Citrix ADC

Règles d’audit

Les stratégies d’audit déterminent les messages générés et consignés au cours d’une session de Web App Firewall. Les messages sont enregistrés au format SYSLOG sur le serveur NSLOG local ou sur un serveur de journalisation externe. Différents types de messages sont enregistrés en fonction du niveau de journalisation sélectionné.

Pour créer une stratégie d’audit, vous devez d’abord créer un serveur NSLOG ou un serveur SYSLOG. Et puis vous créez la stratégie et spécifiez le type de journal et le serveur vers lequel les journaux sont envoyés.

Pour créer un serveur d’audit à l’aide de l’interface de ligne de commande

Vous pouvez créer deux types différents de serveur d’audit : un serveur NSLOG ou un serveur SYSLOG. Les noms des commandes sont différents, mais les paramètres des commandes sont les mêmes.

Pour créer un serveur d’audit, à l’invite de commandes, tapez les commandes suivantes :

  • add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-logFacility <logFacility>] [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )] [-userDefinedAuditlog ( YES | NO )] [-appflowExport ( ENABLED | DISABLED )]
  • save ns config

Exemple

L’exemple suivant crée un serveur syslog nommé syslog1 à l’adresse IP 10.124.67.91, avec des niveaux de journalisation d’urgence, critique et avertissement, fonction de journalisation définie sur LOCAL1, qui enregistre toutes les connexions TCP :

add audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning -logFacility
LOCAL1 -tcp ALL
save ns config

Pour modifier ou supprimer un serveur d’audit à l’aide de l’interface de ligne de commande

  • Pour modifier un serveur d’audit, tapez la commande set audit <type>, le nom du serveur d’audit et les paramètres à modifier, avec leurs nouvelles valeurs.
  • Pour supprimer un serveur d’audit, tapez la commande rm audit <type> et le nom du serveur d’audit.

Exemple

L’exemple suivant modifie le serveur syslog nommé syslog1 pour ajouter des erreurs et des alertes au niveau du journal :

set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error
-logFacility LOCAL1 -tcp ALL
save ns config

Pour créer ou configurer un serveur d’audit à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Stratégies > Audit > Nslog.
  2. Dans la page Audit Nslog, cliquez sur l’onglet Serveurs.
  3. Procédez comme suit :
    • Pour ajouter un nouveau serveur d’audit, cliquez sur Ajouter.
    • Pour modifier un serveur d’audit existant, sélectionnez le serveur, puis cliquez sur Modifier.
  4. Dans la page Créer un serveur d’audit, définissez les paramètres suivants :
    • Nom
    • Type de serveur
    • Adresse IP
    • Port
    • Niveaux de journalisation
    • Installation de journaux
    • Format de la date
    • Fuseau horaire
    • Journalisation TCP
    • Journalisation ACL
    • Messages de journal configurables par l’utilisateur
    • Journalisation de AppFlow
    • Journalisation NAT à grande échelle
    • Journalisation des messages ALG
    • Journalisation des abonnés
    • Interception SSL
    • filtrage d’URL
    • Journalisation de l’inspection du contenu
  5. Cliquez sur Créer et Fermer.

    Configuration du serveur d'audit

Pour créer une stratégie d’audit à l’aide de l’interface de ligne de commande

Vous pouvez créer une stratégie NSLOG ou SYSLOG. Le type de stratégie doit correspondre au type de serveur. Les noms des commandes des deux types de stratégie sont différents, mais les paramètres des commandes sont les mêmes.

À l’invite de commandes, tapez les commandes suivantes :

  • add audit syslogPolicy <name> <-rule > <action>
  • save ns config

Exemple

L’exemple suivant crée une stratégie nommée SysLogp1 qui enregistre le trafic du Web App Firewall sur un serveur syslog nommé syslog1.

add audit syslogPolicy syslogP1 rule "ns_true" action syslog1 save ns config

Pour configurer une stratégie d’audit à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • set audit syslogPolicy <name> [-rule <expression>] [-action <string>]
  • save ns config

Exemple

L’exemple suivant modifie la stratégie nommée SysLogp1 pour consigner le trafic du Web App Firewall sur un serveur syslog nommé syslog2.

set audit syslogPolicy syslogP1 rule "ns_true" action syslog2 save ns config

Pour configurer une stratégie d’audit à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Stratégies.
  2. Dans le volet d’informations, cliquez sur Audit Nslog Policy.
  3. Dans la page Audit Nslog, cliquez sur l’onglet Stratégies et effectuez l’une des opérations suivantes :
    • Pour ajouter une nouvelle stratégie, cliquez sur Ajouter.
    • Pour modifier une stratégie existante, sélectionnez-la, puis cliquez sur Modifier.
  4. Dans la page Créer une stratégie Nslog d’audit, définissez les paramètres suivants :
    • Nom
    • Type d’audit
    • Type d’expression
    • Serveur
  5. Cliquez sur Créer.

    Configuration de la stratégie de journal d'audit