Citrix ADC

Configuración del dispositivo Citrix ADC para el registro de auditoría

Advertencia:

Las expresiones de directivas clásicas y su uso están en desuso (se desaconseja su uso, pero aún se admite) a partir de Citrix ADC 12.0 compilación 56.20 y, como alternativa, Citrix recomienda usar directivas avanzadas. Para obtener más información, consulte Directivas avanzadas.

El registro de auditoría muestra la información de estado de los distintos módulos para que un administrador pueda ver el historial de eventos en orden cronológico. Los componentes principales de un marco de auditoría son la “acción de auditoría” y la “directiva de auditoría”. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad vinculante a una “acción de auditoría”. Las directivas de auditoría utilizan el marco “Motor de directivas clásico” (CPE) o el marco de integración de progreso (PI) para vincular la “acción de auditoría” con las “entidades vinculantes globales del sistema”.

Sin embargo, los marcos de directivas difieren entre sí en la vinculación de directivas de registro de auditoría a entidades globales. Anteriormente, el módulo de auditoría solo admitía la expresión clásica, pero ahora admite expresiones de directivas clásicas y avanzadas. Actualmente, la expresión Advanced solo puede enlazar directivas de registro de auditoría a entidades globales del sistema.

Nota

Al enlazar una directiva a entidades globales, debe vincularla a una entidad global del sistema de la misma expresión. Por ejemplo, no se puede enlazar una directiva clásica a una entidad global avanzada ni enlazar una directiva avanzada a una entidad global clásica.

Además, no puede vincular tanto la directiva de registro de auditoría clásica como la directiva de registro de auditoría avanzada a un servidor virtual de equilibrio de carga.

Configuración de directivas de registro de auditoría en una expresión de directiva clásica

La configuración del registro de auditoría en la directiva Classic consiste en los siguientes pasos:

  1. Configuración de una acción de registro de auditoría. Puede configurar una acción de auditoría para distintos servidores y para distintos niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad vinculante a una “acción de auditoría”. De forma predeterminada, SYSLOG y NSLOG utilizan únicamente TCP para transferir información de registro a los servidores de registro. TCP es más fiable que UDP para transferir datos completos. Al utilizar TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo Citrix ADC para almacenar los registros. Después de lo cual los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Puede configurar directivas SYSLOG para registrar mensajes en un servidor SYSLOG o directiva NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que identifica los mensajes que se van a registrar y una acción SYSLOG o NS LOG.
  3. Vinculación de directivas de registro de auditoría a entidades globales. Debe enlazar globalmente las directivas de registro de auditoría a entidades globales como SYSTEM, VPN, Citrix ADC AAA, etc. Puede hacerlo para habilitar el registro de todos los sucesos del sistema Citrix ADC. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Cada uno de estos pasos se explica en las secciones siguientes.

Configuración de la acción audit-log

Para configurar la acción SYSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos.

Nota

El dispositivo Citrix ADC permite configurar solo una acción SYSLOG en la dirección IP y el puerto del servidor SYSLOG. El dispositivo no permite configurar varias acciones SYSLOG en la misma dirección IP y puerto del servidor.

Una acción syslog contiene una referencia a un servidor syslog. Especifica qué información se va a registrar y menciona cómo registrar esa información.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

Para configurar la acción NSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

Una acción ns log contiene una referencia a un servidor nslog. Especifica qué información se va a registrar y menciona cómo registrar esa información.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuración de directivas de registro de auditoría

Para configurar directivas de registro de auditoría en la infraestructura de directivas clásica mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]
<!--NeedCopy-->

Vinculación de directivas syslog de auditoría a syslog global de auditoría

Para enlazar la directiva de registro de auditoría en el marco de directivas clásico mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuración de directivas de registro de auditoría mediante expresiones de directivas avanzadas

La configuración del registro de auditoría en la directiva Avanzada consiste en los siguientes pasos:

  1. Configuración de una acción de registro de auditoría. Puede configurar una acción de auditoría para distintos servidores y para distintos niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad vinculante a una “acción de auditoría”. De forma predeterminada, SYSLOG y NSLOG utilizan únicamente TCP para transferir información de registro a los servidores de registro. TCP es más fiable que UDP para transferir datos completos. Al utilizar TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo Citrix ADC para almacenar los registros. Después de lo cual los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Puede configurar directivas SYSLOG para registrar mensajes en un servidor SYSLOG o directiva NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que identifica los mensajes que se van a registrar y una acción SYSLOG o NS LOG.
  3. Vinculación de directivas de registro de auditoría a entidades globales. Debe enlazar globalmente las directivas de registro de auditoría a la entidad global SYSTEM para habilitar el registro de todos los sucesos del sistema Citrix ADC. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Nota

El dispositivo Citrix ADC evalúa todas las directivas vinculadas a true.

Configuración de la acción audit-log

Para configurar la acción syslog en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

Para configurar la acción NSLOG en la infraestructura de directivas avanzadas mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuración de directivas de registro de auditoría

Para agregar una acción de auditoría syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold
<!--NeedCopy-->

Ejemplo

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

Para agregar una acción de auditoría nslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

Vinculación de directivas de registro de auditoría a entidades globales

Para enlazar la directiva de registro de auditoría de syslog en el marco de directivas avanzado mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuración de la directiva de registro de auditoría mediante la interfaz gráfica de usuario

  1. Vaya a Configuración > Sistema > Auditoría > Syslog.

Auditoría de syslog

  1. Seleccione la ficha Servidores.
  2. Haga clic en Agregar.
  3. En la página Crear servidor de auditoría, rellene los campos correspondientes y haga clic en Crear.
  4. Para agregar la directiva, seleccione la ficha Directivas y haga clic en Agregar.
  5. En la página Crear directiva de syslog de auditoría, rellene los campos pertinentes y haga clic en Crear.

    Directiva de syslog

  6. Para enlazar la directiva de forma global, seleccione Enlaces globales de directivas avanzadas en la lista desplegable. Seleccione la directiva best_syslog_policy_ever. Haga clic en Seleccionar.
  7. En la lista desplegable, seleccione el punto de enlace como SYSTEM_GLOBAL, haga clic en Enlazary, a continuación, haga clic en Listo.

Configuración del registro basado en directivas

Puede configurar el registro basado en directivas para las directivas de reescritura y respuesta. Los mensajes de auditoría se registran en un formato definido cuando la regla de una directiva se evalúa como TRUE. Para configurar el registro basado en directivas, debe configurar una acción de mensaje de auditoría que utiliza expresiones de directivas avanzadas para especificar el formato de los mensajes de auditoría. Y asocie la acción con una directiva. La directiva se puede enlazar de forma global o a un servidor virtual de equilibrio de carga o conmutación de contenido. Puede utilizar acciones de mensajes de auditoría para registrar mensajes en varios niveles de registro, ya sea solo en formato syslog o tanto en formato syslog como en formato nslog nuevo

Requisitos previos

  • La opción Mensajes de registro configurables por el usuario (UserDefinedAuditLog) está habilitada para configurar el servidor de acciones de auditoría al que quiere enviar los registros en un formato definido.
  • La directiva de auditoría relacionada está vinculada al sistema global.

Configuración de una acción de mensaje de auditoría

Puede configurar acciones de mensajes de auditoría para registrar mensajes en varios niveles de registro, ya sea solo en formato syslog o en formatos de registro syslog y ns nuevos. Las acciones de mensajes de auditoría utilizan expresiones para especificar el formato de los mensajes de auditoría.

Para crear una acción de mensaje de auditoría mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

Para configurar una acción de mensaje de auditoría mediante la interfaz gráfica de usuario

Vaya a Sistema > Auditoría > Acciones de mensajesy cree la acción del mensaje de auditoría.

Enlazar acción de mensaje de auditoría a una directiva

Después de crear una acción de mensaje de auditoría, debe vincularla a una directiva de reescritura o respuesta. Para obtener más información sobre cómo vincular acciones de mensajes de registro a una directiva de reescritura o respuesta, consulte Reescritura o Respondedor.

Configuración del dispositivo Citrix ADC para el registro de auditoría