在Forefront中实现警报便于信息互传递

核心提示：通常情况下，Forefront服务器的运行状况都会被记录在日志中，在Forefront中实现警报便于信息互传递，包括正常的运行信息与异常的状况，如发现新的恶意软件或者磁盘空间达到最大限额，但是如果定义了附带条件，那么必须这两个条件同时满足时才会触发后续的行为，不过这些日志信息一般都记录在服务器中，安全管理人员总不能够每

通常情况下，Forefront服务器的运行状况都会被记录在日志中，包括正常的运行信息与异常的状况。如发现新的恶意软件或者磁盘空间达到最大限额。不过这些日志信息一般都记录在服务器中，安全管理人员总不能够每天盯着服务器。其次系统每天产生的日志信息有很多，让工程师每天一条条去看也不是很现实。为此我们喜欢，Forefront系统能够每天将管理员所关注的信息自动发送到管理员的邮箱中，这就方便了信息的传递，有利于管理员开展工作。

要实现这个需求的话，就需要采用Forefront的警报功能。如上图所示，当出现某个特定的情况时，Forefront安全网关服务会产生一个对应的事件。此时如果启用了警报服务的话，那么系统就会根据一定的筛选规则，将符合条件的信息通过邮件或者其他手段来告知管理员。也就是说，这很像数据库中的触发器。当某个条件满足时就会触发这个事件，系统也会进行相关的操作。在这篇文章中，笔者就着重谈一下这个警报功能的配置与管理。

一、配置与维护警报定义

警报定义就好像是触发条件。当满足这个条件时，系统才会采取后续的动作。可见这个条件的定义是否合适，直接关系到后续的行为能否被触发。在Forefront安全网关中，其警报定义(笔者更喜欢称之为触发条件)包括一般的条件和附带的条件。其中一般的条件是必需的，而附带条件是可选的。但是如果定义了附带条件，那么必须这两个条件同时满足时才会触发后续的行为。这是在配置与维护警报定义时候先需要搞清楚的。