Citrix ADC

SYSLOG a través de TCP

Syslog es un estándar para enviar mensajes de notificación de eventos. Estos mensajes se pueden almacenar localmente o en un servidor de registro externo. Syslog permite a los administradores de red consolidar los mensajes de registro y obtener información de los datos recopilados.

Syslog se diseñó originalmente para funcionar a través de UDP, que puede transmitir una enorme cantidad de datos dentro de la misma red con una pérdida mínima de paquetes. Sin embargo, los operadores de telecomunicaciones prefieren transmitir datos de syslog a través de TCP, porque necesitan una transmisión de datos fiable y ordenada entre redes. Por ejemplo, la empresa de telecomunicaciones rastrea las actividades de los usuarios y TCP proporciona retransmisión en caso de error de la red.

Cómo funciona Syslog over TCP

Para entender cómo funciona syslog over TCP, considere dos casos hipotéticos:

Sam, un administrador de red, desea registrar eventos importantes en un servidor syslog externo.

XYZ Telecom, un ISP, tiene que transmitir y almacenar una cantidad significativa de datos en servidores syslog para cumplir con las regulaciones gubernamentales.

En ambos casos, los mensajes de registro deben transmitirse a través de un canal fiable y almacenarse de forma segura en un servidor syslog externo. A diferencia de UDP, TCP establece una conexión, transmite mensajes de forma segura y retransmite (del remitente al receptor) cualquier dato que esté dañado o perdido debido a un error de la red.

El dispositivo Citrix ADC envía mensajes de registro por UDP al demonio syslog local y envía mensajes de registro por TCP o UDP a servidores syslog externos.

Soporte de SNIP para Syslog

Cuando el módulo audit-log genera mensajes syslog, utiliza una dirección IP de Citrix ADC (NSIP) como dirección de origen para enviar los mensajes a un servidor syslog externo. Para configurar un SNIP como dirección de origen, debe hacerlo parte de la opción netProfile y vincular netProfile a la acción syslog.

Nota

TCP usa SNIP para enviar sondeos de supervisión para verificar la conectividad y luego envía los registros a través de NSIP. Por lo tanto, se debe poder acceder al servidor syslog a través de SNIP. Los perfiles de red se pueden usar para redirigir todo el tráfico de syslog TCP a través de SNIP por completo.

El uso de una dirección SNIP no se admite en el registro interno.

Nombre de dominio totalmente cualificado Soporte para registro de auditoría

Anteriormente, el módulo audit-log se configuraba con la dirección IP de destino del servidor syslog externo al que se enviaban los mensajes de registro. Ahora, el servidor de registro de auditoría utiliza un nombre de dominio completo (FQDN) en lugar de la dirección IP de destino. La configuración de FQDN resuelve el nombre de dominio configurado del servidor syslog en la dirección IP de destino correspondiente para enviar los mensajes de registro desde el módulo audit-log. El servidor de nombres debe estar configurado correctamente para resolver el nombre de dominio y evitar problemas de servicio basados en el dominio.

Nota

Al configurar un FQDN, no se admite la configuración del nombre de dominio del servidor del mismo dispositivo Citrix ADC en la acción syslog o la acción nslog.

Configuración de Syslog sobre TCP mediante la interfaz de línea de comandos

Para configurar un dispositivo Citrix ADC para enviar mensajes de syslog a través de TCP mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

Agregar la dirección IP SNIP a la opción de perfil de red mediante la interfaz de línea de comandos

Para agregar una dirección IP SNIP al perfil de red mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

Donde srCip es el SNIP.

Agregar perfil de red en una acción de syslog mediante la interfaz de línea de comandos

Para agregar una opción netProfile en una acción de syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

Donde -netprofile especifica el nombre del perfil de red configurado. La dirección SNIP se configura como parte de netProfile y esta opción netProfile está enlazada a la acción syslog.

Nota

Siempre debe vincular netProfile a los servicios SYSLOGUDP o SYSLOGTCP que están enlazados al servidor virtual de equilibrio de carga SYSLOGUDP o SYSLOGTCP.

Configuración de la compatibilidad con FQDN mediante la interfaz de línea de comandos

Para agregar un nombre de dominio de servidor a una acción de Syslog mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

Agregar un nombre de dominio de servidor a una acción Nslog mediante la interfaz de línea de comandos.

En el símbolo del sistema, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

Donde ServerDomainName. Nombre de dominio del servidor de registro. Es mutuamente excluyente con ServerIP/ LBVServerName.

DomainResolveRetry entero. Tiempo (en segundos) que espera el dispositivo Citrix ADC, después de que se produzca un error en la resolución de DNS, antes de enviar la siguiente consulta de DNS para resolver el nombre de dominio.

Domain Resolve ahora. Se incluye si la consulta DNS debe enviarse inmediatamente para resolver el nombre de dominio del servidor.

Configuración de Syslog sobre TCP mediante la GUI

Para configurar el dispositivo Citrix ADC para que envíe mensajes de syslog a través de TCP mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores .
  2. Haga clic en Agregar y seleccione Tipo de transporte como TCP.

Configuración de un perfil de red para la compatibilidad con SNIP mediante la GUI

Para configurar el perfil de red para la compatibilidad con SNIP mediante la GUI

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores .
  2. Haga clic en Agregar y seleccione un perfil de red de la lista.

Configuración de FQDN mediante la GUI

Para configurar el FQDN mediante la GUI

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores .
  2. Haga clic en Agregar y seleccione un tipo de servidor y un nombre de dominio de servidor de la lista.
SYSLOG a través de TCP