ADC

SYSLOG sur TCP

Syslog est une norme pour l’envoi de messages de notification d’événements. Ces messages peuvent être stockés localement ou sur un serveur de journaux externe. Syslog permet aux administrateurs réseau de consolider les messages de journal et d’obtenir des informations à partir des données collectées.

Syslog est initialement conçu pour fonctionner via UDP, qui peut transmettre une énorme quantité de données sur le même réseau avec une perte de paquets minimale. Toutefois, les opérateurs de télécommunications préfèrent transmettre les données Syslog via TCP, car ils ont besoin d’une transmission de données fiable et ordonnée entre les réseaux. Par exemple, la compagnie de télécommunications suit les activités des utilisateurs et TCP assure la retransmission en cas de défaillance du réseau.

Fonctionnement de Syslog sur TCP

Pour comprendre le fonctionnement de Syslog sur TCP, considérez deux cas hypothétiques :

Sam, administrateur réseau, souhaite enregistrer les événements importants sur un serveur Syslog externe.

XYZ Telecom, un fournisseur d’accès Internet, doit transmettre et stocker une quantité importante de données sur des serveurs Syslog pour se conformer aux réglementations gouvernementales.

Dans les deux cas, les messages de journal doivent être transmis via un canal fiable et stockés en toute sécurité sur un serveur syslog externe. Contrairement à UDP, TCP établit une connexion, transmet les messages de manière sécurisée et retransmet (de l’expéditeur au destinataire) toutes les données endommagées ou perdues en raison d’une défaillance du réseau.

L’appliance NetScaler envoie des messages de journal via UDP au démon syslog local et envoie des messages de journal via TCP ou UDP à des serveurs syslog externes.

Prise en charge SNIP pour Syslog

Lorsque le module audit-log génère des messages syslog, il utilise une adresse IP NetScaler (NSIP) comme adresse source pour envoyer les messages à un serveur syslog externe. Pour configurer un SNIP comme adresse source, vous devez l’intégrer à l’option NetProfile et lier NetProfile à l’action syslog.

Remarque

TCP utilise SNIP pour envoyer des sondes de surveillance afin de vérifier la connectivité, puis envoie les journaux via NSIP. Le serveur Syslog doit donc être accessible via SNIP. Les profils réseau peuvent être utilisés pour rediriger tout le trafic Syslog TCP via SNIP entièrement.

L’utilisation d’une adresse SNIP n’est pas prise en charge dans la journalisation interne.

Nom de domaine complet Prise en charge du journal d’audit

Auparavant, le module de journal d’audit était configuré avec l’adresse IP de destination du serveur syslog externe auquel les messages de journal sont envoyés. Désormais, le serveur de journaux d’audit utilise un nom de domaine complet (FQDN) au lieu de l’adresse IP de destination. La configuration du nom de domaine complet résout le nom de domaine configuré du serveur syslog en l’adresse IP de destination correspondante pour l’envoi des messages de journal depuis le module audit-log. Le serveur de noms doit être correctement configuré pour résoudre le nom de domaine et éviter les problèmes de service liés au domaine.

Remarque

Lors de la configuration d’un FQDN, la configuration du nom de domaine du serveur de la même appliance NetScaler dans l’action syslog ou l’action nslog n’est pas prise en charge.

Configuration de Syslog sur TCP à l’aide de l’interface de ligne de commande

Pour configurer une appliance NetScaler afin qu’elle envoie des messages syslog via TCP à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

Ajout de l’adresse IP SNIP au profil réseau à l’aide de l’interface de ligne de commande

Pour ajouter une adresse IP SNIP au profil réseau à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

Où, SrCip est le SNIP.

Ajout d’un profil net dans une action Syslog à l’aide de l’interface de ligne de commande

Pour ajouter une option NetProfile dans une action Syslog à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

Où -netprofile indique le nom du profil réseau configuré. L’adresse SNIP est configurée dans le cadre de NetProfile et cette option NetProfile est liée à l’action syslog.

Remarque

Vous devez toujours lier NetProfile aux services SYSLOGUDP ou SYSLOGTCP liés au serveur virtuel d’équilibrage de charge SYSLOGUDP ou SYSLOGTCP.

Configuration de la prise en charge des FQDN à l’aide de l’interface

Pour ajouter un nom de domaine de serveur à une action Syslog à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

Pour ajouter un nom de domaine de serveur à une action Nslog à l’aide de l’interface de ligne de commande.

À l’invite de commande, tapez :

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

Où ServerDomainName. Nom de domaine du serveur de journaux. Est mutuellement exclusif avec ServerIP/ LBVServerName.

Entier DomainResolveRetry. Durée (en secondes) pendant laquelle l’appliance NetScaler attend, après l’échec d’une résolution DNS, avant d’envoyer la prochaine requête DNS pour résoudre le nom de domaine.

DomainResolveNow. Inclus si la requête DNS doit être envoyée immédiatement pour résoudre le nom de domaine du serveur.

Configuration de Syslog sur TCP à l’aide de l’interface graphique

Pour configurer l’appliance NetScaler afin qu’elle envoie des messages Syslog via TCP à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs .
  2. Cliquez sur Ajouter et sélectionnez Type de transport comme TCP.

Configuration d’un profil réseau pour la prise en charge de SNIP via l’interface utilisateur graphique

Pour configurer le profil net pour la prise en charge SNIP à l’aide de l’interface

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs .
  2. Cliquez sur Ajouter et sélectionnez un profil réseau dans la liste.

Configuration de FQDN à l’aide de l’interface

Pour configurer le FQDN à l’aide de l’interface graphique

  1. Accédez à Système > Audit > Syslog et sélectionnez l’onglet Serveurs .
  2. Cliquez sur Ajouter et sélectionnez un type de serveur et un nom de domaine de serveur dans la liste.
SYSLOG sur TCP