Citrix ADC

SYSLOG por TCP

Syslog es un estándar para enviar mensajes de notificación de eventos. Estos mensajes se pueden almacenar localmente o en un servidor de registro externo. Syslog permite a los administradores de red consolidar los mensajes de registro y obtener información de los datos recopilados.

Syslog está diseñado originalmente para funcionar sobre UDP, que puede transmitir una gran cantidad de datos dentro de la misma red con una pérdida mínima de paquetes. Sin embargo, los operadores de telecomunicaciones prefieren transmitir datos syslog a través de TCP, ya que necesitan una transmisión confiable y ordenada de datos entre redes. Por ejemplo, las empresas de telecomunicaciones realizan un seguimiento de las actividades de los usuarios y TCP proporciona retransmisión en caso de fallo de la red.

Cómo funciona Syslog sobre TCP

Para entender cómo funciona syslog sobre TCP, considere dos casos hipotéticos:

Sam, un administrador de red, quiere registrar eventos significativos en un servidor syslog externo.

XYZ Telecom, un ISP, tiene que transmitir y almacenar una cantidad significativa de datos en servidores syslog para cumplir con las regulaciones gubernamentales.

En ambos casos, los mensajes de registro deben transmitirse a través de un canal fiable y almacenarse de forma segura en un servidor syslog externo. A diferencia de UDP, TCP establece una conexión, transmite mensajes de forma segura y retransmite (del remitente al receptor) los datos dañados o perdidos debido a un error de red.

El dispositivo Citrix ADC envía mensajes de registro a través de UDP al demonio syslog local y envía mensajes de registro a través de TCP o UDP a servidores syslog externos.

Soporte SNIP para Syslog

Cuando el módulo de registro de auditoría genera mensajes syslog, utiliza una dirección IP de Citrix ADC (NSIP) como dirección de origen para enviar los mensajes a un servidor syslog externo. Para configurar un SNIP como dirección de origen, debe convertirlo en parte de la opción NetProfile y enlazar NetProfile a la acción syslog.

Nota

TCP utiliza SNIP para enviar sondeos de supervisión para comprobar la conectividad y, a continuación, envía los registros a través de NSIP. Por lo tanto, el servidor syslog debe ser accesible a través de SNIP. Los perfiles de red se pueden utilizar para redirigir todo el tráfico de syslog TCP a través de SNIP por completo.

El uso de una dirección SNIP no se admite en el registro interno.

Nombre de dominio completo Soporte para registro de auditoría

Anteriormente, el módulo audit-log se configuraba con la dirección IP de destino del servidor syslog externo al que se envían los mensajes de registro. Ahora, el servidor de registro de auditoría utiliza un nombre de dominio completo (FQDN) en lugar de la dirección IP de destino. La configuración FQDN resuelve el nombre de dominio configurado del servidor syslog a la dirección IP de destino correspondiente para enviar los mensajes de registro desde el módulo audit-log. El servidor de nombres debe estar configurado correctamente para resolver el nombre de dominio y evitar problemas de servicio basado en dominio.

Nota

Al configurar un FQDN, no se admite la configuración del nombre de dominio del servidor del mismo dispositivo Citrix ADC en la acción syslog o la acción nslog.

Configuración de Syslog sobre TCP mediante la interfaz de línea de comandos

Para configurar un dispositivo Citrix ADC para que envíe mensajes syslog a través de TCP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP

Agregar la dirección IP SNIP a la opción de perfil de red mediante la interfaz de línea de comandos

Para agregar una dirección IP SNIP al perfil de red mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
    add netprofile net1 –srcip 10.102.147.204`

Donde, srCip es el SNIP.

Agregar perfil de red en una acción syslog mediante la interfaz de línea de comandos

Para agregar una opción NetProfile en una acción syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1

Donde, -netprofile especifica el nombre del perfil de red configurado. La dirección SNIP se configura como parte de NetProfile y esta opción NetProfile está enlazada a la acción syslog.

Nota

Siempre debe vincular la opción NetProfile a los servicios SYSLOGUDP o SYSLOGTCP vinculados al servidor virtual de equilibrio de carga SYSLOGTCP o SYSLOGTCP, cuando se configura un nombre de servidor virtual LB en la acción syslog.

Configuración de la compatibilidad con FQDN mediante la interfaz de línea de comandos

Para agregar un nombre de dominio de servidor a una acción de Syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]

Para agregar un nombre de dominio de servidor a una acción Nslog mediante la interfaz de línea de comandos.

En el símbolo del sistema, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]

Donde ServerDomainName. Nombre de dominio del servidor de registro. Se excluye mutuamente con ServerName de ServerIP/ LBVServerName.

Número entero DomainResolveretry. Tiempo (en segundos) que el dispositivo Citrix ADC espera, después de que se produzca un error en la resolución DNS, antes de enviar la siguiente consulta DNS para resolver el nombre de dominio.

DomainresolveNow. Se incluye si la consulta DNS tiene que enviarse inmediatamente para resolver el nombre de dominio del servidor.

Configuración de Syslog sobre TCP mediante la interfaz gráfica de usuario

Para configurar el dispositivo Citrix ADC para que envíe mensajes de Syslog a través de TCP mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores.
  2. Haga clic en Agregar y seleccione Tipo de transporte como TCP.

Configuración de un perfil de red para la compatibilidad con SNIP mediante la interfaz gráfica de usuario

Para configurar el perfil de red para la compatibilidad con SNIP mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores.
  2. Haga clic en Agregar y seleccione un perfil de red de la lista.

Configuración de FQDN mediante la interfaz gráfica de usuario

Para configurar FQDN mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores.
  2. Haga clic en Agregar y seleccione un tipo de servidor y un nombre de dominio de servidor de la lista.

SYSLOG por TCP