ADC

SYSLOG Over TCP

Syslog 是发送事件通知消息的标准。这些消息可以存储在本地或外部日志服务器上。Syslog 使网络管理员能够整合日志消息,并从收集到的数据中获取见解。

Syslog 最初设计用于通过 UDP 工作,UDP 可以在同一网络中传输大量数据,而最大限度地减少数据包丢失。但是,电信运营商更愿意通过 TCP 传输 syslog 数据,因为他们需要在网络之间进行可靠、有序的数据传输。例如,电信公司跟踪用户活动,TCP 在网络发生故障时提供重新传输。

Syslog over TCP 的工作原理

要了解 Syslog over TCP 的工作原理,请考虑两种假设情况:

Sam 是网络管理员,想要在外部 syslog 服务器上记录重要事件。

ISP XYZ Telecom 必须在系统日志服务器上传输和存储大量数据,以遵守政府法规。

在这两种情况下,日志消息都必须通过可靠的通道传输,并安全地存储在外部 syslog 服务器上。与 UDP 不同,TCP 建立连接,安全地传输邮件,并重新传输(从发件人到接收人)任何由于网络故障而损坏或丢失的数据。

Citrix ADC 设备通过 UDP 向本地系统日志守护进程发送日志消息,并通过 TCP 或 UDP 向外部系统日志服务器发送日志消息。

对系统日志的 SNIP 支持

审计日志模块生成 syslog 消息时,它使用 Citrix ADC IP (NSIP) 地址作为将消息发送到外部 syslog 服务器的源地址。若要将 SNIP 配置为源地址,必须使其成为 netprofile 选项的一部分,并将 netprofile 绑定到系统日志操作。

注意

TCP 使用 SNIP 发送监控探测器来检查连通性,然后通过 NSIP 发送日志。因此,syslog 服务器必须可以通过 SNIP 访问。网络配置文件可用于完全通过 SNIP 重定向所有 TCP syslog 流量。

内部日志记录中不支持使用 SNIP 地址。

完全限定的域名支持审计日志

以前,审核日志模块配置了日志消息发送到的外部 syslog 服务器的目标 IP 地址。现在,审计日志服务器使用完全限定的域名 (FQDN) 而不是目标 IP 地址。FQDN 配置将 syslog 服务器的配置域名解析为相应的目标 IP 地址,以便从审核日志模块发送日志消息。必须正确配置域名服务器才能解决域名并避免基于域的服务问题。

注意

配置 FQDN 时,不支持在 syslog 操作或 nslog 操作中对同一 Citrix ADC 设备进行服务器域名配置。

使用命令行界面通过 TCP 配置 Syslog

使用命令行界面将 Citrix ADC 设备配置为通过 TCP 发送系统日志消息

在命令提示符下,键入:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

使用命令行界面将 SNIP 地址添加到网络配置文件选项

使用命令行界面将 SNIP 地址添加到网络配置文件

在命令提示符下,键入:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

在哪里,sRCIP 是 SNIP。

使用命令行界面在 syslog 操作中添加网络配置文件

使用命令行界面在系统日志操作中添加 netprofile 选项的步骤

在命令提示符下,键入:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

其中,-netprofile 指定已配置的网络配置文件的名称。SNIP 地址配置为 netprofile 的一部分,并且此 netprofile 选项绑定到系统日志操作。

注意

在 syslog 操作中配置了 LB 虚拟服务器名称时,必须始终将 NetProfile 选项绑定到 SYSLOGUDP 或 SYSLOGTCP 负载平衡虚拟服务器的 SYSLOGUDP 或 SYSLOGTCP 服务。

使用命令行界面配置 FQDN 支持

使用命令行界面将服务器域名添加到 Syslog 操作的步骤

在命令提示符下,键入:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

使用命令行界面将服务器域名添加到 Nslog 操作。

在命令提示符下,键入:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

哪里 ServerDomainName。日志服务器的域名。与 serverIP/ lbVserverName 相互排斥。

DomainResolveRetry 整数。在 DNS 解析失败后,Citrix ADC 设备在发送下一个 DNS 查询以解析域名之前等待的时间(以秒为单位)。

DomainResolveNow。如果 DNS 查询必须立即发送以解析服务器的域名,则包括在内。

使用 GUI 配置 Syslog over TCP

使用 GUI 将 Citrix ADC 设备配置为通过 TCP 发送 Syslog 消息

  1. 导航到 系统 > 审核 > Syslog ,然后选择 服务器 选项卡。
  2. 单击添加并选择 TCP 作为传输类型。

使用 GUI 为 SNIP 支持配置网络配置文件

使用 GUI 为 SNIP 支持配置网络配置文件

  1. 导航到 系统 > 审核 > Syslog 并选择 服务器 选项卡。
  2. 单击添加并从列表中选择网络配置文件。

使用 GUI 配置 FQDN

使用 GUI 配置 FQDN

  1. 导航到 系统 > 审核 > Syslog ,然后选择 服务器 选项卡。
  2. 单击“添加”,然后从列表中选择“服务器类型”和“服务器域名”。
SYSLOG Over TCP