ADC

SYSLOG Über TCP

Syslog ist ein Standard für das Senden von Ereignisbenachrichtigungen. Diese Nachrichten können lokal oder auf einem externen Logserver gespeichert werden. Syslog ermöglicht es Netzwerkadministratoren, Protokollmeldungen zu konsolidieren und Erkenntnisse aus den gesammelten Daten abzuleiten.

Syslog wurde ursprünglich für die Verwendung über UDP entwickelt, wodurch eine große Datenmenge innerhalb desselben Netzwerks mit minimalem Paketverlust übertragen werden kann. Telekommunikationsbetreiber bevorzugen jedoch die Übertragung von Syslog-Daten über TCP, da sie eine zuverlässige, geordnete Datenübertragung zwischen Netzwerken benötigen. Beispielsweise verfolgt das Telekommunikationsunternehmen die Benutzeraktivitäten, und TCP sorgt für eine erneute Übertragung im Falle eines Netzwerkausfalls.

So funktioniert Syslog over TCP

Um zu verstehen, wie Syslog über TCP funktioniert, sollten Sie zwei hypothetische Fälle betrachten:

Sam, ein Netzwerkadministrator, möchte wichtige Ereignisse auf einem externen Syslog-Server protokollieren.

XYZ Telecom, ein ISP, muss eine erhebliche Menge an Daten auf Syslog-Servern übertragen und speichern, um die gesetzlichen Vorschriften einzuhalten.

In beiden Fällen müssen die Protokollmeldungen über einen zuverlässigen Kanal übertragen und sicher auf einem externen Syslog-Server gespeichert werden. Im Gegensatz zu UDP stellt TCP eine Verbindung her, überträgt Nachrichten sicher und überträgt alle Daten, die aufgrund eines Netzwerkausfalls beschädigt sind oder verloren gehen, erneut (vom Absender zum Empfänger).

Die NetScaler-Appliance sendet Protokollnachrichten über UDP an den lokalen Syslog-Daemon und sendet Protokollnachrichten über TCP oder UDP an externe Syslog-Server.

SNIP-Unterstützung für Syslog

Wenn das Audit-Log-Modul Syslog-Meldungen generiert, verwendet es eine NetScaler-IP-Adresse (NSIP) als Quelladresse für das Senden der Nachrichten an einen externen Syslog-Server. Um ein SNIP als Quelladresse zu konfigurieren, müssen Sie es zu einem Teil der NetProfile-Option machen und das NetProfile an die Syslog-Aktion binden.

Hinweis

TCP verwendet SNIP zum Senden von Überwachungstests, um die Konnektivität zu überprüfen, und sendet dann die Protokolle über NSIP. Daher muss der Syslog-Server über SNIP erreichbar sein. Netzprofile können verwendet werden, um den gesamten TCP-Syslog-Verkehr vollständig über SNIP umzuleiten.

Die Verwendung einer SNIP-Adresse wird in der internen Protokollierung nicht unterstützt.

Vollqualifizierter Domainnamen-Support für Audit-Log

Bisher wurde das Audit-Log-Modul mit der Ziel-IP-Adresse des externen Syslog-Servers konfiguriert, an den die Protokollmeldungen gesendet werden. Jetzt verwendet der Audit-Log-Server einen vollqualifizierten Domänennamen (FQDN) anstelle der Ziel-IP-Adresse. Die FQDN-Konfiguration löst den konfigurierten Domänennamen des Syslog-Servers auf die entsprechende Ziel-IP-Adresse auf, um die Protokollmeldungen vom Audit-Log-Modul zu senden. Der Nameserver muss ordnungsgemäß konfiguriert sein, um den Domainnamen zu lösen und Probleme mit domänenbasierten Diensten zu vermeiden.

Hinweis

Bei der Konfiguration eines FQDN wird die Konfiguration des Serverdomänennamens derselben NetScaler-Appliance in der Syslog-Aktion oder der NSlog-Aktion nicht unterstützt.

Konfiguration von Syslog über TCP über die Befehlszeilenschnittstelle

So konfigurieren Sie eine NetScaler Appliance für das Senden von Syslog-Nachrichten über TCP über die Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

Hinzufügen der SNIP-IP-Adresse zur Netzprofiloption über die Befehlszeilenschnittstelle

So fügen Sie dem Netzwerkprofil über die Befehlszeilenschnittstelle eine SNIP-IP-Adresse hinzu

Geben Sie in der Befehlszeile Folgendes ein:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

Wobei, srCip ist das SNIP.

Hinzufügen von Netzprofilen in einer Syslog-Aktion über die Befehlszeilenschnittstelle

So fügen Sie eine NetProfile-Option in einer Syslog-Aktion über die Befehlszeilenschnittstelle hinzu

Geben Sie in der Befehlszeile Folgendes ein:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

Wobei -netprofile den Namen des konfigurierten Netzprofils angibt. Die SNIP-Adresse ist als Teil des NetProfile konfiguriert und diese NetProfile-Option ist an die Syslog-Aktion gebunden.

Hinweis:

Sie müssen das NetProfile immer an die SYSLOGUDP- oder SYSLOGTCP-Dienste binden, die an den virtuellen Lastausgleichsserver SYSLOGUDP oder SYSLOGTCP gebunden sind.

Konfiguration der FQDN-Unterstützung über die Befehlszeilenschnittstelle

So fügen Sie einer Syslog-Aktion über die Befehlszeilenschnittstelle einen Serverdomänennamen hinzu

Geben Sie in der Befehlszeile Folgendes ein:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

So fügen Sie einer NSlog-Aktion über die Befehlszeilenschnittstelle einen Serverdomänennamen hinzu.

Geben Sie in der Befehlszeile Folgendes ein:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

Wobei serverDomainName. Domänenname des Logservers. Schließt sich gegenseitig mit serverIP / lbVserverName aus.

DomainResolveRetry - Ganzzahl. Zeit (in Sekunden), die die NetScaler-Appliance wartet, nachdem eine DNS-Auflösung ausgefallen ist, bevor sie die nächste DNS-Abfrage zur Auflösung des Domainnamens sendet.

DomainJetzt lösen. Inbegriffen, wenn die DNS-Abfrage sofort gesendet werden muss, um den Domainnamen des Servers aufzulösen.

Konfiguration von Syslog über TCP mithilfe der GUI

So konfigurieren Sie die NetScaler-Appliance so, dass sie Syslog-Nachrichten über TCP mithilfe der GUI sendet

  1. Navigieren Sie zuSystem>Auditing>Syslogund wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen und wählen Sie als Transporttyp TCPaus.

Konfiguration eines Netzprofils für die SNIP-Unterstützung mithilfe der GUI

So konfigurieren Sie das Netzprofil für die SNIP-Unterstützung mithilfe der GUI

  1. Navigieren Sie zu System > Auditing > Syslog und wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen und wählen Sie ein Netzprofil aus der Liste aus.

Konfiguration von FQDN mithilfe der GUI

So konfigurieren Sie FQDN mithilfe der GUI

  1. Navigieren Sie zuSystem>Auditing>Syslogund wählen Sie die Registerkarte Server aus.
  2. Klicken Sie auf Hinzufügen und wählen Sie einen Servertyp und einen Serverdomänennamen aus der Liste aus.
SYSLOG Über TCP