Citrix ADC

SYSLOG Über TCP

Syslog ist ein Standard für das Senden von Ereignisbenachrichtigungen. Diese Meldungen können lokal oder auf einem externen Protokollserver gespeichert werden. Syslog ermöglicht Netzwerkadministratoren, Protokollnachrichten zu konsolidieren und Erkenntnisse aus den gesammelten Daten abzuleiten.

Syslog wurde ursprünglich für die Arbeit über UDP entwickelt, das eine große Datenmenge innerhalb desselben Netzwerks mit minimalem Paketverlust übertragen kann. Telekommunikationsbetreiber bevorzugen jedoch die Übertragung von Syslog-Daten über TCP, da sie eine zuverlässige, geordnete Datenübertragung zwischen Netzwerken benötigen. Beispielsweise verfolgt Telco Benutzeraktivitäten, und TCP bietet eine erneute Übertragung im Falle eines Netzwerkausfalls.

So funktioniert Syslog over TCP

Um zu verstehen, wie Syslog über TCP funktioniert, betrachten Sie zwei hypothetische Fälle:

Sam, ein Netzwerkadministrator, möchte wichtige Ereignisse auf einem externen Syslog-Server protokollieren.

XYZ Telecom, ein ISP, muss eine erhebliche Datenmenge auf Syslog-Servern übertragen und speichern, um den behördlichen Vorschriften zu entsprechen.

In beiden Fällen müssen die Protokollnachrichten über einen zuverlässigen Kanal übertragen und sicher auf einem externen Syslog-Server gespeichert werden. Im Gegensatz zu UDP stellt TCP eine Verbindung her, überträgt Nachrichten sicher und überträgt (vom Sender zum Empfänger) alle Daten erneut, die aufgrund eines Netzwerkausfalls beschädigt wurden oder verloren gegangen sind.

Die Citrix ADC Appliance sendet Protokollnachrichten über UDP an den lokalen Syslog-Daemon und sendet Protokollnachrichten über TCP oder UDP an externe Syslog-Server.

SNIP-Unterstützung für Syslog

Wenn das Audit-Log-Modul Syslog-Nachrichten generiert, verwendet es eine Citrix ADC IP (NSIP) -Adresse als Quelladresse für das Senden der Nachrichten an einen externen Syslog-Server. Um ein SNIP als Quelladresse zu konfigurieren, müssen Sie es zu einem Teil der NetProfile-Option machen und das NetProfile an die Syslog-Aktion binden.

Hinweis:

TCP verwendet SNIP zum Senden von Überwachungsprüfungen, um die Konnektivität zu überprüfen, und sendet dann die Protokolle über NSIP. Daher muss der Syslog-Server über SNIP erreichbar sein. Netzprofile können verwendet werden, um den gesamten TCP-Syslog-Verkehr vollständig über SNIP umzuleiten.

Die Verwendung einer SNIP-Adresse wird in der internen Protokollierung nicht unterstützt.

Vollständig qualifizierter Domainname Unterstützung für Prüfprotokoll

Zuvor wurde das Audit-Log-Modul mit der Ziel-IP-Adresse des externen Syslog-Servers konfiguriert, an den die Protokollnachrichten gesendet werden. Jetzt verwendet der Audit-Log-Server einen vollqualifizierten Domänennamen (FQDN) anstelle der Ziel-IP-Adresse. Die FQDN-Konfiguration löst den konfigurierten Domänennamen des Syslog-Servers in die entsprechende Ziel-IP-Adresse auf, um die Protokollmeldungen vom Audit-Log-Modul zu senden. Der Namenserver muss ordnungsgemäß konfiguriert sein, um den Domainnamen aufzulösen und Probleme mit dem domänenbasierten Dienst zu vermeiden.

Hinweis

Bei der Konfiguration eines FQDN wird die Konfiguration des Serverdomänennamens derselben Citrix ADC Appliance in der Syslog-Aktion oder nslog-Aktion nicht unterstützt.

Konfiguration von Syslog über TCP über die Befehlszeilenschnittstelle

So konfigurieren Sie eine Citrix ADC Appliance für das Senden von Syslog-Nachrichten über TCP über die Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

Hinzufügen der SNIP-IP-Adresse zur Netzprofiloption über die Befehlszeilenschnittstelle

So fügen Sie dem Netzwerkprofil über die Befehlszeilenschnittstelle eine SNIP-IP-Adresse hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

Wo ist SRCIP das SNIP.

Hinzufügen von Netzprofilen in einer Syslog-Aktion über die Befehlszeilenschnittstelle

So fügen Sie eine NetProfile-Option in einer Syslog-Aktion über die Befehlszeilenschnittstelle hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

Wobei -netprofile den Namen des konfigurierten Netzprofils angibt. Die SNIP-Adresse wird als Teil von NetProfile konfiguriert und diese NetProfile-Option ist an die Syslog-Aktion gebunden.

Hinweis

Sie müssen das NetProfile immer an die SYSLOGUDP- oder SYSLOGTCP-Dienste binden, die an den virtuellen SYSLOGUDP- oder SYSLOGTCP-Lastausgleichsserver gebunden sind.

Konfiguration der FQDN-Unterstützung über die Befehlszeilenschnittstelle

So fügen Sie einer Syslog-Aktion über die Befehlszeilenschnittstelle einen Serverdomänennamen hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

So fügen Sie einer NSlog-Aktion über die Befehlszeilenschnittstelle einen Serverdomänennamen hinzu.

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

Wobei serverDomainName. Domainname des Protokollservers. Schließt sich gegenseitig mit serverIP / lbVserverName aus.

DomainResolveRetry - Ganzzahl. Zeit (in Sekunden), die die Citrix ADC Appliance wartet, nachdem eine DNS-Auflösung fehlgeschlagen ist, bevor die nächste DNS-Abfrage zur Auflösung des Domänennamens gesendet wird.

DomainResolveNow. Enthalten, wenn die DNS-Abfrage sofort gesendet werden muss, um den Domainnamen des Servers aufzulösen.

Konfiguration von Syslog über TCP mithilfe der GUI

So konfigurieren Sie die Citrix ADC Appliance für das Senden von Syslog-Nachrichten über TCP mithilfe der GUI

  1. Navigieren Sie zu System > Auditing > Syslog und wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen und wählen Sie Transporttyp als TCPaus.

Konfiguration eines Netzprofils für die SNIP-Unterstützung mithilfe der GUI

So konfigurieren Sie das Netzprofil für die SNIP-Unterstützung mithilfe der GUI

  1. Navigieren Sie zu System > Auditing > Syslog und wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen und wählen Sie ein Netzwerkprofil aus der Liste aus.

Konfiguration des FQDN mithilfe der GUI

So konfigurieren Sie FQDN mit der GUI

  1. Navigieren Sie zu System > Auditing > Syslog und wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen und wählen Sie einen Servertyp und einen Serverdomänennamen aus der Liste aus.
SYSLOG Über TCP