SYSLOG sur TCP

Syslog est une norme pour l’envoi de messages de notification d’événement. Ces messages peuvent être stockés localement ou sur un serveur de journaux externe. Syslog permet aux administrateurs réseau de consolider les messages de journal et de tirer des informations à partir des données collectées.

Syslog a été initialement conçu pour fonctionner sur UDP, qui peut transmettre une énorme quantité de données au sein du même réseau avec une perte minimale de paquets. Cependant, les opérateurs de télécommunications préfèrent transmettre des données syslog sur TCP, car ils ont besoin d’une transmission de données fiable et ordonnée entre les réseaux (par exemple, le télécom suit les activités des utilisateurs), et TCP assure la retransmission en cas de défaillance du réseau.

Fonctionnement de Syslog sur TCP

Pour comprendre le fonctionnement de syslog sur TCP, considérez deux cas hypothétiques :

Sam, un administrateur réseau, veut consigner les événements importants sur un serveur syslog externe.

XYZ Telecom, un fournisseur de services Internet, doit transmettre et stocker une quantité importante de données sur les serveurs syslog pour se conformer aux réglementations gouvernementales.

Dans les deux cas, les messages de journal doivent être transmis sur un canal fiable et stockés en toute sécurité sur un serveur syslog externe. Contrairement à UDP, TCP établit une connexion, transmet des messages en toute sécurité et retransmet (de l’expéditeur au destinataire) toutes les données endommagées ou perdues en raison d’une défaillance du réseau.

L’appliance Citrix ADC envoie des messages de journal via UDP au démon syslog local et envoie des messages de journal via TCP ou UDP aux serveurs syslog externes.

Prise en charge SNIP pour Syslog

Lorsque le module audit-log génère des messages syslog, il utilise une adresse IP de sous-réseau (SNIP) Citrix ADC comme adresse source pour envoyer les messages à un serveur syslog externe. Pour configurer un SNIP comme adresse source, vous devez le faire partie de l’option NetProfile et lier NetProfile à l’action syslog.

Remarque

Si un NetProfile n’est pas lié à une action syslog, l’IP Citrix ADC (NSIP) est utilisée comme adresse source pour transmettre des données au serveur de journaux externe.

L’utilisation d’une adresse SNIP n’est pas prise en charge dans la journalisation interne.

Prise en charge du FQDN pour le journal d’audit

Auparavant, le module Audit-log était configuré avec l’adresse IP de destination du serveur syslog externe auquel les messages de journal sont envoyés. Désormais, le serveur de journal d’audit utilise un nom de domaine complet (FQDN) au lieu de l’adresse IP de destination. La configuration de FQDN résout le nom de domaine configuré du serveur syslog à l’adresse IP de destination correspondante pour l’envoi des messages de journal à partir du module audit-log. Pour résoudre le nom de domaine et éviter les problèmes de service basés sur le domaine, le serveur de noms doit être correctement configuré.

Remarque

Lors de la configuration d’un nom de domaine complet, la configuration du nom de domaine du serveur de la même appliance Citrix ADC dans l’action syslog ou l’action nslog n’est pas prise en charge.

Configuration de Syslog sur TCP à l’aide de l’interface de ligne de commande

Pour configurer une appliance Citrix ADC pour qu’elle envoie des messages syslog via TCP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP

Ajout d’une adresse IP SNIP à l’option netprofile à l’aide de l’interface de ligne de commande

Pour ajouter une adresse IP SNIP à netprofile à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
    add netprofile net1 –srcip 10.102.147.204`

où, SrCip est le SNIP.

Ajout de netprofile dans une action syslog à l’aide de l’interface de ligne de commande

Pour ajouter une option NetProfile dans une action syslog à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

    add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1

Où -net Profile spécifie le nom du profil net configuré. L’adresse SNIP est configurée dans le cadre de NetProfile et cette option NetProfile est liée à l’action syslog.

Remarque

Vous devez toujours lier l’option NetProfile aux services SYSLOGUDP ou SYSLOGTCP liés au serveur virtuel d’équilibrage de charge SYSLOGUDP ou SYSLOGTCP lorsque le nom de serveur LB est configuré dans syslogaction.

Configuration de la prise en charge de FQDN à l’aide de l’interface de ligne de commande

Pour ajouter un nom de domaine de serveur à une action Syslog à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]

Pour ajouter un nom de domaine de serveur à une action Nslog à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez :

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]

Où ServerDomainName. Nom de domaine du serveur de journaux. Ceci est mutuellement exclusif avec ServerIP/ LBVServerName.

DomainResolveRetry entier. Temps (en secondes) pendant lequel l’appliance Citrix ADC attend, après l’échec d’une résolution DNS, avant d’envoyer la requête DNS suivante pour résoudre le nom de domaine.

DomaineResolveNow. Inclus si la requête DNS doit être envoyée immédiatement pour résoudre le nom de domaine du serveur.

Configuration de Syslog sur TCP à l’aide de l’interface graphique

Pour configurer l’appliance Citrix ADC pour qu’elle envoie des messages Syslog via TCP à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs.
  2. Cliquez sur Ajouter et sélectionnez Type de transport comme TCP.

Configuration de netprofile pour la prise en charge de SNIP à l’aide de l’interface graphique

Pour configurer netprofile pour la prise en charge de SNIP à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs.
  2. Cliquez sur Ajouter et sélectionnez un profil réseau dans la liste.

Configuration du nom de domaine complet à l’aide de l’interface graphique

Pour configurer le nom de domaine complet à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs.
  2. Cliquez sur Ajouter et sélectionnez un type de serveur et un nom de domaine de serveur dans la liste.