ACL ロギングの設定

拡張アクセス制御リスト(ACL)と一致するパケットの詳細をログに記録するようにCitrix Gateway を構成できます。ACL 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。情報は、有効にするログのタイプ(Syslog または nslog)に応じて、syslog または nslog ファイルに保存されます。

ロギングは、グローバルレベルと ACL レベルの両方で有効にできます。ただし、ACL レベルでロギングを有効にするには、グローバルレベルでも有効にする必要があります。グローバル設定が優先されます。

ロギングを最適化するために、同じフローからの複数のパケットが ACL と一致する場合、最初のパケットの詳細だけがログに記録されます。カウンタは、同じフローに属する他のすべてのパケットに対して増分されます。フローは、次のパラメータに同じ値を持つパケットのセットとして定義されます。

  • 接続元IP
  • 接続先IP
  • 送信元ポート
  • 送信先ポート
  • プロトコル(TCP または UDP)

パケットが同じフローからのものでない場合、または期間が平均時間を超えている場合は、新しいフローが作成されます。平均時間は、同じフローのパケットが追加のメッセージを生成しない時間です(ただし、カウンタが増加します)。

注: 任意の時点でログに記録できる異なるフローの合計数は 10,000 に制限されています。

次の表では、拡張 ACL のルールレベルで ACL ロギングを設定できるパラメータについて説明します。

パラメーター名 説明
[ログ状態] ACL のロギング機能の状態。設定可能な値:ENABLEDとDISABLED。デフォルト:DISABLED。
Ratelimit 特定の ACL が生成できるログメッセージの数。デフォルトは 100 です。

構成ユーティリティを使用して ACL ロギングを構成するには

ACL のロギングを設定し、ルールが生成できるログメッセージの数を指定できます。

  1. 構成ユーティリティのナビゲーションペインで、[ システム ] > [ ネットワーク ] を展開し、[ACL] をクリックします。
  2. 詳細ウィンドウで、[ 拡張 ACL ] タブをクリックし、[追加] をクリックします。
  3. [ 拡張 ACL の作成 ] ダイアログボックスの [名前] に、ポリシーの名前を入力します。
  4. [ ログの状態 ] チェックボックスをオンにします。
  5. [ ログレート制限 ] テキストボックスに、ルールに指定するレート制限を入力し、[ 作成 ] をクリックします。

ACLロギングを構成したら、Citrix Gateway で有効にすることができます。監査ポリシーを作成し、ユーザー、グループ、仮想サーバー、またはグローバルにバインドします。

Citrix Gateway でACLまたはTCPログを有効にするには

  1. 構成ユーティリティのナビゲーションペインで、 [Citrix Gateway] >[ ポリシー ]>[ 監査 ]の順に展開します。
  2. syslog または nslog のいずれかを選択します。
  3. [ サーバー ] タブで、[ 追加 ] をクリックします。
  4. [ 監査サーバーの作成 ] ダイアログボックスの [ 名前 ] に、サーバーの名前を入力し、サーバーの設定を構成します。
  5. [ ACL ロギング ] または [ TCP ロギング ] をクリックし、[ 作成 ] をクリックします。