ISA 2004에서는 진단 로깅 기능을 통하여 ISA를 사용하면서 발생하는 문제점이나 발생 가능한 문제점이 내재되어 있는지 확인할 수 있습니다. 이번 강좌는 ISA 2004에서 제공하는 진단 로그 및 로그를 볼 수 있는 뷰어에 대해 소개합니다.
ISA 2004 SP3에서 새롭게 추가되거나 향상된 기능 중에 돋보이는 것이 바로
진단 로그(Diagnostic Logging) 기능입니다. 이 진단 로깅 기능은 200 여개 이상의 이벤트가 추가되어 있으며,
ISA Server Diagnostics라고 하는 이름으로 윈도우 이벤트 뷰어에 추가되었습니다.
진 단 로그 기능으로 로그를 살펴 볼 때에는 수백 수천 개의 로그가 나타난다는 단점이 있습니다. 조건 검색을 통해 줄이려고 해도 상당한 로그가 나타나며, 이로 인해 실제로 중요한 정보를 빼먹을 수도 있습니다. 이러한 문제를 해결하기 위해서는
진단 로그 뷰어(Microsoft ISA Server Diagnostics Logging Viewer)를 사용하는 것입니다.
하 지만, 또 하나의 단점이 있는데 바로 명령행 기반으로 동작한다는 점입니다. 하지만, 출력되는 정보는 명령행 창으로 보거나, Log Parser를 통해 윈도우 창으로 볼 수 있습니다. 또한, HTML 문서로 저장이 가능하기 때문에 웹 브라우저를 통해 살펴 볼 수도 있습니다.
목차는 다음과 같습니다.
1. Log Parser 2.2 다운로드 및 설치2. ISA Firewall Diagnostic Logging Viewer 다운로드 및 설치3. 진단 로그 사용하도록 설정하기4. 기타5. 문제 해결을 위해 진단 로그 뷰어 사용하는 방법3. 진단 로그 사용하도록 설정하기진단 로그 기능을 사용하기 위해 필터링을 설정하는 방법에 대해 알아 봅니다. ISA 2004 SP3를 설치하고 나면 ISA 방화벽의 관리 콘솔에서 아래 그림과 같은 Troubleshooting 노드가 생성된 것을 볼 수 있습니다.
다음과 같은 5개의 세부 링크가 있습니다.
- Use the ISA Server Best Practice Analyzer
- View ISA Server Alerts
- View ISA Server Logging
- Configure Diagnostic Logging
- Read ISA Server Documents and Troubleshooting Guides
관리 콘솔에서 Configure Diagnostic Logging 링크를 클릭하면 다음과 같이 Diagnostic Logging 대화상자가 나타납니다. 로그로 남기기 위한 두가지 이벤트 형식 중에 선택할 수 있습니다.
- Firewall policy - 방화벽 정책 규칙(웹 프록시 트래픽 포함)에 대한 로그 정보를 남깁니다.
- Authentication - 방화벽 정책 규칙 인증에 대한 로그 정보를 남깁니다.
그리고 세가지 버튼 중에 선택할 수 있습니다.
- Start Logging - 로그 기록 시작
- Clean Log Data - 로그로 저장된 정보 삭제(이벤트 뷰어에 있는 ISA Server Diagnostics 노드에 저장된 정보 삭제)
- View Log Data - 이벤트 뷰어를 열어 로그 출력
Start Logging 버튼을 클릭하면 이벤트 뷰어에는 아주 자세한 이벤트 정보들이 저장됩니다. 하지만 그만큼 CPU 등의 자원소비가 많으므로 반드시 필요한 경우에만 사용하길 추천합니다. 로그를 시작한 후에는 Close 버튼을 클릭합니다. 만약 No 버튼을 클릭하면 로그가 저장되지 않습니다.
4. 기타
이제 문제 해결에 필요한 트래픽을 일부러 만들어 봅니다. 여기 예에서는 3 개의 규칙을 생성합니다. - 아웃바운드 SMTP 트래픽, 아웃바운드 NNTP 트래픽, SMTP 서버 게시 규칙.
아래 그림에서는 외부 SMTP 서버로 텔넷 명령어로 연결하여 연결이 실패하는 화면을 나타냅니다. 이러한 문제를 어떻게 해결하는지 진단 로그 뷰어를 통해 알아 봅니다.
아래 그림은 외부 즉, 인터넷에서 게시한 SMTP 서버로 텔넷 연결을 시도하는데 이 또한 연결이 실패한 것을 볼 수 있습니다. 하지만, 왜 화면에는 위와 다르게 아무것도 나타나지 않습니다. 이러한 화면은 실제 문제해결을 하는데 어려움을 줄 수도 있습니다.
아래 그림에서는 NNTP 서버로의 아웃바운드 연결이 실패한 화면입니다. 이러한 문제의 원인을 진단 로그 뷰어를 통해 알아 낼 수 있을까요?
5. 문제 해결을 위해 진단 로그 뷰어 사용하는 방법
진단 로그 뷰어를 사용할 때, 데이터는 모두 4가지 형식으로 볼 수 있습니다.
- 윈도우 이벤트 뷰어로 직접 보는 방법
- 명령 프롬프트에서 출력한 데이터를 텍스트파일로 저장하여(pipe) 보는 방법
- 로그 파서에서 격자 형태로 보는 방법
- 웹 페이지에서 대화형으로 보는 방법
아래 그림은 윈도우 이벤트 뷰어에서 로그 데이터를 직접 보는 것을 나타냅니다. 이 데이터를 보기 위해서는 진단 로그 뷰어를 실행하지 않고, 윈도우 관리도구의 이벤트 뷰어를 통해서 봅니다. 다만, 이벤트 뷰어에서는 필터 기능을 쓸 수 없다는 단점이 있습니다. 특히 진단 로그에서는 막대한 로그를 발생시키기 때문에 실제 이벤트 뷰어를 통해 보는 방법으로는 한계가 있습니다.
ISA 방화벽 진단로그 뷰어에서는 데이터를 데이터를 가공하여 볼 수 있습니다. 진단로그 뷰어는 로그파서 2.2를 기반으로 동작하기 때문에 SQL 쿼리를 통해 데이터를 검색할 수 있습니다.
진단로그 뷰어의 사용법은 로그 뷰어 파일이 저장된 폴더에
dlviewerhelp.txt라는 텍스트 파일로 제공됩니다. 아래 그림을 참고하세요.
이제 간단하게 예제를 살펴 봅니다. 다음과 같이 입력합니다.
Dlviewer "nntp outbound"nntp outbound는 액세스 규칙의 이름으로 아웃바운드 NNTP 연결을 허용합니다.
아래 그림은 ISA 방화벽을 통해 아웃바운드 NNTP 연결을 시도하는 로그 엔트리에 대한 정보를 보여 줍니다. 이러한 정보는 ISA 방화벽이 연결 요청을 받은 내역입니다.
로그를 보는 다른 방법인 격자(탭으로 구분한) 보기하는 방법은 다음과 같습니다.
dlviewer -ogrid "smtp outbound"smtp outbound는 액세스 규칙의 이름으로 아웃바운드 SMTP 연결을 허용합니다.
결과 값은
로그 파서를 통해 볼 수 있읍니다.
Context 컬럼은 SMTP 액세스 규칙과 일치하는 각각의 연결 시도를 구별하는 숫자로 간단히 세션값이라고 생각하면 됩니다. 여기서
The rule SMTP outbound requires user authentication이라는 오류 값을 통해 아웃바운드 연결이 실패한다는 것을 쉽게 알아 낼 수 있습니다.
Log source 컬럼에서는 이 연결을 방화벽 엔진 또는 방화벽 서비스가 관련되어 있는지에 대한 정보를 보여 줍니다. 방화벽 엔진의 패킷 필터에서 결정하지 못하는 경우 방화벽 서비스로 연결 요청을 넘겨 줍니다.
아래와 같이 명령어를 입력합니다
dlviewer -odir tst1 "smtp outbound""
smtp outbound"는 아웃바운드 SMTP 연결을 허용하는 액세스 규칙의 이름입니다.
명령어의 실행이 완료되면, 명령어를 실행했던 폴더로 탐색기를 열어 이동합니다. 이 경우에는
tst1이라는 이름의 폴더에 해당 파일이 위치하게 됩니다.
웹 페이지에서는 연결시도에 대한 세부적인 정보를 보여 줍니다.
Context 컬럼에서는 번호를 클릭하여 연결시도와 일치하는 연결을 평가한 방화벽의 정보를 세밀하게 볼 수 있습니다.
아래 그림은 하나의 SMTP 연결 시도에 대한 ISA 방화벽에 로그의 기록을 일부 보여 줍니다. 이러한 정보를 세밀하게 살펴 보면, ISA 방화벽이 규칙을 평가하는 순서를 볼 수 있습니다. 일부 정보는 사용자를 헛갈리게 할 수도 있지만 관심을 가져야할 연결과는 그리 관련있어 보이지는 않습니다.
여기 예에서는 인증이 필요하고 클라이언트가 ISA 방화벽과 인증할 수가 없기 때문에 SMTP 연결이 실패한 것을 최종적으로 볼 수 있습니다.
Context 엔트리를 클릭하면 그 연결에 대한 세부 정보를 볼 수 있습니다.
이제 아래와 같이 명령어를 입력합니다.
dlviewer -odir tst5 "nntp outbound""
nntp outbound"는 아웃바운드 NNTP 연결을 허용하는 액세스 규칙의 이름입니다.
아래 그림은 쿼리의 결과 값을 보여 줍니다. 발생한 문제의 해결할 수 있는 실마리가 없어 보입니다. 특정한 연결 시도에 관련된
Context 번호를 클릭하면 볼 수 있을까요?
아마도 실마리가 여기에 있는가 봅니다. 로그에서는
source does not match the packet이라는 로그 기록이 여러군데 있는 것을 볼 수 있습니다. 이 메시지의 의미는 액세스 규칙에서 요구하는 원본 IP 주소가 정확히 일치하지 않는다는 뜻입니다. 만약 맞는다면 진단 로그가 도움을 제공한 것이 됩니다. 실패한 연결 시도의 원인은 액세스 규칙에서 아웃바운드 NNTP 연결을 특정 원본 IP 주소로 제한했기 때문이었습니다.
이제 마지막으로 다음의 명령어를 입력합니다.
dlviewer -odir tst "smtp server""
smtp server"는 내부 네트워크에 위치한 SMTP 서버를 게시하는 서버 게시 규칙의 이름입니다.
아래 그림은 쿼리의 결과 값으로, SMTP 서버 게시 규칙이 패킷을 허용한 것으로 보여줍니다. 즉, SMTP 서버 게시 규칙이 패킷을 허용하는 경우에는 ISA 방화벽 구성이 제대로 잡혀 있다고 볼 수 있습니다. 그렇다면 문제는 무엇일까요? 문제는 바로 SMTP 서버에서 SMTP 서비스가 사용하지 않도록 설정되었다는 것입니다.
마무리ISA 2004 SP3에서 새롭게 제공하는 진단 로그 기능 및 뷰어를 통해 관리자는 다양한 문제점을 손쉽게 해결할 수 있는 수단을 제공하고 있습니다. 현재에는 진단 로그에 대한 간략한 정보만 제공되지만 차차 세부적인 정보가 공개될 것이라고 생각합니다. 참고로, 200 개 이상의 진단 로그 이벤트에 대한 세부 문서를 제공하고 있다는 점을 주시할 필요가 있습니다.
http://isaserver.org/tutorials/Using-ISA-2004-Firewalls-Diagnostic-Log-Viewer.html
