Citrix ADC

配置 Citrix ADC 设备以进行审核日志记录

审核日志记录显示来自不同模块的状态信息,以便管理员可以按时间顺序查看事件历史记录。审计框架的主要组成部分是“审计行动”,“审计策略”.“审计操作”描述审计服务器配置信息,而“审计策略”将绑定实体链接到“审计操作”。审计策略使用“经典策略引擎”(CPE) 框架或进度集成 (PI) 框架将“审计行动”链接到“系统全局绑定实体”。

但是,在将审计日志策略与全球实体绑定方面,政策框架彼此不同。以前,审核模块仅支持经典表达式,但现在它同时支持经典和高级策略表达式。目前,高级表达式只能将审核日志策略绑定到系统全局实体。

注意

将策略绑定到全局实体时,必须将其绑定到具有相同表达式的系统全局实体。例如,您不能将经典策略绑定到高级全局实体,也不能将高级策略绑定到经典全局实体。

此外,您不能将传统审核日志策略和高级审核日志策略同时绑定到负载平衡虚拟服务器。

在经典策略表达式中配置审核日志策略

在经典策略中配置审核日志记录包括以下步骤:

  1. 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。TCP 比 UDP 更可靠地传输完整数据。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后将日志发送到 SYLOG 服务器。
  2. 配置审核日志策略。您可以配置 SYLOG 策略以将消息记录到 SYLOG 服务器,也可以配置 NSLOG 策略来将消息记录到 NSLOG 服务器。每个策略都包含一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
  3. 将审核日志策略绑定到全局实体。您必须将审核日志策略全局绑定到全局实体(如 SEM、VPN、Citrix ADC AAA 等)。您可以执行此操作以启用记录所有 Citrix ADC 系统事件。通过定义优先级级别,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高值,首先评估。优先次数越高,评价的优先次数就越低。

以下各节介绍了这些步骤中的每一个步骤。

配置审核日志操作

使用命令行界面在高级策略基础结构中配置 SYSLOG 操作。

注意

Citrix ADC 设备允许您仅为 SYSLOG 服务器 IP 地址和端口配置一个 SYSLOG 操作。设备不允许您将多个 SYSLOG 操作配置到同一服务器 IP 地址和端口。

syslog 操作包含对 syslog 服务器的引用。它指定要记录的信息,并提到如何记录这些信息。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

使用命令行界面在高级策略基础结构中配置 NSLOG 操作

ns 日志操作包含对 nslog 服务器的引用。它指定要记录的信息,并提到如何记录这些信息。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

配置审核日志策略

使用命令行界面在经典策略基础结构中配置审核日志策略

在命令提示窗口中,键入:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name>  [-rule <expression>] [-action <name>]

将审核系统日志策略绑定到全局系统日志

使用命令行界面在经典策略框架中绑定审核日志策略

在命令提示窗口中,键入:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

使用高级策略表达式配置审核日志策略

在高级策略中配置审核日志记录包括以下步骤:

  1. 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。TCP 比 UDP 更可靠地传输完整数据。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后将日志发送到 SYLOG 服务器。
  2. 配置审核日志策略。您可以配置 SYLOG 策略以将消息记录到 SYLOG 服务器,也可以配置 NSLOG 策略来将消息记录到 NSLOG 服务器。每个策略都包含一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
  3. 将审核日志策略绑定到全局实体。必须将审核日志策略全局绑定到系统全局实体,才能启用所有 Citrix ADC 系统事件的日志记录。通过定义优先级级别,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高值,首先评估。优先次数越高,评价的优先次数就越低。

注意:

Citrix ADC 设备将评估绑定为 true 的所有策略。

配置审核日志操作

使用命令行界面在高级策略基础结构中配置 syslog 操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]

使用命令行界面在高级策略基础结构中配置 NSLOG 操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]

配置审核日志策略

使用命令行界面添加 syslog 审核操作

在命令提示窗口中,键入:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold

示例

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20

使用命令行界面添加 nslog 审核操作

在命令提示窗口中,键入:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`

将审核日志策略绑定到全球实体

使用命令行界面在高级策略框架中绑定 syslog 审核日志策略

在命令提示窗口中,键入:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

使用 GUI 配置审核日志策略

  1. 导航到配置 > 系统 > 审核 > 系统日志

系统日志审计

  1. 选择服务器选项卡。
  2. 单击添加
  3. 创建审核服务器页面中,填充相关字段,然后单击创建
  4. 要添加策略,请选择策略选项卡,然后单击添加
  5. 创建审核系统日志策略页面中,填充相关字段,然后单击创建

    系统日志策略

  6. 要全局绑定策略,请从下拉列表中选择高级策略全局绑定。选择 best_syslog_policy_ever 策略。单击 Select(选择)。
  7. 从下拉列表中,选择绑定点作为 SYSTEM_GLOBAL ,然后单击绑定完成

配置基于策略的日志记录

您可以为重写和响应程序策略配置基于策略的日志记录。然后,当策略中的规则评估为 TRUE 时,将以定义的格式记录审核消息。要配置基于策略的日志记录,请配置审计消息操作,该操作使用默认语法表达式来指定审计消息的格式。并将操作与策略相关联。该策略可以全局绑定,也可以绑定到负载平衡或内容交换虚拟服务器。您可以使用审计消息操作在各种日志级别记录消息,可以仅采用 syslog 格式,也可以使用 syslog 格式和新 nslog 格式记录消息

必备条件

  • 在配置要以定义格式向其发送日志的审核操作服务器时,启用了“用户可配置日志消息(userDefinedAuditlog)”选项。
  • 相关的审核策略与全局系统相关。

配置审核消息操作

您可以配置审核消息操作,以便在各种日志级别记录消息,可以仅采用 syslog 格式或以 syslog 和新 ns 日志格式记录消息。审核消息操作使用表达式指定审核消息的格式。

使用命令行界面创建审核消息操作

在命令提示窗口中,键入:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)] [-bypassSafetyCheck (YES|NO)]
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL' -bypassSafetyCheck YES

使用 GUI 配置审核消息操作

导航到系统”>“审核”>“消息操作,然后创建审核消息操作。

将审核消息操作绑定到策略

创建审核消息操作后,必须将其绑定到重写或响应程序策略。有关将日志消息操作绑定到重写策略或响应策略的详细信息,请参阅重写响应程序

配置 Citrix ADC 设备以进行审核日志记录