SYSLOG über TCP

Syslog ist ein Standard für das Senden von Ereignisbenachrichtigungen. Diese Meldungen können lokal oder auf einem externen Protokollserver gespeichert werden. Mit Syslog können Netzwerkadministratoren Protokollmeldungen konsolidieren und Erkenntnisse aus den gesammelten Daten ableiten.

Syslog wurde ursprünglich entwickelt, um über UDP zu arbeiten, das eine große Menge an Daten innerhalb desselben Netzwerks mit minimalem Paketverlust übertragen kann. Telekommunikationsbetreiber bevorzugen es jedoch, Syslog-Daten über TCP zu übertragen, da sie eine zuverlässige, geordnete Datenübertragung zwischen Netzwerken benötigen (z. B. Telekommunikationsverfolgung von Benutzeraktivitäten) und TCP im Falle eines Netzwerkausfalls eine erneute Übertragung ermöglicht.

Funktionsweise von Syslog über TCP

Um zu verstehen, wie Syslog über TCP funktioniert, betrachten Sie zwei hypothetische Fälle:

Sam, ein Netzwerkadministrator, möchte wichtige Ereignisse auf einem externen Syslog-Server protokollieren.

XYZ Telecom, ein Internetdienstanbieter, muss eine beträchtliche Menge an Daten auf Syslog-Servern übertragen und speichern, um den gesetzlichen Vorschriften zu entsprechen.

In beiden Fällen müssen die Protokollmeldungen über einen zuverlässigen Kanal übertragen und sicher auf einem externen Syslog-Server gespeichert werden. Im Gegensatz zu UDP stellt TCP eine Verbindung her, überträgt Nachrichten sicher und überträgt (vom Sender zum Empfänger) alle Daten, die aufgrund eines Netzwerkausfalls beschädigt oder verloren gegangen sind.

Die Citrix ADC Appliance sendet Protokollmeldungen über UDP an den lokalen Syslog-Daemon und sendet Protokollmeldungen über TCP oder UDP an externe Syslog-Server.

SNIP-Unterstützung für Syslog

Wenn das Überwachungsprotokollmodul Syslog-Nachrichten generiert, verwendet es eine Citrix ADC -Subnetz-IP-Adresse (SNIP) als Quelladresse für das Senden der Nachrichten an einen externen Syslog-Server. Um ein SNIP als Quelladresse zu konfigurieren, müssen Sie es Teil der NetProfile-Option machen und NetProfile an die syslog-Aktion binden.

Hinweis:

Wenn ein NetProfile nicht an eine Syslog-Aktion gebunden ist, wird die Citrix ADC IP (NSIP) als Quelladresse für die Übertragung von Daten an den externen Protokollserver verwendet.

Die Verwendung einer SNIP-Adresse wird in der internen Protokollierung nicht unterstützt.

FQDN-Unterstützung für Überwachungsprotokoll

Zuvor wurde das Überwachungsprotokollmodul mit der Ziel-IP-Adresse des externen Syslog-Servers konfiguriert, an den die Protokollmeldungen gesendet werden. Nun verwendet der Überwachungsprotokollserver anstelle der Ziel-IP-Adresse einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN). Die FQDN-Konfiguration löst den konfigurierten Domänennamen des syslog-Servers in die entsprechende Ziel-IP-Adresse für das Senden der Protokollmeldungen aus dem Audit-Protokollmodul auf. Um den Domänennamen zu beheben und domänenbasierte Dienstprobleme zu vermeiden, muss der Nameserver ordnungsgemäß konfiguriert sein.

Hinweis:

Beim Konfigurieren eines FQDN wird die Konfiguration des Serverdomänennamens derselben Citrix ADC Appliance in Syslog-Aktion oder Nslog-Aktion nicht unterstützt.

Konfigurieren von Syslog über TCP mit der Befehlszeilenschnittstelle

So konfigurieren Sie eine Citrix ADC Appliance zum Senden von Syslog-Nachrichten über TCP mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP

Hinzufügen der SNIP-IP-Adresse zur netprofile-Option über die Befehlszeile

So fügen Sie netprofile über die Befehlszeile eine SNIP-IP-Adresse hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
    add netprofile net1 –srcip 10.102.147.204`

Wobei, srcIP die SNIP ist.

Hinzufügen von netprofile in einer Syslog-Aktion mit der Befehlszeilenschnittstelle

So fügen Sie eine NetProfile-Option in einer Syslog-Aktion mit der Befehlszeilenschnittstelle hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1

Dabei gibt -net Profile den Namen des konfigurierten Netzprofils an. Die SNIP-Adresse wird als Teil des NetProfile konfiguriert, und diese NetProfile-Option ist an die syslog-Aktion gebunden.

Hinweis:

Sie müssen die NetProfile-Option immer an die SYSLOGUDP- oder SYSLOGTCP-Dienste binden, die an den virtuellen SYSLOGUDP- oder SYSLOGTCP-Lastenausgleichsserver gebunden sind, wenn der Name des LB vservers in syslogaction konfiguriert ist.

Konfigurieren der FQDN-Unterstützung mit der Befehlszeilenschnittstelle

So fügen Sie einer Syslog-Aktion mit der Befehlszeilenschnittstelle einen Serverdomänennamen hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]

So fügen Sie einer Nslog-Aktion mit der Befehlszeilenschnittstelle einen Serverdomänennamen hinzu.

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]

Wobei serverDomainName. Domänenname des Protokollservers. Dies schließt sich gegenseitig mit ServerIP/LBVServerName aus.

DomainResolveRetry (Ganzzahl). Zeit (in Sekunden), die die Citrix ADC Appliance nach einem Fehlschlagen einer DNS-Auflösung wartet, bevor die nächste DNS-Abfrage zum Auflösen des Domänennamens gesendet wird.

DomainResolveNow. Eingeschlossen, wenn die DNS-Abfrage sofort gesendet werden muss, um den Domänennamen des Servers aufzulösen.

Konfigurieren von Syslog über TCP mit der GUI

So konfigurieren Sie die Citrix ADC Appliance zum Senden von Syslog-Nachrichten über TCP mit der GUI

  1. Navigieren Sie zu System > Überwachung > Syslog und wählen Sie die Registerkarte Server .
  2. Klicken Sie auf Hinzufügen und wählen Sie Transportart als TCP aus.

Konfigurieren von Netprofile für SNIP-Unterstützung mit der GUI

So konfigurieren Sie netprofile für die SNIP-Unterstützung mit der GUI

  1. Navigieren Sie zu System > Überwachung > Syslog und wählen Sie die Registerkarte Server .
  2. Klicken Sie auf Hinzufügen, und wählen Sie ein Netzprofil aus der Liste aus.  

Konfigurieren des FQDN mit der GUI

So konfigurieren Sie den FQDN mit der GUI

  1. Navigieren Sie zu System > Überwachung > Syslog und wählen Sie die Registerkarte Server .
  2. Klicken Sie auf Hinzufügen, und wählen Sie einen Servertyp und einen Serverdomänennamen aus der Liste aus.