ADC

Configuration de l’appliance NetScaler pour la journalisation des audits

Avertissement :

Les expressions de stratégie classiques et leur utilisation sont déconseillées (leur utilisation est déconseillée mais toujours prise en charge) à partir de NetScaler 12.0 build 56.20 et, comme alternative, Citrix vous recommande d’utiliser des stratégies avancées. Pour plus d’informations, voir Stratégies avancées.

La journalisation des audits affiche les informations d’état des différents modules afin que l’administrateur puisse consulter l’historique des événements dans l’ordre chronologique. Les principales composantes d’un cadre d’audit sont « l’action d’audit » et la « stratégie d’audit ». L’ « action d’audit » décrit les informations de configuration du serveur d’audit, tandis que la « stratégie d’audit » associe une entité liée à une « action d’audit ». Les stratégies d’audit utilisent le cadre « Classic Policy Engine » (CPE) ou le cadre Progress Integration (PI) pour relier « l’action d’audit » aux « entités liées globales du système ».

Cependant, les cadres de stratégies diffèrent les uns des autres en ce qu’ils lient les stratégies des journaux d’audit aux entités mondiales. Auparavant, le module d’audit ne prenait en charge que les expressions de stratégie classiques et avancées. Actuellement, à l’aide de l’expression avancée, vous pouvez lier les stratégies du journal d’audit uniquement aux entités globales du système.

Remarque

Lorsque vous liez une stratégie à des entités globales, vous devez la lier à une entité globale système de la même expression. Par exemple, vous ne pouvez pas lier une stratégie classique à une entité globale avancée ou lier une stratégie avancée à une entité globale classique.

De plus, vous ne pouvez pas lier à la fois la stratégie de journal d’audit classique et la stratégie de journal d’audit avancée à un serveur virtuel d’équilibrage de charge.

Configuration des stratégies du journal d’audit dans une expression de stratégie classique

La configuration de la journalisation des audits dans une stratégie classique comprend les étapes suivantes :

  1. Configuration d’une action du journal d’audit. Vous pouvez configurer une action d’audit pour différents serveurs et pour différents niveaux de journalisation. « Action d’audit » décrit les informations de configuration du serveur d’audit, tandis que la « stratégie d’audit » lie une entité de liaison à une « action d’audit ». Par défaut, le SYSLOG utilise un protocole de données utilisateur (UDP) pour le transfert de données et NSLOG utilise uniquement le protocole TCP pour transférer les informations de journal vers les serveurs de journaux. Le protocole TCP est plus fiable que le protocole UDP pour transférer des données complètes. Lorsque vous utilisez TCP pour SYSLOG, vous pouvez définir la limite de mémoire tampon sur l’appliance NetScaler pour stocker les journaux. Une fois la limite de mémoire tampon atteinte, les journaux sont envoyés au serveur SYSLOG.
  2. Configuration de la stratégie relative aux journaux d’audit. Vous pouvez configurer des stratégies SYSLOG pour enregistrer des messages sur un serveur SYSLOG ou une stratégie NSLOG pour enregistrer des messages sur un serveur NSLOG. Chaque stratégie inclut une règle définie sur true ou ns_true pour les messages à enregistrer, ainsi qu’une action SYSLOG ou NSLOG.
  3. Liaison des stratégies relatives aux journaux d’audit à des entités globales. Vous devez lier globalement les stratégies du journal d’audit à des entités mondiales telles que SYSTEM, VPN, NetScaler AAA, etc. Vous pouvez le faire pour activer la journalisation de tous les événements du système NetScaler. En définissant le niveau de priorité, vous pouvez définir l’ordre d’évaluation de la journalisation du serveur d’audit. La priorité 0 est la plus élevée et est évaluée en premier. Plus le numéro de priorité est élevé, plus la priorité de l’évaluation est faible.

Chacune de ces étapes est expliquée dans les sections suivantes.

Configuration de l’action du journal d’audit

Pour configurer l’action SYSLOG dans une infrastructure de stratégies avancée à l’aide de l’interface de ligne de commande.

Remarque

L’appliance NetScaler vous permet de configurer une seule action SYSLOG sur l’adresse IP et le port du serveur SYSLOG. L’appliance ne vous permet pas de configurer plusieurs actions SYSLOG sur la même adresse IP et le même port du serveur.

Une action Syslog contient une référence à un serveur Syslog. Il spécifie les informations à consigner et indique comment consigner ces informations.

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

Pour configurer l’action NSLOG dans une infrastructure de stratégies avancée à l’aide de l’interface de ligne de commande.

Une action ns log contient une référence à un serveur nslog. Il spécifie les informations à consigner et indique comment consigner ces informations.

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuration des stratégies relatives aux journaux d’audit

Configurez les stratégies du journal d’audit dans une infrastructure de stratégies classique à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez :

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> <-rule> <action>
<!--NeedCopy-->

Liaison des stratégies de Syslog d’audit à l’audit global de Syslog

Liez la stratégie du journal d’audit à une structure de stratégie avancée à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez :

bind syslogGlobal -policyName <policyName> -priority <priority>

unbind syslogGlobal -policyName <policyName> -priority <priority>

Liez la stratégie du journal d’audit à une structure de stratégie classique à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez :

bind systemglobal <policy Name> <Priority>

unbind systemglobal <policy Name> <Priority>

Configuration des stratégies du journal d’audit à l’aide d’une expression de stratégie avancée

La configuration de la journalisation des audits dans une stratégie avancée comprend les étapes suivantes :

  1. Configuration d’une action du journal d’audit. Vous pouvez configurer une action d’audit pour différents serveurs et pour différents niveaux de journalisation. « Action d’audit » décrit les informations de configuration du serveur d’audit, tandis que la « stratégie d’audit » lie une entité de liaison à une « action d’audit ». Par défaut, SYSLOG utilise un protocole de données utilisateur (UDP) pour le transfert de données et NSLOG utilise uniquement le protocole TCP pour transférer les informations de journal vers les serveurs de journaux. Le protocole TCP est plus fiable que le protocole UDP pour transférer des données complètes. Lorsque vous utilisez TCP pour SYSLOG, vous pouvez définir la limite de mémoire tampon sur l’appliance NetScaler pour stocker les journaux. Une fois la limite de mémoire tampon atteinte, les journaux sont envoyés au serveur SYSLOG.
  2. Configuration de la stratégie relative aux journaux d’audit. Vous pouvez configurer des stratégies SYSLOG pour enregistrer des messages sur un serveur SYSLOG ou une stratégie NSLOG pour enregistrer des messages sur un serveur NSLOG. Chaque stratégie inclut une règle définie sur true ou ns_true pour les messages à enregistrer, ainsi qu’une action SYSLOG ou NSLOG.
  3. Liaison des stratégies relatives aux journaux d’audit à des entités globales. Vous devez lier globalement les stratégies du journal d’audit à l’entité globale SYSTEM pour permettre la journalisation de tous les événements du système NetScaler. En définissant le niveau de priorité, vous pouvez définir l’ordre d’évaluation de la journalisation du serveur d’audit. La priorité 0 est la plus élevée et est évaluée en premier. Plus le numéro de priorité est élevé, plus la priorité de l’évaluation est faible.

Remarque

L’appliance NetScaler évalue toutes les stratégies qui sont liées à true.

Configuration de l’action du journal d’audit

Pour configurer l’action syslog dans une infrastructure de stratégies avancée à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

Configurez l’action NSLOG dans une infrastructure de stratégies avancée à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuration des stratégies relatives aux journaux d’audit

Pour ajouter une action d’audit Syslog à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez :

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel> [-managementlog <managementlog> ...] ... [-managementloglevel <managementloglevel> ...][-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold]
<!--NeedCopy-->

Exemple

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

Remarque :

L’option managementlog de la configuration syslogaction ne prend en charge que la configuration des adresses IP et des ports du serveur. Les configurations de nom de serveur virtuel d’équilibrage de charge et de service basé sur le domaine (DBS) ne sont pas prises en charge.

Pour les journaux de gestion, utilisez la commande prise en charge :

add syslogAction <serverIP>

Les configurations suivantes ne sont pas prises en charge :

add syslogAction <serverDomainName>

add syslogAction -lbVserverName <lb_vserver_name>

Pour plus d’informations, consultez Exporter les journaux de gestion directement depuis NetScaler vers Splunk.

Ajoutez une action d’audit nslog à l’aide de l’interface de ligne de commande.

À l’invite de commandes, tapez :

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

Liaison des stratégies relatives aux journaux d’audit à des entités globales

Liez la stratégie du journal d’audit Syslog à une structure de stratégie avancée à l’aide de la CLI.

À l’invite de commandes, tapez :

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuration de la stratégie du journal d’audit à l’aide de l’interface graphique

  1. Accédez à Configuration > Système > Audit > Syslog.
  2. Sélectionnez l’onglet Serveurs .
  3. Cliquez sur Ajouter.
  4. Dans la page Créer un serveur d’audit, renseignez les champs pertinents, puis cliquez sur Créer.
  5. Pour ajouter la stratégie, sélectionnez l’onglet Stratégies, puis cliquez sur Ajouter.
  6. Dans la page Créer une stratégie Syslog d’audit, remplissez les champs pertinents, puis cliquez sur Créer.
  7. Pour lier la stratégie globalement, sélectionnez Advanced Policy Global Bindings dans la liste déroulante. Sélectionnez la stratégie best_syslog_policy_ever . Cliquez sur Sélectionner.
  8. Dans la liste déroulante, sélectionnez le point de liaison SYSTEM_GLOBAL et cliquez sur Liaison, puis cliquez sur Terminé.

Configuration de la journalisation basée sur des stratégies

Vous pouvez configurer la journalisation basée sur des stratégies pour les stratégies de réécriture et de répondeur. Les messages d’audit sont ensuite consignés dans un format défini lorsque la règle d’une stratégie est évaluée à TRUE. Pour configurer la journalisation basée sur des règles, vous devez configurer une action de message d’audit qui utilise des expressions de stratégie avancées pour spécifier le format des messages d’audit. Et associez l’action à une stratégie. La stratégie peut être liée globalement ou à un serveur virtuel d’équilibrage de charge ou de commutation de contenu. Vous pouvez utiliser des actions de message d’audit pour consigner des messages à différents niveaux de journalisation, soit au format Syslog uniquement, soit dans les formats syslog et nslog

Pré-requis

  • L’option Messages de journal configurables par l’utilisateur (UserDefinedAuditLog) est activée lors de la configuration du serveur d’actions d’audit auquel vous souhaitez envoyer les journaux dans un format défini.
  • La stratégie d’audit associée est liée au système global.

Configuration d’une action de message d’audit

Vous pouvez configurer des actions de message d’audit pour consigner les messages à différents niveaux de journalisation, soit au format Syslog uniquement, soit dans les formats de journal Syslog et de nouveaux formats de journal NS. Les actions de message d’audit utilisent des expressions pour spécifier le format des messages d’audit.

Création d’une action de message d’audit à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

Configurer l’action d’un message d’audit à l’aide de l’interface graphique

Accédez à Système > Audit > Actions de message, puis créez l’action de message d’audit.

Action de liaison d’un message d’audit à une stratégie

Une fois que vous avez créé une action de message d’audit, vous devez la lier à une stratégie de réécriture ou de réponse. Pour plus d’informations sur la liaison des actions de message du journal à une stratégie de réécriture ou de réponse, voir Réécriture ou Répondeur.

Configuration de l’appliance NetScaler pour la journalisation des audits