ADC

Konfigurieren der NetScaler-Appliance für die Überwachungsprotokollierung

Warnung:

Klassische Richtlinienausdrücke und ihre Verwendung sind ab NetScaler 12.0 Build 56.20 veraltet (von der Verwendung abgeraten, werden aber weiterhin unterstützt). Als Alternative empfiehlt Citrix, erweiterte Richtlinien zu verwenden. Weitere Informationen finden Sie unter Erweiterte Richtlinien.

In der Auditprotokollierung werden Statusinformationen aus verschiedenen Modulen angezeigt, sodass ein Administrator den Ereignisverlauf in chronologischer Reihenfolge einsehen kann. Die Hauptbestandteile eines Prüfungsrahmens sind “Audit-Aktion” und “Audit-Rrichtlinie”. “Audit-Aktion” beschreibt Informationen zur Audit-Server-Konfiguration, wohingegen “Audit-Richtlinie” eine Bindungsentität mit einer “Audit-Aktion” verknüpft. Die Prüfungsrichtlinien verwenden das “Classic Policy Engine” (CPE)-Framework oder das Progress Integration (PI) -Framework, um “Audit-Aktion” mit “systemglobalen Bindungsentitäten” zu verknüpfen.

Die Richtlinienrahmen unterscheiden sich jedoch voneinander darin, dass die Audit-Log-Richtlinien für globale Unternehmen verbindlich sind. Bisher unterstützte das Audit-Modul nur klassische und erweiterte Richtlinienausdrücke. Derzeit können Sie mit dem erweiterten Ausdruck Audit-Log-Richtlinien nur an globale Systementitäten binden.

Hinweis

Wenn Sie eine Richtlinie an globale Entitäten binden, müssen Sie sie an eine globale Systementität desselben Ausdrucks binden. Beispielsweise können Sie eine klassische Richtlinie nicht an eine erweiterte globale Entität oder eine erweiterte Richtlinie nicht an eine klassische globale Entität binden.

Außerdem können Sie nicht sowohl die klassische Überwachungsprotokollrichtlinie als auch die erweiterte Überwachungsprotokollrichtlinie an einen virtuellen Lastausgleichsserver binden.

Konfiguration von Audit-Log-Richtlinien in einem klassischen Richtlinienausdruck

Die Konfiguration der Auditprotokollierung in der klassischen Richtlinie besteht aus den folgenden Schritten:

  1. Konfiguration einer Audit-Log-Aktion. Sie können eine Überwachungsaktion für verschiedene Server und für verschiedene Protokollierungsstufen konfigurieren. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Standardmäßig verwendet das SYSLOG ein Benutzerdatenprotokoll (UDP) für die Datenübertragung, und NSLOG verwendet nur TCP, um Protokollinformationen an die Protokollserver zu übertragen. TCP ist für die Übertragung vollständiger Daten zuverlässiger als UDP. Wenn Sie TCP für SYSLOG verwenden, können Sie das Pufferlimit auf der NetScaler-Appliance festlegen, um die Protokolle zu speichern. Nachdem das Pufferlimit erreicht ist, werden die Protokolle an den SYSLOG-Server gesendet.
  2. Konfiguration der Audit-Log-Richtlinie. Sie können entweder SYSLOG-Richtlinien konfigurieren, um Nachrichten auf einem SYSLOG-Server zu protokollieren, oder eine NSLOG-Richtlinie, um Nachrichten auf einem NSLOG-Server zu protokollieren. Jede Richtlinie enthält eine Regel, die auf true oder ns_true für die zu protokollierenden Nachrichten festgelegt ist, sowie eine SYSLOG- oder NSLOG-Aktion.
  3. Verbindliche Audit-Log-Richtlinien für globale Unternehmen. Sie müssen die Überwachungsprotokollrichtlinien global an globale Entitäten wie SYSTEM, VPN, NetScaler AAA usw. binden. Sie können dies tun, um die Protokollierung aller NetScaler-Systemereignisse zu aktivieren. Durch Definieren der Prioritätsstufe können Sie die Auswertungsreihenfolge für die Protokollierung des Audit-Servers festlegen. Priorität 0 ist die höchste und wird zuerst ausgewertet. Je höher die Prioritätszahl, desto niedriger ist die Priorität der Bewertung.

Jeder dieser Schritte wird in den folgenden Abschnitten erläutert.

Konfiguration der Audit-Log-Aktion

Um die SYSLOG-Aktion in einer erweiterten Richtlinieninfrastruktur über die CLI zu konfigurieren.

Hinweis

Mit der NetScaler-Appliance können Sie nur eine SYSLOG-Aktion für die IP-Adresse und den Port des SYSLOG-Servers konfigurieren. Die Appliance erlaubt es Ihnen nicht, mehrere SYSLOG-Aktionen für dieselbe Server-IP-Adresse und denselben Port zu konfigurieren.

Eine Syslog-Aktion enthält einen Verweis auf einen Syslog-Server. Es gibt an, welche Informationen protokolliert werden sollen, und erwähnt, wie diese Informationen protokolliert werden sollen.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

Um die NSLOG-Aktion in einer erweiterten Richtlinieninfrastruktur über die CLI zu konfigurieren.

Eine ns-Log-Aktion enthält einen Verweis auf einen nslog-Server. Es gibt an, welche Informationen protokolliert werden sollen, und erwähnt, wie diese Informationen protokolliert werden sollen.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Auditprotokollrichtlinien konfigurieren

Konfigurieren Sie die Audit-Log-Richtlinien in der klassischen Policy-Infrastruktur über die CLI.

Geben Sie in der Befehlszeile Folgendes ein:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> <-rule> <action>
<!--NeedCopy-->

Verbindliche Audit-Syslog-Richtlinien zur Prüfung von syslog global

Binden Sie die Audit-Log-Richtlinie im Advanced Policy Framework über die CLI.

Geben Sie in der Befehlszeile Folgendes ein:

bind syslogGlobal -policyName <policyName> -priority <priority>

unbind syslogGlobal -policyName <policyName> -priority <priority>

Binden Sie die Audit-Log-Richtlinie im klassischen Policy-Framework über die CLI.

Geben Sie in der Befehlszeile Folgendes ein:

bind systemglobal <policy Name> <Priority>

unbind systemglobal <policy Name> <Priority>

Audit-Log-Richtlinien mit Advanced Policy Expression konfigurieren

Die Konfiguration der Auditprotokollierung in Advanced Policy besteht aus den folgenden Schritten:

  1. Konfiguration einer Audit-Log-Aktion. Sie können eine Überwachungsaktion für verschiedene Server und für verschiedene Protokollierungsstufen konfigurieren. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Standardmäßig verwendet SYSLOG ein Benutzerdatenprotokoll (UDP) für die Datenübertragung, und NSLOG verwendet nur TCP, um Protokollinformationen an die Protokollserver zu übertragen. TCP ist für die Übertragung vollständiger Daten zuverlässiger als UDP. Wenn Sie TCP für SYSLOG verwenden, können Sie das Pufferlimit auf der NetScaler-Appliance festlegen, um die Protokolle zu speichern. Nachdem das Pufferlimit erreicht ist, werden die Protokolle an den SYSLOG-Server gesendet.
  2. Konfiguration der Audit-Log-Richtlinie. Sie können entweder SYSLOG-Richtlinien konfigurieren, um Nachrichten auf einem SYSLOG-Server zu protokollieren, oder eine NSLOG-Richtlinie, um Nachrichten auf einem NSLOG-Server zu protokollieren. Jede Richtlinie enthält eine Regel, die auf true oder ns_true für die zu protokollierenden Nachrichten festgelegt ist, sowie eine SYSLOG- oder NSLOG-Aktion.
  3. Verbindliche Audit-Log-Richtlinien für globale Unternehmen. Sie müssen die Überwachungsprotokollrichtlinien global an die globale System-Entität binden, um die Protokollierung aller NetScaler-Systemereignisse zu ermöglichen. Durch Definieren der Prioritätsstufe können Sie die Auswertungsreihenfolge für die Protokollierung des Audit-Servers festlegen. Priorität 0 ist die höchste und wird zuerst ausgewertet. Je höher die Prioritätszahl, desto niedriger ist die Priorität der Bewertung.

Hinweis

Die NetScaler-Appliance wertet alle Richtlinien aus, die an true gebunden sind.

Konfiguration der Audit-Log-Aktion

Um die Syslog-Aktion in einer erweiterten Richtlinieninfrastruktur über die CLI zu konfigurieren.

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

Konfigurieren Sie die NSLOG-Aktion in der erweiterten Richtlinieninfrastruktur über die CLI:

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Auditprotokollrichtlinien konfigurieren

Um eine Syslog-Audit-Aktion über die CLI hinzuzufügen.

Geben Sie in der Befehlszeile Folgendes ein:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel> [-managementlog <managementlog> ...] ... [-managementloglevel <managementloglevel> ...][-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold]
<!--NeedCopy-->

Beispiel

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

Hinweis:

Die Option managementlog in der Syslogaction-Konfiguration unterstützt nur die Server-IP- und Portkonfiguration. Domänenbasierter Dienst (DBS) und Lastausgleichskonfigurationen für virtuelle Servernamen werden nicht unterstützt.

Verwenden Sie für Verwaltungsprotokolle den unterstützten Befehl:

add syslogAction <serverIP>

Die folgenden Konfigurationen werden nicht unterstützt:

add syslogAction <serverDomainName>

add syslogAction -lbVserverName <lb_vserver_name>

Weitere Informationen finden Sie unter Exportieren von Verwaltungsprotokollen direkt von NetScaler nachSplunk.

Fügen Sie über die CLI eine nslog-Audit-Aktion hinzu.

Geben Sie in der Befehlszeile Folgendes ein:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

Verbindliche Audit-Log-Richtlinien für globale Unternehmen

Binden Sie die Syslog-Audit-Log-Richtlinie im Advanced Policy Framework über die CLI.

Geben Sie in der Befehlszeile Folgendes ein:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Konfiguration der Audit-Log-Richtlinie über die GUI

  1. Navigieren Sie zu Konfiguration > System > Auditing > Syslog.
  2. Wählen Sie die Registerkarte Server .
  3. Klicken Sie auf Hinzufügen.
  4. Füllen Sie auf der Seite “Auditing Server erstellen “ die entsprechenden Felder aus und klicken Sie auf Erstellen.
  5. Um die Richtlinie hinzuzufügen, wählen Sie die Registerkarte Richtlinien aus und klicken Sie auf Hinzufügen.
  6. Füllen Sie auf der Seite “Auditing Syslog-Richtlinie erstellen” die entsprechenden Felder aus und klicken Sie auf Erstellen.
  7. Um die Richtlinie global zu binden, wählen Sie Advanced Policy Globale Bindings aus der Dropdownliste aus. Wählen Sie die Richtlinie best_syslog_policy_ever aus. Klicken Sie auf Select.
  8. Wählen Sie in der Dropdownliste den Bindepunkt als SYSTEM_GLOBAL aus, klicken Sie auf Binden, und klicken Sie dann auf Fertig.

Konfigurieren der richtlinienbasierten Protokollierung

Sie können richtlinienbasierte Protokollierung für Rewrite- und Responder-Richtlinien konfigurieren. Überwachungsmeldungen werden dann in einem definierten Format protokolliert, wenn die Regel in einer Richtlinie auf TRUE ausgewertet wird. Um die richtlinienbasierte Protokollierung zu konfigurieren, konfigurieren Sie eine Auditmeldungsaktion, die erweiterte Richtlinienausdrücke verwendet, um das Format der Auditmeldungen anzugeben. Und verknüpfen Sie die Aktion mit einer Richtlinie. Die Richtlinie kann entweder global oder an einen virtuellen Lastausgleich- oder Content Switching-Server gebunden sein. Sie können Audit-Message-Aktionen verwenden, um Nachrichten auf verschiedenen Protokollierungsebenen zu protokollieren, entweder nur im Syslog-Format oder sowohl im Syslog- als auch im neuen nslog-Format.

Voraussetzungen

  • Die Option Konfigurierbare Protokollmeldungen (userDefinedAuditlog) ist für die Konfiguration des Überwachungsaktionsservers aktiviert, an den Sie die Protokolle in einem definierten Format senden möchten.
  • Die zugehörige Prüfungsrichtlinie ist an das globale System gebunden.

Konfigurieren einer Aktion für Überwachungsnachrichten

Sie können Aktionen für Überwachungsnachrichten konfigurieren, um Nachrichten auf verschiedenen Protokollierungsebenen zu protokollieren, entweder nur im Syslog-Format oder sowohl im Syslog- als auch in neuen ns-Protokollformaten. Auditmeldungsaktionen verwenden Ausdrücke, um das Format der Auditmeldungen anzugeben.

Erstellen Sie eine Audit-Nachrichtenaktion über die CLI

Geben Sie in der Befehlszeile Folgendes ein:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

Konfigurieren Sie eine Audit-Nachrichtenaktion über die GUI

Navigieren Sie zu System > Auditing > Nachrichtenaktionen, und erstellen Sie die Aktion “Überwachungsnachricht”.

Aktion für Audit-Nachrichten an eine Richtlinie binden

Nachdem Sie eine Überwachungsnachrichtenaktion erstellt haben, müssen Sie sie an eine Rewrite- oder Responder-Richtlinie binden. Weitere Informationen zum Binden von Protokollnachrichtenaktionen an eine Rewrite- oder Responder Policy finden Sie unter Rewrite oder Responder.

Konfigurieren der NetScaler-Appliance für die Überwachungsprotokollierung