ADC

監査ログ用のNetScalerアプライアンスの構成

警告:

従来のポリシー表現とその使用法は、NetScaler 12.0ビルド56.20以降では廃止されました(使用は推奨されませんが、引き続きサポートされています)。代わりに、高度なポリシーを使用することをお勧めします。詳しくは、「高度なポリシー」を参照してください。

監査ログには、管理者がイベント履歴を時系列で確認できるように、さまざまなモジュールのステータス情報が表示されます。監査フレームワークの主な構成要素は、「監査アクション」と「監査ポリシー」です。「監査アクション」は監査サーバーの設定情報を記述し、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。監査ポリシーは、「クラシック・ポリシー・エンジン」(CPE) フレームワークまたはプログレス・インテグレーション (PI) フレームワークを使用して、「監査アクション」を「システム・グローバル・バインド・エンティティ」にリンクします。

ただし、監査ログポリシーをグローバルエンティティにバインドする点で、ポリシーフレームワークは互いに異なります。以前は、監査モジュールは従来のポリシー表現と高度なポリシー表現のみをサポートしていました。現在、高度な表現を使用すると、監査ログポリシーをシステムグローバルエンティティにのみバインドできます。

ポリシーをグローバルエンティティにバインドする場合は、同じ式のシステムグローバルエンティティにポリシーをバインドする必要があります。たとえば、クラシックポリシーを高度なグローバルエンティティにバインドしたり、高度なポリシーをクラシックグローバルエンティティにバインドしたりすることはできません。

また、従来の監査ログポリシーと高度な監査ログポリシーの両方を負荷分散仮想サーバーにバインドすることはできません。

従来のポリシー表現による監査ログポリシーの設定

クラシックポリシーでの監査ログの設定は、次の手順で構成されます。

  1. 監査ログアクションの設定。監査アクションは、異なるサーバーおよび異なるログレベルに対して設定できます。「監査アクション」は監査サーバーの設定情報を記述しますが、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。デフォルトでは、SYSLOG はデータ転送にユーザーデータプロトコル (UDP) を使用し、NSLOG は TCP のみを使用してログ情報をログサーバーに転送します。TCP は、完全なデータを転送するために UDP よりも信頼性が高いです。SYSLOGにTCPを使用する場合、NetScalerアプライアンスのバッファ制限を設定してログを保存できます。バッファ制限に達すると、ログは SYSLOG サーバに送信されます。
  2. 監査ログポリシーの設定。メッセージをSYSLOGサーバーに記録するSYSLOGポリシーを構成するか、NSLOGサーバーにメッセージを記録するNSLOGポリシーのいずれかを構成できます。各ポリシーには、メッセージをログに記録する、trueまたはns_trueに設定されたルールと、SYSLOG または NSLOG アクションが含まれます。
  3. 監査ログポリシーをグローバルエンティティにバインドします。監査ログポリシーは、システム、VPN、NetScaler AAAなどのグローバルエンティティにグローバルにバインドする必要があります。これを実行して、すべてのNetScalerシステムイベントのログを有効にすることができます。優先度レベルを定義すると、監査サーバーロギングの評価順序を設定できます。優先度 0 が最高で、最初に評価されます。プライオリティ番号が大きいほど、評価のプライオリティは低くなります。

これらの各手順については、次のセクションで説明します。

監査ログアクションの設定

CLI を使用して高度なポリシーインフラストラクチャで SYSLOG アクションを設定します。

NetScalerアプライアンスでは、SYSLOGサーバーのIPアドレスとポートに対して1つのSYSLOGアクションのみを構成できます。アプライアンスでは、同じサーバ IP アドレスおよびポートに対して複数の SYSLOG アクションを設定することはできません。

syslog アクションには、syslog サーバへの参照が含まれます。ログに記録する情報を指定し、その情報を記録する方法を説明します。

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

CLIを使用して高度なポリシーインフラストラクチャでNSLOGアクションを構成するには。

ns ログアクションには、nslog サーバーへの参照が含まれています。ログに記録する情報を指定し、その情報を記録する方法を説明します。

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

監査ログポリシーの設定

CLIを使用して、従来のポリシーインフラストラクチャで監査ログポリシーを設定します。

コマンドプロンプトで入力します:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> <-rule> <action>
<!--NeedCopy-->

監査 syslog ポリシーを監査 syslog グローバルにバインドする

CLIを使用して、監査ログポリシーを高度なポリシーフレームワークにバインドします。

コマンドプロンプトで入力します:

bind syslogGlobal -policyName <policyName> -priority <priority>

unbind syslogGlobal -policyName <policyName> -priority <priority>

CLIを使用して、監査ログポリシーをクラシックポリシーフレームワークにバインドします。

コマンドプロンプトで入力します:

bind systemglobal <policy Name> <Priority>

unbind systemglobal <policy Name> <Priority>

高度なポリシー表現を使用した監査ログポリシーの設定

詳細ポリシーでの監査ログの設定は、次の手順で構成されます。

  1. 監査ログアクションの設定。監査アクションは、異なるサーバーおよび異なるログレベルに対して設定できます。「監査アクション」は監査サーバーの設定情報を記述しますが、「監査ポリシー」はバインドエンティティを「監査アクション」にリンクします。デフォルトでは、SYSLOG はデータ転送にユーザーデータプロトコル (UDP) を使用し、NSLOG は TCP のみを使用してログ情報をログサーバーに転送します。TCP は、完全なデータを転送するために UDP よりも信頼性が高いです。SYSLOGにTCPを使用する場合、NetScalerアプライアンスのバッファ制限を設定してログを保存できます。バッファ制限に達すると、ログは SYSLOG サーバに送信されます。
  2. 監査ログポリシーの設定。メッセージをSYSLOGサーバーに記録するSYSLOGポリシーを構成するか、NSLOGサーバーにメッセージを記録するNSLOGポリシーのいずれかを構成できます。各ポリシーには、メッセージをログに記録する、trueまたはns_trueに設定されたルールと、SYSLOG または NSLOG アクションが含まれます。
  3. 監査ログポリシーをグローバルエンティティにバインドします。すべてのNetScalerシステムイベントのログを有効にするには、監査ログポリシーをSYSTEMグローバルエンティティにグローバルにバインドする必要があります。優先度レベルを定義すると、監査サーバーロギングの評価順序を設定できます。優先度 0 が最高で、最初に評価されます。プライオリティ番号が大きいほど、評価のプライオリティは低くなります。

NetScalerアプライアンスは、trueにバインドされているすべてのポリシーを評価します。

監査ログアクションの設定

CLI を使用して高度なポリシーインフラストラクチャで syslog アクションを設定するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

CLI を使用して、高度なポリシーインフラストラクチャの NSLOG アクションを設定します。

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

監査ログポリシーの設定

CLI を使用して Syslog 監査アクションを追加するには。

コマンドプロンプトで入力します:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel> [-managementlog <managementlog> ...] ... [-managementloglevel <managementloglevel> ...][-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold]
<!--NeedCopy-->

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

注:

syslogaction 設定のmanagementlogオプションは、サーバ IP とポートの設定のみをサポートします。ドメインベースサービス (DBS) と負荷分散仮想サーバー名の構成はサポートされていません。

管理ログについては、サポートされているコマンドを使用してください。

add syslogAction <serverIP>

次の構成はサポートされていません。

add syslogAction <serverDomainName>

add syslogAction -lbVserverName <lb_vserver_name>

詳しくは、「 管理ログをNetScalerからSplunkに直接エクスポートする」を参照してください。

CLI を使用して nslog 監査アクションを追加します。

コマンドプロンプトで入力します:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

監査ログポリシーをグローバルエンティティにバインドする

CLI を使用して Syslog 監査ログポリシーを高度なポリシーフレームワークにバインドします。

コマンドプロンプトで入力します:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

GUI による監査ログポリシーの設定

  1. [ 設定 ] > [ システム ] > [ 監査 ] > [ Syslog] に移動します。
  2. [ サーバ ] タブを選択します。
  3. [追加] をクリックします。
  4. [ 監査サーバーの作成 ] ページで、関連するフィールドに入力し、[ 作成] をクリックします。
  5. ポリシーを追加するには、[ポリシー] タブを選択し、[ **追加 ] をクリックします。**
  6. [ 監査 Syslog ポリシーの作成 ] ページで、関連するフィールドに値を入力し、[ 作成] をクリックします。
  7. ポリシーをグローバルにバインドするには、ドロップダウンリストから [ 詳細ポリシー] [グローバルバインディング ] を選択します。best_syslog_policy_ever ポリシーを選択します。[Select] をクリックします。
  8. ドロップダウンリストから、 SYSTEM_GLOBAL としてバインドポイントを選択し、[ バインド] をクリックし、[ 完了] をクリックします。

ポリシーベースのロギングの設定

書き換えポリシーとレスポンダーポリシーのポリシーベースのロギングを設定できます。監査メッセージは、ポリシーの規則が TRUE と評価されたときに、定義された形式で記録されます。ポリシーベースのロギングを設定するには、高度なポリシー表現を使用して監査メッセージの形式を指定する監査メッセージアクションを設定します。アクションをポリシーに関連付けます。ポリシーは、グローバルにバインドすることも、負荷分散仮想サーバーまたはコンテンツスイッチング仮想サーバーにバインドすることもできます。監査メッセージアクションを使用して、syslog 形式のみ、または syslog 形式と新しい nslog 形式の両方で、さまざまなログレベルでメッセージをログに記録できます。

前提条件

  • ユーザー設定可能なログメッセージ (UserDefinedAuditLog) オプションは、定義された形式でログを送信する監査アクションサーバーを設定するときに有効になります。
  • 関連する監査ポリシーは、システムグローバルにバインドされます。

監査メッセージアクションの設定

監査メッセージアクションは、syslog 形式のみ、または syslog 形式と新しい ns ログ形式の両方で、さまざまなログレベルでメッセージをログに記録するように設定できます。監査メッセージアクションでは、式を使用して監査メッセージの形式を指定します。

CLI を使用して監査メッセージアクションを作成する

コマンドプロンプトで入力します:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

GUI を使用して監査メッセージアクションを設定する

[ システム] > [監査] > [メッセージアクション] に移動し、監査メッセージアクションを作成します。

監査メッセージアクションをポリシーにバインドする

監査メッセージアクションを作成したら、それをリライトポリシーまたはレスポンダーポリシーにバインドする必要があります。ログメッセージアクションをリライトポリシーまたはレスポンダーポリシーにバインドする方法の詳細については、「 [書き換えまたはレスポンダー](/ja-jp/citrix-adc/current-release/appexpert/responder.html)」を参照してください。

監査ログ用のNetScalerアプライアンスの構成