Protokollierung und Überwachung LSN
Sie können LSN-Informationen protokollieren, um Probleme zu diagnostizieren, zu beheben und gesetzliche Anforderungen zu erfüllen. Sie können die Leistung des LSN-Features überwachen, indem Sie LSN-Statistikindikatoren verwenden und aktuelle LSN-Sitzungen anzeigen.
LSN protokollieren
Die Protokollierung von LSN-Informationen ist eine der wichtigen Funktionen, die die ISPs benötigen, um die gesetzlichen Anforderungen zu erfüllen und die Quelle des Datenverkehrs zu einem bestimmten Zeitpunkt zu identifizieren.
Eine Citrix ADC Appliance protokolliert LSN-Zuordnungseinträge und die LSN-Sitzungen, die für jede LSN-Gruppe erstellt oder gelöscht wurden. Sie können die Protokollierung von LSN-Informationen für eine LSN-Gruppe mithilfe der Protokollierungs- und Sitzungsprotokollierungsparameter der LSN-Gruppe steuern. Dies sind Parameter auf Gruppenebene und sind standardmäßig deaktiviert. Die Citrix ADC Appliance protokolliert LSN-Sitzungen für eine LSN-Gruppe nur, wenn Protokollierungs- und Sitzungsprotokollierungsparameter aktiviert sind.
In der folgenden Tabelle wird das Protokollierungsverhalten für eine LSN-Gruppe für verschiedene Einstellungen von Protokollierungs- und Sitzungsprotokollierungsparametern angezeigt.
| Protokollierung | Sitzungsprotokollierung | Protokollierungsverhalten |
|---|---|---|
| Aktiviert | Aktiviert | Protokolliert LSN-Zuordnungseinträge sowie LSN-Sitzungen. |
| Aktiviert | Deaktiviert | Protokolliert LSN-Zuordnungseinträge, aber keine LSN-Sitzungen. |
| Deaktiviert | Aktiviert | Protokolliert weder Zuordnungseinträge noch LSN-Sitzungen. |
Eine Protokollmeldung für einen LSN-Zuordnungseintrag besteht aus folgenden Informationen:
- Citrix ADC eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt.
- Zeitstempel
- Eintragstyp (MAPPING)
- Ob der LSN-Zuordnungseintrag erstellt oder gelöscht wurde
- IP-Adresse, Port und Traffic-Domänen-ID des Abonnenten
- NAT IP-Adresse und Port
- Protokollname
- Ziel-IP-Adresse, -Port und -Domänen-ID sind möglicherweise vorhanden, abhängig von den folgenden Bedingungen:
- Ziel-IP-Adresse und -Port werden für die endpoint-unabhängige Zuordnung nicht protokolliert.
- Für die Adressenabhängige Zuordnung wird nur die Ziel-IP-Adresse protokolliert. Der Port wird nicht protokolliert.
- Ziel-IP-Adresse und -Port werden für die Adress-Port-abhängige Zuordnung protokolliert.
Eine Protokollmeldung für eine LSN-Sitzung besteht aus folgenden Informationen:
- Citrix ADC eigene IP-Adresse (NSIP-Adresse oder SNIP-Adresse), von der die Protokollnachricht stammt.
- Zeitstempel
- Eintragstyp (SESSION)
- Gibt an, ob die LSN-Sitzung erstellt oder entfernt wird
- IP-Adresse, Port und Traffic-Domänen-ID des Abonnenten
- NAT IP-Adresse und Port
- Protokollname
- Ziel-IP-Adresse, -Port und -Domänen-ID des Datenverkehrs
Die Appliance verwendet ihr vorhandenes Syslog- und Überwachungsprotokoll-Framework, um LSN-Informationen zu protokollieren. Sie müssen die LSN-Protokollierung auf globaler Ebene aktivieren, indem Sie den LSN-Parameter in den zugehörigen NSLOG-Aktionsobjekten und SYLOG-Aktionsobjekten aktivieren. Wenn der Parameter Logging aktiviert ist, generiert die Citrix ADC Appliance Protokollmeldungen im Zusammenhang mit LSN-Zuordnungen und LSN-Sitzungen dieser LSN-Gruppe. Die Appliance sendet diese Protokollmeldungen dann an Server, die mit der NSLOG-Aktion und den SYSLOG-Aktionsobjekten verknüpft sind.
Für die Protokollierung von LSN-Informationen empfiehlt Citrix:
- Protokollieren der LSN-Informationen auf externen Protokollservern statt auf der Citrix ADC Appliance. Die Protokollierung auf externen Servern erleichtert die optimale Leistung, wenn die Appliance große Mengen an LSN-Protokolleinträgen (in der Größenordnung von Millionen) erstellt.
-
Verwenden von SYSLOG über TCP oder NSLOG. Standardmäßig verwendet SYSLOG UDP und NSLOG verwendet nur TCP, um Protokollinformationen an die Protokollserver zu übertragen. TCP ist zuverlässiger als UDP für die Übertragung kompletter Daten.
Hinweis:
- Die auf der Citrix ADC Appliance generierten SYSLOG werden dynamisch an die externen Protokollserver gesendet.
- Wenn Sie SYSLOG über TCP verwenden, wenn die TCP-Verbindung ausgefallen ist oder der SYSLOG-Server ausgelastet ist, speichern die Citrix ADC Appliances die Protokolle im Puffer und senden die Daten, sobald die Verbindung aktiv ist.
Weitere Hinweise zum Konfigurieren der Protokollierung finden Sie unter Auditprotokollierung.
Die Konfiguration der LSN-Protokollierung umfasst die folgenden Aufgaben:
-
Konfigurieren der Citrix ADC Appliance für die Protokollierung. Bei dieser Aufgabe werden verschiedene Entitäten und Parameter der Citrix ADC Appliance erstellt und festgelegt:
-
Erstellen Sie eine SYSLOG- oder NSLOG-Überwachungskonfiguration. Das Erstellen einer Überwachungsprotokollierungskonfiguration umfasst die folgenden Aufgaben:
- Erstellen Sie eine NSLOG- oder SYSLOG-Überwachungsaktion, und aktivieren Sie den LSN-Parameter. Überwachungsaktionen geben die IP-Adressen von Protokollservern an.
- Erstellen Sie eine SYSLOG- oder NSLOG-Überwachungsrichtlinie, und binden Sie die Überwachungsaktion an die Überwachungsrichtlinie. Überwachungsaktionen geben die IP-Adressen von Protokollservern an. Optional können Sie die Transportmethode für Protokollmeldungen festlegen, die an die externen Protokollserver gesendet werden. Standardmäßig UDP ausgewählt ist, können Sie die Transportmethode als TCP für einen zuverlässigen Transportmechanismus festlegen. Binden Sie die Überwachungsrichtlinie an das System global.
- Erstellen Sie eine SYSLOG- oder NSLOG-Überwachungsrichtlinie, und binden Sie die Überwachungsaktion an die Überwachungsrichtlinie.
- Binden Sie die Überwachungsrichtlinie an das System global. Hinweis: Aktivieren Sie für eine vorhandene Überwachungsprotokollierungskonfiguration einfach den LSN-Parameter für die Protokollierung von LSN-Informationen auf dem Server, der durch die Überwachungsaktion angegeben wurde.
- Aktivieren Sie Protokollierungs- und Sitzungsprotokollierungsparameter. Aktivieren Sie Protokollierungs- und Sitzungsprotokollierungsparameter entweder beim Hinzufügen von LSN-Gruppen oder nach dem Erstellen der Gruppen. Die Citrix ADC Appliance generiert Protokollmeldungen zu diesen LSN-Gruppen und sendet sie an den Server der Überwachungsaktionen, für die der LSN-Parameter aktiviert ist.
-
Erstellen Sie eine SYSLOG- oder NSLOG-Überwachungskonfiguration. Das Erstellen einer Überwachungsprotokollierungskonfiguration umfasst die folgenden Aufgaben:
- Protokollserver konfigurieren. Diese Aufgabe beinhaltet die Installation von SYSLOG- oder NSLOG-Paketen auf den gewünschten Servern. Diese Aufgabe beinhaltet auch die Angabe der NSIP-Adresse der Citrix ADC Appliance in der Konfigurationsdatei von SYSLOG oder NSLOG. Durch die Angabe der NSIP-Adresse kann der Server die Protokollinformationen identifizieren, die von der Citrix ADC Appliance zum Speichern in einer Protokolldatei gesendet werden.
Weitere Hinweise zum Konfigurieren der Protokollierung finden Sie unter Auditprotokollierung.
SYSLOG-Konfiguration über die Befehlszeilenschnittstelle
So erstellen Sie eine SYSLOG-Serveraktion für die LSN-Protokollierung mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel>... [-transport (TCP)] [-lsn ( ENABLED | DISABLED )]
So erstellen Sie eine SYSLOG-Serverrichtlinie für die LSN-Protokollierung mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
add audit syslogPolicy <name> <rule> <action>
So binden Sie eine SYSLOG-Serverrichtlinie an das System Global für die LSN-Protokollierung mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind system global [<policyName> [-priority <positive_integer>]]
SYSLOG-Konfiguration mit dem Konfigurationsdienstprogramm
So konfigurieren Sie eine SYSLOG-Serveraktion für die LSN-Protokollierung mit dem Konfigurationsdienstprogramm
- Navigieren Sie zu Systeme > Überwachung > Syslog, und fügen Sie auf der Registerkarte Server einen neuen Überwachungsserver hinzu, oder bearbeiten Sie einen vorhandenen Server.
- Um die LSN-Protokollierung zu aktivieren, wählen Sie die Option Large Scale NAT-Protokollierung aus.
- (Optional) Um SYSLOG über TCP zu aktivieren, wählen Sie die Option TCP-Protokollierung .
So konfigurieren Sie eine SYSLOG-Serverrichtlinie für die LSN-Protokollierung mit dem Konfigurationsdienstprogramm
Navigieren Sie zu Systeme > Überwachung > Syslog, und fügen Sie auf der Registerkarte Richtlinien eine neue Richtlinie hinzu oder bearbeiten Sie eine vorhandene Richtlinie.
So binden Sie eine SYSLOG-Serverrichtlinie an das System Global für die LSN-Protokollierung mit dem Konfigurationsdienstprogramm
- Navigieren Sie zu Systeme > Überwachung > Syslog .
- Klicken Sie auf der Registerkarte Richtlinien in der Liste Aktion auf Globale Bindungen, um die globalen Überwachungsrichtlinien zu binden.
NSLOG-Konfiguration über die Befehlszeilenschnittstelle
So erstellen Sie eine NSLOG-Serveraktion für die LSN-Protokollierung mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-lsn ( ENABLED | DISABLED )]
So erstellen Sie eine NSLOG-Serverrichtlinie für die LSN-Protokollierung mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
add audit nslogPolicy <name> <rule> <action>
So binden Sie eine NSLOG-Serverrichtlinie an das System Global für die LSN-Protokollierung mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind system global [<policyName>]
NSLOG-Konfiguration mit dem Konfigurationsdienstprogramm
So konfigurieren Sie eine NSLOG-Serveraktion für die LSN-Protokollierung mit dem Konfigurationsdienstprogramm
- Navigieren Sie zu Systeme > Überwachung > Nslog, und fügen Sie auf der Registerkarte Server einen neuen Überwachungsserver hinzu, oder bearbeiten Sie einen vorhandenen Server.
- Um die LSN-Protokollierung zu aktivieren, wählen Sie die Option Large Scale NAT-Protokollierung aus.
So konfigurieren Sie eine NSLOG-Serverrichtlinie für die LSN-Protokollierung mit dem Konfigurationsdienstprogramm
Navigieren Sie zu Systeme > Überwachung > Nslog, und fügen Sie auf der Registerkarte Richtlinien eine neue Richtlinie hinzu oder bearbeiten Sie eine vorhandene Richtlinie.
So binden Sie eine NSLOG-Serverrichtlinie an das System Global für die LSN-Protokollierung mit dem Konfigurationsdienstprogramm
- Navigieren Sie zu Systeme > Auditing > Nslog .
- Klicken Sie auf der Registerkarte Richtlinien in der Liste Aktion auf Globale Bindungen, um die globalen Überwachungsrichtlinien zu binden.
Beispiel
Die folgende Konfiguration gibt zwei SYSLOG- und zwei NSLOG-Server zum Speichern von Protokolleinträgen einschließlich LSN-Protokollen an. Die LSN-Protokollierung ist für die LSN-Gruppen LSN-GROUP-2 und LSN-GROUP-3 konfiguriert.
Die Citrix ADC Appliance generiert Protokollmeldungen im Zusammenhang mit LSN-Zuordnungen und LSN-Sitzungen dieser LSN-Gruppen und sendet sie an die angegebenen Protokollserver.
add audit syslogAction SYS-ACTION-1 198.51.101.10 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
add audit syslogAction SYS-ACTION-2 198.51.101.20 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-2 ns_true SYS-ACTION-2
Done
bind system global SYSLOG-POLICY-2
Done
add audit nslogAction NSLOG-ACTION-1 198.51.101.30 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-1 ns_true NSLOG-ACTION-1
Done
bind system global NSLOG-POLICY-1
Done
add audit nslogAction NSLOG-ACTION-2 198.51.101.40 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-2 ns_true NSLOG-ACTION-2
Done
bind system global NSLOG-POLICY-2
Done
add lsn group LSN-GROUP-3 -clientname LSN-CLIENT-2 –logging ENABLED –sessionLogging ENABLED
Done
set lsn group LSN-GROUP-2 –logging ENABLED –sessionLogging ENABLED
Done
Die folgende Konfiguration gibt die SYSLOG-Konfiguration für das Senden von Protokollmeldungen an den externen SYSLOG-Server 192.0.2.10 unter Verwendung von TCP an.
add audit syslogAction SYS-ACTION-1 192.0.2.10 -logLevel ALL -transport TCP
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
In der folgenden Tabelle werden Beispieleinträge für LSN-Protokolle jedes Typs angezeigt, der auf den konfigurierten Protokollservern gespeichert ist. Diese LSN-Protokolleinträge werden von einer Citrix ADC Appliance generiert, deren NSIP-Adresse 10.102.37.115 lautet.
| LSN-Protokolleintragstyp | Beispielprotokolleintrag |
|---|---|
| Erstellung von LSN-Sitzungen | Local4.Informational 10.102.37.115 08/05/2014:09:59:48 GMT 0-PPE-0 : LSN LSN_SESSION 2581750 : SESSION CREATED Client IP:Port:TD 192.0.2.10: 15136:0, NatIP:NatPort 203.0.113.6: 6234, Destination IP:Port:TD 198.51.100.9: 80:0, Protocol: TCP |
| Löschung der LSN-Sitzung | Local4.Informational 10.102.37.115 08/05/2014:10:05:12 GMT 0-PPE-0 : LSN LSN_SESSION 3871790 : SESSION DELETED Client IP:Port:TD 192.0.2.11: 15130:0, NatIP:NatPort 203.0.113.6: 7887, Destination IP:Port:TD 198.51.101.2:80:0, Protocol: TCP |
| Erstellung von LSN-Zuordnungen | Local4.Informational 10.102.37.115 08/05/2014:09:59:47 GMT 0-PPE-0 : LSN LSN_MAPPING 2581580 : EIM CREATED Client IP:Port 192.0.2.15: 14567, NatIP:NatPort 203.0.113.5: 8214, Protocol: TCP |
| Löschung der LSN-Zuordnung | Local4.Informational 10.102.37.115 08/05/2014:10:05:12 GMT 0-PPE-0 : LSN LSN_MAPPING 3871700 : EIM DELETED Client IP:Port 192.0.3.15: 14565, NatIP:NatPort 203.0.113.11: 8217, Protocol: TCP |
Minimale Protokollierung
Deterministische LSN-Konfigurationen und dynamische LSN-Konfigurationen mit Portblock reduzieren das LSN-Protokollvolumen erheblich. Für diese beiden Konfigurationstypen weist die Citrix ADC Appliance einem Abonnenten eine NAT-IP-Adresse und einen Block von Ports zu. Die Citrix ADC Appliance generiert zum Zeitpunkt der Zuweisung an einen Abonnenten eine Protokollnachricht für einen Portblock. Die Citrix ADC Appliance generiert auch eine Protokollmeldung, wenn eine NAT-IP-Adresse und ein Portblock freigegeben werden. Bei einer Verbindung kann ein Teilnehmer nur anhand seiner zugeordneten NAT-IP-Adresse und des Portblocks identifiziert werden. Aus diesem Grund protokolliert die Citrix ADC Appliance keine erstellten oder gelöschten LSN-Sitzungen. Außerdem protokolliert die Appliance weder einen Zuordnungseintrag, der für eine Sitzung erstellt wurde, noch wenn der Zuordnungseintrag entfernt wird.
Die minimale Protokollierungsfunktion für deterministische LSN-Konfigurationen und dynamische LSN-Konfigurationen mit Portblock ist standardmäßig aktiviert und es gibt keine Möglichkeit, sie zu deaktivieren. Mit anderen Worten: Die Citrix ADC Appliance führt automatisch minimale Protokollierung für deterministische LSN-Konfigurationen und dynamische LSN-Konfigurationen mit Portblock durch. Es ist keine Option zum Deaktivieren dieser Funktion verfügbar. Die Appliance sendet die Protokollmeldungen an alle konfigurierten Protokollserver.
Eine Protokollmeldung für jeden Portblock besteht aus folgenden Informationen:
- NSIP-Adresse der Citrix ADC Appliance
- Zeitstempel
- Eintragstyp als DETERMINISTIC oder PORTBLOCK
- Gibt an, ob ein Portblock zugewiesen ist oder freigegeben wird
- IP-Adresse des Teilnehmers und zugewiesene NAT-IP-Adresse und Portblock
- Protokollname
Minimale Protokollierung für deterministische LSN-Konfiguration
Betrachten Sie ein Beispiel für eine einfache deterministische LSN-Konfiguration für vier Abonnenten mit der IP-Adresse 192.0.17.1, 192.0.17.2, 192.0.17.3 und 192.0.17.4.
In dieser LSN-Konfiguration ist die Portblockgröße auf 32768 und LSN NAT IP-Adresspool hat IP-Adressen im Bereich 203.0.113.19-203.0.113.23.
add lsn client LSN-CLIENT-7
Done
bind lsn client LSN-CLIENT-7 -network 192.0.17.0 -netmask 255.255.255.253
Done
add lsn pool LSN-POOL-7 -nattype DETERMINISTIC
Done
bind lsn pool LSN-POOL-7 203.0.113.19-203.0.113.23
Done
add lsn group LSN-GROUP-7 -clientname LSN-CLIENT-7 -nattype DETERMINISTIC -portblocksize 32768
Done
bind lsn group LSN-GROUP-7 -poolname LSN-POOL-7
Done
Die Citrix ADC Appliance weist sequenziell aus dem LSN NAT-IP-Pool und auf der Grundlage der festgelegten Portblockgröße eine LSN NAT-IP-Adresse und einen Block von Ports zu jedem Abonnenten. Der erste Block von Ports (1024-33791) an der beginnenden NAT-IP-Adresse (203.0.113.19) wird der IP-Adresse des beginnenden Teilnehmers (192.0.17.1) zugewiesen. Der nächste Bereich von Ports wird dem nächsten Abonnenten zugewiesen usw., bis die NAT-Adresse nicht über genügend Ports für den nächsten Abonnenten verfügt. Zu diesem Zeitpunkt wird der erste Portblock auf der nächsten NAT-IP-Adresse dem Abonnenten zugewiesen usw. Die Appliance protokolliert die NAT-IP-Adresse und den für jeden Abonnenten zugewiesenen Port.
Die Citrix ADC Appliance protokolliert keine für diese Abonnenten erstellten oder gelöschten LSN-Sitzungen. Die Appliance generiert die folgenden Protokollmeldungen für die LSN-Konfiguration.
1) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201453 0 : Dtrstc ALLOC Client 12.0.0.241, NatInfo 50.0.0.2:59904 to 60415
2) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201454 0 : Dtrstc ALLOC Client 12.0.0.242, NatInfo 50.0.0.2:60416 to 60927
3) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
4) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
Wenn Sie die LSN-Konfiguration entfernen, werden die zugewiesene NAT-IP-Adresse und der Port Block von jedem Abonnenten freigegeben. Die Appliance protokolliert die NAT-IP-Adresse und den Block von Ports, die von jedem Abonnenten freigegeben werden. Die Appliance generiert die folgenden Protokollmeldungen für jeden Abonnenten, wenn Sie die LSN-Konfiguration entfernen.
1) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201706 0 : Dtrstc FREE Client 12.0.0.238, NatInfo 50.0.0.2:58368 to 58879
2) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201707 0 : Dtrstc FREE Client 12.0.0.239, NatInfo 50.0.0.2:58880 to 59391
3) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201708 0 : Dtrstc FREE Client 12.0.0.240, NatInfo 50.0.0.2:59392 to 59903
Minimale Protokollierung für dynamische LSN-Konfiguration mit Portblock
Betrachten Sie ein Beispiel für eine einfache dynamische LSN-Konfiguration mit Portblock für jeden Teilnehmer im Netzwerk 192.0.2.0/24. In dieser LSN-Konfiguration ist die Portblockgröße auf 1024 festgelegt und der LSN NAT IP-Adresspool hat IP-Adressen im Bereich 203.0.113.3-203.0.113.4.
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
Die Citrix ADC Appliance weist einem Teilnehmer eine zufällige NAT-IP-Adresse und einen Block von Ports aus dem LSN NAT-IP-Pool und auf der Grundlage der festgelegten Portblockgröße zu, wenn er eine Sitzung zum ersten Mal initiiert. Citrix ADC protokolliert die NAT-IP-Adresse und den Block der Ports, die diesem Abonnenten zugewiesen sind. Die Appliance protokolliert keine LSN-Sitzung, die für diesen Abonnenten erstellt oder gelöscht wurde. Wenn alle Ports (für die Sitzungen verschiedener Teilnehmer) vom zugewiesenen Portblock des Teilnehmers zugewiesen sind, weist die Appliance dem Abonnenten eine neue zufällige NAT-IP-Adresse und einen Port-Block für zusätzliche Sitzungen zu. Der Citrix ADC protokolliert alle NAT-IP-Adresse und -Anschlussblöcke, die einem Abonnenten zugewiesen sind.
Die Appliance generiert die folgende Protokollmeldung, wenn der Teilnehmer mit der IP-Adresse 192.0.2.1 eine Sitzung initiiert. Die Protokollmeldung zeigt an, dass die Appliance dem Abonnenten die NAT-IP-Adresse 203.0.113.3 und den Portblock 1024-2047 zugewiesen hat.
03/23/2015:00:07:12 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106725793 0 : Portblock ALLOC Client 12.0.2.72, NatInfo 203.0.113.3:1024 to 2047, Proto:TCP
Sobald keine weiteren Sitzungen mehr vorhanden sind, die die zugewiesene NAT-IP-Adresse und einen der Ports im zugewiesenen Portblock verwenden, werden die zugewiesene NAT-IP-Adresse und der Port Block vom Abonnenten freigegeben. Citrix ADC protokolliert, dass die NAT-IP-Adresse und der Block von Ports vom Abonnenten freigegeben werden. Die Appliance generiert die folgenden Protokollmeldungen für den Abonnenten mit der IP-Adresse 192.0.2.1, wenn keine weiteren Sitzungen mehr übrig sind, die die zugewiesene NAT-IP-Adresse (203.0.113.3) und einen Port aus dem zugewiesenen Portblock (1024-2047) verwenden. Die Protokollmeldung zeigt, dass die NAT-IP-Adresse und der Portblock vom Abonnenten freigegeben werden.
03/23/2015:00:11:09 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106814342 0 : Portblock FREE Client 12.0.3.122, NatInfo 203.0.113.3: 1024 to 2047, Proto:TC
Lastenausgleich SYSLOG-Server
Die Citrix ADC Appliance sendet ihre SYSLOG-Ereignisse und -Nachrichten an alle konfigurierten externen Protokollserver. Dies führt zur Speicherung redundanter Nachrichten und erschwert Systemadministratoren die Überwachung. Um dieses Problem zu beheben, bietet die Citrix ADC Appliance Lastausgleichsalgorithmen, die die SYSLOG-Nachrichten zwischen den externen Protokollservern für eine bessere Wartung und Leistung ausgleichen können. Die unterstützten Load Balancing-Algorithmen umfassen RoundRobin, LeastBandWidth, CustomLoad, LeastConnection, LeastPackets und AuditLogHash.
Lastenausgleich von SYSLOG-Servern über die Befehlszeilenschnittstelle
Fügen Sie einen Dienst hinzu, und geben Sie den Diensttyp als SYSLOGTCP oder SYSLOGUDP an.
add service <name>(<IP> | <serverName>) <serviceType (SYSLOGTCP | SYSLOGUDP)> <port>
Fügen Sie einen virtuellen Lastausgleichsserver hinzu, geben Sie den Diensttyp als SYSLOGTCP oder SYSLOGTCP an und Lastausgleichsmethode als AUDITLOGHASH an.
add lb vserver <name> <serviceType (SYSLOGTCP | SYSLOGUDP)> [-lbMethod <AUDITLOGHASH>]
Bing des Dienstes an den virtuellen Lastausgleichsserver.
Bind lb vserver <name> <serviceName>
Fügen Sie eine SYSLOG-Aktion hinzu, und geben Sie den Namen des Lastausgleichsservers an, der SYSLOGTCP oder SYSLOGUDP als Diensttyp enthält.
add syslogaction <name> <serverIP> [-lbVserverName <string>] [-logLevel <logLevel>]
Fügen Sie eine SYSLOG-Richtlinie hinzu, indem Sie die Regel und die Aktion angeben.
add syslogpolicy <name> <rule> <action>
Binden Sie die SYSLOG-Richtlinie an das System global, damit die Richtlinie wirksam wird.
bind system global <policyName>
Lastenausgleich von SYSLOG-Servern mit dem Konfigurationsdienstprogramm
-
Fügen Sie einen Dienst hinzu, und geben Sie den Diensttyp als SYSLOGTCP oder SYSLOGUDP an.
Navigieren Sie zu Traffic Management > Services, klicken Sie auf Hinzufügen und wählen Sie SYLOGTCP oder SYSLOGUDP als Protokoll aus.
-
Fügen Sie einen virtuellen Lastausgleichsserver hinzu, geben Sie den Diensttyp als SYSLOGTCP oder SYSLOGTCP an und Lastausgleichsmethode als AUDITLOGHASH an.
Navigieren Sie zu Traffic Management > Virtuelle Server, klicken Sie auf Hinzufügen, und wählen Sie SYLOGTCP oder SYSLOGUDP als Protokoll aus.
-
Bing des Dienstes an den virtuellen Lastausgleichsserver an den Dienst.
Bing des Dienstes an den virtuellen Lastausgleichsserver.
Navigieren Sie zu Traffic Management > Virtuelle Server, wählen Sie einen virtuellen Server aus und wählen Sie dann in der Load Balancing-Methode die AUDITLOGHASH aus.
-
Fügen Sie eine SYSLOG-Aktion hinzu, und geben Sie den Namen des Lastausgleichsservers an, der SYSLOGTCP oder SYSLOGUDP als Diensttyp enthält.
Navigieren Sie zu System > Überwachung, klicken Sie auf Server und fügen Sie einen Server hinzu, indem Sie LB Vserver Option inServers auswählen.
-
Fügen Sie eine SYSLOG-Richtlinie hinzu, indem Sie die Regel und die Aktion angeben.
Navigieren Sie zu System > Syslog, klicken Sie auf Richtlinien, und fügen Sie eine SYSLOG-Richtlinie hinzu.
-
Binden Sie die SYSLOG-Richtlinie an das System global, damit die Richtlinie wirksam wird.
Navigieren Sie zu System > Syslog, wählen Sie eine SYSLOG-Richtlinie aus, klicken Sie auf Aktion, klicken Sie dann auf Globale Bindungen, und binden Sie die Richtlinie an System global.
Beispiel:
Die folgende Konfiguration legt den Lastausgleich von SYSLOG-Nachrichten unter den externen Protokollservern fest, wobei die AUDITLOGHASH als Lastausgleichsmethode verwendet wird. Die Citrix ADC Appliance generiert SYSLOG-Ereignisse und Meldungen, die zwischen den Diensten, service1, service2 und Service 3 geladen werden.
add service service1 192.0.2.10 SYSLOGUDP 514
Done
add service service2 192.0.2.11 SYSLOGUDP 514
Done
add service service3 192.0.2.11 SYSLOGUDP 514
Done
add lb vserver lbvserver1 SYSLOGUDP -lbMethod AUDITLOGHASH
Done
bind lb vserver lbvserver1 service1
Done
bind lb vserver lbvserver1 service2
Done
bind lb vserver lbvserver1 service3
Done
add syslogaction sysaction1 -lbVserverName lbvserver1 -logLevel All
Done
add syslogpolicy syspol1 ns_true sysaction1
Done
bind system global syspol1
Done
Protokollieren von HTTP-Header-Informationen
Die Citrix ADC-Appliance kann nun Anforderungsheader-Informationen einer HTTP-Verbindung protokollieren, die die LSN-Funktionalität des Citrix ADC verwendet. Die folgenden Header-Informationen eines HTTP-Anforderungspakets können protokolliert werden:
- URL, für die die HTTP-Anforderung bestimmt ist.
- HTTP-Methode, die in der HTTP-Anforderung angegeben ist.
- HTTP-Version, die in der HTTP-Anforderung verwendet wird.
- IP-Adresse des Teilnehmers, der die HTTP-Anforderung gesendet hat.
Die HTTP-Header-Protokolle können von ISPs verwendet werden, um die Trends im Zusammenhang mit dem HTTP-Protokoll unter einem Satz ein Abonnenten sehen. Beispielsweise kann ein ISP diese Funktion verwenden, um die beliebtesten Websites unter einer Gruppe von Abonnenten zu ermitteln.
Ein HTTP-Header-Protokollprofil ist eine Sammlung von HTTP-Header-Attributen (z. B. URL und HTTP-Methode), die für die Protokollierung aktiviert oder deaktiviert werden können. Das HTTP-Header-Protokollprofil wird dann an eine LSN-Gruppe gebunden. Die Citrix ADC Appliance protokolliert dann HTTP-Header-Attribute, die im gebundenen HTTP-Header-Protokollprofil für die Protokollierung aktiviert sind, für alle HTTP-Anforderungen in Bezug auf die LSN-Gruppe. Die Appliance sendet dann die Protokollmeldungen an die konfigurierten Protokollserver.
Ein HTTP-Header-Protokollprofil kann an mehrere LSN-Gruppen gebunden werden, aber eine LSN-Gruppe kann nur ein HTTP-Header-Protokollprofil haben.
So erstellen Sie ein HTTP-Header-Protokollprofil mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
So binden Sie ein HTTP-Header-Protokollprofil mit der Befehlszeilenschnittstelle an eine LSN-Gruppe
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
Beispiel
Im folgenden Beispiel einer LSN-Konfiguration ist HTTP-Header-Protokollprofil HTTP-Header-Log-1 an LSN-Gruppe LSN-GROUP-1 gebunden. Das Protokollprofil hat alle HTTP-Attribute (URL, HTTP-Methode, HTTP-Version und HOST-IP-Adresse) für die Protokollierung aktiviert, so dass alle diese Attribute für alle HTTP-Anforderungen von Abonnenten (im Netzwerk 192.0.2.0/24) in Bezug auf die LSN-Gruppe protokolliert werden.
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
Citrix ADC generiert die folgende HTTP-Header-Protokollmeldung, wenn einer der zum LSN-Konfigurationsbeispiel gehörenden Abonnenten eine HTTP-Anforderung sendet.
Die Protokollnachricht sagt uns, dass ein Client mit der IP-Adresse 192.0.2.33 eine HTTP-Anforderung an URL example.com mit der HTTP-Methode GET und HTTP-Version 1.1 sendet.
03/19/2015:16:24:04 GMT Informational 0-PPE-1 : default LSN Message 59 0 : "LSN Client IP:TD 10.102.37.118:0 URL: example.com Host: 192.0.2.33 Version: HTTP1.1 Method: GET"
Protokollieren von MSISDN-Informationen
Eine Mobile Station Integrated Subscriber Directory Number (MSISDN) ist eine Telefonnummer, die einen Teilnehmer in mehreren Mobilfunknetzen eindeutig identifiziert. Der MSISDN ist mit einem Ländercode und einem nationalen Bestimmungscode verknüpft, der den Betreiber des Teilnehmers identifiziert.
Sie können eine Citrix ADC Appliance so konfigurieren, dass sie MSISDNs in LSN-Protokolleinträgen für Abonnenten in Mobilfunknetzen einschließt. Das Vorhandensein von MSISDNs in den LSN-Protokollen hilft dem Administrator bei einer schnelleren und präzisen Rückverfolgung eines mobilen Teilnehmers, der gegen eine Richtlinie oder ein Gesetz verstoßen hat oder dessen Informationen von gesetzlichen Abfangstellen verlangt werden.
Die folgenden LSN-Beispielprotokolleinträge enthalten MSISDN-Informationen für eine Verbindung von einem mobilen Abonnenten in einer LSN-Konfiguration. Die Protokolleinträge zeigen, dass ein mobiler Abonnent, dessen MSISDN E 164:5556543210 ist, mit Ziel IP verbunden wurde: Port 23.0.0.1:80 über die NAT IP: Port 203.0.113.3:45195.
| Protokolleintragstyp | Beispielprotokolleintrag |
|---|---|
| Erstellung von LSN-Sitzungen | Oct 14 15:37:30 10.102.37.77 10/14/2015:10:08:14 GMT 0-PPE-6 : default LSN LSN_SESSION 25012 0 : SESSION CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| Erstellung von LSN-Zuordnungen | Oct 14 15:37:30 10.102.37.77 10/14/2015:10:08:14 GMT 0-PPE-6 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| Löschung der LSN-Sitzung | Oct 14 15:40:30 10.102.37.77 10/14/2015:10:11:14 GMT 0-PPE-6 : default LSN LSN_SESSION 25012 0 : SESSION CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| LSN-Zuordnung | Oct 14 15:40:30 10.102.37.77 10/14/2015:10:11:14 GMT 0-PPE-6 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
Führen Sie die folgenden Aufgaben zum Einschließen von MSISDN-Informationen in LSN-Protokollen durch
- Erstellen Sie ein LSN-Protokollprofil. Ein LSN-Protokollprofil enthält den Protokollabonnentenidentifikationsparameter, der angibt, ob die MSISDN-Informationen in die LSN-Protokolle einer LSN-Konfiguration aufgenommen werden sollen. Aktivieren Sie beim Erstellen des LSN-Protokollprofils den Parameter für Protokollabonnenten.
- Binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration. Binden Sie das erstellte LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration, indem Sie den Parameter Protokollprofilname auf den erstellten LSN-Protokollprofilnamen festlegen. Anweisungen zum Konfigurieren von Large Scale NAT finden Sie unter Konfigurationsschritte für LSN.
So erstellen Sie ein LSN-Protokollprofil mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lsn logprofile <logprofilename -logSubscriberID ( ENABLED | DISABLED )
show lsn logprofile
So binden Sie ein LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
Beispielkonfiguration:
In diesem Beispiel der LSN-Konfiguration ist für das LSN-Protokollprofil der Protokollabonnentenidentifikationsparameter aktiviert. Das Profil ist an die LSN-Gruppe LSN-GROUP-9 gebunden. MSISDN-Informationen sind in der LSN-Sitzung und LSN-Mapping-Protokolle für Verbindungen von mobilen Abonnenten enthalten (im Netzwerk 192.0.2.0/24).
add lsn logprofile LOG-PROFILE-MSISDN-9 -logSubscriberID ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 -logprofilename LOG-PROFILE-MSISDN-9
Done
Aktuelle LSN-Sitzungen anzeigen
Sie können die aktuellen LSN-Sitzungen zum Erkennen unerwünschter oder ineffizienter LSN-Sitzungen auf der Citrix ADC Appliance anzeigen. Sie können alle oder einige LSN-Sitzungen anhand von Selektionsparametern anzeigen.
Hinweis: Wenn mehr als eine Million LSN-Sitzungen auf der Citrix ADC Appliance vorhanden sind, empfiehlt Citrix die Anzeige ausgewählter LSN-Sitzungen statt aller mithilfe der Auswahlparameter.
Konfiguration über die Befehlszeilenschnittstelle
So zeigen Sie alle LSN-Sitzungen mit der Befehlszeilenschnittstelle an
Geben Sie an der Eingabeaufforderung Folgendes ein:
show lsn session
So zeigen Sie selektive LSN-Sitzungen mit der Befehlszeilenschnittstelle an
Geben Sie an der Eingabeaufforderung Folgendes ein:
show lsn session [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
Beispiel
So zeigen Sie alle LSN-Sitzungen an, die auf einem Citrix ADC vorhanden sind
So zeigen Sie alle LSN-Sitzungen an, die sich auf eine LSN-Client-Entität LSN-CLIENT-2 beziehen
So zeigen Sie alle LSN-Sitzungen an, die 203.0.113.5 als NAT-IP-Adresse verwendet
Konfiguration mit dem Konfigurationsdienstprogramm
So zeigen Sie alle oder ausgewählte LSN-Sitzungen mit dem Konfigurationsdienstprogramm an
- Navigieren Sie zu System > Large Scale NAT > Sessions, und klicken Sie auf die Registerkarte NAT44.
- Klicken Sie auf Suchen, um LSN-Sitzungen basierend auf Auswahlparametern anzuzeigen.
Parameterbeschreibungen (von Befehlen, die in der CLI-Prozedur aufgeführt sind)
-
lsn-Sitzunganzeigen
-
clientname
Name der LSN-Client-Entität. Maximale Länge: 127
-
Netzwerk
IP-Adresse oder Netzwerkadresse des Teilnehmers.
-
Netzmaske
Subnetzmaske für die IP-Adresse, die durch den Netzwerkparameter angegeben wird.
Standardwert: 255.255.255.255
-
td
Verkehrsdomänen-ID der LSN-Client-Entität.
Standardwert: 0
Mindestwert: 0
Maximalwert: 4094
-
natIP
Zugeordnete NAT-IP-Adresse, die in LSN-Sitzungen verwendet wird.
-
LSN-Statistiken anzeigen
Sie können Statistiken zum LSN-Feature anzeigen, um die Leistung des LSN-Features auszuwerten oder Probleme zu beheben. Sie können eine Zusammenfassung der Statistiken des LSN-Features oder einer bestimmten LSN-Gruppe anzeigen. Die statistischen Leistungsindikatoren spiegeln Ereignisse seit dem letzten Neustart der Citrix ADC Appliance wider. Alle diese Leistungsindikatoren werden auf 0 zurückgesetzt, wenn die Citrix ADC Appliance neu gestartet wird.
So zeigen Sie alle LSN-Statistiken mit der Befehlszeilenschnittstelle an
Geben Sie an der Eingabeaufforderung Folgendes ein:
stat lsn
So zeigen Sie Statistiken für eine angegebene LSN-Gruppe mit der Befehlszeilenschnittstelle an
Geben Sie an der Eingabeaufforderung Folgendes ein:
stat lsn group [<groupname>]
Beispiel
> stat lsn
Large Scale NAT statistics
Rate(/s) Total
LSN TCP Received Packets 0 40
LSN TCP Received Bytes 0 3026
LSN TCP Transmitted Packets 0 40
LSN TCP Transmitted Bytes 0 3026
LSN TCP Dropped Packets 0 0
LSN TCP Current Sessions 0 0
LSN UDP Received Packets 0 0
LSN UDP Received Bytes 0 0
LSN UDP Transmitted Packets 0 0
LSN UDP Transmitted Bytes 0 0
LSN UDP Dropped Packets 0 0
LSN UDP Current Sessions 0 0
LSN ICMP Received Packets 0 982
LSN ICMP Received Bytes 0 96236
LSN ICMP Transmitted Packets 0 0
LSN ICMP Transmitted Bytes 0 0
LSN ICMP Dropped Packets 0 982
LSN ICMP Current Sessions 0 0
LSN Subscribers 0 1
Done
> stat lsn group LSN-GROUP-1
LSN Group Statistics
Rate (/s) Total
TCP Translated Pkts 0 40
TCP Translated Bytes 0 3026
TCP Dropped Pkts 0 0
TCP Current Sessions 0 0
UDP Translated Pkts 0 0
UDP Translated Bytes 0 0
UDP Dropped Pkts 0 0
UDP Current Sessions 0 0
ICMP Translated Pkts 0 0
ICMP Translated Bytes 0 0
ICMP Dropped Pkts 0 0
ICMP Current Sessions 0 0
Current Subscribers 0 1
Done
Parameterbeschreibungen (von Befehlen, die in der CLI-Prozedur aufgeführt sind)
-
stat lsn-Gruppe
-
groupname
Name der LSN-Gruppe. Maximale Länge: 127
-
Detail
Gibt eine detaillierte Ausgabe an (einschließlich weiterer Statistiken). Die Ausgabe kann ziemlich voluminös sein. Ohne dieses Argument zeigt die Ausgabe nur eine Zusammenfassung an.
-
FullValues
Gibt an, dass Zahlen und Zeichenfolgen in ihrer vollständigen Form angezeigt werden sollen. Ohne diese Option werden lange Zeichenfolgen gekürzt und große Zahlen abgekürzt.
-
ntimes
Die Anzahl der Male, in Intervallen von sieben Sekunden, sollte die Statistik angezeigt werden.
Standardwert: 1
-
logFile
Der Name der Protokolldatei, die als Eingabe verwendet werden soll.
-
clearstats
Löschen Sie die Statistiken/-Zähler
Mögliche Werte: basic, full
-
Kompakte Protokollierung
Die Protokollierung von LSN-Informationen ist eine der wichtigen Funktionen, die von ISPs benötigt werden, um gesetzliche Anforderungen zu erfüllen und jederzeit die Quelle des Datenverkehrs zu identifizieren. Dies führt schließlich zu einer riesigen Menge an Protokolldaten, die die ISPs erfordern, große Investitionen für die Wartung der Protokollierungsinfrastruktur zu tätigen.
Kompakte Protokollierung ist eine Technik, um die Protokollgröße zu reduzieren, indem eine Notationsänderung mit kurzen Codes für Ereignis- und Protokollnamen verwendet wird. Beispielsweise C für Client, SC für erstellte Sitzung und T für TCP. Kompakte Protokollierung führt zu einer durchschnittlichen Verringerung der Protokollgröße um 40 Prozent.
Die folgenden Beispiele von NAT44-Zuordnungsprotokolleinträgen zeigen den Vorteil einer kompakten Protokollierung.
|-|-| |Default logging format|02/02/2016:01:13:01 GMT Informational 0-PPE-2 : default LSN LSN_ADDRPORT_MAPPING 85 0 : A&PDM CREATED ClientIP:Port:TD1.1.1.1:6500:0,NatIP:NatPort8.8.8.8:47902, DestinationIP:Port:TD2.2.2.2:80:0, Protocol: TCP| |Compact logging format|02/02/2016:01:14:57 GMT Info 0-PE2:default LSN 87 0:A&PDMC|C-1.1.1.1:6500:0|N-8.8.8.9:51066|D-2.2.2.2:80:0|T|
Konfigurationsschritte
Führen Sie die folgenden Aufgaben für die Protokollierung von LSN-Informationen im kompakten Format aus:
- Erstellen Sie ein LSN-Protokollprofil. Ein LSN-Protokollprofil enthält den Parameter Log Compact, der angibt, ob Informationen im kompakten Format für eine LSN-Konfiguration protokolliert werden sollen.
- Binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration. Binden Sie das erstellte LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration, indem Sie den Parameter Log Profile Name auf den erstellten LSN-Protokollprofilnamen festlegen. Alle Sitzungen und Zuordnungen für diese LSN-Gruppe werden im kompakten Format protokolliert.
So erstellen Sie ein LSN-Protokollprofil mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)
show lsn logprofile
So binden Sie ein LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
Beispielkonfiguration:
add lsn logprofile LOG-PROFILE-COMPACT-9 -logCompact ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 –logProfileName LOG-PROFILE-COMPACT-9
Done
IPFIX-Protokollierung
Die Citrix ADC Appliance unterstützt das Senden von Informationen zu LSN-Ereignissen im IPFIX-Format (Internet Protocol Flow Information Export) an die konfigurierte Gruppe von IPFIX-Kollektoren. Die Appliance verwendet die vorhandene AppFlow Funktion, um LSN-Ereignisse im IPFIX-Format an die IPFIX-Kollektoren zu senden.
IPFIX-basierte Protokollierung ist für die folgenden großformatigen NAT44-bezogenen Ereignisse verfügbar:
- Erstellen oder Löschen einer LSN-Sitzung.
- Erstellen oder Löschen eines LSN-Zuordnungseintrags.
- Zuweisung oder Aufteilung von Portblöcken im Rahmen der deterministischen NAT.
- Zuweisung oder Aufteilung von Portblöcken im Kontext dynamischer NAT.
- Wann immer das Teilnehmersitzungskontingent überschritten wird.
Zu berücksichtigende Punkte, bevor Sie IPFIX-Protokollierung konfigurieren
Bevor Sie mit der Konfiguration von IPsec ALG beginnen, sollten Sie die folgenden Punkte beachten:
- Sie müssen die AppFlow Funktion und die IPFIX-Kollektoren auf der Citrix ADC Appliance konfigurieren. Anweisungen finden Sie unter Konfigurieren der AppFlow Funktion.
Konfigurationsschritte
Führen Sie die folgenden Aufgaben für die Protokollierung von LSN-Informationen im IPFIX-Format aus:
- Aktivieren Sie die LSN-Protokollierung in der AppFlow Konfiguration. Aktivieren Sie den LSN-Protokollierungsparameter als Teil der AppFlow Konfiguration.
- Erstellen Sie ein LSN-Protokollprofil. Ein LSN-Protokollprofil enthält den IPFIX-Parameter, mit dem die Protokollinformationen im IPFIX-Format aktiviert oder deaktiviert werden.
- Binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration. Binden Sie das LSN-Protokollprofil an eine oder mehrere LSN-Gruppen. Ereignisse im Zusammenhang mit der gebundenen LSN-Gruppe werden im IPFIX-Format protokolliert.
So aktivieren Sie die LSN-Protokollierung in der AppFlow Konfiguration mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
set appflow param -lsnLogging ( ENABLED | DISABLED )
show appflow param
So erstellen Sie ein LSN-Protokollprofil mit der CLI an der Eingabeaufforderung
Geben Sie an der Eingabeaufforderung Folgendes ein:
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
So binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
So erstellen Sie ein LSN-Protokollprofil mit der GUI
Navigieren Sie zu System > Large Scale NAT > Profile, klicken Sie auf Register Protokoll, und fügen Sie dann ein Protokollprofil hinzu.
So binden Sie das LSN-Protokollprofil an eine LSN-Gruppe einer LSN-Konfiguration mit der GUI
- Navigieren Sie zu System > Large Scale NAT > LSN Group, öffnen Sie die LSN-Gruppe.
- Klicken Sie unter Erweiterte Einstellungen auf + Protokollprofil, um das erstellte Protokollprofil an die LSN-Gruppe zu binden.