Citrix ADC

Audit-Protokollierung

Wichtig

Citrix empfiehlt, eine SYSLOG- oder NSLOG-Konfiguration nur während Wartungs- oder Ausfallzeiten zu aktualisieren. Wenn Sie eine Konfiguration aktualisieren, nachdem Sie eine Sitzung erstellt haben, werden die Änderungen nicht auf die vorhandenen Sitzungsprotokolle angewendet.

Auditing ist eine methodische Untersuchung oder Überprüfung eines Zustands oder einer Situation. Mit der Audit-Logging-Funktion können Sie die Citrix ADC-Status- und Statusinformationen protokollieren, die von verschiedenen Modulen gesammelt wurden. Die Protokollinformationen können sich im Kernel und in den Daemons auf Benutzerebene befinden. Für die Auditprotokollierung können Sie das SYSLOG-Protokoll, das native NSLOG-Protokoll oder beides verwenden.

SYSLOG ist ein Standardprotokoll für die Protokollierung. Es besteht aus zwei Komponenten:

  • SYSLOG-Auditmodul. Läuft auf der Citrix ADC-Appliance.
  • SYSLOG-Server. Läuft auf dem zugrunde liegenden FreeBSD-Betriebssystem (OS) der Citrix ADC-Appliance oder auf einem Remote-System.

SYSLOG verwendet ein Benutzerdatenprotokoll (UDP) für die Datenübertragung.

In ähnlicher Weise besteht das native NSLOG-Protokoll aus zwei Komponenten:

  • NSLOG-Auditmodul. Läuft auf der Citrix ADC-Appliance.
  • NSLOG-Server. Läuft auf dem zugrunde liegenden FreeBSD-Betriebssystem der Citrix ADC-Appliance oder auf einem Remote-System.

NSLOG verwendet TCP für die Datenübertragung.

Wenn Sie einen SYSLOG- oder NSLOG-Server ausführen, stellt er eine Verbindung zur Citrix ADC-Appliance her. Die Citrix ADC-Appliance beginnt dann, alle Protokollinformationen an den SYSLOG- oder NSLOG-Server zu senden. Und der Server filtert die Logeinträge, bevor er sie in einer Protokolldatei speichert. Ein NSLOG- oder SYSLOG-Server empfängt Protokollinformationen von mehr als einer Citrix ADC-Appliance. Die Citrix ADC-Appliance sendet Protokollinformationen an mehr als einen SYSLOG-Server oder NSLOG-Server.

Wenn mehrere SYSLOG-Server konfiguriert sind, sendet die Citrix ADC-Appliance ihre SYSLOG-Ereignisse und -Meldungen an alle konfigurierten externen Protokollserver. Dies führt zum Speichern redundanter Nachrichten und erschwert Systemadministratoren die Überwachung. Um dieses Problem zu beheben, bietet die Citrix ADC-Appliance Algorithmen für den Lastausgleich. Die Appliance kann die SYSLOG-Nachrichten auf die externen Protokollserver ausgleichen, um die Wartung und Leistung zu verbessern. Zu den unterstützten Load-Balancing-Algorithmen gehören RoundRobin, LeastBandwidth, CustomLoad, LeastPackets und AuditlogHash.

Hinweis

Die Citrix ADC-Appliance kann Audit-Logmeldungen mit bis zu 16 KB an einen externen SYSLOG-Server senden.

Die Protokollinformationen, die ein SYSLOG- oder NSLOG-Server von einer Citrix ADC-Appliance sammelt, werden in Form von Nachrichten in einer Protokolldatei gespeichert. Diese Meldungen enthalten normalerweise die folgenden Informationen:

  • Die IP-Adresse einer Citrix ADC-Appliance, die die Protokollnachricht generiert hat.
  • Zeitstempel
  • Meldungstyp
  • Die vordefinierten Protokollebenen (Kritisch, Fehler, Hinweis, Warnung, Information, Debug, Warnung und Notfall)
  • Meldungstext

Um die Auditprotokollierung zu konfigurieren, konfigurieren Sie zunächst die Auditmodule auf der Citrix ADC-Appliance. Die Appliance umfasst die Erstellung von Audit-Richtlinien und die Angabe der NSLOG-Server- oder SYSLOG-Serverinformationen. Anschließend installieren und konfigurieren Sie den SYSLOG- oder NSLOG-Server auf dem zugrunde liegenden FreeBSD-Betriebssystem der Citrix ADC-Appliance oder auf einem Remote-System.

Hinweis

SYSLOG ist ein Industriestandard für die Protokollierung von Programmmeldungen, und verschiedene Anbieter bieten Unterstützung. Die Dokumentation enthält keine Informationen zur SYSLOG-Serverkonfiguration.

Der NSLOG-Server hat eine eigene Konfigurationsdatei (auditlog.conf). Sie können die Protokollierung auf dem NSLOG-Serversystem anpassen, indem Sie zusätzliche Änderungen an der Konfigurationsdatei (auditlog.conf) vornehmen.

Hinweis

Der ICMP-Zugriff auf den Syslog-Server ist erforderlich, wenn der Syslog-Server als FQDN unter Syslog-Aktion im Netzwerk verwendet wird. Wenn der ICMP-Zugriff in der Umgebung blockiert ist, konfigurieren Sie ihn als Syslog-Server mit Lastausgleich und setzen Sie den Wert des healthMonitor-Parameters im Befehl set service auf NO. Informationen zur Konfiguration von ICMP finden Sie unter SYSLOG-Server für den Lastausgleich

Audit-Protokollierung

In diesem Artikel