Citrix ADC

Konfigurieren der Citrix ADC-Appliance für die Überwachungsprotokollierung

Bei der Audit-Protokollierung werden Statusinformationen aus verschiedenen Modulen angezeigt, sodass ein Administrator den Ereignisverlauf in chronologischer Reihenfolge sehen kann. Hauptbestandteile eines Prüfungsrahmens sind “Prüfungsaktion”, “Audit-Richtlinie”. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Die Prüfungsrichtlinien verwenden das Framework “Classic Policy Engine” (CPE) oder das Progress Integration (PI) -Framework, um “Prüfungsmaßnahmen” mit “globalen Systembindungsgesellschaften” zu verknüpfen.

Die politischen Rahmenbedingungen unterscheiden sich jedoch in der Bindung von Auditprotokoll-Richtlinien an globale Einheiten. Zuvor unterstützte das Audit-Modul nur den klassischen Ausdruck, aber jetzt unterstützt es sowohl klassische als auch erweiterte Richtlinienausdrücke. Derzeit kann der erweiterte Ausdruck Überwachungsprotokollrichtlinien nur an globale Systementitäten binden.

Hinweis

Wenn Sie eine Richtlinie an globale Entitäten binden, müssen Sie sie an eine globale Systementität desselben Ausdrucks binden. Beispielsweise können Sie eine klassische Richtlinie nicht an eine erweiterte globale Entität binden oder eine erweiterte Richtlinie an eine klassische globale Entität binden.

Außerdem können Sie nicht sowohl klassische Überwachungsprotokollrichtlinien als auch erweiterte Überwachungsprotokollrichtlinien an einen virtuellen Lastausgleichsserver binden.

Konfigurieren von Überwachungsprotokollrichtlinien in einem klassischen Richtlinienausdruck

Das Konfigurieren der Audit-Protokollierung in der Classic-Richtlinie umfasst die folgenden Schritte:

  1. Konfigurieren einer Audit-Log-Aktion. Sie können eine Überwachungsaktion für verschiedene Server und für verschiedene Protokollierungsstufen konfigurieren. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Standardmäßig verwenden SYSLOG und NSLOG nur TCP, um Protokollinformationen an die Protokollserver zu übertragen. TCP ist für die Übertragung vollständiger Daten zuverlässiger als UDP. Wenn Sie TCP für SYSLOG verwenden, können Sie das Pufferlimit auf der Citrix ADC-Appliance festlegen, um die Protokolle zu speichern. Danach werden die Protokolle an den SYSLOG-Server gesendet.
  2. Konfigurieren der Überwachungsprotokoll-Richtlinie. Sie können entweder SYSLOG-Richtlinien konfigurieren, um Nachrichten auf einem SYSLOG-Server zu protokollieren, oder NSLOG-Richtlinien, um Nachrichten an einen NSLOG-Server zu protokollieren. Jede Richtlinie enthält eine Regel, die die zu protokollierenden Nachrichten identifiziert, und eine SYSLOG- oder NS-LOG-Aktion.
  3. Verbindliche Auditprotokoll-Richtlinien an globale Einheiten. Sie müssen die Überwachungsprotokollrichtlinien global an globale Entitäten wie SYSTEM, VPN, Citrix ADC AAA usw. binden. Sie können dies tun, um die Protokollierung aller Citrix ADC-Systemereignisse zu aktivieren. Durch Definieren der Prioritätsstufe können Sie die Auswertungsreihenfolge für die Protokollierung des Audit-Servers festlegen. Priorität 0 ist die höchste und wird zuerst ausgewertet. Je höher die Prioritätszahl, desto niedriger ist die Priorität der Bewertung.

Jeder dieser Schritte wird in den folgenden Abschnitten erläutert.

Konfigurieren der Audit-Log-Aktion

Konfigurieren der SYSLOG-Aktion in der erweiterten Richtlinieninfrastruktur über die Befehlszeile.

Hinweis

Mit der Citrix ADC-Appliance können Sie nur eine SYSLOG-Aktion für die IP-Adresse und den Port des SYSLOG-Servers konfigurieren. Die Appliance erlaubt es Ihnen nicht, mehrere SYSLOG-Aktionen für dieselbe Server-IP-Adresse und denselben Port zu konfigurieren.

Eine Syslog-Aktion enthält einen Verweis auf einen Syslog-Server. Es gibt an, welche Informationen protokolliert werden sollen, und erwähnt, wie diese Informationen protokolliert werden sollen.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

So konfigurieren Sie die NSLOG-Aktion in der erweiterten Richtlinieninfrastruktur über die Befehlszeile

Eine ns-Protokollaktion enthält einen Verweis auf einen NSlog-Server. Es gibt an, welche Informationen protokolliert werden sollen, und erwähnt, wie diese Informationen protokolliert werden sollen.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Konfigurieren von Audit-Log-Richtlinien

So konfigurieren Sie Audit-Log-Richtlinien in der klassischen Policy-Infrastruktur über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]
<!--NeedCopy-->

Verbindliche Audit-Syslog-Richtlinien zur Prüfung von syslog global

So binden Sie die Auditlog-Richtlinie im Classic-Richtlinienframework über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Konfigurieren von Überwachungsprotokollrichtlinien mithilfe eines erweiterten Richtlinien

Das Konfigurieren der Audit-Protokollierung in der Advanced-Richtlinie umfasst die folgenden Schritte:

  1. Konfigurieren einer Audit-Log-Aktion. Sie können eine Überwachungsaktion für verschiedene Server und für verschiedene Protokollierungsstufen konfigurieren. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Standardmäßig verwenden SYSLOG und NSLOG nur TCP, um Protokollinformationen an die Protokollserver zu übertragen. TCP ist für die Übertragung vollständiger Daten zuverlässiger als UDP. Wenn Sie TCP für SYSLOG verwenden, können Sie das Pufferlimit auf der Citrix ADC-Appliance festlegen, um die Protokolle zu speichern. Danach werden die Protokolle an den SYSLOG-Server gesendet.
  2. Konfigurieren der Überwachungsprotokoll-Richtlinie. Sie können entweder SYSLOG-Richtlinien konfigurieren, um Nachrichten auf einem SYSLOG-Server zu protokollieren, oder NSLOG-Richtlinien, um Nachrichten an einen NSLOG-Server zu protokollieren. Jede Richtlinie enthält eine Regel, die die zu protokollierenden Nachrichten identifiziert, und eine SYSLOG- oder NS-LOG-Aktion.
  3. Verbindliche Auditprotokoll-Richtlinien an globale Einheiten. Sie müssen die Überwachungsprotokollrichtlinien global an die globale System-Entität binden, um die Protokollierung aller Citrix ADC-Systemereignisse zu ermöglichen. Durch Definieren der Prioritätsstufe können Sie die Auswertungsreihenfolge für die Protokollierung des Audit-Servers festlegen. Priorität 0 ist die höchste und wird zuerst ausgewertet. Je höher die Prioritätszahl, desto niedriger ist die Priorität der Bewertung.

Hinweis

Die Citrix ADC-Appliance wertet alle Richtlinien aus, die an true gebunden sind.

Konfigurieren der Audit-Log-Aktion

So konfigurieren Sie die Syslog-Aktion in der erweiterten Richtlinieninfrastruktur über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

So konfigurieren Sie die NSLOG-Aktion in der erweiterten Richtlinieninfrastruktur über die Befehlszeile

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Konfigurieren von Audit-Log-Richtlinien

So fügen Sie über die Befehlszeile eine Syslog-Überwachungsaktion hinzu

Geben Sie an der Eingabeaufforderung ein:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold
<!--NeedCopy-->

Beispiel

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

So fügen Sie über die Befehlszeile eine nslog-Audit-Aktion hinzu

Geben Sie an der Eingabeaufforderung ein:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

Verbindliche Auditprotokoll-Richtlinien an globale Einheiten

So binden Sie die Syslog-Auditlog-Richtlinie im erweiterten Richtlinienframework über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Konfigurieren der Überwachungsprotokollrichtlinie über die GUI

  1. Navigieren Sie zu Konfiguration > System > Auditing > Syslog.

Syslog-Auditierung

  1. Wählen Sie die Registerkarte Server .
  2. Klicken Sie auf Hinzufügen.
  3. Füllen Sie auf der Seite “Auditing Server erstellen “ die entsprechenden Felder aus und klicken Sie auf Erstellen.
  4. Um die Richtlinie hinzuzufügen, wählen Sie die Registerkarte Richtlinien aus und klicken Sie auf Hinzufügen.
  5. Füllen Sie auf der Seite “Auditing Syslog-Richtlinie erstellen” die entsprechenden Felder aus und klicken Sie auf Erstellen.

    Syslog-Richtlinie

  6. Um die Richtlinie global zu binden, wählen Sie Advanced Policy Globale Bindings aus der Dropdownliste aus. Wählen Sie die Richtlinie best_syslog_policy_ever aus. Klicken Sie auf Select.
  7. Wählen Sie in der Dropdownliste den Bindepunkt als SYSTEM_GLOBAL aus, klicken Sie auf Binden, und klicken Sie dann auf Fertig.

Konfigurieren der richtlinienbasierten Protokollierung

Sie können richtlinienbasierte Protokollierung für Rewrite- und Responder-Richtlinien konfigurieren. Überwachungsmeldungen werden dann in einem definierten Format protokolliert, wenn die Regel in einer Richtlinie auf TRUE ausgewertet wird. Um die richtlinienbasierte Protokollierung zu konfigurieren, konfigurieren Sie eine Aktion für Überwachungsnachrichten, die erweiterte Richtlinienausdrücke verwendet, um das Format der Überwachungsnachrichten anzugeben. Und verknüpfen Sie die Aktion mit einer Richtlinie. Die Richtlinie kann entweder global oder an einen virtuellen Lastausgleich- oder Content Switching-Server gebunden sein. Sie können Audit-Message-Aktionen verwenden, um Nachrichten auf verschiedenen Protokollierungsebenen zu protokollieren, entweder nur im Syslog-Format oder sowohl im Syslog- als auch im neuen nslog-Format.

Voraussetzungen

  • Die Option Konfigurierbare Protokollmeldungen (UserDefinedAuditLog) ist für die Konfiguration des Überwachungsaktionsservers aktiviert, an den Sie die Protokolle in einem definierten Format senden möchten.
  • Die zugehörige Prüfungsrichtlinie ist an das globale System gebunden.

Konfigurieren einer Aktion für Überwachungsnachrichten

Sie können Aktionen für Überwachungsnachrichten konfigurieren, um Nachrichten auf verschiedenen Protokollierungsebenen zu protokollieren, entweder nur im Syslog-Format oder sowohl im Syslog- als auch in neuen ns-Protokollformaten. Auditmeldungsaktionen verwenden Ausdrücke, um das Format der Auditmeldungen anzugeben.

So erstellen Sie eine Aktion für Überwachungsnachrichten über die Befehlszeile

Geben Sie an der Eingabeaufforderung ein:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

So konfigurieren Sie eine Aktion für eine Überwachungsnachricht über die GUI

Navigieren Sie zu System > Auditing > Nachrichtenaktionen, und erstellen Sie die Aktion “Überwachungsnachricht”.

Aktion für Audit-Nachrichten an eine Richtlinie binden

Nachdem Sie eine Überwachungsnachrichtenaktion erstellt haben, müssen Sie sie an eine Rewrite- oder Responderrichtlinie binden. Weitere Informationen zum Binden von Protokollnachrichtenaktionen an eine Rewrite- oder Responder Policy finden Sie unter Rewrite oder Responder.

Konfigurieren der Citrix ADC-Appliance für die Überwachungsprotokollierung