Citrix Gateway

ACL ロギングの設定

拡張アクセス制御リスト(ACL)と一致するパケットの詳細を記録するようにCitrix Gateway を構成できます。ACL 名に加えて、ログに記録される詳細には、送信元および宛先 IP アドレスなどのパケット固有の情報が含まれます。情報は、有効にしたロギングのタイプ(syslog または nslog)に応じて、syslogまたはnslogファイルのいずれかに保存されます。

ロギングは、グローバルレベルと ACL レベルの両方で有効にできます。ただし、ACL レベルでロギングを有効にするには、グローバルレベルでも有効にする必要があります。グローバル設定が優先されます。

ロギングを最適化するために、同じフローからの複数のパケットが ACL に一致する場合、最初のパケットの詳細だけがロギングされます。カウンタは、同じフローに属する他のすべてのパケットに対して増分されます。フローは、次のパラメータに対して同じ値を持つパケットのセットとして定義されます。

  • 接続元IP
  • 接続先IP
  • 送信元ポート
  • Destination port
  • プロトコル (TCP または UDP)

パケットが同じフローからのものではない場合、または期間が平均時間を超えている場合は、新しいフローが作成されます。平均時間は、同じフローのパケットが追加のメッセージを生成しない時間です(ただし、カウンタは増加します)。

注: 任意の時点でログに記録できる異なるフローの合計数は 10,000 に制限されています。

次の表に、拡張 ACL のルールレベルで ACL ロギングを設定するためのパラメータを示します。

パラメーター名 説明
Logstate ACL のロギング機能の状態。有効な値:有効および無効。デフォルト:無効。
Ratelimit 特定の ACL が生成できるログメッセージの数。デフォルトは 100 です。

構成ユーティリティを使用して ACL ロギングを構成するには

ACL のロギングを設定し、ルールが生成できるログメッセージの数を指定できます。

  1. 構成ユーティリティのナビゲーションペインで、[ システム ] > [ ネットワーク ] を展開し、[ACL] をクリックします。
  2. 詳細ウィンドウで、[ 拡張 ACL ] タブをクリックし、[追加] をクリックします。
  3. [ 拡張 ACL の作成 ] ダイアログボックスの [名前] に、ポリシーの名前を入力します。
  4. [ ログの状態 ] チェックボックスをオンにします。
  5. [ ログレート制限 ] テキストボックスに、ルールに指定するレート制限を入力し、[ 作成] をクリックします。

ACLロギングを構成したら、Citrix Gateway で有効にすることができます。監査ポリシーを作成し、ユーザー、グループ、仮想サーバー、またはグローバルにバインドします。

Citrix Gateway でACLまたはTCPのログを有効にするには

  1. 構成ユーティリティのナビゲーションペインで、[ Citrix Gateway ]>[ ポリシー ]>[ 監査]の順に展開します。
  2. syslogまたはnslogを選択します。
  3. [ サーバー ] タブで、[ 追加] をクリックします。
  4. [ 監査サーバーの作成 ] ダイアログボックスの [ 名前] にサーバーの名前を入力し、サーバーの設定を構成します。
  5. [ ACL ログ ] または [ TCP ロギング ] をクリックし、[ 作成] をクリックします。
ACL ロギングの設定