Citrix ADC

監査ログ用のCitrix ADCアプライアンスの構成

監査ロギングは、管理者がイベント履歴を時系列で表示できるように、さまざまなモジュールのステータス情報を表示します。監査フレームワークの主なコンポーネントは、「監査アクション」、「監査ポリシー」です。「監査アクション」は監査サーバーの設定情報を記述しますが、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。監査ポリシーは、「クラシックポリシーエンジン」(CPE) フレームワークまたはプログレス統合 (PI) フレームワークを使用して、「監査アクション」を「システムグローバルバインドエンティティ」にリンクします。

ただし、監査ログポリシーをグローバルエンティティにバインドする点で、ポリシーフレームワークは互いに異なります。以前は、監査モジュールはクラシック式のみをサポートしていましたが、クラシックポリシー式と高度なポリシー式の両方をサポートするようになりました。現在、Advanced 式は監査ログポリシーをシステムグローバルエンティティにのみバインドできます。

ポリシーをグローバルエンティティにバインドする場合は、同じ式のシステムグローバルエンティティにポリシーをバインドする必要があります。たとえば、クラシックポリシーを高度なグローバルエンティティにバインドしたり、高度なポリシーをクラシックグローバルエンティティにバインドしたりすることはできません。

また、従来の監査ログポリシーと高度な監査ログポリシーの両方を負荷分散仮想サーバーにバインドすることはできません。

クラシックポリシー式での監査ログポリシーの設定

クラシックポリシーでの監査ロギングの設定は、次の手順で構成されます。

  1. 監査ログアクションの設定。監査アクションは、異なるサーバーおよび異なるログレベルに対して設定できます。「監査アクション」は監査サーバーの設定情報を記述しますが、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。デフォルトでは、SYSLOG と NSLOG は TCP のみを使用してログ情報をログサーバに転送します。TCP は、完全なデータを転送するために UDP よりも信頼性が高いです。SYSLOGにTCPを使用する場合、Citrix ADCアプライアンスのバッファ制限を設定してログを保存できます。その後、ログは SYSLOG サーバに送信されます。
  2. 監査ログポリシーの設定。メッセージを SYSLOG サーバに記録するように SYSLOG ポリシーを設定するか、NSLOG サーバにメッセージを記録する NSLOG ポリシーを設定できます。各ポリシーには、ログに記録されるメッセージを識別するルールと、SYSLOG または NS LOG アクションが含まれます。
  3. 監査ログポリシーをグローバルエンティティにバインドします。監査ログポリシーは、システム、VPN、Citrix ADC AAAなどのグローバルエンティティにグローバルにバインドする必要があります。これを実行して、すべてのCitrix ADCシステムイベントのログを有効にすることができます。優先度レベルを定義すると、監査サーバーロギングの評価順序を設定できます。優先度 0 が最高で、最初に評価されます。プライオリティ番号が大きいほど、評価のプライオリティは低くなります。

これらの各手順については、次のセクションで説明します。

監査ログアクションの設定

コマンドラインインターフェイスを使用して、高度なポリシーインフラストラクチャで SYSLOG アクションを構成するには。

Citrix ADCアプライアンスでは、SYSLOGサーバーのIPアドレスとポートに対して1つのSYSLOGアクションのみを構成できます。アプライアンスでは、同じサーバ IP アドレスおよびポートに対して複数の SYSLOG アクションを設定することはできません。

syslog アクションには、syslog サーバへの参照が含まれます。ログに記録する情報を指定し、その情報を記録する方法を説明します。

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

コマンドラインインターフェイスを使用して、高度なポリシーインフラストラクチャで NSLOG アクションを構成するには

ns ログアクションには、nslog サーバへの参照が含まれます。ログに記録する情報を指定し、その情報を記録する方法を説明します。

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

監査ログポリシーの設定

コマンドラインインターフェイスを使用してクラシックポリシーインフラストラクチャの監査ログポリシーを構成するには

コマンドプロンプトで入力します。

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]
<!--NeedCopy-->

監査 syslog ポリシーを監査 syslog グローバルにバインドする

コマンドラインインターフェイスを使用してクラシックポリシーフレームワークで監査ログポリシーをバインドするには

コマンドプロンプトで入力します。

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

高度なポリシー式を使用した監査ログポリシーの設定

詳細ポリシーでの監査ロギングの設定は、次の手順で構成されます。

  1. 監査ログアクションの設定。監査アクションは、異なるサーバーおよび異なるログレベルに対して設定できます。「監査アクション」は監査サーバーの設定情報を記述しますが、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。デフォルトでは、SYSLOG と NSLOG は TCP のみを使用してログ情報をログサーバに転送します。TCP は、完全なデータを転送するために UDP よりも信頼性が高いです。SYSLOGにTCPを使用する場合、Citrix ADCアプライアンスのバッファ制限を設定してログを保存できます。その後、ログは SYSLOG サーバに送信されます。
  2. 監査ログポリシーの設定。メッセージを SYSLOG サーバに記録するように SYSLOG ポリシーを設定するか、NSLOG サーバにメッセージを記録する NSLOG ポリシーを設定できます。各ポリシーには、ログに記録されるメッセージを識別するルールと、SYSLOG または NS LOG アクションが含まれます。
  3. 監査ログポリシーをグローバルエンティティにバインドします。すべてのCitrix ADCシステムイベントのログを有効にするには、監査ログポリシーをSYSTEMグローバルエンティティにグローバルにバインドする必要があります。優先度レベルを定義すると、監査サーバーロギングの評価順序を設定できます。優先度 0 が最高で、最初に評価されます。プライオリティ番号が大きいほど、評価のプライオリティは低くなります。

Citrix ADCアプライアンスは、trueにバインドされているすべてのポリシーを評価します。

監査ログアクションの設定

コマンドラインインターフェイスを使用して高度なポリシーインフラストラクチャで syslog アクションを設定するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

コマンドラインインターフェイスを使用して、高度なポリシーインフラストラクチャで NSLOG アクションを構成するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

監査ログポリシーの設定

コマンドラインインターフェイスを使用して syslog 監査アクションを追加するには

コマンドプロンプトで入力します。

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold
<!--NeedCopy-->

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

コマンドラインインターフェイスを使用して nslog 監査アクションを追加するには

コマンドプロンプトで入力します。

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

監査ログポリシーをグローバルエンティティにバインドする

コマンドラインインターフェイスを使用して高度なポリシーフレームワークで syslog 監査ログポリシーをバインドするには

コマンドプロンプトで入力します。

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

GUI を使用した監査ログポリシーの設定

  1. [ 設定 ] > [ システム ] > [ 監査 ] > [ Syslog] に移動します。

syslog 監査

  1. [ サーバ ] タブを選択します。
  2. [追加] をクリックします。
  3. [ 監査サーバーの作成 ] ページで、関連するフィールドに入力し、[ 作成] をクリックします。
  4. ポリシーを追加するには、[ポリシー] タブを選択し、[ **追加 ] をクリックします。**
  5. [ 監査 Syslog ポリシーの作成 ] ページで、関連するフィールドに値を入力し、[ 作成] をクリックします。

    syslog ポリシー

  6. ポリシーをグローバルにバインドするには、ドロップダウンリストから [ 詳細ポリシー] [グローバルバインディング ] を選択します。 best_syslog_policy_ever ポリシーを選択します。[Select]をクリックします。
  7. ドロップダウンリストから、 SYSTEM_GLOBAL としてバインドポイントを選択し、[ バインド] をクリックし、[ 完了] をクリックします。

ポリシーベースのロギングの設定

書き換えポリシーとレスポンダーポリシーのポリシーベースのロギングを設定できます。監査メッセージは、ポリシーの規則が TRUE と評価されたときに、定義された形式で記録されます。ポリシーベースのロギングを構成するには、高度なポリシー式を使用して監査メッセージの形式を指定する監査メッセージアクションを設定します。アクションをポリシーに関連付けます。ポリシーは、グローバルにバインドすることも、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーにバインドすることもできます。監査メッセージアクションを使用して、syslog 形式のみ、または syslog 形式と新しい nslog 形式の両方で、さまざまなログレベルでメッセージをログに記録できます。

前提条件

  • ユーザー設定可能なログメッセージ (UserDefinedAuditLog) オプションは、定義された形式でログを送信する監査アクションサーバーを設定するときに有効になります。
  • 関連する監査ポリシーは、システムグローバルにバインドされます。

監査メッセージアクションの設定

監査メッセージアクションは、syslog 形式のみ、または syslog 形式と新しい ns ログ形式の両方で、さまざまなログレベルでメッセージをログに記録するように設定できます。監査メッセージアクションでは、式を使用して監査メッセージの形式を指定します。

コマンドラインインターフェイスを使用して監査メッセージアクションを作成するには

コマンドプロンプトで入力します。

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

GUI を使用して監査メッセージアクションを構成するには

[ システム] > [監査] > [メッセージアクション] に移動し、監査メッセージアクションを作成します。

監査メッセージアクションをポリシーにバインドする

監査メッセージアクションを作成したら、それを書き換えポリシーまたはレスポンダーポリシーにバインドする必要があります。ログメッセージアクションをリライトポリシーまたはレスポンダーポリシーにバインドする方法の詳細については、「 [書き換えまたはレスポンダー](/ja-jp/citrix-adc/current-release/appexpert/responder.html)」を参照してください。

監査ログ用のCitrix ADCアプライアンスの構成