Citrix ADC

审核日志记录

重要

Citrix 建议您仅在维护或停机期间更新 SYSLOG 或 NSLOG 配置。如果在创建会话后更新配置,则更改不会应用于现有会话日志。

审核是对条件或情况进行有条不紊的审查或审查。通过审核日志记录功能,您可以记录各种模块收集的 Citrix ADC 状态和状态信息。日志信息可以位于内核和用户级守护程序中。对于审核日志记录,您可以使用 SYSLOG 协议、本机 NSLOG 协议或两者。

SYSLOG 是用于日志记录的标准协议。它有两个组成部分:

  • SYSLOG 审计模块。 在 Citrix ADC 设备上运行。
  • SYSLOG 服务器。 在 Citrix ADC 设备的底层 FreeBSD 操作系统 (OS) 或远程系统上运行。

SYSLOG 使用用户数据协议 (UDP) 进行数据传输。

同样,本机 NSLOG 协议有两个组成部分:

  • NSLOG 审计模块。 在 Citrix ADC 设备上运行。
  • NSLOG 服务器。 在 Citrix ADC 设备的底层 FreeBSD 操作系统或远程系统上运行。

NSLOG 使用 TCP 进行数据传输。

运行 SYSLOG 或 NSLOG 服务器时,它会连接到 Citrix ADC 设备。然后 Citrix ADC 设备开始将所有日志信息发送到 SYSLOG 或 NSLOG 服务器。服务器会在将日志条目存储在日志文件中之前对其进行过滤。NSLOG 或 SYSLOG 服务器从多个 Citrix ADC 设备接收日志信息。Citrix ADC 设备将日志信息发送到多个 SYSLOG 服务器或 NSLOG 服务器。

如果配置了多个 SYSLOG 服务器,Citrix ADC 设备将其 SYSLOG 事件和消息发送到所有已配置的外部日志服务器。这会导致存储冗余消息,并使系统管理员难以进行监控。为解决此问题,Citrix ADC 设备提供了负载平衡算法。设备可以在外部日志服务器之间对 SYSLOG 消息进行负载平衡,以便更好地维护和性能。支持的负载平衡算法包括 RoundRobin、LeastBandwidth、CustomLoad、LeastPackets 和 AuditlogHash。

注意

Citrix ADC 设备可以向外部 SYSLOG 服务器发送最多 16 KB 的审核日志消息。

SYSLOG 或 NSLOG 服务器从 Citrix ADC 设备收集的日志信息以消息形式存储在日志文件中。这些消息通常包含以下信息:

  • 生成日志消息的 Citrix ADC 设备的 IP 地址。
  • 时间戳
  • 消息类型
  • 预定义的日志级别(严重、错误、通知、警告、信息、调试、警报和紧急)
  • 消息信息

要配置审核日志记录,首先在 Citrix ADC 设备上配置审核模块。设备涉及创建审计策略和指定 NSLOG 服务器或 SYSLOG 服务器信息。然后,您可以在 Citrix ADC 设备的底层 FreeBsd 操作系统或远程系统上安装和配置 SYSLOG 或 NSLOG 服务器。

注意

SYSLOG 是记录程序消息的行业标准,各种供应商都提供支持。该文档不包括 SYSLOG 服务器配置信息。

NSLOG 服务器有自己的配置文件 (auditlog.conf)。您可以通过对配置文件 (auditlog.conf) 进行额外修改来自定义 NSLOG 服务器系统上的日志记录。

审核日志记录