SYSLOG por TCP

Syslog es un estándar para enviar mensajes de notificación de eventos. Estos mensajes se pueden almacenar localmente o en un servidor de registro externo. Syslog permite a los administradores de red consolidar los mensajes de registro y obtener información de los datos recopilados.

Syslog fue diseñado originalmente para trabajar sobre UDP, que puede transmitir una gran cantidad de datos dentro de la misma red con una pérdida mínima de paquetes. Sin embargo, los operadores de telecomunicaciones prefieren transmitir datos de syslog a través de TCP, porque necesitan una transmisión de datos ordenada y confiable entre redes (por ejemplo, la compañía de telecomunicaciones realiza un seguimiento de las actividades del usuario), y TCP proporciona retransmisión en caso de fallo de red.

Cómo funciona Syslog sobre TCP

Para entender cómo funciona syslog sobre TCP, considere dos casos hipotéticos:

Sam, un administrador de red, desea registrar eventos significativos en un servidor syslog externo.

XYZ Telecom, un proveedor de servicios de Internet, tiene que transmitir y almacenar una cantidad significativa de datos en servidores syslog para cumplir con las regulaciones gubernamentales.

En ambos casos, los mensajes de registro deben transmitirse a través de un canal fiable y almacenarse de forma segura en un servidor syslog externo. A diferencia de UDP, TCP establece una conexión, transmite mensajes de forma segura y retransmite (del remitente al receptor) los datos dañados o perdidos debido a un error de red.

El dispositivo Citrix ADC envía mensajes de registro a través de UDP al demonio syslog local y envía mensajes de registro a través de TCP o UDP a servidores syslog externos.

Soporte SNIP para Syslog

Cuando el módulo de registro de auditoría genera mensajes syslog, utiliza una dirección IP de subred (SNIP) de Citrix ADC como dirección de origen para enviar los mensajes a un servidor syslog externo. Para configurar un SNIP como dirección de origen, debe convertirlo en parte de la opción NetProfile y enlazar NetProfile a la acción syslog.

Nota

Si un NetProfile no está enlazado a una acción syslog, Citrix ADC IP (NSIP) se utiliza como dirección de origen para transmitir datos al servidor de registro externo.

El uso de una dirección SNIP no se admite en el registro interno.

Compatibilidad con FQDN para registro de auditoría

Anteriormente, el módulo audit-log se configuraba con la dirección IP de destino del servidor syslog externo al que se envían los mensajes de registro. Ahora, el servidor de registro de auditoría utiliza un nombre de dominio completo (FQDN) en lugar de la dirección IP de destino. La configuración FQDN resuelve el nombre de dominio configurado del servidor syslog a la dirección IP de destino correspondiente para enviar los mensajes de registro desde el módulo audit-log. Para resolver el nombre de dominio y evitar problemas de servicio basado en dominio, el servidor de nombres debe estar configurado correctamente.

Nota

Al configurar un FQDN, no se admite la configuración del nombre de dominio del servidor del mismo dispositivo Citrix ADC en la acción syslog o la acción nslog.

Configuración de Syslog sobre TCP mediante la interfaz de línea de comandos

Para configurar un dispositivo Citrix ADC para que envíe mensajes syslog a través de TCP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP

Agregar la dirección IP SNIP a la opción netprofile mediante la interfaz de línea de comandos

Para agregar una dirección IP SNIP a netprofile mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
    add netprofile net1 –srcip 10.102.147.204`

donde, srcIP es el SNIP.

Agregar netprofile en una acción syslog mediante la interfaz de línea de comandos

Para agregar una opción NetProfile en una acción syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1

Donde -net Profile especifica el nombre del perfil de red configurado. La dirección SNIP se configura como parte de NetProfile y esta opción NetProfile está enlazada a la acción syslog.

Nota

Siempre debe enlazar la opción NetProfile a los servicios SYSLOGUDP o SYSLOGTCP enlazados al servidor virtual de equilibrio de carga SYSLOGUDP o SYSLOGTCP cuando el nombre de servidor LB está configurado en syslogaction.

Configuración de la compatibilidad con FQDN mediante la interfaz de línea de comandos

Para agregar un nombre de dominio de servidor a una acción de Syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]

Para agregar un nombre de dominio de servidor a una acción Nslog mediante la interfaz de línea de comandos.

En el símbolo del sistema, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]

Donde ServerDomainName. Nombre de dominio del servidor de registro. Esto es mutuamente exclusivo con ServerIP/ LBVServerName.

Número entero DomainResolveretry. Tiempo (en segundos) que el dispositivo Citrix ADC espera, después de que se produzca un error en la resolución DNS, antes de enviar la siguiente consulta DNS para resolver el nombre de dominio.

DomainresolveNow. Se incluye si la consulta DNS tiene que enviarse inmediatamente para resolver el nombre de dominio del servidor.

Configuración de Syslog sobre TCP mediante la interfaz gráfica de usuario

Para configurar el dispositivo Citrix ADC para que envíe mensajes de Syslog a través de TCP mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores.
  2. Haga clic en Agregar y seleccione Tipo de transporte como TCP.

Configuración de netprofile para el soporte SNIP mediante la interfaz gráfica de usuario

Para configurar netprofile para el soporte SNIP mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores.
  2. Haga clic en Agregar y seleccione un perfil de red de la lista.  

Configuración de FQDN mediante la interfaz gráfica de usuario

Para configurar FQDN mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores.
  2. Haga clic en Agregar y seleccione un tipo de servidor y un nombre de dominio de servidor de la lista.