通常情况下，Forefront服务器的运行状况都会被记录在日志中，包括正常的运行信息与异常的状况。如发现新的恶意软件或者磁盘空间达到最大限额。不过这些日志信息一般都记录在服务器中，安全管理人员总不能够每天盯着服务器。其次系统每天产生的日志信息有很多，让工程师每天一条条去看也不是很现实。为此我们喜欢，Forefront系统能够每天将管理员所关注的信息自动发送到管理员的邮箱中，这就方便了信息的传递，有利于管理员开展工作。

　　要实现这个需求的话，就需要采用Forefront的警报功能。如上图所示，当出现某个特定的情况时，Forefront安全网关服务会产生一个对应的事件。此时如果启用了警报服务的话，那么系统就会根据一定的筛选规则，将符合条件的信息通过邮件或者其他手段来告知管理员。也就是说，这很像数据库中的触发器。当某个条件满足时就会触发这个事件，系统也会进行相关的操作。在这篇文章中，笔者就着重谈一下这个警报功能的配置与管理。

　　一、配置与维护警报定义

　　警报定义就好像是触发条件。当满足这个条件时，系统才会采取后续的动作。可见这个条件的定义是否合适，直接关系到后续的行为能否被触发。在Forefront安全网关中，其警报定义(笔者更喜欢称之为触发条件)包括一般的条件和附带的条件。其中一般的条件是必需的，而附带条件是可选的。但是如果定义了附带条件，那么必须这两个条件同时满足时才会触发后续的行为。这是在配置与维护警报定义时候先需要搞清楚的。

　　在Forenfront安全网关成功部署完毕之后，为了以后管理的方便，往往需要配置合适的预定义警报。这里每个警报往往都包含一个相关的事件。当事件发生时，便会触发这个警报。那么改如何创建自定义警报呢?笔者建议是通过配置向导来创建。具体步骤如下：

　　第一步：打开“新建警报配置向导”窗口。在安全网关管理控制台中，点击树中的监视节点。系统会打开一个详细信息窗格，在这里需要单击“警报”选项卡。然后在打开的“任务”窗口中，单击“配置警报定义”。然后在警报定义列表中，选择“添加”。此时系统就会打开“新建警报配置向导”窗口。虽然通过向导来创建警报定义并不是唯一的手段。不过笔者建议，特别是对于刚接触这个内容的用户，最好还是通过向导来创建，以提高警报定义的准确性。

　　第二步：根据“新建警报配置向导”来创建警报定义。用户只需要根据想到的提示，一步步的输入相关的参数即可。笔者认为，在进行这一步操作时，对于下面这些参数要引起足够的重视。主要有“事件和条件”选项(表示触发器警报的事件和任何其它的条件，这直接关系到事件能否被正确触发)、“服务器”选项(默认情况下是对本台安全网关服务期进行配置)、“类别和严重性”选项(为了提高信息的可读性，对警报进行分类是一个不错的措施)、“操作”选项(指定在触发警报后所需要进行的操作)。

　　刚接触警报的读者可能对此没有直观的印象。笔者建议各位可以先去看一下系统默认的警报策略或者其他管理员定义的警报信息。多看看、多分析、多模仿。这个警报定义的配置其实没有大家想象的那么难。或者说，其难点不在于怎么配置，而在于怎么规划。即对于哪些事件需要配置警报信息。这是考验工程师能力的时候。

　　二、配置警报触发后相关的操作

　　在上面的操作中，最后一步需要配置操作选项。即某个警报触发后，系统该干些什么?这就是这一个步骤中需要完成的内容。默认情况下，某个警报触发后，系统会在日志信息中留下相关的纪录。但是显然光有这个还不行。管理人员可能喜欢某个警报触发之后，系统能够通过邮件等形式将警报信息发送给管理员，或者运行某一个维护的程序。具体需要触发的动作，管理员可以根据自己的需要来选择。笔者这里以发送电子邮件为例，谈谈具体的配置。

　　第一步：重复上面的动作，然后再最后一个“操作”选项时(通过新建警报配置向导来定义警报)，选择“发送电子邮件”。如果要采取其他行为，如运行某个应用程序，也可以在这里进行选择。

　　第二步：进行邮箱以及发件人、收件人的配置。在配置这些信息的时候，需要管理员指定可用的SMTP邮箱服务器的相关信息。这里需要注意，如果指定的SMTP邮箱服务器位于企业内部的网络中(即采用的是企业内部的网络邮箱)，则必须要启用相关的系统策略允许这个通讯)。具体的说，就是在系统策略编辑器中选择“远程监视”配置，然后选择SMTP，再单击“启用”即可。这个操作会启用“允许从安全网关到售信任的服务器的SMTP”系统策略规则。注意这一步操作非常的重要。很多管理员在配置时，发现无法正常收到邮件，大部分原因就是没有启用这个STMP所造成的。如果采用的SMTP服务器是外部的(即采用互联网上的邮箱服务器)，则必须使用SMTP创建一个允许本地主机网络访问外部网络的访问规则。虽然这个警报机制支持内部邮箱与外部邮箱。不过在具体的配置上有所不同。在实际工作中，有时候两种情况都需要用到。如现在有一个集团公司，其可能在集团总部与子公司的网络中都采用了Forefront安全网关产品。而邮箱服务器则是部署在集团公司。那么对于集团公司的Forefront安全网关配置来说，就是内部邮箱。对于下面子公司的配置，就是外部邮箱了。故这两种不同的配置，笔者认为管理员都需要掌握。

　　第三步：邮件地址的配置。在这一个步骤中，需要配置合法的、可用的发件人地址与收件人地址。当然，这两个地址可以是同一个(在实际工作中，往往都是管理员的邮件地址)。地址配置完毕之后，最后按确定即可。

　　如果要运行的是某一段程序，操作与上面类似。不过笔者还是要强调三点。一是所需要运行的程序，必须位于安全网关服务器上(即不支持网络路径)。如果是阵列的话，那么阵列中所有的服务器上都必须有这个应用程序。二是路径的格式也有讲究。笔者建议采用环境变量来定义路径。这方便后续对路径进行重新调整。三是程序交互的问题。有些应用程序在运行时，可能需要用户提供相关的参数，如日期等等。在警报的操作中，这个应用程序需要能够自动运行。为此这个参数必须有系统自动提供。也就是说，如果程序需要参数，那么也是系统自动给的或者设置一个默认的变量，而不是用户输入的。

　　三、操作无法执行时，该如何处理?

　　虽然定义了某个操作，但是如果这个操作无法执行时，该如何处理呢?如定义了发送邮件的操作，但是当这个操作发生时，却发现无法正常发送邮件。如邮箱服务器不可用等原因。或者说应用程序需要一个参数，而用户没有定义，这个程序就无法正常运行。当出现这些非正常的事件时，系统也需要采取相关的操作。

　　如用户选择的是警报发生时运行某段应用程序。但是当应用程序无法正常运行时，就发邮件提醒管理员。