任何成熟的系统都会有日志文件,ForeFront也不例外。日志文件有助于管理员找到并解决问题。总之,日志文件会一五一十的纪录下系统的运行状况。无论是在故障排除还是在性能优化过程中,其都能够给管理员提供很大的帮助。不过对于ForeFront系统来说,日志管理有其特殊性。笔者在此总结了五点,供各位读者参考。
技巧一:不同的组件对应于不同的日志
ForeFront在日志规划中,沿袭了微软操作系统的优点。即不同的组件对应于不同的日志文件,而不是件所有的日志信息都保存在同一个文件中。笔者认为,这对管理员非常的有利。因为ForeFront系统产生的日志信息有很多。如果将其全部存放在一个日志文件中,不但会造成后续的查询困难,而且还会影响到系统的性能。
当然,这也会给管理员造成一点小小的麻烦。也就是说,管理员需要知道ForeFront系统的日志结构,如每个日志文件对应于哪些日志信息。一般那情况下,根据日志文件的名字就可以了解这个文件所存储的内容。如MOMReporting其存储的是与MOM报表安装相关的日志信息;而MOMDB则对应的是收集数据安装的相关信息等等。大部分情况下,日志文件的名字不需要死记硬背,多看几次,就可以了解。
主要的问题是管理员需要知道在遇到具体问题的时候,该去查看哪个日志文件。这有时候很难说清楚。或者说,靠的是管理员的一种经验或者直觉。总之,平时有空的时候,多去看看日志信息。这对于各位读者了解ForeFront的日志结构具有很大的帮助。
技巧二:通过命令将日志文件进行集体归档
日志文件在必要的时候需要进行归档。日志文件一般是采取追加的方式。也就是说,如果不采取有效的管理措施的话,日志文件的容量会无限量的增加上去。这不但会使得ForeFront服务器的存储空间快速消耗,而且文件一大,其存储的效率也会降低,从而影响到ForeFront服务器的整体性能。但是如果日志文件一大,就清空日志文件,从头再来,这也不行。因为有时候需要对系统运行的状况进行纵向的对比,以发现问题的原因。通常情况下,比较合理的做法是先对日志文件进行归档操作,然后再清空旧的日志文件。这么操作即可以保留历史纪录,又可能确保在用的日志文件容量不是很大。
但是ForeFront系统的日志文件有很多,如果一个个的进行归档,其工作量也比较大。为此在ForeFront系统中提供了一个命令行的工具(MpCMDRun –Getfiles),来进行日志文件的存档工作。不过在使用这个文件的时候,需要注意两个文件。
一是通常情况下,其归档的只是系统的操作日志。ForeFront的日志文件根据其产生的过程,可以分为 安装日志与操作日志。一般情况下,安装日志后续不会有很大的变化(一般是安装或者升级过程中需要用到),所以没有多大的归档必要。而操作日志则每天都可能在变化,容量也在与日俱进。所以从管理上来说,只有操作日志文件有归档的必要。系统提供的这个命令行工具,针对的也只是操作日志文件。
二是在归档操作日志文件的时候,其会忽略两个日志文件,分别为MPLog-daterange与MpSigstub日志文件。前者是扫描的资源、检测到的威胁和签名更新版本的日志。这个日志文件一般是由反恶意软件引擎所生成。第二个日志文件列出了反恶意软件服务的签名更新组件的活动。这两个文件通常情况下没有归档的必要。如果管理员觉得有必要归档的话,这需要手工进行归档,而不能够使用命令行工具。
技巧三:利用SQLServer数据库来分析ForeFront日志信息
虽然在ForeFront软件中,已经对日志进行了分类存放与管理。但是其日志的数量仍然非常的多。如果没有一款合适的日志管理、追踪、分析工具的话,要从这些日志信息中分析出有用的信息,仍然有不少的难度。此时即使信息量{zd0},对于管理员来说,价值也不大。总之管理员需要一款合适的ForeFront日志分析工具。
在这里,笔者推荐的是SQLServer数据库的日志记录和跟踪工具。在SQLServer数据库安装的时候,与工作站一起安装的还有一个报表分析工具(SQLServerProfiler)。它主要的用途就是以图形化的形式向管理员展示日志的相关信息。这与单纯的文字描述更加的直观、更加能够说明问题。简单的说,通过这款工具可以让问题更加的明朗化。在其帮助下,管理员可以让系统生成包含有用信息的跟踪日志。这有助于确定可能未正确生成报表的原因等等。
技巧四:利用MOM日志记录和追踪功能来提升日志文件的使用价值
MOM是ForeFront系统的一个核心部件之一,其可以针对恶意软件警报、与扫描关联的事件、以及代理系统的管理进行控制。这里顺便说一句,ForeFront系统中的MOM功能有一个特点,即所有从MOM服务器发送的任务都是以脚本方式运行的。注意这一点对于了解MOM服务器的维护非常重要。
MOM服务器上有一项非常重要的功能,它能够帮助管理员更好的使用系统产生的日志文件。这个功能就是追踪。注意,默认情况下并没有在管理服务器或者代理系统上启用追踪功能。不过笔者建议启动它。因为在某些特定的情况下,这个追踪功能非常的实用。如当方向ForeFront任务和脚本无法正常之时候,启用这个跟踪功能可以追踪到故障点,帮助管理员迅速定位问题的原因并解决它。
在启用这个功能的时候,以下两个细节的问题笔者认为需要引起各位的注意。
一是必须要同时在ForeFront代理和管理服务器上启用跟踪功能。否则的话,就无法跟踪到比较全面的信息。二是笔者前面说过,MOM服务器发送的任务都是以脚本方式运行的。为此有时候还需要启用脚本调试功能。以便于在脚本执行遇到问题时查找故障的原因。
技巧五:了解不同操作系统上日志文件的存储位置
笔者向来不喜欢Vista操作系统。不但是因为其性能比较差、对硬件要求高。{zd0}的原因是因为其更以前的或者以后的操作系统存在相当大的变化。如对于ForeFront系统来说,在Vista操作系统上,跟其他操作系统其日志文件的默认存储位置是不同的。这让不少的管理员有时候难以适应。如在有需要的时候,找不到日志文件。
简单的说,在Vista操作系统上,日志文件是存储在应用程序文件夹中。而其他操作系统中日志文件则是存储中用户数据文件夹中。笔者认为后者更加的合理。因为在服务器更新换代或者重新安装的时候,只需要备份用户数据文件夹即可。
当然,这可能不同的人有不同的意见。以上这点只是笔者的一个浅见,以供大家参考。
虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。
“{zj0}实践”来自英文Best Practice。维基百科对{zj0}实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到{zy},并减少出错的可能性。学习应用IT企业安全的{zj0}实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的{zj0}实践,并不断更新,以期在企业安全防护方面提供帮助。
虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用{zd0}化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的{zd0}优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。
黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。
假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。
