ADC

审核策略

审核策略确定 Web App Firewall 会话期间生成和记录的消息。邮件以 SYSLOG 格式记录到本地 NSLOG 服务器或外部日志记录服务器。根据所选日志记录级别记录不同类型的消息。

若要创建审核策略,必须首先创建 NSLOG 服务器或 SYSLOG 服务器。然后创建策略并指定日志类型和日志发送到的服务器。

使用命令行界面创建审核服务器

您可以创建两种不同类型的审核服务器:NSLOG 服务器或 SYSLOG 服务器。命令名称不同,但命令的参数相同。

要创建审核服务器,请在命令提示符下键入以下命令:

  • add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-logFacility <logFacility>] [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )] [-userDefinedAuditlog ( YES | NO )] [-appflowExport ( ENABLED | DISABLED )]
  • save ns config

示例

以下示例在 IP 10.124.67.91 处创建名为 syslog1 的系统日志服务器,其日志级别的紧急情况、关键和警告日志功能设置为 LOCAL1,该服务器记录所有 TCP 连接:

add audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning -logFacility
LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

使用命令行界面修改或删除审核服务器

  • 要修改审核服务器,请键入集审核<type> 命令、审核服务器的名称以及要更改的参数及其新值。
  • 要删除审核服务器,请键入 rm 审核<type> 命令和审核服务器的名称。

示例

以下示例修改名为 syslog1 的 syslog 服务器以将错误和警报添加到日志级别:

set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error
-logFacility LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

使用 GUI 创建或配置审核服务器

  1. 导航到“安全”>“Citrix Web App Firewall”>“ 略”>“审核”>“Nslog”。
  2. 在 Nslog 审核页中,单击 服务器 选项卡。
  3. 执行以下操作之一:
    • 要添加新的审核服务器,请单击“添加”。
    • 若要修改现有审核服务器,请选择该服务器,然后单击“编辑”。
  4. 在“创建审核服务器”页面中,设置以下参数:
    • 名称
    • 服务器类型
    • IP 地址
    • 端口
    • 日志级别
    • 日志设施
    • 日期格式
    • 时区
    • TCP 日志记录
    • ACL 日志记录
    • 用户可配置的日志消息
    • AppFlow 日志记录
    • 大规模 NAT 日志记录
    • ALG 消息日志记录
    • 订阅者日志记录
    • SSL 截获
    • URL 过滤
    • 内容检查日志记录
  5. 单击创建关闭

    审核服务器配置

使用命令行界面创建审核策略

您可以创建 NSLOG 策略或 SYSLOG 策略。策略的类型必须与服务器的类型相匹配。这两种类型的策略的命令名称不同,但命令的参数相同。

在命令提示符下,键入以下命令:

  • add audit syslogPolicy <name> <-rule > <action>
  • save ns config

示例

以下示例创建一个名为 syslogP1 的策略,该策略将 Web App Firewall 流量记录到名为 syslog1 的系统日志服务器。

add audit syslogPolicy syslogP1 rule "ns_true" action syslog1 save ns config

使用命令行界面配置审核策略

在命令提示符下,键入以下命令:

  • set audit syslogPolicy <name> [-rule <expression>] [-action <string>]
  • save ns config

示例

以下示例修改名为 syslogP1 的策略,以将 Web App Firewall 流量记录到名为 syslog2 的系统日志服务器。

set audit syslogPolicy syslogP1 rule "ns_true" action syslog2 save ns config

使用 GUI 配置审核策略

  1. 导航到 安全 > Citrix Web App Firewall > 策略
  2. 在详细信息窗格中,单击 审核 Nslog 策略
  3. 在“Nslog 审核”页面中,单击“策略”选项卡并执行以下操作之一:
    • 要添加新策略,请单击“添加”。
    • 要修改某个现有策略,请选择该策略,然后单击 Edit(编辑)。
  4. 在“创建审核 Nslog 策略”页面中,设置以下参数:
    • 名称
    • 审核类型
    • 表达式类型
    • 服务器
  5. 单击创建

    审核日志策略配置