Citrix ADC

SYSLOG sur TCP

Syslog est une norme pour l’envoi de messages de notification d’événement. Ces messages peuvent être stockés localement ou sur un serveur de journaux externe. Syslog permet aux administrateurs réseau de consolider les messages de journal et de tirer des informations à partir des données collectées.

Syslog est initialement conçu pour fonctionner sur UDP, qui peut transmettre une énorme quantité de données dans le même réseau avec une perte minimale de paquets. Cependant, les opérateurs de télécommunications préfèrent transmettre des données syslog via TCP, car ils ont besoin d’une transmission de données fiable et ordonnée entre les réseaux. Par exemple, la compagnie de télécommunication suit les activités des utilisateurs et TCP assure la retransmission en cas de défaillance du réseau.

Fonctionnement de Syslog sur TCP

Pour comprendre le fonctionnement de syslog sur TCP, considérez deux cas hypothétiques :

Sam, un administrateur réseau, veut consigner les événements importants sur un serveur syslog externe.

XYZ Telecom, un fournisseur de services Internet, doit transmettre et stocker une quantité importante de données sur les serveurs syslog pour se conformer aux réglementations gouvernementales.

Dans les deux cas, les messages de journal doivent être transmis sur un canal fiable et stockés en toute sécurité sur un serveur syslog externe. Contrairement à UDP, TCP établit une connexion, transmet des messages en toute sécurité et retransmet (de l’expéditeur au destinataire) toutes les données endommagées ou perdues en raison d’une défaillance du réseau.

L’appliance Citrix ADC envoie des messages de journal via UDP au démon syslog local et envoie des messages de journal via TCP ou UDP aux serveurs syslog externes.

Prise en charge SNIP pour Syslog

Lorsque le module audit-log génère des messages syslog, il utilise une adresse IP Citrix ADC (NSIP) comme adresse source pour envoyer les messages à un serveur syslog externe. Pour configurer un SNIP comme adresse source, vous devez le faire partie de l’option NetProfile et lier NetProfile à l’action syslog.

Remarque

TCP utilise SNIP pour envoyer des sondes de surveillance pour vérifier la connectivité, puis envoie les journaux via NSIP. Par conséquent, le serveur syslog doit être accessible via SNIP. Les profils Net peuvent être utilisés pour rediriger entièrement tout le trafic syslog TCP via SNIP.

L’utilisation d’une adresse SNIP n’est pas prise en charge dans la journalisation interne.

Nom de domaine complet Prise en charge du journal d’audit

Auparavant, le module Audit-log était configuré avec l’adresse IP de destination du serveur syslog externe auquel les messages de journal sont envoyés. Désormais, le serveur de journal d’audit utilise un nom de domaine complet (FQDN) au lieu de l’adresse IP de destination. La configuration de FQDN résout le nom de domaine configuré du serveur syslog à l’adresse IP de destination correspondante pour l’envoi des messages de journal à partir du module audit-log. Le serveur de noms doit être correctement configuré pour résoudre le nom de domaine et éviter les problèmes de service basés sur le domaine.

Remarque

Lors de la configuration d’un nom de domaine complet, la configuration du nom de domaine du serveur du même dispositif Citrix ADC dans l’action syslog ou l’action nslog n’est pas prise en charge.

Configuration de Syslog sur TCP à l’aide de l’interface de ligne de commande

Pour configurer une appliance Citrix ADC pour qu’elle envoie des messages syslog via TCP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP

Ajout d’une adresse IP SNIP à l’option de profil réseau à l’aide de l’interface de ligne de commande

Pour ajouter une adresse IP SNIP au profil réseau à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
    add netprofile net1 –srcip 10.102.147.204`

Où, SRCip est le SNIP.

Ajout d’un profil net dans une action syslog à l’aide de l’interface de ligne de commande

Pour ajouter une option NetProfile dans une action syslog à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1

Où, -netprofile spécifie le nom du profil réseau configuré. L’adresse SNIP est configurée dans le cadre de NetProfile et cette option NetProfile est liée à l’action syslog.

Remarque

Vous devez toujours lier l’option NetProfile aux services SYSLOGUDP ou SYSLOGTCP liés au serveur virtuel d’équilibrage de charge SYSLOGUDP ou SYSLOGTCP, lorsqu’un nom de serveur virtuel LB est configuré dans l’action syslog.

Configuration de la prise en charge de FQDN à l’aide de l’interface de ligne de commande

Pour ajouter un nom de domaine de serveur à une action Syslog à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]

Pour ajouter un nom de domaine de serveur à une action Nslog à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez :

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]

Où ServerDomainName. Nom de domaine du serveur de journaux. Est mutuellement exclusif avec ServerIP/ LBVServerName.

DomainResolveRetry entier. Temps (en secondes) pendant lequel l’appliance Citrix ADC attend, après l’échec d’une résolution DNS, avant d’envoyer la requête DNS suivante pour résoudre le nom de domaine.

DomaineResolveNow. Inclus si la requête DNS doit être envoyée immédiatement pour résoudre le nom de domaine du serveur.

Configuration de Syslog sur TCP à l’aide de l’interface graphique

Pour configurer l’appliance Citrix ADC pour qu’elle envoie des messages Syslog via TCP à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs.
  2. Cliquez sur Ajouter et sélectionnez Type de transport comme TCP .

Configuration d’un profil réseau pour la prise en charge de SNIP à l’aide de l’interface graphique

Pour configurer le profil réseau pour la prise en charge de SNIP à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs.
  2. Cliquez sur Ajouter et sélectionnez un profil net dans la liste.

Configuration du nom de domaine complet à l’aide de l’interface graphique

Pour configurer le nom de domaine complet à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs.
  2. Cliquez sur Ajouter et sélectionnez un type de serveur et un nom de domaine de serveur dans la liste.

SYSLOG sur TCP