Configuración del dispositivo Citrix ADC para el registro de auditoría

El registro de auditoría muestra información de estado de diferentes módulos para que un administrador pueda ver el historial de eventos en el orden cronológico. Los principales componentes del marco de auditoría son “acción de auditoría”, “directiva de auditoría”. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad de enlace a una “acción de auditoría”. Las directivas de auditoría utilizan el marco “Motor de políticas clásico” (CPE) o el marco de integración de progreso (PI) para vincular “acción de auditoría” a “entidades de enlace global del sistema”.

Sin embargo, los marcos normativos difieren entre sí en cuanto a la vinculación de las políticas de registro de auditoría a las entidades mundiales. Anteriormente, el módulo de auditoría solo admitía expresiones clásicas, pero ahora admite expresiones de directivas clásicas y avanzadas. Actualmente, la expresión Advanced puede enlazar directivas de registro de auditoría solo a entidades globales del sistema.

Nota

Cuando vincula una política a entidades globales, debe vincularla a una entidad global del sistema de la misma expresión. Por ejemplo, no se puede enlazar una política clásica a una entidad global avanzada ni vincular una política avanzada a una entidad global clásica.

Además, no puede vincular la directiva clásica de registro de auditoría y la directiva avanzada de registro de auditoría a un servidor virtual de equilibrio de carga.

Configuración de directivas de registro de auditoría en una expresión de política clásica

La configuración del registro de auditoría en la política clásica consta de los siguientes pasos:

  1. Configuración de una acción de registro de auditoría. Puede configurar una acción de auditoría para diferentes servidores y para diferentes niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad de enlace a una “acción de auditoría”. De forma predeterminada, SYSLOG y NSLOG utilizan solo TCP para transferir información de registro a los servidores de registro. TCP es más confiable que UDP para transferir datos completos. Cuando utilice TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo Citrix ADC para almacenar los registros. Después de que los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Configure las directivas SYSLOG para registrar mensajes en un servidor SYSLOG, y/o la directiva NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que identifica los mensajes que se van a registrar y una acción SYSLOG o NS LOG.
  3. Vinculación de directivas de registro de auditoría a entidades globales. Debe vincular globalmente las directivas de registro de auditoría a entidades globales como SYSTEM, VPN, AAA, etc., para habilitar el registro de todos los eventos del sistema Citrix ADC. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Cada uno de estos pasos se explica en las siguientes secciones.

Configuración de la acción de registro de auditoría

Para configurar la acción SYSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos.

Nota

El dispositivo Citrix ADC permite configurar solo una acción SYSLOG en la dirección IP y el puerto del servidor SYSLOG. El dispositivo no permite configurar varias acciones SYSLOG en el mismo puerto y dirección IP del servidor.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

Para configurar la acción de NSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

Configuración de directivas de registro de auditoría

Para configurar directivas de registro de auditoría en la infraestructura de directivas clásicas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]

Vinculación de directivas de syslog de auditoría para auditar syslog global

Para enlazar la directiva de registro de auditoría en el marco de directivas clásico mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuración de directivas de registro de auditoría mediante la expresión de directiva avanzada

La configuración del registro de auditoría en la directiva Avanzada consta de los siguientes pasos:

  1. Configuración de una acción de registro de auditoría. Puede configurar una acción de auditoría para diferentes servidores y para diferentes niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad de enlace a una “acción de auditoría”. De forma predeterminada, SYSLOG y NSLOG utilizan solo TCP para transferir información de registro a los servidores de registro. TCP es más confiable que UDP para transferir datos completos. Cuando utilice TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo Citrix ADC para almacenar los registros. Después de que los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Configure las directivas SYSLOG para registrar mensajes en un servidor SYSLOG, y/o la directiva NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que identifica los mensajes que se van a registrar y una acción SYSLOG o NS LOG.
  3. Vinculación de directivas de registro de auditoría a entidades globales. Debe vincular globalmente las directivas de registro de auditoría a la entidad global SYSTEM para habilitar el registro de todos los eventos del sistema Citrix ADC. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Configuración de la acción de registro de auditoría

Para configurar la acción syslog en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]

Para configurar la acción de NSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

Configuración de directivas de registro de auditoría

Para agregar una acción de auditoría de syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold

Ejemplo

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 ns_true audit-action1
    > add audit nslogPolicy nslog-pol1 ns_true nslog-action1
    > bind system global nslog-pol1 -priority 20

Para agregar una acción de auditoría de nslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`

Vinculación de directivas de registro de auditoría a entidades globales

Para enlazar la directiva syslog audit-log en el marco de directivas avanzado mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuración de la directiva de registro de auditoría mediante la interfaz gráfica de usuario

  1. Vaya a Configuración > Sistema > Auditoría > Syslog.

Imagen localizada

  1. Seleccione la ficha Servidores.
  2. Haga clic en Agregar.
  3. En la página Crear servidor de auditoría, rellene los campos pertinentes y haga clic en Crear.
  4. Para agregar la directiva, seleccione la ficha Directivas y haga clic en Agregar.
  5. En la página Crear Directiva de Syslog de Auditoría, rellene los campos pertinentes y haga clic en Crear.

    Imagen localizada

  6. Para enlazar la directiva globalmente, seleccione Enlaces globales de directivas avanzadas en la lista desplegable. Seleccione la directiva best_syslog_policy_ever. Haga clic en Seleccionar.
  7. En la lista desplegable, seleccione el punto de enlace como SYSTEM_GLOBAL, haga clic en Vincular y, a continuación, haga clic en Listo.

Configuración del registro basado en directivas

Puede configurar el registro basado en directivas para las directivas de reescritura y respuesta. Los mensajes de auditoría se registran en un formato definido cuando la regla de una directiva se evalúa como TRUE. Para configurar el registro basado en directivas, debe configurar una acción de mensaje de auditoría que utiliza expresiones de sintaxis predeterminadas para especificar el formato de los mensajes de auditoría y asociar la acción a una directiva. La directiva puede vincularse globalmente o a un servidor virtual de equilibrio de carga o cambio de contenido. Puede utilizar acciones de mensajes de auditoría para registrar mensajes en varios niveles de registro, ya sea en formato syslog o en ambos formatos syslog y newnslog

Requisitos previos

  • La opción Mensajes de registro configurables por el usuario (UserDefinedAuditLog) está habilitada para al configurar el servidor de acciones de auditoría al que desea enviar los registros en un formato definido.
  • La directiva de auditoría relacionada está vinculada al sistema global.

Configuración de una acción de mensaje de auditoría

Puede configurar acciones de mensajes de auditoría para registrar mensajes en varios niveles de registro, ya sea en formato syslog o en ambos formatos syslog y newnslog. Las acciones de mensajes de auditoría utilizan expresiones para especificar el formato de los mensajes de auditoría.

Para crear una acción de mensaje de auditoría mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)] [-bypassSafetyCheck (YES|NO)]
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL' -bypassSafetyCheck YES

Para configurar una acción de mensaje de auditoría mediante la interfaz gráfica de usuario

Vaya a Sistema > Auditoría > Acciones de mensaje y cree la acción de mensaje de auditoría.

Vinculación de la acción de mensaje de auditoría a una directiva

Después de crear una acción de mensaje de auditoría, debe vincularla a una directiva de reescritura o respuesta.(Para obtener más información acerca de cómo vincular acciones de mensajes de registro a una directiva de reescritura o respuesta, consulte “Reescribir