Citrix ADC

SYSLOG über TCP

Syslog ist ein Standard für das Senden von Ereignisbenachrichtigungen. Diese Meldungen können lokal oder auf einem externen Protokollserver gespeichert werden. Mit Syslog können Netzwerkadministratoren Protokollmeldungen konsolidieren und Erkenntnisse aus den gesammelten Daten ableiten.

Syslog wurde ursprünglich für die Arbeit über UDP entwickelt, das eine große Menge an Daten innerhalb desselben Netzwerks mit minimalem Paketverlust übertragen kann. Telekommunikationsbetreiber ziehen es jedoch vor, Syslog-Daten über TCP zu übertragen, da sie eine zuverlässige, geordnete Datenübertragung zwischen Netzwerken benötigen. Beispielsweise verfolgt Telco Benutzeraktivitäten, und TCP bietet eine erneute Übertragung im Falle eines Netzwerkausfalls.

Funktionsweise von Syslog über TCP

Um zu verstehen, wie Syslog über TCP funktioniert, betrachten Sie zwei hypothetische Fälle:

Sam, ein Netzwerkadministrator, möchte wichtige Ereignisse auf einem externen Syslog-Server protokollieren.

XYZ Telecom, ein ISP, muss eine beträchtliche Menge an Daten auf Syslog-Servern übertragen und speichern, um den staatlichen Vorschriften zu entsprechen.

In beiden Fällen müssen die Protokollmeldungen über einen zuverlässigen Kanal übertragen und sicher auf einem externen Syslog-Server gespeichert werden. Im Gegensatz zu UDP stellt TCP eine Verbindung her, überträgt Nachrichten sicher und überträgt (vom Sender zum Empfänger) alle Daten, die aufgrund eines Netzwerkausfalls beschädigt oder verloren gegangen sind.

Die Citrix ADC Appliance sendet Protokollmeldungen über UDP an den lokalen Syslog-Daemon und sendet Protokollmeldungen über TCP oder UDP an externe Syslog-Server.

SNIP-Unterstützung für Syslog

Wenn das Audit-Log-Modul Syslog-Nachrichten generiert, verwendet es eine Citrix ADC IP (NSIP) -Adresse als Quelladresse für das Senden der Nachrichten an einen externen Syslog-Server. Um ein SNIP als Quelladresse zu konfigurieren, müssen Sie es Teil der NetProfile-Option machen und NetProfile an die syslog-Aktion binden.

Hinweis

TCP verwendet SNIP zum Senden von Überwachungsprüfern, um die Konnektivität zu überprüfen, und sendet dann die Protokolle über NSIP. Daher muss der Syslog-Server über SNIP erreichbar sein. Net-Profile können verwendet werden, um den gesamten TCP-Syslog-Verkehr vollständig über SNIP umzuleiten.

Die Verwendung einer SNIP-Adresse wird in der internen Protokollierung nicht unterstützt.

Vollständig qualifizierter Domainname Unterstützung für Audit-Lo

Zuvor wurde das Überwachungsprotokollmodul mit der Ziel-IP-Adresse des externen Syslog-Servers konfiguriert, an den die Protokollmeldungen gesendet werden. Jetzt verwendet der Audit-Log-Server einen vollqualifizierten Domänennamen (FQDN) anstelle der Ziel-IP-Adresse. Die FQDN-Konfiguration löst den konfigurierten Domänennamen des syslog-Servers in die entsprechende Ziel-IP-Adresse für das Senden der Protokollmeldungen aus dem Audit-Protokollmodul auf. Der Nameserver muss ordnungsgemäß konfiguriert sein, um den Domänennamen zu lösen und Probleme mit domänenbasierten Diensten zu vermeiden.

Hinweis:

Bei der Konfiguration eines FQDN wird die Konfiguration des Serverdomänennamens derselben Citrix ADC Appliance in Syslog-Aktion oder NSlog-Aktion nicht unterstützt.

Konfigurieren von Syslog über TCP über die Befehlszeile

So konfigurieren Sie eine Citrix ADC Appliance zum Senden von Syslog-Nachrichten über TCP mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

Hinzufügen der SNIP-IP-Adresse zur Net-Profiloption über die Befehlszeile

So fügen Sie dem Netzprofil über die Befehlszeile eine SNIP-IP-Adresse hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

Wobei, srcIP die SNIP ist.

Hinzufügen des Netzprofils in einer Syslog-Aktion über die Befehlszeile

So fügen Sie eine NetProfile-Option in einer Syslog-Aktion mit der Befehlszeilenschnittstelle hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

Wo, -netprofile gibt den Namen des konfigurierten Netzprofils an. Die SNIP-Adresse wird als Teil des NetProfile konfiguriert, und diese NetProfile-Option ist an die syslog-Aktion gebunden.

Hinweis:

Sie müssen die NetProfile-Option immer an die SYSLOGUDP- oder SYSLOGTCP-Dienste binden, die an den virtuellen Lastausgleichsserver SYSLOGUDP oder SYSLOGTCP gebunden sind, wenn ein virtueller LB-Servername in der Syslog-Aktion konfiguriert ist.

Konfigurieren der FQDN-Unterstützung mit der Befehlszeilenschnittstelle

So fügen Sie einer Syslog-Aktion mit der Befehlszeilenschnittstelle einen Serverdomänennamen hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

So fügen Sie einer Nslog-Aktion mit der Befehlszeilenschnittstelle einen Serverdomänennamen hinzu.

Geben Sie an der Eingabeaufforderung Folgendes ein:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

Wo ServerDomainName. Domänenname des Protokollservers. Exklusiv sich gegenseitig mit ServerIP/ lbvServerName.

DomainResolveRetry (Ganzzahl). Zeit (in Sekunden), die die Citrix ADC Appliance nach einem Fehlschlagen einer DNS-Auflösung wartet, bevor die nächste DNS-Abfrage zum Auflösen des Domänennamens gesendet wird.

DomainResolveNow. Eingeschlossen, wenn die DNS-Abfrage sofort gesendet werden muss, um den Domänennamen des Servers aufzulösen.

Konfigurieren von Syslog über TCP mit der GUI

So konfigurieren Sie die Citrix ADC Appliance für das Senden von Syslog-Nachrichten über TCP mit der GUI

  1. Navigieren Sie zu System > Auditing > Syslog und wählen Sie die Registerkarte Servers.
  2. Klicken Sie auf Hinzufügen und wählen Sie Transportart als TCP aus.

Konfigurieren eines Netzprofils für die SNIP-Unterstützung mit der GUI

So konfigurieren Sie das Netzprofil für die SNIP-Unterstützung über die GUI

  1. Navigieren Sie zu System > Auditing > Syslog und wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen, und wählen Sie ein Netzprofil aus der Liste aus.

Konfigurieren des FQDN mit der GUI

So konfigurieren Sie den FQDN mit der GUI

  1. Navigieren Sie zu System > Auditing > Syslog und wählen Sie die Registerkarte Servers.
  2. Klicken Sie auf Hinzufügen, und wählen Sie einen Servertyp und einen Serverdomänennamen aus der Liste aus.
SYSLOG über TCP