/03/31/how-to-view-tmg-logs-when-using-sql-server-express-for-logging.aspx
なお、ISA Server 2004 / 2006 は使用するデータベースが TMG とは異なるため、ファイル出力時には下記のツールをご利用ください。
MSDEToText Tool for Internet Security and Acceleration (ISA) Server 2004
http://www.microsoft.com/en-us/download/details.aspx?id=9360
MSDEToText Tool for Internet Security and Acceleration (ISA) Server 2006
http://www.microsoft.com/en-us/download/details.aspx?id=13375
また、ログ内のエラー コードの意味を調べる場合には、下記の技術情報もご参照ください。
Result code log values
http://technet.microsoft.com/en-us/library/cc441734.aspx
■ 注意事項
ログにはユーザー名を記録するフィールドがあります。
ただし、このフィールドはユーザー認証を必要とするルールが存在する場合にのみ、ユーザー名が記録されます。
"すべてのユーザー" を許可するアクセス ルールの場合にはユーザー名情報が収集されないことに、予めご注意ください。
(参考情報)
Log fields and values
http://technet.microsoft.com/en-us/library/cc441743.aspx