Citrix ADC

SYSLOG über TCP

Syslog ist ein Standard für das Senden von Ereignisbenachrichtigungen. Diese Meldungen können lokal oder auf einem externen Protokollserver gespeichert werden. Mit Syslog können Netzwerkadministratoren Protokollmeldungen konsolidieren und Erkenntnisse aus den gesammelten Daten ableiten.

Syslog wurde ursprünglich entwickelt, um über UDP zu arbeiten, das eine große Menge an Daten innerhalb desselben Netzwerks mit minimalem Paketverlust übertragen kann. Telco-Betreiber bevorzugen es jedoch, Syslog-Daten über TCP zu übertragen, da sie eine zuverlässige, geordnete Datenübertragung zwischen Netzwerken benötigen. Telco verfolgt beispielsweise Benutzeraktivitäten, und TCP bietet eine erneute Übertragung im Falle eines Netzwerkausfalls.

Funktionsweise von Syslog über TCP

Um zu verstehen, wie Syslog über TCP funktioniert, betrachten Sie zwei hypothetische Fälle:

Sam, ein Netzwerkadministrator, möchte wichtige Ereignisse auf einem externen Syslog-Server protokollieren.

XYZ Telecom, ein ISP, muss eine beträchtliche Menge an Daten auf Syslog-Servern übertragen und speichern, um behördliche Vorschriften einzuhalten.

In beiden Fällen müssen die Protokollmeldungen über einen zuverlässigen Kanal übertragen und sicher auf einem externen Syslog-Server gespeichert werden. Im Gegensatz zu UDP stellt TCP eine Verbindung her, überträgt Nachrichten sicher und überträgt (vom Sender zum Empfänger) alle Daten, die aufgrund eines Netzwerkausfalls beschädigt oder verloren gegangen sind.

Die Citrix ADC Appliance sendet Protokollmeldungen über UDP an den lokalen Syslog-Daemon und sendet Protokollmeldungen über TCP oder UDP an externe Syslog-Server.

SNIP-Unterstützung für Syslog

Wenn das Überwachungsprotokollmodul Syslog-Meldungen generiert, verwendet es eine Citrix ADC IP (NSIP) -Adresse als Quelladresse für das Senden der Nachrichten an einen externen Syslog-Server. Um ein SNIP als Quelladresse zu konfigurieren, müssen Sie es Teil der NetProfile-Option machen und NetProfile an die syslog-Aktion binden.

Hinweis

TCP verwendet SNIP zum Senden von Überwachungsprüfpunkten, um die Konnektivität zu überprüfen, und sendet dann die Protokolle über NSIP. Daher muss der Syslog-Server über SNIP erreichbar sein. Net Profile können verwendet werden, um den gesamten TCP Syslog-Datenverkehr vollständig über SNIP umzuleiten.

Die Verwendung einer SNIP-Adresse wird in der internen Protokollierung nicht unterstützt.

Vollqualifizierter Domänenname Unterstützung für Überwachungsprotokoll

Zuvor wurde das Überwachungsprotokollmodul mit der Ziel-IP-Adresse des externen Syslog-Servers konfiguriert, an den die Protokollmeldungen gesendet werden. Nun verwendet der Überwachungsprotokollserver anstelle der Ziel-IP-Adresse einen vollqualifizierten Domänennamen (FQDN). Die FQDN-Konfiguration löst den konfigurierten Domänennamen des syslog-Servers in die entsprechende Ziel-IP-Adresse für das Senden der Protokollmeldungen aus dem Audit-Protokollmodul auf. Der Namenserver muss ordnungsgemäß konfiguriert sein, um den Domänennamen zu beheben und domänenbasierte Dienstprobleme zu vermeiden.

Hinweis:

Wenn Sie einen FQDN konfigurieren, wird die Konfiguration des Serverdomänennamens derselben Citrix ADC Appliance in Syslog-Aktion oder Nslog-Aktion nicht unterstützt.

Konfigurieren von Syslog über TCP über die Befehlszeile

So konfigurieren Sie eine Citrix ADC Appliance zum Senden von Syslog-Nachrichten über TCP mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP

Hinzufügen der SNIP-IP-Adresse zur Net-Profiloption über die Befehlszeile

So fügen Sie dem Netzprofil über die Befehlszeile eine SNIP-IP-Adresse hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
    add netprofile net1 –srcip 10.102.147.204`

Wobei, srcIP die SNIP ist.

Hinzufügen des Netzprofils in einer Syslog-Aktion über die Befehlszeile

So fügen Sie eine NetProfile-Option in einer Syslog-Aktion mit der Befehlszeilenschnittstelle hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1

Dabei gibt -netprofile den Namen des konfigurierten Netzprofils an. Die SNIP-Adresse wird als Teil des NetProfile konfiguriert, und diese NetProfile-Option ist an die syslog-Aktion gebunden.

Hinweis:

Sie müssen die NetProfile-Option immer an die SYSLOGUDP- oder SYSLOGTCP-Dienste binden, die an den virtuellen Server SYSLOGUDP- oder SYSLOGTCP-Lastausgleich gebunden sind, wenn ein virtueller LB-Servername in der Syslog-Aktion konfiguriert ist.

Konfigurieren der FQDN-Unterstützung mit der Befehlszeilenschnittstelle

So fügen Sie einer Syslog-Aktion mit der Befehlszeilenschnittstelle einen Serverdomänennamen hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]

So fügen Sie einer Nslog-Aktion mit der Befehlszeilenschnittstelle einen Serverdomänennamen hinzu.

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]

Wobei ServerDomainName. Domänenname des Protokollservers. schließt sich gegenseitig mit ServerIP/LBVServerName aus.

DomainResolveRetry (Ganzzahl). Zeit (in Sekunden), die die Citrix ADC Appliance nach einem Fehlschlagen einer DNS-Auflösung wartet, bevor die nächste DNS-Abfrage zum Auflösen des Domänennamens gesendet wird.

DomainResolveNow. Eingeschlossen, wenn die DNS-Abfrage sofort gesendet werden muss, um den Domänennamen des Servers aufzulösen.

Konfigurieren von Syslog über TCP mit der GUI

So konfigurieren Sie die Citrix ADC Appliance für das Senden von Syslog-Nachrichten über TCP über die GUI

  1. Navigieren Sie zu System > Überwachung > Syslog und wählen Sie die Registerkarte Server .
  2. Klicken Sie auf Hinzufügen und wählen Sie Transportart als TCP aus.

Konfigurieren eines Netzprofils für SNIP-Unterstützung über die GUI

So konfigurieren Sie das Netzprofil für die SNIP-Unterstützung über die GUI

  1. Navigieren Sie zu System > Überwachung > Syslog, und wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen, und wählen Sie ein Netzprofil aus der Liste aus.

Konfigurieren des FQDN mit der GUI

So konfigurieren Sie den FQDN mit der GUI

  1. Navigieren Sie zu System > Überwachung > Syslog und wählen Sie die Registerkarte Server .
  2. Klicken Sie auf Hinzufügen, und wählen Sie einen Servertyp und einen Serverdomänennamen aus der Liste aus.

SYSLOG über TCP