ADC

Stratégies d’audit

Les politiques d’audit déterminent les messages générés et enregistrés lors d’une session Web App Firewall. Les messages sont enregistrés au format SYSLOG sur le serveur NSLOG local ou sur un serveur de journalisation externe. Différents types de messages sont enregistrés en fonction du niveau de journalisation sélectionné.

Pour créer une politique d’audit, vous devez d’abord créer un serveur NSLOG ou un serveur SYSLOG. Ensuite, vous créez la politique et vous spécifiez le type de journal et le serveur auquel les journaux sont envoyés.

Pour créer un serveur d’audit à l’aide de l’interface de ligne de commande

Vous pouvez créer deux types de serveurs d’audit différents : un serveur NSLOG ou un serveur SYSLOG. Les noms des commandes sont différents, mais les paramètres des commandes sont les mêmes.

Pour créer un serveur d’audit, à l’invite de commandes, tapez les commandes suivantes :

  • add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-logFacility <logFacility>] [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )] [-userDefinedAuditlog ( YES | NO )] [-appflowExport ( ENABLED | DISABLED )]
  • save ns config

Exemple

L’exemple suivant crée un serveur syslog nommé syslog1 à l’adresse IP 10.124.67.91, avec des niveaux de journalisation d’urgence, de critique et d’avertissement. La fonction de journalisation est définie sur LOCAL1, qui enregistre toutes les connexions TCP :

add audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning -logFacility
LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

Pour modifier ou supprimer un serveur d’audit à l’aide de l’interface de ligne de commande

  • Pour modifier un serveur d’audit, tapez la <type> commande set audit, le nom du serveur d’audit et les paramètres à modifier, avec leurs nouvelles valeurs.
  • Pour supprimer un serveur d’audit, tapez la <type> commande rm audit et le nom du serveur d’audit.

Exemple

L’exemple suivant modifie le serveur syslog nommé syslog1 pour ajouter des erreurs et des alertes au niveau du journal :

set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error
-logFacility LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

Pour créer ou configurer un serveur d’audit à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Stratégies > Audit > Nslog.
  2. Dans la page Audit Nslog, cliquez sur l’onglet Serveurs.
  3. Procédez comme suit :
    • Pour ajouter un nouveau serveur d’audit, cliquez sur Ajouter.
    • Pour modifier un serveur d’audit existant, sélectionnez le serveur, puis cliquez sur Modifier.
  4. Sur la page Créer un serveur d’audit, définissez les paramètres suivants :
    • Nom
    • Type de serveur
    • Adresse IP
    • Port
    • Niveaux de journalisation
    • Facilité de journalisation
    • Format de date
    • Fuseau horaire
    • Journalisation TCP
    • Journalisation ACL
    • Messages de journal configurables par l’utilisateur
    • Journalisation AppFlow
    • Journalisation NAT à grande échelle
    • Enregistrement des messages ALG
    • Enregistrement des abonnés
    • Interception SSL
    • filtrage d’URL
    • Journalisation de l’inspection du contenu
  5. Cliquez sur Créer et Fermer.

Pour créer une politique d’audit à l’aide de l’interface de ligne de commande

Vous pouvez créer une stratégie NSLOG ou une stratégie SYSLOG. Le type de politique doit correspondre au type de serveur. Les noms de commande pour les deux types de politiques sont différents, mais les paramètres des commandes sont les mêmes.

À l’invite de commandes, tapez les commandes suivantes :

  • add audit syslogPolicy <name> <-rule > <action>
  • save ns config

Exemple

L’exemple suivant crée une politique nommée SysLogp1 qui enregistre le trafic du Web App Firewall vers un serveur Syslog nommé syslog1.

add audit syslogPolicy syslogP1 rule "ns_true" action syslog1 save ns config

Pour configurer une politique d’audit à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • set audit syslogPolicy <name> [-rule <expression>] [-action <string>]
  • save ns config

Exemple

L’exemple suivant modifie la politique nommée SysLogp1 pour enregistrer le trafic du Web App Firewall vers un serveur Syslog nommé syslog2.

set audit syslogPolicy syslogP1 rule "ns_true" action syslog2 save ns config

Pour configurer une stratégie d’audit à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Stratégies.
  2. Dans le volet d’informations, cliquez sur Audit Nslog Policy.
  3. Sur la page Nslog Auditing, cliquez sur l’onglet Politiques et effectuez l’une des opérations suivantes :
    • Pour ajouter une nouvelle politique, cliquez sur Ajouter.
    • Pour modifier une stratégie existante, sélectionnez-la, puis cliquez sur Modifier.
  4. Sur la page Créer une politique Nslog d’audit, définissez les paramètres suivants :
    • Nom
    • Type d’audit
    • Type d’expression
    • Serveur
  5. Cliquez sur Créer.