Forefront TMG 2010 のログを読む

Article
09/27/2012

こんにちは。日本マイクロソフトの伊藤です。

前回の投稿では TMG のログを管理コンソールから確認する方法を、ご紹介しました。

TMG 管理コンソールからログを確認する
http://blogs.technet.com/b/isablogjp/archive/2012/09/24/3522135.aspx

今回は管理コンソールを利用せず、直接ログを確認する方法をご紹介します。
アクセス統計などの情報を確認する場合にはレポート機能がお勧めですが、特定ユーザーの通信、特定 IP への通信など、細かい分析が必要な場合にはログが便利なこともあります。
(ISA Server 2004, 2006 のログ解析も基本的な考え方は同じです。)

■ ログの記録内容を把握する
TMG のファイアウォールログ、Web プロキシログは、既定の設定ですべてのログフィールドを記録しません。
管理者さまの運用ポリシー、ログの参照目的に応じて、確認したいフィールドが有効かどうかをまずご確認ください。

ログフィールドに関する情報は、こちらをご参照ください。

Web proxy log fields
http://technet.microsoft.com/en-us/library/cc441708.aspx

Firewall log fields
http://technet.microsoft.com/en-us/library/cc441692.aspx

■ ログの保存先を把握する
TMG のログをデータベース、ファイル、どちらに保存しているかによって確認の方法が異なります。

■ ログを解析する
ログのフィールドに関する情報を手掛かりに、実際のログを確認します。
ファイルへログを保存する環境であれば、メモ帳などでログを開くことで詳細を確認できますが、既定の SQL Server Express DB をご利用の場合にはファイルへエクスポートして確認する方法が簡単です。
手順の詳細は下記のブログ記事をご参照ください。

How to View TMG Logs when using SQL Server Express for Logging
http://blogs.technet.com/b/isablog/archive/2010/03/31/how-to-view-tmg-logs-when-using-sql-server-express-for-logging.aspx

なお、ISA Server 2004 / 2006 は使用するデータベースが TMG とは異なるため、ファイル出力時には下記のツールをご利用ください。

MSDEToText Tool for Internet Security and Acceleration (ISA) Server 2004
http://www.microsoft.com/en-us/download/details.aspx?id=9360

MSDEToText Tool for Internet Security and Acceleration (ISA) Server 2006
http://www.microsoft.com/en-us/download/details.aspx?id=13375

また、ログ内のエラーコードの意味を調べる場合には、下記の技術情報もご参照ください。

Result code log values
http://technet.microsoft.com/en-us/library/cc441734.aspx

■ 注意事項
ログにはユーザー名を記録するフィールドがあります。
ただし、このフィールドはユーザー認証を必要とするルールが存在する場合にのみ、ユーザー名が記録されます。
"すべてのユーザー" を許可するアクセスルールの場合にはユーザー名情報が収集されないことに、予めご注意ください。

(参考情報)
Log fields and values
http://technet.microsoft.com/en-us/library/cc441743.aspx

Forefront TMG 2010 のログを読む

Additional resources