Citrix ADC

SYSLOG Over TCP

Syslog 是发送事件通知消息的标准。这些消息可以存储在本地或外部日志服务器上。Syslog 使网络管理员能够整合日志消息,并从收集的数据中获得见解。

Syslog最初设计用于在UDP上工作,UDP可以在同一网络中以最小的数据包丢失率传输大量数据。但是,电信运营商更喜欢通过 TCP 传输 syslog 数据,因为他们需要在网络之间进行可靠、有序的数据传输。例如,电信公司跟踪用户活动,TCP 在网络出现故障时提供重传。

基于 TCP 的系统日志的工作原理

要了解基于 TCP 的 syslog 的工作原理,请考虑以下两个假设案例:

Sam 是一名网络管理员,他想在外部 syslog 服务器上记录重要事件。

XYZ Telecom 是一家 ISP,必须在 syslog 服务器上传输和存储大量数据,以遵守政府法规。

在这两种情况下,日志消息都必须通过可靠的信道传输,并安全地存储在外部 syslog 服务器上。与UDP不同,TCP建立连接,安全地传输消息,并重新传输(从发送方到接收方)任何因网络故障而损坏或丢失的数据。

Citrix ADC 设备通过 UDP 向本地系统日志守护程序发送日志消息,然后通过 TCP 或 UDP 将日志消息发送到外部系统日志服务器。

Syslog 的 SNIP 支持

当审核日志模块生成系统日志消息时,它会使用 Citrix ADC IP (NSIP) 地址作为将消息发送到外部系统日志服务器的源地址。要将 SNIP 配置为源地址,必须将其作为 NetProfile 选项的一部分,然后将 NetProfile 绑定到 syslog 操作。

注意

TCP 使用 SNIP 发送监视探测来检查连接,然后通过 NSIP 发送日志。因此,必须能够通过 SNIP 访问系统日志服务器。网络配置文件可用于完全通过 SNIP 重定向所有 TCP 系统日志流量。

内部日志记录不支持使用 SNIP 地址。

完全限定域名支持审计日志

以前,审核日志模块是使用日志消息发送到的外部 syslog 服务器的目标 IP 地址配置的。现在,审计日志服务器使用完全限定的域名 (FQDN) 而不是目标 IP 地址。FQDN 配置将 syslog 服务器的配置域名解析为相应的目标 IP 地址,以便从审核日志模块发送日志消息。必须正确配置域名服务器才能解析域名并避免基于域的服务问题。

注意

配置 FQDN 时,不支持在系统日志操作或 nslog 操作中配置同一 Citrix ADC 设备的服务器域名。

使用命令行界面配置基于 TCP 的 Syslog

使用命令行界面将 Citrix ADC 设备配置为通过 TCP 发送系统日志消息

在命令提示符下,键入:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

使用命令行界面将 SNIP IP 地址添加到网络配置文件选项

使用命令行界面将 SNIP IP 地址添加到网络配置文件

在命令提示符下,键入:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

在哪里,srcip 就是 SNIP。

使用命令行界面在 syslog 操作中添加网络配置文件

使用命令行界面在 syslog 操作中添加 NetProfile 选项

在命令提示符下,键入:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

其中,-netprofile 指定已配置的网络配置文件的名称。SNIP 地址配置为 NetProfile 的一部分,此 NetProfile 选项绑定到 syslog 操作。

注意

必须始终将 NetProfile 绑定到绑定到 SYSLOGUDP 或 SYSLOGTCP 负载平衡虚拟服务器的 SYSLOGUDP 或 SYSLOGTCP 服务。

使用命令行界面配置 FQDN 支持

使用命令行界面向 Syslog 操作添加服务器域名

在命令提示符下,键入:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

使用命令行界面将服务器域名添加到 Nslog 操作中。

在命令提示符下,键入:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

其中 serverDomainName。日志服务器的域名。与 serverIP/ lbVserverName 互斥。

域名解析重试整数。在 DNS 解析失败后,Citrix ADC 设备在发送下一个 DNS 查询以解析域名之前等待的时间(以秒为单位)。

DomainResolveNow。如果必须立即发送 DNS 查询以解析服务器的域名,则包括此项。

使用 GUI 通过 TCP 配置系统日志

使用 GUI 将 Citrix ADC 设备配置为通过 TCP 发送系统日志消息

  1. 导航到系统 > 审核 > 系统日志,然后选择服务器选项卡。
  2. 单击 添加 ,然后选择传输类型为 TCP

使用 GUI 配置网络配置文件以支持 SNIP

使用 GUI 配置网络配置文件以支持 SNIP

  1. 导航到 系统 > 审核 > Syslog 并选择 服务器 选项卡。
  2. 单击“添加”,然后从列表中选择一个网络配置文件。

使用 GUI 配置 FQDN

使用 GUI 配置 FQDN

  1. 导航到系统 > 审核 > 系统日志,然后选择服务器选项卡。
  2. 单击“添加”,然后从列表中选择服务器类型和服务器域名。
SYSLOG Over TCP