ADC

审核日志记录

重要

Citrix 建议您仅在维护或停机期间更新 SYSLOG 或 NSLOG 配置。如果在创建会话后更新配置,则更改不会应用于现有会话日志。

审核是对条件或情况的有条不紊的检查或审查。审核日志记录功能使您可以记录各种模块收集的 Citrix ADC 状态和状态信息。日志信息可以在内核和用户级守护程序中。对于审核日志,您可以使用 SYSLOG 协议、本机 NSLOG 协议或两者兼而有之。

SYSLOG 是用于记录的标准协议。它有两个组成部分:

  • SYSLOG 审核模块。 在 Citrix ADC 设备上运行。
  • SYSLOG 服务器。 在 Citrix ADC 设备的底层 FreeBSD 操作系统 (OS) 或远程系统上运行。

SYSLOG 使用用户数据协议 (UDP) 进行数据传输。

同样,本机 NSLOG 协议有两个组件:

  • NSLOG 审核模块。 在 Citrix ADC 设备上运行。
  • NSLOG 服务器。 在 Citrix ADC 设备的底层 FreeBSD 操作系统或远程系统上运行。

NSLOG 使用 TCP 进行数据传输。

当您运行 SYSLOG 或 NSLOG 服务器时,它会连接到 Citrix ADC 设备。然后,Citrix ADC 设备开始将所有日志信息发送到 SYSLOG 或 NSLOG 服务器。服务器会在将日志条目存储在日志文件中之前对其进行过滤。NSLOG 或 SYSLOG 服务器从多台 Citrix ADC 设备接收日志信息。Citrix ADC 设备将日志信息发送到多台 SYSLOG 服务器或 NSLOG 服务器。

如果配置了多个 SYSLOG 服务器,Citrix ADC 设备会将其 SYSLOG 事件和消息发送到所有配置的外部日志服务器。它会导致存储冗余消息,并使系统管理员难以监控。为了解决此问题,Citrix ADC 设备提供了负载平衡算法。设备可以在外部日志服务器之间对 SYSLOG 消息进行负载平衡,以改善维护和性能。支持的负载平衡算法包括 RoundRobin、LeastBandwidth、CustomLoad、LeastPackets 和 AuditlogHash。

注意

Citrix ADC 设备可以向外部 SYSLOG 服务器发送最大 16 KB 的审核日志消息。

SYSLOG 或 NSLOG 服务器从 Citrix ADC 设备收集的日志信息以消息的形式存储在日志文件中。这些消息通常包含以下信息:

  • 生成日志消息的 Citrix ADC 设备的 IP 地址。
  • 时间戳
  • 消息类型
  • 预定义的日志级别(严重、错误、通知、警告、信息、调试、警报和紧急)
  • 消息信息

要配置审核日志,请先在 Citrix ADC 设备上配置审核模块。该设备涉及创建审核策略和指定 NSLOG 服务器或 SYSLOG 服务器信息。然后,您可以在 Citrix ADC 设备的底层 FreeBSD 操作系统或远程系统上安装和配置 SYSLOG 或 NSLOG 服务器。

注意

SYSLOG 是记录程序消息的行业标准,各种供应商都提供支持。该文档不包含 SYSLOG 服务器配置信息。

NSLOG 服务器有自己的配置文件 (auditlog.conf)。您可以通过对配置文件 (auditlog.conf) 进行额外修改来自定义 NSLOG 服务器系统上的日志记录。

注意

如果在网络的 Syslog Action 下将 syslog 服务器用作 FQDN,则必须使用 ICMP 访问 Syslog 服务器。如果环境中阻止 ICMP 访问,请将其配置为负载平衡的 Syslog 服务器,并将 set service 命令中 HealthMonitor 参数的值设置为 NO。 要配置 ICMP,请参阅平衡 SYSLOG 服务器的负载

审核日志记录