Journalisation d’audit

La vérification est un examen méthodique ou un examen d’une condition ou d’une situation. La fonctionnalité Audit Logging vous permet de consigner les états Citrix ADC et les informations d’état collectées par différents modules dans le noyau et dans les démons de niveau utilisateur. Pour la journalisation d’audit, vous pouvez utiliser le protocole SYSLOG, le protocole NSLOG natif ou les deux.

SYSLOG est un protocole standard pour la journalisation. Il comporte deux composants : le module d’audit SYSLOG, qui s’exécute sur l’appliance Citrix ADC, et le serveur SYSLOG, qui peut s’exécuter sur le système d’exploitation FreeBSD sous-jacent de l’appliance Citrix ADC ou sur un système distant. SYSLOG utilise le protocole UDP (User Data Protocol) pour le transfert de données.

De même, le protocole NSLOG natif comporte deux composants : le module d’audit NSLOG, qui s’exécute sur l’appliance Citrix ADC, et le serveur NSLOG, qui peut s’exécuter sur le système d’exploitation FreeBSD sous-jacent de l’appliance Citrix ADC ou sur un système distant. NSLOG utilise le protocole de contrôle de transmission (TCP) pour le transfert de données.

Lorsque vous exécutez un serveur SYSLOG ou NSLOG, il se connecte à l’appliance Citrix ADC. L’appliance Citrix ADC commence alors à envoyer toutes les informations de journal au serveur SYSLOG ou NSLOG, et le serveur peut filtrer les entrées de journal avant de les stocker dans un fichier journal. Un serveur NSLOG ou SYSLOG peut recevoir des informations de journal de plusieurs appliances Citrix ADC, et une appliance Citrix ADC peut envoyer des informations de journal à plusieurs serveurs SYSLOG ou serveurs NSLOG.

Si plusieurs serveurs SYSLOG sont configurés, l’appliance Citrix ADC envoie ses événements et messages SYSLOG à tous les serveurs de journaux externes configurés. Cela entraîne le stockage des messages redondants et rend la surveillance difficile pour les administrateurs système. Pour résoudre ce problème, l’appliance Citrix ADC propose des algorithmes d’équilibrage de charge qui peuvent équilibrer la charge des messages SYSLOG parmi les serveurs de journaux externes pour une meilleure maintenance et des performances. Les algorithmes d’équilibrage de charge pris en charge incluent RoundBin, LeastBandWidth, CustomLoad, LeastPackets et AuditLogHash.

Remarque

L’appliance Citrix ADC peut envoyer des messages de journal d’audit jusqu’à 16 Ko à un serveur SYSLOG externe.

Les informations de journal collectées par un serveur SYSLOG ou NSLOG à partir d’une appliance Citrix ADC sont stockées dans un fichier journal sous forme de messages. Ces messages contiennent généralement les informations suivantes :

  • Adresse IP d’une appliance Citrix ADC qui a généré le message de journal.
  • Un horodatage
  • Le type de message
  • Les niveaux de journalisation prédéfinis (Critique, Erreur, Avis, Avertissement, Informations, Débogage, Alerte et Urgence)
  • Les informations de message

Pour configurer la journalisation d’audit, vous devez d’abord configurer les modules d’audit sur l’appliance Citrix ADC. Cela implique la création de stratégies d’audit et la spécification des informations serveur NSLOG ou serveur SYSLOG. Vous installez ensuite et configurez le serveur SYSLOG ou NSLOG sur le système d’exploitation FreeBSD sous-jacent de l’appliance Citrix ADC ou sur un système distant.

Remarque :

Étant donné que SYSLOG est une norme de l’industrie pour la consignation des messages du programme et que divers fournisseurs fournissent une prise en charge, cette documentation n’inclut pas les informations de configuration du serveur SYSLOG.

Le serveur NSLOG possède son propre fichier de configuration (auditlog.conf). Vous pouvez personnaliser la journalisation sur le système serveur NSLOG en apportant des modifications supplémentaires au fichier de configuration (auditlog.conf).

Journalisation d’audit