Cette analyse recherche les événements qui indiqueront une possible attaque par déni de service.
Cette alerte peut indiquer un possible refus d'attaque de service.
Cela peut être causé par une attaque par déni de service ou un cluster de NLB nettement surchargé.
Analysez les menaces à l'encontre du cluster d'équilibrage de la charge réseau (NLB), notamment une attaque par déni de service potentielle, puis prenez les mesures qui conviennent. Pour plus d'informations concernant la sécurité, consultez Security and Protection.
S'il ne s'agit pas d'une attaque, il se peut que le cluster de NLB soit surchargé. Pour distribuer la charge de trafic du cluster sur davantage d'hôtes, vous pouvez ajouter davantage d'hôtes au cluster de NLB.
Pour utiliser le Gestionnaire NLB, vous devez être membre du groupe Administrateurs sur l’hôte que vous configurez, ou l’autorisation appropriée doit vous avoir été déléguée. Si vous configurez un cluster ou un hôte en exécutant le Gestionnaire NLB à partir d'un ordinateur qui ne fait pas partie du cluster, vous n'avez pas à être membre du groupe Administrateurs sur cet ordinateur.
Pour ajouter un hôte au cluster NLB :
Cliquez sur Démarrer, puis cliquez sur Outils d'administration et enfin cliquez sur Gestionnaire d'équilibrage de la charge réseau. Vous pouvez également ouvrir le Gestionnaire d’équilibrage de la charge réseau en tapant Nlbmgr à l’invite de commandes.
Cliquez avec le bouton droit sur le cluster auquel vous souhaitez ajouter l’hôte, puis choisissez Ajouter l’hôte au cluster. Connectez-vous au cluster si le Gestionnaire d’équilibrage de la charge réseau ne le répertorie pas.
Tapez le nom de l’hôte et cliquez sur Connexion. Les cartes réseau disponibles sur l’hôte sont répertoriées au bas de la boîte de dialogue.
Cliquez sur la carte réseau que vous souhaitez utiliser pour le NLB, puis cliquez sur Suivant. L’adresse IP configurée sur cette carte réseau constituera l’adresse IP dédiée de cet hôte.
Configurez les autres paramètres de l’hôte selon vos besoins, puis cliquez sur Terminer.
Target | Microsoft.Windows.NetworkLoadBalancing.6.2.ServerRole | ||
Parent Monitor | System.Health.SecurityState | ||
Category | SecurityHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.2SingleEventLog2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack" Accessibility="Public" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.NetworkLoadBalancing.6.2.ServerRole" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">
<Category>SecurityHealth</Category>
<AlertSettings AlertMessage="Microsoft.Windows.NetworkLoadBalancing.6.2.SynAttack_AlertMessageResourceID">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>Error</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
<OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>System</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-NLB</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">Params/Param[1]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">$Target/Property[Type="NLBLibrary!Microsoft.Windows.NetworkLoadBalancing.ServerRole"]/ClusterIP$</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>System</SecondLogName>
<SecondExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">93</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-NLB</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">Params/Param[1]</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">$Target/Property[Type="NLBLibrary!Microsoft.Windows.NetworkLoadBalancing.ServerRole"]/ClusterIP$</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</SecondExpression>
</Configuration>
</UnitMonitor>