Registro y supervisión de LSN
Puede registrar la información de LSN para diagnosticar, solucionar problemas y cumplir los requisitos legales. Puede supervisar el rendimiento de la función LSN mediante contadores estadísticos LSN y mostrando las sesiones LSN actuales.
Registro LSN
El registro de la información LSN es una de las funciones importantes requeridas por los ISP para cumplir con los requisitos legales y para identificar el origen del tráfico en un momento dado.
Un dispositivo Citrix ADC registra las entradas de asignación de LSN y las sesiones LSN creadas o eliminadas para cada grupo LSN. Puede controlar el registro de información LSN para un grupo LSN mediante los parámetros de registro y registro de sesión del grupo LSN. Estos son parámetros de nivel de grupo y están inhabilitados de forma predeterminada. El dispositivo Citrix ADC registra las sesiones LSN para un grupo LSN solo cuando los parámetros de registro y registro de sesión están habilitados.
En la siguiente tabla se muestra el comportamiento de registro de un grupo LSN para varias configuraciones de parámetros de registro y registro de sesión.
| Captura de registros | Registro de sesiones | Comportamiento de registro |
|---|---|---|
| Habilitado | Habilitado | Registra las entradas de asignación de LSN, así como las sesiones LSN. |
| Habilitado | Inhabilitada | Registra las entradas de asignación de LSN pero no las sesiones LSN. |
| Inhabilitada | Habilitado | No registra entradas de asignación ni sesiones LSN. |
Un mensaje de registro para una entrada de asignación LSN consta de la siguiente información:
- Dirección IP propiedad de Citrix ADC (dirección NSIP o dirección SNIP) desde la que se origina el mensaje de registro.
- Marca de tiempo
- Tipo de entrada (MAPPING)
- Si se ha creado o eliminado la entrada de asignación LSN
- Dirección IP, puerto e ID de dominio de tráfico del suscriptor
- Dirección IP NAT y puerto
- Nombre del protocolo
- La dirección IP de destino, el puerto y el ID de dominio de tráfico pueden estar presentes, en función de las condiciones siguientes:
- La dirección IP de destino y el puerto no se registran para la asignación independiente del punto final.
- Solo se registra la dirección IP de destino para la asignación dependiente de direcciones. El puerto no está registrado.
- La dirección IP de destino y el puerto se registran para la asignación dependiente del puerto de dirección.
Un mensaje de registro para una sesión LSN consta de la siguiente información:
- Dirección IP propiedad de Citrix ADC (dirección NSIP o dirección SNIP) desde la que se origina el mensaje de registro.
- Marca de tiempo
- Tipo de entrada (SESSION)
- Si se crea o elimina la sesión LSN
- Dirección IP, puerto e ID de dominio de tráfico del suscriptor
- Dirección IP NAT y puerto
- Nombre del protocolo
- Dirección IP de destino, puerto e ID de dominio de tráfico
El dispositivo utiliza su marco de registro de auditoría y syslog existente para registrar la información de LSN. Debe habilitar el registro LSN de nivel global habilitando el parámetro LSN en las entidades de acción NSLOG y SYLOG relacionadas. Cuando se habilita el parámetro Logging, el dispositivo Citrix ADC genera mensajes de registro relacionados con asignaciones LSN y sesiones LSN de este grupo LSN. A continuación, el dispositivo envía estos mensajes de registro a los servidores asociados con la acción NSLOG y las entidades de acción SYSLOG.
Para registrar la información de LSN, Citrix recomienda:
- Registrar la información de LSN en servidores de registro externos en lugar de en el dispositivo Citrix ADC. El inicio de sesión en servidores externos facilita un rendimiento óptimo cuando el dispositivo crea grandes cantidades de entradas de registro LSN (en orden de millones).
-
Mediante SYSLOG sobre TCP, o NSLOG. De forma predeterminada, SYSLOG utiliza UDP y NSLOG solo utiliza TCP para transferir información de registro a los servidores de registro. TCP es más confiable que UDP para transferir datos completos.
Nota:
- El SYSLOG generado en el dispositivo Citrix ADC se envía dinámicamente a los servidores de registro externos.
- Cuando se utiliza SYSLOG sobre TCP, si la conexión TCP está inactiva o el servidor SYSLOG está ocupado, los dispositivos Citrix ADC almacenan los registros en búfer y envían los datos una vez que la conexión está activa.
Para obtener más información sobre la configuración del registro, consulte Registro de auditoría.
La configuración del registro LSN consta de las siguientes tareas:
-
Configuración del dispositivo Citrix ADC para el registro. Esta tarea implica la creación y configuración de varias entidades y parámetros del dispositivo Citrix ADC:
-
Cree una configuración de registro de auditoría SYSLOG o NSLOG. La creación de una configuración de registro de auditoría implica las siguientes tareas:
- Cree una acción de auditoría NSLOG o SYSLOG y habilite el parámetro LSN. Las acciones de auditoría especifican las direcciones IP de los servidores de registro.
- Cree una directiva de auditoría SYSLOG o NSLOG y vincule la acción de auditoría a la directiva de auditoría. Las acciones de auditoría especifican las direcciones IP de los servidores de registro. Opcionalmente, puede establecer el método de transporte para los mensajes de registro que se envían a los servidores de registro externos. Por defecto está seleccionado UDP, puede establecer el método de transporte como TCP para un mecanismo de transporte fiable.Enlazar la directiva de auditoría a global del sistema.
- Cree una directiva de auditoría SYSLOG o NSLOG y vincule la acción de auditoría a la directiva de auditoría.
- Vincular la directiva de auditoría a la global del sistema. Nota: Para una configuración de registro de auditoría existente, solo tiene que habilitar el parámetro LSN para registrar la información de LSN en el servidor especificado por la acción de auditoría.
- Habilitar los parámetros de registro y registro de sesión. Habilite los parámetros de registro y registro de sesión al agregar grupos LSN o después de haber creado los grupos. El dispositivo Citrix ADC genera mensajes de registro relacionados con estos grupos LSN y los envía al servidor de las acciones de auditoría que tienen habilitado el parámetro LSN.
-
Cree una configuración de registro de auditoría SYSLOG o NSLOG. La creación de una configuración de registro de auditoría implica las siguientes tareas:
- Configuración de servidores de registro. Esta tarea implica instalar paquetes SYSLOG o NSLOG en los servidores deseados. Esta tarea también implica especificar la dirección NSIP del dispositivo Citrix ADC en el archivo de configuración de SYSLOG o NSLOG. Al especificar la dirección NSIP, el servidor puede identificar la información de registro enviada por el dispositivo Citrix ADC para almacenarla en un archivo de registro.
Para obtener más información sobre la configuración del registro, consulte Registro de auditoría.
Configuración SYSLOG mediante la interfaz de línea de comandos
Para crear una acción de servidor SYSLOG para el registro LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel>... [-transport (TCP)] [-lsn ( ENABLED | DISABLED )]
<!--NeedCopy-->
Para crear una directiva de servidor SYSLOG para el registro LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit syslogPolicy <name> <rule> <action>
<!--NeedCopy-->
Para enlazar una directiva de servidor SYSLOG al sistema global para el registro LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind system global [<policyName> [-priority <positive_integer>]]
<!--NeedCopy-->
Configuración SYSLOG mediante la utilidad de configuración
Para configurar una acción de servidor SYSLOG para el registro LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Syslog y, en la ficha Servidores, agregue un nuevo servidor de auditoría o modifique un servidor existente.
- Para habilitar el registro LSN, seleccione la opción Registro NAT de gran escala.
- (Opcional) Para habilitar SYSLOG sobre TCP, seleccione la opción Registro TCP.
Para configurar una directiva de servidor SYSLOG para el registro LSN mediante la utilidad de configuración
Vaya a Sistemas > Auditoría > Syslog y, en la ficha Directivas, agregue una directiva nueva o modifique una directiva existente.
Para enlazar una directiva de servidor SYSLOG al sistema global para el registro LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Syslog.
- En la ficha Directivas, en la lista Acción, haga clic en Enlaces globales para enlazar las directivas globales de auditoría.
Configuración de NSLOG mediante la interfaz de línea de comandos
Para crear una acción de servidor NSLOG para el registro LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-lsn ( ENABLED | DISABLED )]
<!--NeedCopy-->
Para crear una directiva de servidor NSLOG para el registro LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit nslogPolicy <name> <rule> <action>
<!--NeedCopy-->
Para enlazar una directiva de servidor NSLOG al sistema global para el registro LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind system global [<policyName>]
<!--NeedCopy-->
Configuración de NSLOG mediante la utilidad de configuración
Para configurar una acción de servidor NSLOG para el registro LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Nslog y, en la ficha Servidores, agregue un nuevo servidor de auditoría o modifique un servidor existente.
- Para habilitar el registro LSN, seleccione la opción Registro NAT de gran escala.
Para configurar una directiva de servidor NSLOG para el registro LSN mediante la utilidad de configuración
Vaya a Sistemas > Auditoría > Nslog y, en la ficha Directivas, agregue una directiva nueva o modifique una directiva existente.
Para enlazar una directiva de servidor NSLOG al sistema global para el registro LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Nslog.
- En la ficha Directivas, en la lista Acción, haga clic en Enlaces globales para enlazar las directivas globales de auditoría.
Ejemplo
La siguiente configuración especifica dos servidores SYSLOG y dos servidores NSLOG para almacenar entradas de registro, incluidos los registros LSN. El registro LSN está configurado para los grupos LSN LSN-GROUP-2 y LSN-GROUP-3.
El dispositivo Citrix ADC genera mensajes de registro relacionados con asignaciones LSN y sesiones LSN de estos grupos LSN y los envía a los servidores de registro especificados.
add audit syslogAction SYS-ACTION-1 198.51.101.10 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
add audit syslogAction SYS-ACTION-2 198.51.101.20 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-2 ns_true SYS-ACTION-2
Done
bind system global SYSLOG-POLICY-2
Done
add audit nslogAction NSLOG-ACTION-1 198.51.101.30 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-1 ns_true NSLOG-ACTION-1
Done
bind system global NSLOG-POLICY-1
Done
add audit nslogAction NSLOG-ACTION-2 198.51.101.40 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-2 ns_true NSLOG-ACTION-2
Done
bind system global NSLOG-POLICY-2
Done
add lsn group LSN-GROUP-3 -clientname LSN-CLIENT-2 –logging ENABLED –sessionLogging ENABLED
Done
set lsn group LSN-GROUP-2 –logging ENABLED –sessionLogging ENABLED
Done
<!--NeedCopy-->
La siguiente configuración especifica la configuración SYSLOG para enviar mensajes de registro al servidor SYSLOG externo 192.0.2.10 mediante TCP.
add audit syslogAction SYS-ACTION-1 192.0.2.10 -logLevel ALL -transport TCP
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
<!--NeedCopy-->
En la siguiente tabla se muestran las entradas de registro LSN de ejemplo de cada tipo almacenadas en los servidores de registro configurados. Estas entradas de registro LSN las genera un dispositivo Citrix ADC cuya dirección NSIP es 10.102.37.115.
| Tipo de entrada de registro LSN | Entrada de registro de ejemplo |
|---|---|
| Creación de sesión LSN | Local4.Informational 10.102.37.115 08/05/2014:09:59:48 GMT 0-PPE-0: LSN LSN_SESSION 2581750: SESSION CREATED Client IP:Port:TD 192.0.2.10: 15136:0, NatIP:NatPort 203.0.113.6: 6234, Destination IP:Port:TD 198.51.100.9: 80:0, Protocol: TCP |
| Eliminación de sesión LSN | Local4.Informational 10.102.37.115 08/05/2014:10:05:12 GMT 0-PPE-0: LSN LSN_SESSION 3871790: SESSION DELETED Client IP:Port:TD 192.0.2.11: 15130:0, NatIP:NatPort 203.0.113.6: 7887, Destination IP:Port:TD 198.51.101.2:80:0, Protocol: TCP |
| Creación de mapeo LSN | Local4.Informational 10.102.37.115 08/05/2014:09:59:47 GMT 0-PPE-0: LSN LSN_MAPPING 2581580: EIM CREATED Client IP:Port 192.0.2.15: 14567, NatIP:NatPort 203.0.113.5: 8214, Protocol: TCP |
| Eliminación de asignación de LSN | Local4.Informational 10.102.37.115 08/05/2014:10:05:12 GMT 0-PPE-0: LSN LSN_MAPPING 3871700: EIM DELETED Client IP:Port 192.0.3.15: 14565, NatIP:NatPort 203.0.113.11: 8217, Protocol: TCP |
Registro mínimo
Las configuraciones de LSN deterministas y las configuraciones de LSN dinámicas con bloque de puertos reducen significativamente el volumen de registro LSN. Para estos dos tipos de configuración, el dispositivo Citrix ADC asigna una dirección IP NAT y un bloque de puertos a un suscriptor. El dispositivo Citrix ADC genera un mensaje de registro para un bloque de puerto en el momento de la asignación a un suscriptor. El dispositivo Citrix ADC también genera un mensaje de registro cuando se libera una dirección IP NAT y un bloque de puerto. Para una conexión, un suscriptor se puede identificar solo por su dirección IP NAT asignada y bloque de puerto. Por este motivo, el dispositivo Citrix ADC no registra ninguna sesión LSN creada o eliminada. El dispositivo tampoco registra ninguna entrada de asignación creada para una sesión ni cuando se quita la entrada de asignación.
La función de registro mínimo para las configuraciones deterministas LSN y las configuraciones dinámicas LSN con bloque de puertos está habilitada de forma predeterminada y no hay ninguna disposición para inhabilitarla. En otras palabras, el dispositivo Citrix ADC realiza automáticamente un registro mínimo para configuraciones de LSN deterministas y configuraciones de LSN dinámicas con bloque de puertos. No hay ninguna opción disponible para inhabilitar esta función. El dispositivo envía los mensajes de registro a todos los servidores de registro configurados.
Un mensaje de registro para cada bloque de puerto consta de la siguiente información:
- Dirección NSIP del dispositivo Citrix ADC
- Marca de tiempo
- Tipo de entrada como DETERMINISTIC o PORTBLOCK
- Si se asigna o se libera un bloque de puerto
- Dirección IP del suscriptor y la dirección IP NAT asignada y el bloque de puertos
- Nombre del protocolo
Registro mínimo para la configuración de LSN determinista
Considere un ejemplo de una configuración LSN determinista simple para cuatro suscriptores que tengan la dirección IP 192.0.17.1, 192.0.17.2, 192.0.17.3 y 192.0.17.4.
En esta configuración de LSN, el tamaño del bloque de puertos se establece en 32768 y el grupo de direcciones IP NAT de LSN tiene direcciones IP en el rango 203.0.113.19-203.0.113.23.
add lsn client LSN-CLIENT-7
Done
bind lsn client LSN-CLIENT-7 -network 192.0.17.0 -netmask 255.255.255.253
Done
add lsn pool LSN-POOL-7 -nattype DETERMINISTIC
Done
bind lsn pool LSN-POOL-7 203.0.113.19-203.0.113.23
Done
add lsn group LSN-GROUP-7 -clientname LSN-CLIENT-7 -nattype DETERMINISTIC -portblocksize 32768
Done
bind lsn group LSN-GROUP-7 -poolname LSN-POOL-7
Done
<!--NeedCopy-->
El dispositivo Citrix ADC asigna de forma secuencial, desde el grupo IP NAT de LSN y sobre la base del tamaño de bloque de puerto establecido, una dirección IP NAT de LSN y un bloque de puertos a cada suscriptor. Asigna el primer bloque de puertos (1024-33791) en la dirección IP NAT inicial (203.0.113.19) a la dirección IP del suscriptor inicial (192.0.17.1). El siguiente rango de puertos se asigna al siguiente suscriptor, y así sucesivamente, hasta que la dirección NAT no tenga suficientes puertos para el siguiente suscriptor. En ese punto, el primer bloque de puerto de la siguiente dirección IP NAT se asigna al suscriptor, y así sucesivamente. El dispositivo registra la dirección IP NAT y el bloque de puertos asignados a cada suscriptor.
El dispositivo Citrix ADC no registra ninguna sesión LSN creada o eliminada para estos suscriptores. El dispositivo genera los siguientes mensajes de registro para la configuración de LSN.
1) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201453 0 : Dtrstc ALLOC Client 12.0.0.241, NatInfo 50.0.0.2:59904 to 60415
2) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201454 0 : Dtrstc ALLOC Client 12.0.0.242, NatInfo 50.0.0.2:60416 to 60927
3) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
4) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
<!--NeedCopy-->
Cuando quita la configuración de LSN, la dirección IP NAT asignada y el bloque de puertos se liberan de cada suscriptor. El dispositivo registra la dirección IP NAT y el bloque de puertos liberados de cada suscriptor. El dispositivo genera los siguientes mensajes de registro para cada suscriptor al quitar la configuración de LSN.
1) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201706 0 : Dtrstc FREE Client 12.0.0.238, NatInfo 50.0.0.2:58368 to 58879
2) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201707 0 : Dtrstc FREE Client 12.0.0.239, NatInfo 50.0.0.2:58880 to 59391
3) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201708 0 : Dtrstc FREE Client 12.0.0.240, NatInfo 50.0.0.2:59392 to 59903
<!--NeedCopy-->
Registro mínimo para la configuración dinámica de LSN con bloque de puertos
Considere un ejemplo de una configuración LSN dinámica simple con bloque de puerto para cualquier suscriptor en la red 192.0.2.0/24. En esta configuración de LSN, el tamaño del bloque de puertos se establece en 1024 y el grupo de direcciones IP NAT de LSN tiene direcciones IP en el rango 203.0.113.3-203.0.113.4.
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
<!--NeedCopy-->
El dispositivo Citrix ADC asigna una dirección IP NAT aleatoria y un bloque de puertos, desde el grupo IP NAT de LSN y sobre la base del tamaño de bloque de puertos establecido, para un suscriptor cuando inicia una sesión por primera vez. El Citrix ADC registra la dirección IP NAT y el bloque de puertos asignados a este suscriptor. El dispositivo no registra ninguna sesión LSN creada o eliminada para este suscriptor. Si todos los puertos se asignan (para diferentes sesiones del suscriptor) desde el bloque de puertos asignado del suscriptor, el dispositivo asigna una nueva dirección IP NAT aleatoria y un bloque de puertos para el suscriptor para sesiones adicionales. El Citrix ADC registra cada dirección IP NAT y bloque de puertos asignados a un suscriptor.
El dispositivo genera el siguiente mensaje de registro cuando el suscriptor, que tiene la dirección IP 192.0.2.1, inicia una sesión. El mensaje de registro muestra que el dispositivo ha asignado la dirección IP NAT 203.0.113.3 y el bloque de puerto 1024-2047 al suscriptor.
03/23/2015:00:07:12 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106725793 0 : Portblock ALLOC Client 12.0.2.72, NatInfo 203.0.113.3:1024 to 2047, Proto:TCP
<!--NeedCopy-->
Una vez que no quedan más sesiones que utilizan la dirección IP NAT asignada y uno de los puertos en el bloque de puertos asignado, la dirección IP NAT asignada y el bloque de puertos se liberan del suscriptor. El Citrix ADC registra que la dirección IP NAT y el bloque de puertos se liberan del suscriptor. El dispositivo genera los siguientes mensajes de registro para el suscriptor, que tiene la dirección IP 192.0.2.1, cuando no quedan más sesiones que utilicen la dirección IP NAT asignada (203.0.113.3) y un puerto del bloque de puertos asignado (1024-2047). El mensaje de registro muestra que la dirección IP NAT y el bloque de puerto se liberan del suscriptor.
03/23/2015:00:11:09 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106814342 0 : Portblock FREE Client 12.0.3.122, NatInfo 203.0.113.3: 1024 to 2047, Proto:TC
<!--NeedCopy-->
Servidores SYSLOG de equilibrio de carga
El dispositivo Citrix ADC envía sus eventos SYSLOG y mensajes a todos los servidores de registro externos configurados. Esto da como resultado el almacenamiento de mensajes redundantes y dificulta la supervisión para los administradores del sistema. Para solucionar este problema, el dispositivo Citrix ADC ofrece algoritmos de equilibrio de carga que pueden equilibrar la carga de los mensajes SYSLOG entre los servidores de registro externos para mejorar el mantenimiento y el rendimiento. Los algoritmos de equilibrio de carga compatibles incluyen RoundRobin, LeastBandwidth, CustomLoad, LeastConnection, LeastPackets y AuditLogHash.
Equilibrio de carga de servidores SYSLOG mediante la interfaz de línea de comandos
Agregue un servicio y especifique el tipo de servicio como SYSLOGTCP o SYSLOGUDP.
add service <name>(<IP> | <serverName>) <serviceType (SYSLOGTCP | SYSLOGUDP)> <port>
<!--NeedCopy-->
Agregue un servidor virtual de equilibrio de carga, especifique el tipo de servicio como SYSLOGTCP o SYSLOGTCP y el método de equilibrio de carga como AUDITLOGHASH.
add lb vserver <name> <serviceType (SYSLOGTCP | SYSLOGUDP)> [-lbMethod <AUDITLOGHASH>]
<!--NeedCopy-->
Bing el servicio al servidor virtual de equilibrio de carga.
Bind lb vserver <name> <serviceName>
<!--NeedCopy-->
Agregue una acción SYSLOG y especifique el nombre del servidor de equilibrio de carga que tiene SYSLOGTCP o SYSLOGUDP como tipo de servicio.
add syslogaction <name> <serverIP> [-lbVserverName <string>] [-logLevel <logLevel>]
<!--NeedCopy-->
Agregue una directiva SYSLOG especificando la regla y la acción.
add syslogpolicy <name> <rule> <action>
<!--NeedCopy-->
Enlace la directiva SYSLOG al global del sistema para que la directiva surta efecto.
bind system global <policyName>
<!--NeedCopy-->
Equilibrio de carga de servidores SYSLOG mediante la utilidad de configuración
-
Agregue un servicio y especifique el tipo de servicio como SYSLOGTCP o SYSLOGUDP.
Vaya a Administración de Tráfico > Servicios, haga clic en Agregar y seleccione SYLOGTCP o SYSLOGUDP como protocolo.
-
Agregue un servidor virtual de equilibrio de carga, especifique el tipo de servicio como SYSLOGTCP o SYSLOGTCP y el método de equilibrio de carga como AUDITLOGHASH.
Vaya a Administración del tráfico > Servidores virtuales, haga clic en Agregar y seleccione SYLOGTCP o SYSLOGUDP como protocolo.
-
Bing el servicio al servidor virtual de equilibrio de carga al servicio.
Bing el servicio al servidor virtual de equilibrio de carga.
Vaya a Administración del tráfico > Servidores virtuales, seleccione un servidor virtual y, a continuación, seleccione AuditLoghash en el método de equilibrio de carga.
-
Agregue una acción SYSLOG y especifique el nombre del servidor de equilibrio de carga que tiene SYSLOGTCP o SYSLOGUDP como tipo de servicio.
Vaya a Sistema > Auditoría, haga clic en Servidores y agregue un servidor seleccionando la opción LB Vserver INSERVERS.
-
Agregue una directiva SYSLOG especificando la regla y la acción.
Vaya a Sistema > Syslog, haga clic en Directivas y agregue una directiva SYSLOG.
-
Enlace la directiva SYSLOG al global del sistema para que la directiva surta efecto.
Vaya a Sistema > Syslog, seleccione una directiva SYSLOG y haga clic en Acción y, a continuación, haga clic en Enlaces globales y vincule la directiva a global del sistema.
Ejemplo:
La siguiente configuración especifica el equilibrio de carga de los mensajes SYSLOG entre los servidores de registro externos mediante AUDITLOGHASH como método de equilibrio de carga. El dispositivo Citrix ADC genera eventos SYSLOG y mensajes equilibrados de carga entre los servicios, service1, service2 y service 3.
add service service1 192.0.2.10 SYSLOGUDP 514
Done
add service service2 192.0.2.11 SYSLOGUDP 514
Done
add service service3 192.0.2.11 SYSLOGUDP 514
Done
add lb vserver lbvserver1 SYSLOGUDP -lbMethod AUDITLOGHASH
Done
bind lb vserver lbvserver1 service1
Done
bind lb vserver lbvserver1 service2
Done
bind lb vserver lbvserver1 service3
Done
add syslogaction sysaction1 -lbVserverName lbvserver1 -logLevel All
Done
add syslogpolicy syspol1 ns_true sysaction1
Done
bind system global syspol1
Done
<!--NeedCopy-->
Registro de información de encabezado HTTP
El dispositivo Citrix ADC ahora puede registrar la información de encabezado de solicitud de una conexión HTTP que utiliza la funcionalidad LSN del Citrix ADC. Se puede registrar la siguiente información de encabezado de un paquete de solicitud HTTP:
- URL a la que está destinada la solicitud HTTP.
- Método HTTP especificado en la solicitud HTTP.
- Versión HTTP utilizada en la solicitud HTTP.
- Dirección IP del suscriptor que envió la solicitud HTTP.
Los registros de encabezado HTTP pueden ser utilizados por los ISP para ver las tendencias relacionadas con el protocolo HTTP entre un conjunto de suscriptores. Por ejemplo, un ISP puede utilizar esta función para averiguar los sitios web más populares entre un conjunto de suscriptores.
Un perfil de registro de encabezado HTTP es una colección de atributos de encabezado HTTP (por ejemplo, URL y método HTTP) que se pueden habilitar o inhabilitar para el registro. El perfil de registro de encabezado HTTP se enlaza a un grupo LSN. A continuación, el dispositivo Citrix ADC registra los atributos de encabezado HTTP, que están habilitados en el perfil de registro de encabezado HTTP enlazado para el registro, de cualquier solicitud HTTP relacionada con el grupo LSN. A continuación, el dispositivo envía los mensajes de registro a los servidores de registro configurados.
Un perfil de registro de encabezado HTTP se puede enlazar a varios grupos LSN, pero un grupo LSN solo puede tener un perfil de registro de encabezado HTTP.
Para crear un perfil de registro de encabezado HTTP mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
Para enlazar un perfil de registro de encabezado HTTP a un grupo LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
Ejemplo
En el siguiente ejemplo de una configuración LSN, el perfil de registro de encabezado HTTP HTTP-header-log-1 está enlazado al grupo LSN LSN-GROUP-1. El perfil de registro tiene todos los atributos HTTP (URL, método HTTP, versión HTTP y dirección IP HOST) habilitados para el registro, de modo que todos estos atributos se registran para cualquier solicitud HTTP de suscriptores (en la red 192.0.2.0/24) relacionada con el grupo LSN.
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
El Citrix ADC genera el siguiente mensaje de registro de encabezado HTTP cuando uno de los suscriptores pertenecientes al ejemplo de configuración de LSN envía una solicitud HTTP.
El mensaje de registro nos dice que un cliente que tiene la dirección IP 192.0.2.33 envía una solicitud HTTP a URL example.com mediante el método HTTP GET y HTTP versión 1.1.
03/19/2015:16:24:04 GMT Informational 0-PPE-1 : default LSN Message 59 0 : "LSN Client IP:TD 10.102.37.118:0 URL: example.com Host: 192.0.2.33 Version: HTTP1.1 Method: GET"
<!--NeedCopy-->
Registro de información MSISDN
Un número de directorio integrado de suscriptor de Mobile Station (MSISDN) es un número de teléfono que identifica de forma única a un suscriptor a través de varias redes móviles. El MSISDN está asociado a un código de país y a un código de destino nacional que identifica al operador del suscriptor.
Puede configurar un dispositivo Citrix ADC para que incluya MSISSDN en entradas de registro LSN para suscriptores de redes móviles. La presencia de MSISSDN en los registros de LSN ayuda al administrador en un seguimiento más rápido y preciso de un suscriptor móvil que ha violado una directiva o ley, o cuya información es requerida por las agencias de interceptación legales.
Las siguientes entradas de registro LSN de ejemplo incluyen información MSISDN para una conexión de un suscriptor móvil en una configuración de LSN. Las entradas de registro muestran que un suscriptor móvil cuyo MSISDN es E 164:5556543210 se conectó al destino IP: Puerto 23.0.0. 1:80 a través de NAT IP: Puerto 203.0.113. 3:45195.
| Tipo de entrada de registro | Entrada de registro de ejemplo |
|---|---|
| Creación de sesión LSN | Oct 14 15:37:30 10.102.37.77 10/14/2015:10:08:14 GMT 0-PPE-6: Default LSN LSN_SESSION 25012 0: SESSION CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| Creación de mapeo LSN | Oct 14 15:37:30 10.102.37.77 10/14/2015:10:08:14 GMT 0-PPE-6: Default LSN LSN_ADDR_MAPPING 25013 0: ADM CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| Eliminación de sesión LSN | Oct 14 15:40:30 10.102.37.77 10/14/2015:10:11:14 GMT 0-PPE-6: Default LSN LSN_SESSION 25012 0: SESSION CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| Asignación de LSN | Oct 14 15:40:30 10.102.37.77 10/14/2015:10:11:14 GMT 0-PPE-6: Default LSN LSN_ADDR_MAPPING 25013 0: ADM CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
Realice las siguientes tareas para incluir información de MSISDN en los registros LSN
- Cree un perfil de registro LSN. Un perfil de registro LSN incluye el parámetro ID de suscriptor de registro, que especifica si se debe incluir o no la información MSISDN en los registros de LSN de una configuración de LSN. Habilite el parámetro ID de suscriptor de registro al crear el perfil de registro LSN.
- Enlazar el perfil de registro de LSN a un grupo LSN de una configuración LSN. Vincular el perfil de registro LSN creado a un grupo LSN de una configuración LSN estableciendo el parámetro Nombre de perfil de registro en el nombre de perfil de registro LSN creado. Para obtener instrucciones sobre cómo configurar NAT a gran escala, consulte Pasos de configuración para LSN.
Para crear un perfil de registro LSN mediante la CLI
En el símbolo del sistema, escriba:
add lsn logprofile <logprofilename -logSubscriberID ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
Para enlazar un perfil de registro LSN a un grupo LSN de una configuración de LSN mediante la CLI
En el símbolo del sistema, escriba:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
Configuración de ejemplo:
En este ejemplo de configuración de LSN, el perfil de registro LSN tiene habilitado el parámetro ID de suscriptor de registro. El perfil está enlazado al grupo LSN LSN-GROUP-9. La información de MSISDN se incluye en la sesión de LSN y en los registros de asignación de LSN para conexiones de suscriptores móviles (en la red 192.0.2.0/24).
add lsn logprofile LOG-PROFILE-MSISDN-9 -logSubscriberID ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 -logprofilename LOG-PROFILE-MSISDN-9
Done
<!--NeedCopy-->
Visualización de sesiones LSN actuales
Puede mostrar las sesiones LSN actuales para detectar sesiones LSN no deseadas o ineficientes en el dispositivo Citrix ADC. Puede mostrar todas o algunas sesiones LSN sobre la base de parámetros de selección.
Nota: Cuando existen más de un millón de sesiones LSN en el dispositivo Citrix ADC, Citrix recomienda mostrar las sesiones LSN seleccionadas en lugar de todas mediante los parámetros de selección.
Configuración mediante la interfaz de línea de comandos
Para mostrar todas las sesiones LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
show lsn session
<!--NeedCopy-->
Para mostrar sesiones LSN selectivas mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
show lsn session [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
Ejemplo
Para mostrar todas las sesiones LSN existentes en un dispositivo Citrix ADC
Para mostrar todas las sesiones LSN relacionadas con una entidad de cliente LSN LSN-CLIENT-2
Para mostrar todas las sesiones LSN que utilizan 203.0.113.5 como dirección IP NAT
Configuración mediante la utilidad de configuración
Para mostrar todas o seleccionadas sesiones LSN mediante la utilidad de configuración
- Vaya a Sistema > NAT a gran escala > Sesiones y haga clic en la ficha NAT44.
- Para mostrar sesiones LSN sobre la base de parámetros de selección, haga clic en Buscar.
Descripciones de parámetros (de los comandos enumerados en el procedimiento CLI)
-
show lsn session
-
nombre_cliente
Nombre de la entidad cliente LSN. Longitud máxima: 127
-
red
Dirección IP o dirección de red del suscriptor (es).
-
máscara de red
Máscara de subred para la dirección IP especificada por el parámetro de red.
Valor predeterminado: 255.255.255.255
-
td
Id. de dominio de tráfico de la entidad cliente LSN.
Valor predeterminado: 0
Valor mínimo: 0
Valor máximo: 4094
-
natIP
Dirección IP NAT asignada utilizada en sesiones LSN.
-
Visualización de estadísticas de LSN
Puede mostrar estadísticas relacionadas con la función LSN para evaluar el rendimiento de la función LSN o para solucionar problemas. Puede mostrar un resumen de las estadísticas de la función LSN o de un grupo LSN determinado. Los contadores estadísticos reflejan los eventos desde que se reinició por última vez el dispositivo Citrix ADC. Todos estos contadores se restablecen a 0 cuando se reinicia el dispositivo Citrix ADC.
Para mostrar todas las estadísticas LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
stat lsn
<!--NeedCopy-->
Para mostrar estadísticas de un grupo LSN especificado mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
stat lsn group [<groupname>]
<!--NeedCopy-->
Ejemplo
> stat lsn
Large Scale NAT statistics
Rate(/s) Total
LSN TCP Received Packets 0 40
LSN TCP Received Bytes 0 3026
LSN TCP Transmitted Packets 0 40
LSN TCP Transmitted Bytes 0 3026
LSN TCP Dropped Packets 0 0
LSN TCP Current Sessions 0 0
LSN UDP Received Packets 0 0
LSN UDP Received Bytes 0 0
LSN UDP Transmitted Packets 0 0
LSN UDP Transmitted Bytes 0 0
LSN UDP Dropped Packets 0 0
LSN UDP Current Sessions 0 0
LSN ICMP Received Packets 0 982
LSN ICMP Received Bytes 0 96236
LSN ICMP Transmitted Packets 0 0
LSN ICMP Transmitted Bytes 0 0
LSN ICMP Dropped Packets 0 982
LSN ICMP Current Sessions 0 0
LSN Subscribers 0 1
Done
> stat lsn group LSN-GROUP-1
LSN Group Statistics
Rate (/s) Total
TCP Translated Pkts 0 40
TCP Translated Bytes 0 3026
TCP Dropped Pkts 0 0
TCP Current Sessions 0 0
UDP Translated Pkts 0 0
UDP Translated Bytes 0 0
UDP Dropped Pkts 0 0
UDP Current Sessions 0 0
ICMP Translated Pkts 0 0
ICMP Translated Bytes 0 0
ICMP Dropped Pkts 0 0
ICMP Current Sessions 0 0
Current Subscribers 0 1
Done
<!--NeedCopy-->
Descripciones de parámetros (de los comandos enumerados en el procedimiento CLI)
-
stat lsn grupo
-
groupname
Nombre del grupo LSN. Longitud máxima: 127
-
detail
Especifica la salida detallada (incluyendo más estadísticas). La salida puede ser bastante voluminosa. Sin este argumento, la salida mostrará solo un resumen.
-
fullValues
Especifica que los números y cadenas deben mostrarse en su forma completa. Sin esta opción, las cadenas largas se acortan y los números grandes se abrevian.
-
ntimes
El número de veces, en intervalos de siete segundos, se deben mostrar las estadísticas.
Valor predeterminado: 1
-
logFile
Nombre del archivo de registro que se utilizará como entrada.
-
clearstats
Borrar los contadores de estadística/estadística
Valores posibles: Básico, completo
-
Registro compacto
El registro de la información LSN es una de las funciones importantes que necesitan los ISP para cumplir con los requisitos legales y poder identificar el origen del tráfico en cualquier momento dado. Esto finalmente resulta en un gran volumen de datos de registro, lo que requiere que los ISP realicen grandes inversiones para mantener la infraestructura de registro.
El registro compacto es una técnica para reducir el tamaño del registro mediante el uso de un cambio notacional que implica códigos cortos para nombres de eventos y protocolos. Por ejemplo, C para cliente, SC para sesión creada y T para TCP. El registro compacto da como resultado una reducción media del 40 por ciento en el tamaño del registro.
Los siguientes ejemplos de entradas de registro de creación de mapas NAT44 muestran la ventaja del registro compacto.
| Default logging format | 02/02/2016:01:13:01 GMT Informational 0-PPE-2: Default LSN LSN_ADDRPORT_MAPPING 85 0: A&PDM CREATED ClientIP:Port:TD1.1.1.1:6500:0,NatIP:NatPort8.8.8.8:47902, DestinationIP:Port:TD2.2.2.2:80:0, Protocol: TCP | ||||
| Compact logging format | 02/02/2016:01:14:57 GMT Info 0-PE2:default LSN 87 0:A&PDMC | C-1.1.1.1:6500:0 | N-8.8.8.9:51066 | D-2.2.2.2:80:0 | T |
Pasos de configuración
Realice las siguientes tareas para registrar la información de LSN en formato compacto:
- Cree un perfil de registro LSN. Un perfil de registro LSN incluye el parámetro Log Compact, que especifica si se va a registrar o no la información en formato compacto para una configuración de LSN.
- Enlazar el perfil de registro LSN a un grupo LSN de una configuración LSN. Vincular el perfil de registro LSN creado a un grupo LSN de una configuración de LSN estableciendo el parámetro Nombre de perfil de registro en el nombre de perfil de registro LSN creado. Todas las sesiones y asignaciones de este grupo LSN se registran en formato compacto.
Para crear un perfil de registro LSN mediante la CLI
En el símbolo del sistema, escriba:
add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)
show lsn logprofile
<!--NeedCopy-->
Para enlazar un perfil de registro LSN a un grupo LSN de una configuración de LSN mediante la CLI
En el símbolo del sistema, escriba:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
Configuración de ejemplo:
add lsn logprofile LOG-PROFILE-COMPACT-9 -logCompact ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 –logProfileName LOG-PROFILE-COMPACT-9
Done
<!--NeedCopy-->
Registro de IPFIX
El dispositivo Citrix ADC admite el envío de información sobre eventos LSN en formato de exportación de información de flujo de protocolo Internet (IPFIX) al conjunto configurado de recopiladores IPFIX. El dispositivo utiliza la función AppFlow existente para enviar eventos LSN en formato IPFIX a los recopiladores IPFIX.
El registro basado en IPFIX está disponible para los siguientes eventos relacionados con NAT44 a gran escala:
- Creación o eliminación de una sesión LSN.
- Creación o eliminación de una entrada de asignación LSN.
- Asignación o desasignación de bloques de puertos en el contexto de NAT determinista.
- Asignación o desasignación de bloques de puertos en el contexto de NAT dinámico.
- Siempre que se supere la cuota de sesión de suscriptor.
Puntos a tener en cuenta antes de configurar el registro IPFIX
Antes de comenzar a configurar IPSec ALG, tenga en cuenta los siguientes puntos:
- Debe configurar la función AppFlow y los recopiladores IPFIX en el dispositivo Citrix ADC. Para obtener instrucciones, consulte el tema Configuración de la función AppFlow.
Pasos de configuración
Realice las siguientes tareas para registrar la información LSN en formato IPFIX:
- Habilite el registro LSN en la configuración de AppFlow. Habilite el parámetro de registro LSN como parte de la configuración de AppFlow.
- Cree un perfil de registro LSN. Un perfil de registro LSN incluye el parámetro IPFIX que habilita o inhabilita la información de registro en formato IPFIX.
- Enlazar el perfil de registro de LSN a un grupo LSN de una configuración LSN. Enlace el perfil de registro LSN a uno o varios grupos LSN. Los eventos relacionados con el grupo LSN enlazado se registrarán en formato IPFIX.
Para habilitar el registro LSN en la configuración de AppFlow mediante la CLI
En el símbolo del sistema, escriba:
set appflow param -lsnLogging ( ENABLED | DISABLED )
show appflow param
<!--NeedCopy-->
Para crear un perfil de registro LSN mediante el comando CliAt, el símbolo del sistema
En el símbolo del sistema, escriba:
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
Para enlazar el perfil de registro LSN a un grupo LSN de una configuración de LSN mediante la CLI
En el símbolo del sistema, escriba:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
Para crear un perfil de registro LSN mediante la interfaz gráfica de usuario
Vaya a Sistema > NAT a gran escala > Perfiles, haga clic en la ficha Registro y, a continuación, agregue un perfil de registro.
Para enlazar el perfil de registro LSN a un grupo LSN de una configuración LSN mediante la interfaz gráfica de usuario
- Vaya a Sistema > NAT a gran escala > Grupo LSN, abra el grupo LSN .
- En Configuración avanzada, haga clic en + Perfil de registro para enlazar el perfil de registro creado al grupo LSN.