WrSpy: Анализатор логов WinRoute и не только




WrSpy для ISA

Самое начало работы с логами ISA (с версии 1.2.6). Много непоняток, поэтому буду благодарен за любую информацию. Особенно интересует правильность подсчета трафика и вероятная причина обнаруженных расхождений. Набор и содержимое отчетов - проблема легко решаемая.
Работает с логами прокси (WEBEXTD*.log) или клиентов файервола (FWSEXTD*.log) в зависимости от заданой маски файлов. Для совместной обработки логов прокси и файервола маска выглядит как *W*.log
Берет в работу все файлы логов, соответствующие заданой маске и находящиеся в каталоге логов, включая и текущий (в который производится запись информации самой ISA). Для работы с конкретным файлом нужно указать не маску, а его имя. Требует наличия в логах следующих полей:
Для WEBEXTD*.log: c-ip cs-username date time cs-bytes sc-bytes cs-uri s-object-source
Для FWSEXTD*.log: c-ip cs-username date time cs-bytes sc-bytes r-ip r-port s-operation
Нежелательно использовать для одновременного анализа файлы одного типа, но с разной структурой полей.
Предпринята попытка учета кэширования прокси. Но полученная мной информация от разных источников настолько противоречива, что вполне возможно, что это все полная чушь. Для учета кэширования просматриваются поля s-object-source. При наличии в них значений Inet или VFInet считается что объект получен из Инета. В остальных случаях - из кэша. Записи из лога клиентов файервола никак не отбираются. Т.е. беруться в обработку все.
Пока это реализовано при вводе логов, поэтому при изменении режима кэширования необходимо переввести логи.
Особо отмечу, что почтовый трафик это не трафик по 110 и 25 портам внешних серверов, а результат разбора логов почтового сервера.

Версия 1.5.8.
1. Изменился набор полей для ISA2000:
Для WEBEXTD*.log: c-ip; cs-username; date; time; cs-bytes; sc-bytes; cs-uri; s-object-source; sc-status
Для FWSEXTD*.log: c-ip; cs-username; date; time; cs-bytes; sc-bytes; r-ip; r-port; s-operation
2. Насколько изменился алгоритм отбора записей из лога прокси - введен учет поля sc-status.

Появился отдельный режим для ISA2004. Его особенности:
1. Набор полей:
Для *WEB*.w3c: c-ip; cs-username; date; time; cs-bytes; sc-bytes; cs-uri; s-object-source; action
Для *FWS*.w3c: original client IP; username; date; time; bytes sent; bytes received; source; destination; IP protocol; application protocol; source network; destination network
2. При работе с FWS логом играет роль Настройка режима - Кэш, В положении Суммарный берется весь трафик, в положении Мимо кэша - только внешний, в положении Только из кэша - только локальный. Принадлежность к локальным и внешним подсетям определяется по полям source network и destination network. Пока работает только со стандартными значениями этих полей "Internal", "External" и "Local Host"

Версия 1.6.5.
В режиме для ISA2004 изменения в наборе полей:
Поля bytes sent и bytes sent intermediate обрабатываются следующим образом. Если в логе наличиствует только одно из заданных полей, то именно оно и обрабатывается. Если в логе они присутствуют оба, то обрабатывается последнее в порядке следования в логе. Обычно это bytes sent intermediate.
Аналогично и для полей bytes received и bytes received intermediate
Связано с различием содержимого указанных полей для соединений типа intermediate, например VPN. Для них в поле типа intermediate пишется трафик, потребленный от прошлого момента логирования. В отличии от простого поля, где трафик в этом случае, пишется нарастающим итогом.