Citrix ADC

Configuración del dispositivo Citrix ADC para el registro de auditoría

El registro de auditoría muestra información de estado de diferentes módulos para que un administrador pueda ver el historial de eventos en el orden cronológico. Los principales componentes de un marco de auditoría son la “acción de auditoría”, la “directiva de auditoría”. La ‘acción de auditor’ describe la información de configuración del servidor de auditoría mientras que la ‘directiva de auditoría’ vincula una entidad de enlace a una ‘acción de auditor’. Las directivas de auditoría utilizan el marco “Motor de directivas clásico” (CPE) o el marco de integración de progreso (PI) para vincular “acción de auditoría” a “entidades de enlace global del sistema”.

Sin embargo, los marcos normativos difieren entre sí en cuanto a la vinculación de las directivas de registro de auditoría a las entidades mundiales. Anteriormente, el módulo de auditoría solo admitía expresiones clásicas, pero ahora admite expresiones de directivas clásicas y avanzadas. Actualmente, la expresión Advanced puede enlazar directivas de registro de auditoría solo a entidades globales del sistema.

Nota

Cuando vincula una directiva a entidades globales, debe vincularla a una entidad global del sistema de la misma expresión. Por ejemplo, no se puede enlazar una directiva clásica a una entidad global avanzada ni vincular una directiva avanzada a una entidad global clásica.

Además, no puede vincular la directiva clásica de registro de auditoría y la directiva avanzada de registro de auditoría a un servidor virtual de equilibrio de carga.

Configuración de directivas de registro de auditoría en una expresión de directiva clásica

La configuración del registro de auditoría en la directiva clásica consta de los siguientes pasos:

  1. Configuración de una acción de registro de auditoría. Puede configurar una acción de auditoría para diferentes servidores y para diferentes niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad de enlace a una “acción de auditoría”. De forma predeterminada, SYSLOG y NSLOG utilizan solo TCP para transferir información de registro a los servidores de registro. TCP es más confiable que UDP para transferir datos completos. Cuando utilice TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo Citrix ADC para almacenar los registros. Después de lo cual los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Puede configurar directivas SYSLOG para registrar mensajes en un servidor SYSLOG o directiva NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que identifica los mensajes que se van a registrar y una acción SYSLOG o NS LOG.
  3. Vinculación de directivas de registro de auditoría a entidades globales. Debe vincular globalmente las directivas de registro de auditoría a entidades globales como SYSTEM, VPN, Citrix ADC AAA, etc. Puede hacerlo para habilitar el registro de todos los eventos del sistema Citrix ADC. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Cada uno de estos pasos se explica en las siguientes secciones.

Configuración de la acción de registro de auditoría

Para configurar la acción SYSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos.

Nota

El dispositivo Citrix ADC permite configurar solo una acción SYSLOG en la dirección IP y el puerto del servidor SYSLOG. El dispositivo no permite configurar varias acciones SYSLOG en el mismo puerto y dirección IP del servidor.

Una acción syslog contiene una referencia a un servidor syslog. Especifica qué información se debe registrar y menciona cómo registrar esa información.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

Para configurar la acción de NSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

Una acción de registro ns contiene una referencia a un servidor nslog. Especifica qué información se debe registrar y menciona cómo registrar esa información.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

Configuración de directivas de registro de auditoría

Para configurar directivas de registro de auditoría en la infraestructura de directivas clásicas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]

Vinculación de directivas de syslog de auditoría para auditar syslog global

Para enlazar la directiva de registro de auditoría en el marco de directivas clásico mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuración de directivas de registro de auditoría mediante la expresión de directiva avanzada

La configuración del registro de auditoría en la directiva Avanzada consta de los siguientes pasos:

  1. Configuración de una acción de registro de auditoría. Puede configurar una acción de auditoría para diferentes servidores y para diferentes niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad de enlace a una “acción de auditoría”. De forma predeterminada, SYSLOG y NSLOG utilizan solo TCP para transferir información de registro a los servidores de registro. TCP es más confiable que UDP para transferir datos completos. Cuando utilice TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo Citrix ADC para almacenar los registros. Después de lo cual los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Puede configurar directivas SYSLOG para registrar mensajes en un servidor SYSLOG o directiva NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que identifica los mensajes que se van a registrar y una acción SYSLOG o NS LOG.
  3. Vinculación de directivas de registro de auditoría a entidades globales. Debe vincular globalmente las directivas de registro de auditoría a la entidad global SYSTEM para habilitar el registro de todos los eventos del sistema Citrix ADC. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Nota

El dispositivo Citrix ADC evalúa todas las directivas que se vinculan a true.

Configuración de la acción de registro de auditoría

Para configurar la acción syslog en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]

Para configurar la acción de NSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

Configuración de directivas de registro de auditoría

Para agregar una acción de auditoría de syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold

Ejemplo

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20

Para agregar una acción de auditoría de nslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`

Vinculación de directivas de registro de auditoría a entidades globales

Para enlazar la directiva syslog audit-log en el marco de directivas avanzado mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuración de la directiva de registro de auditoría mediante la interfaz gráfica de usuario

  1. Vaya a Configuración > Sistema > Auditoría > Syslog.

Auditoría de Syslog

  1. Seleccione la ficha Servidores.
  2. Haga clic en Agregar.
  3. En la página Crear servidor de auditoría, rellene los campos pertinentes y haga clic en Crear.
  4. Para agregar la directiva, seleccione la ficha Directivas y haga clic en Agregar.
  5. En la página Crear Directiva de Syslog de Auditoría, rellene los campos pertinentes y haga clic en Crear.

    Directiva de Syslog

  6. Para enlazar la directiva globalmente, seleccione Enlaces globales de directivas avanzadas en la lista desplegable. Seleccione la directiva best_syslog_policy_ever. Haga clic en Seleccionar.
  7. En la lista desplegable, seleccione el punto de enlace como SYSTEM_GLOBAL, haga clic en Vincular y, a continuación, haga clic en Listo.

Configuración del registro basado en directivas

Puede configurar el registro basado en directivas para las directivas de reescritura y respuesta. Los mensajes de auditoría se registran en un formato definido cuando la regla de una directiva se evalúa como TRUE. Para configurar el registro basado en directivas, configure una acción de mensaje de auditoría que utilice expresiones de sintaxis predeterminadas para especificar el formato de los mensajes de auditoría. Y asocie la acción con una directiva. La directiva puede vincularse globalmente o a un servidor virtual de equilibrio de carga o cambio de contenido. Puede utilizar acciones de auditoría de mensajes para registrar mensajes en varios niveles de registro, ya sea en formato syslog solamente o en formatos syslog y nuevos nslog

Requisitos previos

  • La opción Mensajes de registro configurables por el usuario (UserDefinedAuditLog) está habilitada para al configurar el servidor de acciones de auditoría al que quiere enviar los registros en un formato definido.
  • La directiva de auditoría relacionada está vinculada al sistema global.

Configuración de una acción de mensaje de auditoría

Puede configurar acciones de mensajes de auditoría para registrar mensajes en varios niveles de registro, ya sea en formato syslog solamente o en formatos de registro syslog y nuevos ns. Las acciones de mensajes de auditoría utilizan expresiones para especificar el formato de los mensajes de auditoría.

Para crear una acción de mensaje de auditoría mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)] [-bypassSafetyCheck (YES|NO)]
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL' -bypassSafetyCheck YES

Para configurar una acción de mensaje de auditoría mediante la interfaz gráfica de usuario

Vaya a Sistema > Auditoría > Acciones de mensaje y cree la acción de mensaje de auditoría.

Vinculación de la acción de mensaje de auditoría a una directiva

Después de crear una acción de mensaje de auditoría, debe vincularla a una directiva de reescritura o respuesta. Para obtener más información acerca de cómo enlazar acciones de mensajes de registro a una directiva de reescritura o respuesta, consulte Reescribir oRespondedor.

Configuración del dispositivo Citrix ADC para el registro de auditoría