Citrix ADC

Configuration de l’appliance Citrix ADC pour la journalisation d’audit

Avertissement :

Les expressions de stratégie classiques et leur utilisation sont déconseillées (déconseillées mais toujours prises en charge) à partir de Citrix ADC 12.0 build 56.20 et, comme alternative, Citrix vous recommande d’utiliser des stratégies avancées. Pour plus d’informations, voir Stratégies avancées.

La journalisation d’audit affiche les informations d’état des différents modules afin qu’un administrateur puisse consulter l’historique des événements dans l’ordre chronologique. Les principales composantes d’un cadre d’audit sont « action d’audit », « politique d’audit ». « Action d’audit » décrit les informations de configuration du serveur d’audit, tandis que la « stratégie d’audit » lie une entité de liaison à une « action d’audit ». Les stratégies d’audit utilisent le framework « Classic Policy Engine » (CPE) ou le framework Progress Integration (PI) pour lier « action d’audit » aux « entités de liaison globale du système ».

Toutefois, les cadres de stratégie diffèrent les uns des autres en ce qui concerne la liaison des stratégies de journal d’audit aux entités globales. Auparavant, le module d’audit ne supportait que les expressions classiques, mais il prend désormais en charge les expressions de stratégie classiques et avancées. Actuellement, l’expression Advanced ne peut lier les stratégies de journal d’audit qu’aux entités globales système.

Remarque

Lorsque vous liez une stratégie à des entités globales, vous devez la lier à une entité globale système de la même expression. Par exemple, vous ne pouvez pas lier une stratégie classique à une entité globale avancée ou une stratégie avancée à une entité globale classique.

En outre, vous ne pouvez pas lier à la fois la stratégie de journal d’audit classique et la stratégie de journal d’audit avancée à un serveur virtuel d’équilibrage de charge.

Configuration des stratégies de journal d’audit dans une expression de stratégie classique

La configuration de la journalisation d’audit dans la stratégie classique comprend les étapes suivantes :

  1. Configuration d’une action de journal d’audit. Vous pouvez configurer une action d’audit pour différents serveurs et pour différents niveaux de journalisation. « Action d’audit » décrit les informations de configuration du serveur d’audit, tandis que la « stratégie d’audit » lie une entité de liaison à une « action d’audit ». Par défaut, le SYSLOG et le NSLOG utilisent uniquement le protocole TCP pour transférer les informations de journal vers les serveurs de journaux. Le protocole TCP est plus fiable que le protocole UDP pour transférer des données complètes. Lorsque vous utilisez TCP pour SYSLOG, vous pouvez définir la limite de la mémoire tampon sur l’appliance Citrix ADC pour stocker les journaux. Après quoi, les journaux sont envoyés au serveur SYSLOG.
  2. Configuration de la stratégie de journal d’audit. Vous pouvez configurer des stratégies SYSLOG pour consigner les messages sur un serveur SYSLOG ou une stratégie NSLOG pour consigner les messages sur un serveur NSLOG. Chaque stratégie inclut une règle identifiant les messages à consigner, ainsi qu’une action SYSLOG ou NS LOG.
  3. Liaison des stratégies de journal d’audit aux entités globales. Vous devez lier globalement les stratégies de journal d’audit à des entités globales telles que SYSTEM, VPN, Citrix ADC AAA, etc. Vous pouvez le faire pour activer la journalisation de tous les événements système Citrix ADC. En définissant le niveau de priorité, vous pouvez définir l’ordre d’évaluation de la journalisation du serveur d’audit. La priorité 0 est la plus élevée et est évaluée en premier. Plus le numéro de priorité est élevé, plus la priorité de l’évaluation est faible.

Chacune de ces étapes est expliquée dans les sections suivantes.

Configuration de l’action du journal d’audit

Pour configurer l’action SYSLOG dans l’infrastructure Advanced Policy à l’aide de l’interface de ligne de commande.

Remarque

L’appliance Citrix ADC vous permet de configurer une seule action SYSLOG sur l’adresse IP et le port du serveur SYSLOG. La solution matérielle-logicielle ne vous permet pas de configurer plusieurs actions SYSLOG sur la même adresse IP et le même port du serveur.

Une action Syslog contient une référence à un serveur Syslog. Il spécifie les informations à consigner et indique comment consigner ces informations.

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

Pour configurer l’action NSLOG dans l’infrastructure Advanced Policy à l’aide de l’interface de ligne de commande

Une action de journal ns contient une référence à un serveur nslog. Il spécifie les informations à consigner et indique comment consigner ces informations.

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuration des stratégies de journal d’audit

Pour configurer les stratégies de journal d’audit dans l’infrastructure de stratégie classique à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]
<!--NeedCopy-->

Liaison des stratégies de Syslog d’audit à l’audit global de Syslog

Pour lier la stratégie de journal d’audit dans la structure de stratégie classique à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuration des stratégies de journal d’audit à l’aide de l’expression de stratégie avancée

La configuration de la journalisation d’audit dans la stratégie avancée comprend les étapes suivantes :

  1. Configuration d’une action de journal d’audit. Vous pouvez configurer une action d’audit pour différents serveurs et pour différents niveaux de journalisation. « Action d’audit » décrit les informations de configuration du serveur d’audit, tandis que la « stratégie d’audit » lie une entité de liaison à une « action d’audit ». Par défaut, le SYSLOG et le NSLOG utilisent uniquement le protocole TCP pour transférer les informations de journal vers les serveurs de journaux. Le protocole TCP est plus fiable que le protocole UDP pour transférer des données complètes. Lorsque vous utilisez TCP pour SYSLOG, vous pouvez définir la limite de la mémoire tampon sur l’appliance Citrix ADC pour stocker les journaux. Après quoi, les journaux sont envoyés au serveur SYSLOG.
  2. Configuration de la stratégie de journal d’audit. Vous pouvez configurer des stratégies SYSLOG pour consigner les messages sur un serveur SYSLOG ou une stratégie NSLOG pour consigner les messages sur un serveur NSLOG. Chaque stratégie inclut une règle identifiant les messages à consigner, ainsi qu’une action SYSLOG ou NS LOG.
  3. Liaison des stratégies de journal d’audit aux entités globales. Vous devez lier globalement les stratégies de journal d’audit à l’entité globale SYSTEM pour activer la journalisation de tous les événements système Citrix ADC. En définissant le niveau de priorité, vous pouvez définir l’ordre d’évaluation de la journalisation du serveur d’audit. La priorité 0 est la plus élevée et est évaluée en premier. Plus le numéro de priorité est élevé, plus la priorité de l’évaluation est faible.

Remarque

L’appliance Citrix ADC évalue toutes les stratégies liées à true.

Configuration de l’action du journal d’audit

Pour configurer l’action Syslog dans l’infrastructure Advanced Policy à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

Pour configurer l’action NSLOG dans l’infrastructure Advanced Policy à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuration des stratégies de journal d’audit

Pour ajouter une action d’audit Syslog à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold
<!--NeedCopy-->

Exemple

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

Pour ajouter une action d’audit nslog à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

Liaison des stratégies de journal d’audit aux entités globales

Pour lier la stratégie de journal d’audit Syslog dans la structure de stratégie avancée à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuration de la stratégie de journal d’audit à l’aide de l’interface graphique

  1. Accédez à Configuration > Système > Audit > Syslog.

Audit Syslog

  1. Sélectionnez l’onglet Serveurs .
  2. Cliquez sur Ajouter.
  3. Dans la page Créer un serveur d’audit, renseignez les champs pertinents, puis cliquez sur Créer.
  4. Pour ajouter la stratégie, sélectionnez l’onglet Stratégies, puis cliquez sur Ajouter.
  5. Dans la page Créer une stratégie Syslog d’audit, remplissez les champs pertinents, puis cliquez sur Créer.

    Stratégie Syslog

  6. Pour lier la stratégie globalement, sélectionnez Advanced Policy Global Bindings dans la liste déroulante. Sélectionnez la stratégie best_syslog_policy_ever . Cliquez sur Sélectionner.
  7. Dans la liste déroulante, sélectionnez le point de liaison SYSTEM_GLOBAL et cliquez sur Liaison, puis cliquez sur Terminé.

Configuration de la journalisation basée sur des stratégies

Vous pouvez configurer la journalisation basée sur des stratégies pour les stratégies de réécriture et de répondeur. Les messages d’audit sont ensuite consignés dans un format défini lorsque la règle d’une stratégie est évaluée à TRUE. Pour configurer la journalisation basée sur des stratégies, vous configurez une action de message d’audit qui utilise des expressions de stratégie avancées pour spécifier le format des messages d’audit. Et associez l’action à une stratégie. La stratégie peut être liée globalement ou à un serveur virtuel d’équilibrage de charge ou de commutation de contenu. Vous pouvez utiliser des actions de message d’audit pour consigner des messages à différents niveaux de journalisation, soit au format Syslog uniquement, soit dans les formats syslog et nslog

Conditions préalables

  • L’option Messages de journal configurables par l’utilisateur (UserDefinedAuditLog) est activée lors de la configuration du serveur d’actions d’audit auquel vous souhaitez envoyer les journaux dans un format défini.
  • La stratégie d’audit associée est liée au système global.

Configuration d’une action de message d’audit

Vous pouvez configurer des actions de message d’audit pour consigner les messages à différents niveaux de journalisation, soit au format Syslog uniquement, soit dans les formats de journal Syslog et de nouveaux formats de journal NS. Les actions de message d’audit utilisent des expressions pour spécifier le format des messages d’audit.

Pour créer une action de message d’audit à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

Pour configurer une action de message d’audit à l’aide de l’interface graphique

Accédez à Système > Audit > Actions de message, puis créez l’action de message d’audit.

Action de liaison d’un message d’audit à une stratégie

Après avoir créé une action de message d’audit, vous devez la lier à une stratégie de réécriture ou de réponse. Pour plus d’informations sur la liaison des actions de message du journal à une stratégie de réécriture ou de réponse, voir Réécriture ou Répondeur.

Configuration de l’appliance Citrix ADC pour la journalisation d’audit