ADC

Richtlinien für die Prüfung

Überwachungsrichtlinien bestimmen, welche Nachrichten während einer Web App Firewall-Sitzung generiert und protokolliert werden. Die Nachrichten werden im SYSLOG-Format auf dem lokalen NSLOG-Server oder auf einem externen Protokollierungsserver protokolliert. Je nach der ausgewählten Protokollierungsstufe werden verschiedene Arten von Nachrichten protokolliert.

Um eine Überwachungsrichtlinie zu erstellen, müssen Sie zunächst entweder einen NSLOG-Server oder einen SYSLOG-Server erstellen. Anschließend erstellen Sie die Richtlinie und geben den Protokolltyp und den Server an, an den die Protokolle gesendet werden.

So erstellen Sie einen Auditing-Server mithilfe der Befehlszeilenschnittstelle

Sie können zwei verschiedene Arten von Überwachungsservern erstellen: einen NSLOG-Server oder einen SYSLOG-Server. Die Befehlsnamen sind unterschiedlich, aber die Parameter für die Befehle sind dieselben.

Um einen Auditing-Server zu erstellen, geben Sie an der Befehlszeile die folgenden Befehle ein:

  • add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-logFacility <logFacility>] [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )] [-userDefinedAuditlog ( YES | NO )] [-appflowExport ( ENABLED | DISABLED )]
  • save ns config

Beispiel

Im folgenden Beispiel wird ein Syslog-Server mit dem Namen syslog1 an der IP 10.124.67.91 erstellt, wobei die Protokollstufen Notfall, Kritisch und Warnung, Log Facility auf LOCAL1 gesetzt sind, der alle TCP-Verbindungen protokolliert:

add audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning -logFacility
LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

So ändern oder entfernen Sie einen Überwachungsserver mithilfe der Befehlszeilenschnittstelle

  • Um einen Überwachungsserver zu ändern, geben Sie den <type> Befehl set audit, den Namen des Überwachungsservers und die zu ändernden Parameter mit ihren neuen Werten ein.
  • Um einen Überwachungsserver zu entfernen, geben Sie den <type> Befehl rm audit und den Namen des Überwachungsservers ein.

Beispiel

Im folgenden Beispiel wird der Syslog-Server mit dem Namen syslog1 geändert, um Fehler und Warnungen zur Protokollebene hinzuzufügen:

set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error
-logFacility LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

So erstellen oder konfigurieren Sie einen Auditing-Server mithilfe der GUI

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Richtlinien > Überwachung > Nslog.
  2. Klicken Sie auf der Seite Nslog Auditing auf die Registerkarte Server.
  3. Führen Sie einen der folgenden Schritte aus:
    • Um einen neuen Auditing-Server hinzuzufügen, klicken Sie auf Hinzufügen.
    • Um einen vorhandenen Überwachungsserver zu ändern, wählen Sie den Server aus, und klicken Sie dann auf Bearbeiten.
  4. Stellen Sie auf der Seite „ Auditing-Server erstellen “ die folgenden Parameter ein:
    • Name
    • Server-Typ
    • IP-Adresse
    • Port
    • Ebenen protokollieren
    • Einrichtung zur Protokollierung
    • Datumsformat
    • Zeitzone
    • TCP-Protokollierung
    • ACL-Protokollierung
    • Vom Benutzer konfigurierbare Protokollmeldungen
    • AppFlow-Protokollierung
    • NAT-Protokollierung in großem Maßstab
    • Protokollierung von ALG-Nachrichten
    • Abonnentenprotokollierung
    • SSL-Abfangen
    • URL-Filterung
    • Protokollierung der Inhaltsprüfung
  5. Klicken Sie auf Erstellen und Schließen.

So erstellen Sie mithilfe der Befehlszeilenschnittstelle eine Überwachungsrichtlinie

Sie können eine NSLOG-Richtlinie oder eine SYSLOG-Richtlinie erstellen. Der Typ der Richtlinie muss dem Servertyp entsprechen. Die Befehlsnamen für die beiden Richtlinientypen sind unterschiedlich, aber die Parameter für die Befehle sind dieselben.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add audit syslogPolicy <name> <-rule > <action>
  • save ns config

Beispiel

Im folgenden Beispiel wird eine Richtlinie mit dem Namen syslogP1 erstellt, die den Web App Firewall-Verkehr auf einem Syslog-Server mit dem Namen syslog1 protokolliert.

add audit syslogPolicy syslogP1 rule "ns_true" action syslog1 save ns config

So konfigurieren Sie eine Überwachungsrichtlinie mithilfe der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set audit syslogPolicy <name> [-rule <expression>] [-action <string>]
  • save ns config

Beispiel

Im folgenden Beispiel wird die Richtlinie mit dem Namen syslogP1 geändert, um den Web App Firewall-Verkehr auf einem Syslog-Server namens syslog2 zu protokollieren.

set audit syslogPolicy syslogP1 rule "ns_true" action syslog2 save ns config

So konfigurieren Sie eine Überwachungsrichtlinie mithilfe der GUI

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Richtlinien.
  2. Klicken Sie im Detailbereich auf Audit Nslog Policy.
  3. Klicken Sie auf der Seite Nslog Auditing auf die Registerkarte Richtlinien und führen Sie einen der folgenden Schritte aus:
    • Um eine neue Richtlinie hinzuzufügen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus und klicken dann auf Bearbeiten.
  4. Stellen Sie auf der Seite „ Auditing-NSlog-Richtlinie erstellen “ die folgenden Parameter ein:
    • Name
    • Art der Prüfung
    • Ausdruck-Typ
    • Server
  5. Klicken Sie auf Erstellen.