配置 Citrix ADC 设备以进行审核日志记录

审核日志记录显示来自不同模块的状态信息,以便管理员可以按时间顺序查看事件历史记录。审计框架的主组成部分是“审计行动”、“审计政策”。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。审计策略使用“经典策略引擎”(CPE) 框架或进度集成 (PI) 框架将“审计行动”链接到“系统全局绑定实体”。

但是,在将审计日志策略与全球实体绑定方面,政策框架彼此不同。以前,审核模块仅支持经典表达式,但现在它同时支持经典和高级策略表达式。目前,高级表达式只能将审核日志策略绑定到系统全局实体。

注意

将策略绑定到全局实体时,必须将其绑定到具有相同表达式的系统全局实体。例如,您不能将经典策略绑定到高级全局实体,也不能将高级策略绑定到经典全局实体。

此外,您不能将传统审核日志策略和高级审核日志策略同时绑定到负载平衡虚拟服务器。

在经典策略表达式中配置审核日志策略

在经典策略中配置审核日志记录包括以下步骤:

  1. 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。TCP 比 UDP 更可靠地传输完整数据。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后,将日志发送到 SYSLOG 服务器。
  2. 配置审核日志策略。配置 SYSLOG 策略以将消息记录到 SYSLOG 服务器,和/或 NSLOG 策略将消息记录到 NSLOG 服务器。每个策略都包含一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
  3. 将审核日志策略绑定到全局实体。您必须将审核日志策略全局绑定到系统、VPN、AAA 等全局实体,以启用所有 Citrix ADC 系统事件的日志记录。通过定义优先级级别,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高值,首先评估。优先次数越高,评价的优先次数就越低。

以下各节介绍了这些步骤中的每个步骤。

配置审核日志操作

使用命令行界面在高级策略基础结构中配置 SYSLOG 操作。

注意

Citrix ADC 设备允许您仅为 SYSLOG 服务器 IP 地址和端口配置一个 SYSLOG 操作。设备不允许您将多个 SYSLOG 操作配置到同一服务器 IP 地址和端口。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

使用命令行界面在高级策略基础结构中配置 NSLOG 操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

配置审核日志策略

使用命令行界面在经典策略基础结构中配置审核日志策略

在命令提示窗口中,键入:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]

将审核系统日志策略绑定到全局系统日志

使用命令行界面在经典策略框架中绑定审核日志策略

在命令提示窗口中,键入:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

使用高级策略表达式配置审核日志策略

在高级策略中配置审核日志记录包括以下步骤:

  1. 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。TCP 比 UDP 更可靠地传输完整数据。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后,将日志发送到 SYSLOG 服务器。
  2. 配置审核日志策略。配置 SYSLOG 策略以将消息记录到 SYSLOG 服务器,和/或 NSLOG 策略将消息记录到 NSLOG 服务器。每个策略都包含一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
  3. 将审核日志策略绑定到全局实体。必须将审核日志策略全局绑定到系统全局实体,才能启用所有 Citrix ADC 系统事件的日志记录。通过定义优先级级别,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高值,首先评估。优先次数越高,评价的优先次数就越低。

配置审核日志操作

使用命令行界面在高级策略基础结构中配置 syslog 操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]

使用命令行界面在高级策略基础结构中配置 NSLOG 操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

配置审核日志策略

使用命令行界面添加 syslog 审核操作

在命令提示窗口中,键入:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold

示例

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 ns_true audit-action1
    > add audit nslogPolicy nslog-pol1 ns_true nslog-action1
    > bind system global nslog-pol1 -priority 20

使用命令行界面添加 nslog 审核操作

在命令提示窗口中,键入:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`

将审核日志策略绑定到全球实体

使用命令行界面在高级策略框架中绑定 syslog 审核日志策略

在命令提示窗口中,键入:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

使用 GUI 配置审核日志策略

  1. 导航到配置 > 系统 > 审核 > 系统日志

本地化后的图片

  1. 选择“服务器”选项卡。
  2. 单击添加
  3. 在“创建审核服务器”页面中,填充相关字段,然后单击“创建”。
  4. 要添加策略,请选择“策略”选项卡,然后单击“添加”。
  5. 在“创建审核系统日志策略”页面中,填充相关字段,然后单击“创建”。

    本地化后的图片

  6. 要全局绑定策略,请从下拉列表中选择高级策略全局绑定。选择 best_syslog_policy_ever 策略。单击 Select(选择)。
  7. 从下拉列表中,选择绑定点作为 SYSTEM_GLOBAL ,然后单击绑定完成

配置基于策略的日志记录

您可以为重写和响应程序策略配置基于策略的日志记录。然后,当策略中的规则评估为 TRUE 时,将以定义的格式记录审核消息。要配置基于策略的日志记录,您需要配置一个审核消息操作,该操作使用默认语法表达式指定审核消息的格式,并将操作与策略关联。该策略可以全局绑定,也可以绑定到负载平衡或内容交换虚拟服务器。您可以使用审核消息操作在不同的日志级别记录消息,既可以是系统日志格式,也可以是系统日志格式和 newnslog 格式

必备条件

  • 在配置要以定义格式向其发送日志的审核操作服务器时,启用了“用户可配置日志消息(userDefinedAuditlog)”选项。
  • 相关的审核策略与全局系统相关。

配置审核消息操作

您可以配置审核消息操作,以便在不同的日志级别记录消息,既可以是系统日志格式,也可以是系统日志格式和 newnslog 格式。审核消息操作使用表达式指定审核消息的格式。

使用命令行界面创建审核消息操作

在命令提示窗口中,键入:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)] [-bypassSafetyCheck (YES|NO)]
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL' -bypassSafetyCheck YES

使用 GUI 配置审核消息操作

导航到“系统”>“审核”>“邮件操作”,然后创建审核邮件操作。

将审核消息操作绑定到策略

创建审核消息操作后,必须将其绑定到重写或响应程序策略。有关将日志消息操作绑定到重写或响应程序策略的详细信息,请参阅“[重写](/zh-cn/citrix-adc/13/appexpert/responder.html”或“响应方”。