Citrix ADC

Registro de auditoría

Importante

Citrix recomienda actualizar una configuración de SYSLOG o NSLOG solo durante el mantenimiento o el tiempo de inactividad. Si actualiza una configuración después de crear una sesión, los cambios no se aplican a los registros de sesión existentes.

La auditoría es un examen metódico o una revisión de una condición o situación. La función de registro de auditorías le permite registrar los estados y la información de estado de Citrix ADC recopilada por varios módulos. La información de registro puede estar en el núcleo y en los demonios de nivel de usuario. Para el registro de auditorías, puede utilizar el protocolo SYSLOG, el protocolo NSLOG nativo o ambos.

SYSLOG es un protocolo estándar para el registro. Tiene dos componentes:

  • Módulo de auditoría SYSLOG. Se ejecuta en el dispositivo Citrix ADC.
  • Servidor SYSLOG. Se ejecuta en el sistema operativo (SO) FreeBSD subyacente del dispositivo Citrix ADC o en un sistema remoto.

SYSLOG utiliza un protocolo de datos de usuario (UDP) para la transferencia de datos.

Del mismo modo, el protocolo NSLOG nativo tiene dos componentes:

  • Módulo de auditoría NSLOG. Se ejecuta en el dispositivo Citrix ADC.
  • Servidor NSLOG. Se ejecuta en el sistema operativo FreeBSD subyacente del dispositivo Citrix ADC o en un sistema remoto.

NSLOG usa TCP para la transferencia de datos.

Cuando ejecuta un servidor SYSLOG o NSLOG, se conecta al dispositivo Citrix ADC. A continuación, el dispositivo Citrix ADC comienza a enviar toda la información de registro al servidor SYSLOG o NSLOG. Y el servidor filtra las entradas de registro antes de almacenarlas en un archivo de registro. Un servidor NSLOG o SYSLOG recibe información de registro de más de un dispositivo Citrix ADC. El dispositivo Citrix ADC envía información de registro a más de un servidor SYSLOG o NSLOG.

Si hay varios servidores SYSLOG configurados, el dispositivo Citrix ADC envía sus eventos y mensajes SYSLOG a todos los servidores de registro externos configurados. Da como resultado el almacenamiento de mensajes redundantes y dificulta la supervisión para los administradores del sistema. Para solucionar este problema, el dispositivo Citrix ADC ofrece algoritmos de equilibrio de carga. El dispositivo puede equilibrar la carga de los mensajes SYSLOG entre los servidores de registro externos para mejorar el mantenimiento y el rendimiento. Los algoritmos de equilibrio de carga compatibles incluyen RoundRobin, LeastBandwidth, CustomLoad, LeastPackets y AuditlogHash.

Nota

El dispositivo Citrix ADC puede enviar mensajes de registro de auditoría de hasta 16 KB a un servidor SYSLOG externo.

La información de registro que un servidor SYSLOG o NSLOG recopila de un dispositivo Citrix ADC se almacena en un archivo de registro en forma de mensajes. Por regla general, estos mensajes contienen la siguiente información:

  • La dirección IP de un dispositivo Citrix ADC que generó el mensaje de registro.
  • Una marca de tiempo
  • El tipo de mensaje
  • Los niveles de registro predefinidos (crítico, error, aviso, advertencia, informativo, depuración, alerta y emergencia)
  • La información del mensaje

Para configurar el registro de auditoría, primero configure los módulos de auditoría en el dispositivo Citrix ADC. El dispositivo implica crear directivas de auditoría y especificar la información del servidor NSLOG o del servidor SYSLOG. A continuación, instale y configure el servidor SYSLOG o NSLOG en el sistema operativo FreeBSD subyacente del dispositivo Citrix ADC o en un sistema remoto.

Nota

SYSLOG es un estándar de la industria para registrar los mensajes de los programas, y varios proveedores ofrecen soporte. La documentación no incluye información de configuración del servidor SYSLOG.

El servidor NSLOG tiene su propio archivo de configuración (auditlog.conf). Puede personalizar el registro en el sistema del servidor NSLOG realizando modificaciones adicionales en el archivo de configuración (auditlog.conf).

Nota

El acceso ICMP al servidor Syslog es obligatorio si el servidor syslog se utiliza como FQDN en Syslog Action en la red. Si el acceso a ICMP está bloqueado en el entorno, configúrelo como servidor Syslog con equilibrio de carga y establezca el valor del parámetro HealthMonitor del comando set service en NO. Para configurar ICMP, consulte Equilibrio de carga de servidores SYSLOG

Registro de auditoría

En este artículo