网络策略服务器 (NPS) 有三种类型的日志记录:
事件日志记录。 主要用于审核和排查连接尝试问题。 您可以通过在 NPS 控制台中获取 NPS 属性来配置 NPS 事件日志记录。
将用户身份验证和记帐请求记录到本地文件。 主要用于连接分析和计费目的。 它也可用作安全调查工具,因为它为您提供了一种在攻击后跟踪恶意用户活动的方法。 您可以使用 Accounting Configuration 向导配置本地文件日志记录。
将用户身份验证和记帐请求记录到符合 Microsoft SQL Server XML 的数据库中。 用于允许运行 NPS 的多个服务器具有一个数据源。 此外,还提供了使用关系数据库的优势。 您可以使用 Accounting Configuration 向导配置 SQL Server 日志记录。
使用 Accounting Configuration 向导
通过使用 Accounting Configuration 向导,您可以配置以下四种会计设置:
- 仅限 SQL 日志记录。 通过使用此设置,您可以配置指向 SQL Server 的数据链接,该链接允许 NPS 连接到 SQL Server 并将会计数据发送到 SQL Server。 此外,向导可以在 SQL Server 上配置数据库,以确保数据库与 NPS SQL Server 日志记录兼容。
- 仅限文本记录。 通过使用此设置,您可以将 NPS 配置为将会计数据记录到文本文件中。
- 并行日志记录。 通过使用此设置,您可以配置 SQL Server 数据链接和数据库。 您还可以配置文本文件日志记录,以便 NPS 同时记录到文本文件和 SQL Server 数据库。
- 带备份的 SQL 日志记录。 通过使用此设置,您可以配置 SQL Server 数据链接和数据库。 此外,还可以配置 NPS 在 SQL Server 日志记录失败时使用的文本文件日志记录。
除了这些设置之外,SQL Server 日志记录和文本日志记录还允许您指定 NPS 在日志记录失败时是否继续处理连接请求。 您可以在本地文件日志记录属性的 Logging failure action (记录失败作) 部分 、SQL Server 日志记录属性中以及运行 Accounting Configuration Wizard 时指定此项。
运行 Accounting Configuration Wizard
要运行 Accounting Configuration Wizard,请完成以下步骤:
- 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
- 在控制台树中,单击 Accounting(会计)。
- 在详细信息窗格的 Accounting (会计) 中,单击 Configure Accounting (配置会计)。
配置 NPS 日志文件属性
您可以将网络策略服务器 (NPS) 配置为对用户身份验证请求、Access-Accept 消息、Access-Reject 消息、记帐请求和响应以及定期状态更新执行远程身份验证拨入用户服务 (RADIUS) 记帐。 您可以使用此过程来配置要在其中存储记帐数据的日志文件。
有关解释日志文件的更多信息,请参见 解释 NPS 数据库格式日志文件。
为防止日志文件填满硬盘驱动器,强烈建议您将它们保存在与系统分区分开的分区上。 下面提供了有关为 NPS 配置记帐的详细信息:
若要发送日志文件数据以供其他进程收集,可以将 NPS 配置为写入命名管道。 要使用命名管道,请将日志文件文件夹设置为 \.\pipe 或 \ComputerName\pipe。 命名管道服务器程序创建一个名为 \.\pipe\iaslog.log 的命名管道来接受数据。 在本地文件属性对话框的创建新日志文件中,选择使用命名管道时从不(文件大小不受限制)。
可以使用系统环境变量(而不是用户变量)创建日志文件目录,例如 %systemdrive%、 %systemroot%和 %windir%。 例如,以下路径使用环境变量 %windir%,将日志文件定位在子文件夹 \System32\Logs(即 %windir%\System32\Logs)中的系统目录中。
切换日志文件格式不会导致创建新日志。 如果更改日志文件格式,则在更改时处于活动状态的文件将包含两种格式的混合(日志开头的记录将采用以前的格式,而日志末尾的记录将采用新格式)。
如果 RADIUS 记帐由于硬盘驱动器已满或其他原因而失败,NPS 将停止处理连接请求,从而阻止用户访问网络资源。
NPS 提供了记录到 Microsoft® SQL Server™ 数据库的功能,除了记录到本地文件之外,或者代替记录到本地文件。
Domain Admins 组中的成员身份是执行此过程所需的最低要求。
配置 NPS 日志文件属性
- 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
- 在控制台树中,单击 Accounting(会计)。
- 在详细信息窗格的 Log File Properties 中,单击 Change Log File Properties (更改日志文件属性)。 此时将打开 Log File Properties (日志文件属性) 对话框。
- 在 Log File Properties 的 Settings (设置 ) 选项卡上的 Log the following information (记录以下信息) 中,确保选择记录足够的信息来实现您的会计目标。 例如,如果您的日志需要完成会话关联,请选中所有复选框。
- 在 “记录失败作” 中,如果希望 NPS 在日志文件已满或由于某种原因不可用时停止处理 Access-Request 消息,请选择 “如果日志记录失败,则丢弃连接请求 ”。 如果希望 NPS 在日志记录失败时继续处理连接请求,请不要选中此复选框。
- 在 Log File Properties 对话框中,单击 Log File 选项卡。
- 在 Log File (日志文件 ) 选项卡上的 Directory (目录) 中,键入要存储 NPS 日志文件的位置。 默认位置是 systemroot\System32\LogFiles 文件夹。
如果未在 Log File Directory 中提供完整路径语句,则使用默认路径。 例如,如果在日志文件目录中键入 NPSLogFile,则该文件位于 %systemroot%\System32\NPSLogFile。 - 在 Format (格式) 中,单击 DTS Compliant (DTS 兼容)。 如果您愿意,可以改为选择旧文件格式,例如 ODBC (Legacy) 或 IAS (Legacy)。
ODBC 和 IAS 旧文件类型包含 NPS 发送到其 SQL Server 数据库的信息子集。 DTS 兼容文件类型的 XML 格式与 NPS 用于将数据导入其 SQL Server 数据库的 XML 格式相同。 因此, DTS 兼容 文件格式提供了更高效、更完整的数据传输到 NPS 的标准 SQL Server 数据库。 - 在 “创建新的日志文件”中,若要将 NPS 配置为按指定的时间间隔启动新的日志文件,请单击要使用的间隔:
- 对于大量事务处理和日志记录活动,请单击 Daily(每日)。
- 对于较少的事务量和日志记录活动,请单击 Weekly (每周) 或 Monthly (每月)。
- 要将所有事务存储在一个日志文件中,请单击 Never (unlimited file size) (从不(文件大小不受限制))。
- 要限制每个日志文件的大小,请单击 When log file reaches this size(当日志文件达到此大小时),然后键入文件大小,然后创建新日志。 默认大小为 10 MB。
- 如果希望 NPS 在硬盘接近容量时删除旧日志文件,以便为新日志文件创建磁盘空间,请确保选中 When disk is full delete older log files (当磁盘已满时,删除较旧的日志文件 )。 但是,如果 Create a new log file (创建新日志文件) 的值为 Never (unlimited file size) (从不大小)),则此选项不可用。 此外,如果最早的日志文件是当前日志文件,则不会删除该文件。
配置 NPS SQL Server 日志记录
您可以使用此过程将 RADIUS 记帐数据记录到运行 Microsoft SQL Server 的本地或远程数据库。
注释
NPS 将会计数据格式化为 XML 文档,该文档将发送到您在 NPS 中指定的 SQL Server 数据库中的 report_event 存储过程。 要使 SQL Server 日志记录正常运行,必须在 SQL Server 数据库中具有名为 report_event 的存储过程,该存储过程可以接收和分析来自 NPS 的 XML 文档。
Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。
在 NPS 中配置 SQL Server 日志记录
- 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
- 在控制台树中,单击 Accounting(会计)。
- 在详细信息窗格的 SQL Server Logging Properties 中,单击 Change SQL Server Logging Properties (更改 SQL Server 日志记录属性)。 此时将打开 SQL Server Logging Properties 对话框。
- 在 Log the following information (记录以下信息) 中,选择要记录的信息:
- 要记录所有记帐请求,请单击 Accounting requests(记帐请求)。
- 要记录身份验证请求,请单击 Authentication requests(身份验证请求)。
- 要记录定期核算状态,请单击 Periodic accounting status(定期核算状态)。
- 要记录定期状态 (如临时会计请求),请单击 Periodic status (定期状态)。
- 若要配置运行 NPS 的服务器与 SQL Server 之间允许的并发会话数,请在 Maximum number of concurrent sessions (最大并发会话数) 中键入一个数字。
- 要配置 SQL Server 数据源,请在 SQL Server Logging 中单击 Configure。 此时将打开 Data Link Properties 对话框。 在 Connection (连接 ) 选项卡上,指定以下内容:
- 要指定存储数据库的服务器的名称,请在 Select (选择) 中键入或选择一个名称 ,或输入服务器名称。
- 要指定用于登录服务器的身份验证方法,请单击 Use Windows NT integrated security。 或者,单击 Use a specific user name and password(使用特定用户名和密码),然后在 User name and Password (用户名和 密码) 中键入凭据。
- 要允许使用空白密码,请单击 Blank password (空白密码)。
- 要存储密码,请单击 Allow saving password (允许保存密码)。
- 若要指定要在运行 SQL Server 的计算机上连接到哪个数据库,请单击 “选择服务器上的数据库”,然后从列表中选择数据库名称。
- 若要测试 NPS 和 SQL Server 之间的连接,请单击 “测试连接”。 单击 OK 关闭 Data Link Properties。
- 在 “记录失败作”中,如果希望 NPS 在 SQL Server 日志记录失败时继续进行文本文件日志记录,请选择 “启用文本文件日志记录以进行故障转移 ”。
- 在 “记录失败作” 中,如果希望 NPS 在日志文件已满或由于某种原因不可用时停止处理 Access-Request 消息,请选择 “如果日志记录失败,则丢弃连接请求 ”。 如果希望 NPS 在日志记录失败时继续处理连接请求,请不要选中此复选框。
Ping 用户名
某些 RADIUS 代理服务器和网络访问服务器会定期发送身份验证和记帐请求(称为 ping 请求),以验证 NPS 是否存在于网络上。 这些 ping 请求包括虚构的用户名。 当 NPS 处理这些请求时,事件和会计日志中会填满访问拒绝记录,从而更难跟踪有效记录。
为 ping 用户名配置注册表项时,NPS 会将注册表项值与其他服务器的 ping 请求中的用户名值进行匹配。 ping 用户名注册表项指定由 RADIUS 代理服务器和网络访问服务器发送的虚构用户名(或带有变量的用户名模式,与虚构用户名匹配)。 当 NPS 收到与 ping 用户名 注册表项值匹配的 ping 请求时,NPS 会拒绝身份验证请求,而不处理该请求。 NPS 不会在任何日志文件中记录涉及虚构用户名的事务,这使得事件日志更易于解释。
默认情况下,不安装 Ping 用户名。 您必须将 ping 用户名 添加到注册表中。 您可以使用 Registry Editor 向注册表添加条目。
谨慎
注册表编辑不当可能会严重损坏系统。 在更改注册表之前,应备份计算机上任何有价值的数据。
将 ping 用户名添加到注册表
本地 Administrators 组的成员可以将 Ping 用户名作为字符串值添加到以下注册表项中:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters
-
名称:
ping user-name -
类型:
REG_SZ - 数据: 用户名
小窍门
要为 ping 用户名 值指示多个用户名,请在 Data (数据) 中输入名称模式,例如 DNS 名称,包括通配符。