网络日志

客户可以从一个玻璃窗格查看所有网络设备的日志,从而快速进行故障排除。可以查看审核和设备日志。

审核日志

审核日志将捕获客户网络中的用户执行的操作的操作、时间和结果。

网络审核日志

设备日志

客户可以查看站点特定的设备日志。

您可以选择特定的设备日志,下载日志,并在必要时与站点管理员共享。

网络设备日志

安全日志

在 Citrix SD-WAN 设备中,边缘安全事件将记录在 SDWAN_advanced_firewall.log 文件中。日志文件根据大小定期轮换,最多剩余 23 个档案或一天的日志(以较少者为准)。例如,考虑以下两个使用案例:

  • 如果日志文件以每 20 个事务(日志条目)1GB 的速率填充,则在任何给定时间,设备中大约 8 小时的日志都可用。
  • 如果日志文件以每小时 1 GB 或更慢的速度填充,则设备中将提供一天的日志。

注意

日志轮换的大小阈值取决于设备。对于 Citrix SD-WAN 1100 设备,日志轮换大小阈值为 1 GB。

要从 Citrix SD-WAN 设备接收安全日志,请在设备 UI 中导航到“配置”>“设备设置”>“记录/监视”>“Syslog Server”,并确保“防火墙日志到系统日志”选项为已启用。

从编排器检索

与其他设备日志文件类似,您可以从 Citrix SD-WAN Orchestrator 检索边缘安全防火墙日志。在网络级别,导航到 疑难解答 > 设备日志,选择启用了边缘安全性的站点,选择要下载的高级防火墙日志,然后单击 下载

网络故障排除

导出到外部 syslog 服务器

如果在设备 UI 上配置了外部 syslog 服务器(“设备设置”>“记 录/监视”>“Syslog 服务器”)生成边缘安全日志并将其卸载到此服务器。

日志条目

本节概述了此文件中的各种日志条目。

HTTP (S) 事件

HTTP (S) 日志条目捕获与 HTTP 和/或 HTTPS 请求相关的用户活动。下表介绍了 HTTP 日志条目中的各个字段。

字段名 说明
timestamp 事件的时间,没有时区
session_id 会话标识符,允许与会话事件相关联
策略 配置的安全策略
client_address 源 IP 地址(客户端)
client_port 源端口(客户端)
server_address 目标 IP 地址(服务器端)
server_port 目标端口地址(服务器端)
method HTTP 方法(例如,G 代表 GET)
URI HTTP URI,具有剥离查询字符串;此字段限制为 512 字节
host HTTP 主机名
web_filter_reason Web 过滤器阻塞/出请求的原因
web_filter_category_id 根据 Web 过滤器的数字类别
web_filter_blocked 如果 Web 过滤器阻止了此请求,如果阻止 false,则返回 true,否则
virus_blocker_clean 根据反恶意软件的文件的清洁度,如果缺少,则为 null
virus_blocker_name 根据反恶意软件的恶意软件名称,如果缺少,则为 null
event_type HTTP 和 HTTPS 记录的标记(HTTP)

允许请求的典型日志条目如下所示:

timestamp=2020-05-14T15:19:46 session_id=104156851843561 policy=aitwlos client_address=172.30.0.16 client_port=43474 server_address=147.102.222.211 server_port=80 method=G uri=/pub/linux/centos/8.1.1911/isos/x86_64/CentOS-8.1.1911-x86_64-dvd1.iso host=ftp.ntua.gr web_filter_reason=N web_filter_category_id=40 web_filter_blocked=false virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)

如果 Web 过滤应用程序阻止了请求,则“web_filter_blocked”字段将设置为 TRUE。

timestamp=2020-05-21T17:53:33 session_id=104201346751521 policy=profile_1 client_address=192.168.0.2 client_port=50666 server_address=13.227.223.5 server_port=443 method=G uri=/ host=www.espn.com web_filter_reason=D web_filter_category_id=42 web_filter_blocked=true virus_blocker_clean=null virus_blocker_name=null event_type=HTTP(s)

如果反恶意软件模块阻止了请求,则恶意软件名称将填充在相应的字段中。

timestamp=2020-05-26T09:01:35 session_id=104233671000368 policy=profile_2 client_address=192.168.0.4 client_port=33453 server_address=213.211.198.58 server_port=80 method=G uri=/download/eicar.com.txt host=2016.eicar.org web_filter_reason=N web_filter_category_id=56 web_filter_blocked=false virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=HTTP(s)

FTP 事件

FTP 日志条目捕获与 FTP 请求相关的用户活动。下表介绍了 FTP 日志条目中的各个字段:

字段名 说明
client_address 源 IP 地址(客户端)
method FTP 方法
策略 配置的安全策略
server_address 目标 IP 地址(服务器端)
session_id 会话,允许与会话相关
timestamp 事件的时间,没有时区
URI FTP URI
virus_blocker_clean 根据反恶意软件清洁的文件
virus_blocker_name 根据反恶意软件的恶意软件名称

FTP 请求的典型日志条目如下所示:

timestamp=2020-05-26T12:38:58 session_id=104228434064675 policy=Profile2 client_address=192.168.0.2 server_address=192.168.1.2 method=null uri=eicar.exe virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=FTP

SMTP 事件

SMTP 日志条目捕获与使用 SMTP 协议发送的未加密电子邮件相关的用户活动。下表介绍了 SMTP 日志条目中的各个字段:

字段名 说明
timestamp 事件的时间,没有时区
session_id 会话,允许与会话相关
策略 配置的安全策略
client_address 源 IP 地址(客户端)
client_port 源端口(客户端)
server_address 目标 IP 地址(服务器端)
server_port 目标端口地址(服务器端)
msg_id 消息标识符
使用者 电子邮件主题
sender 发件人的地址
接收器 接收方的地址
virus_blocker_clean 根据反恶意软件清洁的文件
virus_blocker_name 根据反恶意软件的恶意软件名称

具有病毒的 SMTP 请求的典型日志条目如下所示:

timestamp=2020-05-25T16:29:14 session_id=104229438357679 policy=Profile1 client_address=192.168.0.3 client_port=54867 server_address=192.168.1.2 server_port=25 msg_id=104229438357614 subject=Subject Greetings sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=false virus_blocker_name=EICAR-Test-File event_type=SMTP

没有病毒的 SMTP 请求的典型日志条目如下所示:

timestamp=2020-05-25T16:29:05 session_id=104229438357678 policy=Profile1 client_address=192.168.0.3 client_port=40467 server_address=192.168.1.2 server_port=25 msg_id=104229438357613 subject=Subject Greeting sender=John@gerasi-prod-pp receiver=null virus_blocker_clean=true virus_blocker_name=null event_type=SMTP

会话事件

会话日志条目捕获 TCP 层的用户活动。它们通过提供有关 TCP 会话终止时间戳的见解来补充 HTTP、FTP 和 SMTP 事件。

字段名 说明
timestamp 事件的时间,没有时区
session_id 会话标识符
end_time 会话结束的时间,没有时区的时间戳
策略 配置的安全策略
client_address 源 IP 地址(客户端)
client_port 源端口(客户端)
server_address 目标 IP 地址(服务器端)
server_port 目标端口地址(服务器端)
ssl_ruleid SSL 检查器规则中的匹配规则,如果缺少,则为空
ssl_status SSL 会话的状态/操作(已检查、忽略、阻止、不可信、已放弃);如果缺少,则为空
ssl_details 有关 SSL 连接(SNI、IP)的其他文本详细信息,如果缺少,则为空
event_type 两个可能的值:new_session 或 session_closed

新会话事件的典型日志条目如下所示:

timestamp=2020-05-21T18:49:46 session_id=104201346751773 end_time=2020-05-21T18:49:46 policy=profile1 client_address=192.168.0.2 client_port=37496 server_address=13.227.223.124 server_port=443 ssl_ruleid=null ssl_status=null ssl_details=null event_type=new_session

关闭会话事件的典型日志条目如下所示:

timestamp=2020-05-15T14:03:59 session_id=104172750410023 end_time=2020-05-15T14:04:00 policy=aitwlos client_address=169.254.100.2 client_port=123 server_address=176.58.127.165 server_port=123 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_closed

会话更新

对于长时间运行的会话,会话每分钟更新日志条目捕获 TCP 层的用户活动。会话更新有助于识别与仍处于打开状态的会话对应的现有日志条目(HTTP、SMTP、FTP 和会话事件)。相应的事件可能会忽略或被视为“暂定”,因为会话关闭可能会更新某些属性(即会话结束时间)。

字段名 说明
timestamp 事件的时间,没有时区的时间戳
session_id 会话标识符
start_time 会话的开始时间,没有时区的时间戳
end_time 会话结束的时间,没有时区的时间戳
策略 配置的安全策略
client_address 源 IP 地址(客户端)
client_port 源端口(客户端)
server_address 目标 IP 地址(服务器端)
server_port 目标端口地址(服务器端)
ssl_ruleid SSL 检查器规则中的匹配规则,如果缺少,则为空
ssl_status SSL 会话的状态/操作(已检查、忽略、阻止、不可信、已放弃);如果缺少,则为空
ssl_details 有关 SSL 连接的其他文本详细信息(SNI,IP 地址),如果缺少,则为空
event_type 当前更新会话的标记 (session_update)

会话更新事件的典型日志条目如下所示:

timestamp=2020-05-15T16:17:00 session_id=104173025813804 start_time=2020-05-15T16:15:53 end_time=2020-05-15T16:15:54 policy=testPolicy client_address=169.254.100.2 client_port=46249 server_address=169.254.100.1 server_port=53 ssl_ruleid=null ssl_status=null ssl_details=null event_type=session_update

IPS 事件

IPS 日志条目捕获触发属于选定 IPS 类类型或类别之一的 IPS 签名的流量,并触发非禁用的规则操作。

字段名 说明
timestamp 事件的时间,没有时区的时间戳
signature_id 规则的此 ID
grouping_id 规则的分组 ID。分组 ID + 签名 ID 指定规则的唯一标识符。
classtype_id 类类型的数字 ID
source_address 数据包的源 IP 地址
source_port 数据包的源端口(如果适用)
destination_address 数据包的目标 IP 地址
destination_port 数据包的目标端口(如果适用)
protocol 数据包的协议
被阻止 如果数据包被阻止(true)或丢弃(false)
类别 特定于应用程序的签名分组
类型 广义威胁签名分组(与分组 ID 无关)
消息 签字的“标题”或“描述”
event_type IPS 和 IDS 事件的标记(IPS/IDS)

IPS 事件的典型日志条目如下所示:

timestamp=2020-05-15T14:04:50 signature_id=2002752 grouping_id=1 classtype_id=3 source_address=192.168.100.55 source_port=32838 destination_address=22.22.22.163 destination_port=80 protocol=6 blocked=false category=policy classtype=bad-unknown message="ET POLICY Reserved Internal IP Traffic" event_type=IPS/IDS
网络日志