ADC

Journalisation des audits

Important

Citrix vous recommande de mettre à jour une configuration SYSLOG ou NSLOG uniquement pendant la maintenance ou les interruptions de service. Si vous mettez à jour une configuration après avoir créé une session, les modifications ne sont pas appliquées aux journaux de session existants.

L’audit est un examen méthodique ou un examen d’un état ou d’une situation. La fonction de journalisation des audits vous permet de consigner les états de Citrix ADC et les informations d’état collectées par différents modules. Les informations du journal peuvent se trouver dans le noyau et dans les démons de niveau utilisateur. Pour la journalisation des audits, vous pouvez utiliser le protocole SYSLOG, le protocole NSLOG natif, ou les deux.

SYSLOG est un protocole standard pour la journalisation. Il comporte deux composantes :

  • Module d’audit SYSLOG. S’exécute sur l’appliance Citrix ADC.
  • Serveur SYSLOG. S’exécute sur le système d’exploitation FreeBSD sous-jacent de l’appliance Citrix ADC ou sur un système distant.

SYSLOG utilise un protocole de données utilisateur (UDP) pour le transfert de données.

De même, le protocole NSLOG natif comporte deux composants :

  • Module d’audit NSLOG. S’exécute sur l’appliance Citrix ADC.
  • Serveur NSLOG. S’exécute sur le système d’exploitation FreeBSD sous-jacent de l’appliance Citrix ADC ou sur un système distant.

NSLOG utilise le protocole TCP pour le transfert de données.

Lorsque vous exécutez un serveur SYSLOG ou NSLOG, il se connecte à l’appliance Citrix ADC. L’appliance Citrix ADC commence alors à envoyer toutes les informations du journal au serveur SYSLOG ou NSLOG. Et le serveur filtre les entrées du journal avant de les stocker dans un fichier journal. Un serveur NSLOG ou SYSLOG reçoit les informations de journal de plusieurs appliances Citrix ADC. L’appliance Citrix ADC envoie les informations de journal à plusieurs serveurs SYSLOG ou NSLOG.

Si plusieurs serveurs SYSLOG sont configurés, l’appliance Citrix ADC envoie ses événements et messages SYSLOG à tous les serveurs de journaux externes configurés. Cela entraîne le stockage de messages redondants et complique la surveillance pour les administrateurs système. Pour résoudre ce problème, l’appliance Citrix ADC propose des algorithmes d’équilibrage de charge. L’appliance peut équilibrer la charge des messages SYSLOG entre les serveurs de journaux externes pour améliorer la maintenance et les performances. Les algorithmes d’équilibrage de charge pris en charge incluent RoundRobin, LeastBandWidth, CustomLoad, LeastPackets et AuditLogHash.

Remarque

L’appliance Citrix ADC peut envoyer des messages de journal d’audit d’une taille maximale de 16 Ko à un serveur SYSLOG externe.

Les informations de journal qu’un serveur SYSLOG ou NSLOG collecte auprès d’une appliance Citrix ADC sont stockées dans un fichier journal sous forme de messages. Ces messages contiennent généralement les informations suivantes :

  • Adresse IP d’une appliance Citrix ADC qui a généré le message de journal.
  • Un horodatage
  • Le type de message
  • Les niveaux de journalisation prédéfinis (critique, erreur, notification, avertissement, information, débogage, alerte et urgence)
  • Les informations de message

Pour configurer la journalisation des audits, vous devez d’abord configurer les modules d’audit sur l’appliance Citrix ADC. L’appliance implique la création de politiques d’audit et la spécification des informations du serveur NSLOG ou du serveur SYSLOG. Vous installez et configurez ensuite le serveur SYSLOG ou NSLOG sur le système d’exploitation FreeBSD sous-jacent de l’appliance Citrix ADC ou sur un système distant.

Remarque

SYSLOG est une norme industrielle pour l’enregistrement des messages des programmes, et divers fournisseurs fournissent une assistance. La documentation ne contient pas d’informations de configuration du serveur SYSLOG.

Le serveur NSLOG possède son propre fichier de configuration (auditlog.conf). Vous pouvez personnaliser la journalisation sur le système serveur NSLOG en apportant des modifications supplémentaires au fichier de configuration (auditlog.conf).

Remarque

L’accès ICMP au serveur Syslog est obligatoire si le serveur Syslog est utilisé comme FQDN sous Syslog Action sur le réseau. Si l’accès ICMP est bloqué dans l’environnement, configurez-le en tant que serveur Syslog à charge équilibrée et définissez la valeur du paramètre HealthMonitor dans la commande set service sur NO. Pour configurer ICMP, voir Serveurs SYSLOG d’équilibragede charge

Journalisation des audits