Citrix ADC

監査ログ用のCitrix ADCアプライアンスの構成

監査ログでは、管理者がイベント履歴を時系列で確認できるように、さまざまなモジュールのステータス情報が表示されます。監査フレームワークの主なコンポーネントは、「監査アクション」、「監査ポリシー」です。「監査アクション」は監査サーバーの設定情報を記述しますが、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。監査ポリシーは、「監査アクション」を「システムグローバルバインドエンティティ」にリンクするために、「クラシックポリシーエンジン」(CPE) フレームワークまたは「進行状況統合 (PI) フレームワークを使用します。

ただし、監査ログポリシーをグローバルエンティティにバインドする場合には、ポリシーフレームワークは互いに異なります。以前は、監査モジュールでは Classic 式のみがサポートされていましたが、Classic ポリシー式と Advanced ポリシー式の両方がサポートされるようになりました。現在、Advanced 式は、監査ログポリシーをシステムグローバルエンティティにのみバインドできます。

ポリシーをグローバルエンティティにバインドする場合は、同じ式のシステムグローバルエンティティにバインドする必要があります。たとえば、クラシックポリシーを高度なグローバルエンティティにバインドしたり、高度なポリシーを従来のグローバルエンティティにバインドしたりすることはできません。

また、従来の監査ログポリシーと高度な監査ログポリシーの両方を、負荷分散仮想サーバーにバインドすることはできません。

クラシックポリシー式での監査ログポリシーの構成

クラシック・ポリシーでの監査ロギングの構成は、次の手順で構成されます。

  1. 監査ログアクションの設定。監査アクションは、異なるサーバーおよび異なるログレベルに対して構成できます。 「監査アクション」は監査サーバーの設定情報を記述し、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。デフォルトでは、SYSLOG および NSLOG は TCP のみを使用してログ情報をログサーバに転送します。TCPは、完全なデータを転送するためのUDPよりも信頼性が高い。SYSLOGにTCPを使用する場合、Citrix ADCアプライアンスのバッファ制限を設定して、ログを保存できます。その後、ログは SYSLOG サーバに送信されます。
  2. 監査ログポリシーの設定。SYSLOG サーバーにメッセージを記録するように SYSLOG ポリシーを設定することも、NSLOG サーバーにメッセージを記録するように NSLOG ポリシーを設定することもできます。各ポリシーには、ログに記録するメッセージを識別するルール、および SYSLOG または NS LOG アクションが含まれます。
  3. 監査ログポリシーをグローバルエンティティにバインドする。監査ログポリシーは、SYSTEM、VPN、Citrix ADC AAAなどのグローバルエンティティにグローバルにバインドする必要があります。これにより、すべてのCitrix ADCシステムイベントのログ記録を有効にできます。優先度レベルを定義することで、監査サーバのロギングの評価順序を設定できます。優先度 0 が最も高く、最初に評価されます。プライオリティ番号が大きいほど、評価のプライオリティが低くなります。

これらの各手順については、以降のセクションで説明します。

監査ログアクションの構成

コマンドラインインターフェイスを使用して、高度なポリシーインフラストラクチャで SYSLOG アクションを構成するには。

Citrix ADCアプライアンスでは、SYSLOGサーバーのIPアドレスとポートに対して1つのSYSLOGアクションのみを構成できます。アプライアンスでは、同じサーバの IP アドレスとポートに対して複数の SYSLOG アクションを設定することはできません。

syslog アクションには、syslog サーバへの参照が含まれます。これは、ログに記録する情報を指定し、その情報をログに記録する方法について言及します。

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

コマンドラインインターフェイスを使用して、高度なポリシーインフラストラクチャで NSLOG アクションを構成するには

ns ログアクションには、nslog サーバへの参照が含まれます。これは、ログに記録する情報を指定し、その情報をログに記録する方法について言及します。

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

監査ログポリシーの設定

コマンドラインインターフェイスを使用して Classic Policy インフラストラクチャで監査ログポリシーを構成するには

コマンドプロンプトで、次のように入力します。

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]

監査 syslog ポリシーをグローバル監査 syslog ポリシーにバインドする

コマンドラインインターフェイスを使用して Classic ポリシーフレームワークで監査ログポリシーをバインドするには

コマンドプロンプトで、次のように入力します。

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

高度なポリシー表現を使用した監査ログポリシーの構成

詳細ポリシーでの監査ログの設定は、次の手順で構成されます。

  1. 監査ログアクションの設定。監査アクションは、異なるサーバーおよび異なるログレベルに対して構成できます。 「監査アクション」は監査サーバーの設定情報を記述し、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。デフォルトでは、SYSLOG および NSLOG は TCP のみを使用してログ情報をログサーバに転送します。TCPは、完全なデータを転送するためのUDPよりも信頼性が高い。SYSLOGにTCPを使用する場合、Citrix ADCアプライアンスのバッファ制限を設定して、ログを保存できます。その後、ログは SYSLOG サーバに送信されます。
  2. 監査ログポリシーの設定。SYSLOG サーバーにメッセージを記録するように SYSLOG ポリシーを設定することも、NSLOG サーバーにメッセージを記録するように NSLOG ポリシーを設定することもできます。各ポリシーには、ログに記録するメッセージを識別するルール、および SYSLOG または NS LOG アクションが含まれます。
  3. 監査ログポリシーをグローバルエンティティにバインドする。すべてのCitrix ADCシステムイベントのログを有効にするには、監査ログポリシーをSYSTEMグローバルエンティティにグローバルにバインドする必要があります。優先度レベルを定義することで、監査サーバのロギングの評価順序を設定できます。優先度 0 が最も高く、最初に評価されます。プライオリティ番号が大きいほど、評価のプライオリティが低くなります。

注:

Citrix ADCアプライアンスは、trueにバインドされているすべてのポリシーを評価します。

監査ログアクションの構成

コマンドラインインターフェイスを使用して、高度なポリシーインフラストラクチャで syslog アクションを構成するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]

コマンドラインインターフェイスを使用して、高度なポリシーインフラストラクチャで NSLOG アクションを構成するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

監査ログポリシーの設定

コマンドラインインターフェイスを使用して syslog 監査アクションを追加するには

コマンドプロンプトで、次のように入力します。

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20

コマンドラインインターフェイスを使用して nslog 監査アクションを追加するには

コマンドプロンプトで、次のように入力します。

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`

監査ログポリシーをグローバルエンティティにバインドする

コマンドラインインターフェイスを使用して、高度なポリシーフレームワークで syslog 監査ログポリシーをバインドするには

コマンドプロンプトで、次のように入力します。

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

GUI を使用した監査ログポリシーの構成

  1. [構成] > [システム] > [監査] > [Syslog] に移動します。

Syslog 監査

  1. [サーバ] タブを選択します。
  2. [追加] をクリックします。
  3. 監査サーバーの作成 」ページで、関連するフィールドを入力し、「 作成 」をクリックします。
  4. ポリシーを追加するには、[ポリシー] タブを選択し、[追加] をクリックします。
  5. [監査 Syslog ポリシーの作成] ページで、関連するフィールドを入力し、[作成] をクリックします。

    Syslog ポリシー

  6. ポリシーをグローバルにバインドするには、ドロップダウンリストから [Advanced Policy Global Bindings] を選択します。ベスト・シスログ_ポリシー_エバ ・ポリシーを選択します。[Select]をクリックします。
  7. ドロップダウンリストから、バインドポイントとして SYSTEM_GLOBAL を選択し、[バインド] をクリックし、[完了] をクリックします。

ポリシーベースのロギングの設定

書き換えポリシーおよび応答側ポリシーに対して、ポリシーベースのロギングを設定できます。ポリシー内の規則が TRUE と評価されると、監査メッセージは定義された形式で記録されます。ポリシーベースのロギングを設定するには、デフォルトの構文式を使用して監査メッセージの形式を指定する audit-message アクションを設定します。アクションをポリシーに関連付けます。ポリシーは、グローバルにバインドすることも、負荷分散またはコンテンツスイッチング仮想サーバーにバインドすることもできます。監査メッセージアクションを使用して、syslog 形式のみ、または syslog 形式と新しい nslog 形式の両方で、さまざまなログレベルでメッセージをログに記録できます。

前提条件

  • 定義可能なログメッセージ (userDefinedAuditlog) オプションは、定義された形式でログを送信する監査アクションサーバーを構成するときに有効になります。
  • 関連する監査ポリシーは、システムグローバルにバインドされます。

監査メッセージ・アクションの構成

監査メッセージアクションは、syslog 形式のみ、または syslog 形式と新しい ns ログ形式の両方で、さまざまなログレベルでメッセージをログに記録するように設定できます。監査メッセージアクションでは、式を使用して監査メッセージの形式を指定します。

コマンドラインインターフェイスを使用して監査メッセージアクションを作成するには

コマンドプロンプトで、次のように入力します。

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)] [-bypassSafetyCheck (YES|NO)]
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL' -bypassSafetyCheck YES

GUI を使用して監査メッセージアクションを構成するには

[システム] > [監査] > [メッセージアクション] に移動し、監査メッセージアクションを作成します。

監査メッセージアクションをポリシーにバインドする

監査メッセージアクションを作成したら、それを書き換えポリシーまたはレスポンダーポリシーにバインドする必要があります。ログメッセージアクションを書き換えポリシーまたはレスポンダーポリシーにバインドする方法の詳細については、書き換え またはレスポンダーを参照してください。

監査ログ用のCitrix ADCアプライアンスの構成