Überwachungsrichtlinien

Überwachungsrichtlinien bestimmen die Nachrichten, die während einer Web App Firewall -Sitzung generiert und protokolliert werden. Die Meldungen werden im SYSLOG-Format am lokalen NSLOG-Server oder an einem externen Logg-Server protokolliert. Verschiedene Arten von Nachrichten werden basierend auf der ausgewählten Protokollierungsstufe protokolliert.

Um eine Überwachungsrichtlinie zu erstellen, müssen Sie zunächst einen NSLOG-Server oder einen SYSLOG-Server erstellen. Und dann erstellen Sie die Richtlinie und geben den Protokolltyp und den Server an, an den Protokolle gesendet werden.

So erstellen Sie einen Überwachungsserver mit der Befehlszeilenschnittstelle

Sie können zwei verschiedene Arten von Auditing-Servern erstellen: einen NSLOG-Server oder einen SYSLOG-Server. Die Befehlsnamen sind unterschiedlich, aber die Parameter für die Befehle sind identisch.

Um einen Überwachungsserver zu erstellen, geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-logFacility <logFacility>] [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )] [-userDefinedAuditlog ( YES | NO )] [-appflowExport ( ENABLED | DISABLED )]
  • save ns config

Beispiel

Im folgenden Beispiel wird ein Syslog-Server mit dem Namen syslog1 in IP 10.124.67.91 erstellt, wobei die Protokollfunktion für Notfälle, Kritische und Warnung auf LOCAL1 festgelegt ist und alle TCP-Verbindungen protokolliert:

add audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning -logFacility
LOCAL1 -tcp ALL
save ns config

So ändern oder entfernen Sie einen Überwachungsserver mit der Befehlszeilenschnittstelle

  • Um einen Überwachungsserver zu ändern, geben Sie den<type> Befehl set audit, den Namen des Überwachungsservers und die zu ändernden Parameter mit den neuen Werten ein.
  • Um einen Überwachungsserver zu entfernen, geben Sie den<type> Befehl rm audit und den Namen des Überwachungsservers ein.

Beispiel

Im folgenden Beispiel wird der Syslog-Server mit dem Namen syslog1 so geändert, dass der Protokollebene Fehler und Warnungen hinzugefügt werden:

set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error
-logFacility LOCAL1 -tcp ALL
save ns config

So erstellen oder konfigurieren Sie einen Überwachungsserver mit der GUI

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Richtlinien > Überwachung > Nslog .
  2. Klicken Sie auf der Seite Nslog-Überwachung auf die Registerkarte Server .
  3. Führen Sie einen der folgenden Schritte aus:
    • Klicken Sie auf Hinzufügen, um einen neuen Überwachungsserver hinzuzufügen.
    • Um einen vorhandenen Überwachungsserver zu ändern, wählen Sie den Server aus, und klicken Sie dann auf Bearbeiten.
  4. Legen Sie auf der Seite Überwachungsserver erstellen die folgenden Parameter fest:
    • Name
    • Servertyp
    • IP-Adresse
    • Port
    • Protokollierungsebenen
    • Log-Einrichtung
    • Datumsformat
    • Zeitzone
    • TCP-Protokollierung
    • ACL-Protokollierung
    • Benutzerkonfigurierbare Protokollmeldungen
    • AppFlow-Protokollierung
    • NAT-Protokollierung in großem Maßstab
    • Protokollierung von ALG-Meldungen
    • Abonnentenprotokollierung
    • SSL-Interception
    • URL-Filterung
    • Content-Inspection-Protokollierung
  5. Klicken Sie auf Erstellen und Schließen.

    Serverkonfiguration überwachen

So erstellen Sie eine Überwachungsrichtlinie mit der Befehlszeilenschnittstelle

Sie können eine NSLOG-Richtlinie oder eine SYSLOG-Richtlinie erstellen. Der Richtlinientyp muss mit dem Servertyp übereinstimmen. Die Befehlsnamen für die beiden Richtlinientypen sind unterschiedlich, aber die Parameter für die Befehle sind identisch.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add audit syslogPolicy <name> <-rule > <action>
  • save ns config

Beispiel

Im folgenden Beispiel wird eine Richtlinie namens SysLogP1 erstellt, die den Web App Firewall Datenverkehr auf einem Syslog-Server namens syslog1 protokolliert.

add audit syslogPolicy syslogP1 rule "ns_true" action syslog1 save ns config

So konfigurieren Sie eine Überwachungsrichtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set audit syslogPolicy <name> [-rule <expression>] [-action <string>]
  • save ns config

Beispiel

Im folgenden Beispiel wird die Richtlinie SysLogP1 so geändert, dass der Web App Firewall Datenverkehr auf einem Syslog-Server namens syslog2 protokolliert wird.

set audit syslogPolicy syslogP1 rule "ns_true" action syslog2 save ns config

So konfigurieren Sie eine Überwachungsrichtlinie mit der GUI

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Richtlinien .
  2. Klicken Sie im Detailbereich auf Überwachungs-Nslog-Richtlinie.
  3. Klicken Sie auf der Seite Nslog-Überwachung auf die Registerkarte Richtlinien, und führen Sie eine der folgenden Aktionen aus:
    • Klicken Sie auf Hinzufügen, um eine neue Richtlinie hinzuzufügen.
    • Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.
  4. Legen Sie auf der Seite Überwachungs-Nslog-Richtlinie erstellen die folgenden Parameter fest:
    • Name
    • Auditing-Typ
    • Ausdruckstyp
    • Server
  5. Klicken Sie auf Erstellen.

    Konfiguration der Überwachungsprotokollrichtlinie