Citrix SD-WAN Orchestrator

网络疑难解

客户可以查看所有网络设备的日志,从而实现快速故障排除。

审核日志

审计日志捕获用户在客户网络上执行的操作的操作、时间和结果。导航到 “ 故障排除 ” > “ 审核日志 ” 以查看 “ 审核日志 ” 页面。

审核日志页面显示以下信息:

  • 搜索栏:根据关键字搜索审计活动。
  • 筛选选项:通过基于以下条件进行筛选来运行审计日志搜索:
    • 用户
    • 功能
    • 站点
    • 时间范围
  • 导出为 CSV:单击此选项时,审计日志条目将导出到 CSV 文件中。
  • 审计信息:单击 “ 操作 ” 列上的图标导航到 “ 审计信息 ” 部分。本部分提供以下信息:
    • 方法:调用的 API 的 HTTP 请求方法。
    • 状态:API 请求的结果。当 API 请求失败时,您会看到以下错误响应。
    • 响应:API 请求失败时的错误响应。此字段仅在 API 请求失败时显示。
    • 负载:通过 API 发送的请求正文。
    • 网址:已撤销的 API 的 HTTP 网址。

      网络审计信息

    • 来源 IP:配置 SD-WAN 功能的端点的 IP 地址。此字段可在 “ 审计日志 ” 页面和 “ 审计信息 ” 页面上找到。
    • 更改内容:本部分显示通过 UI 对 SD-WAN 功能进行的所有更改的日志。启用 “记录负载” 切换按钮以查看 “ 审计信息 ” 页面上的更改。

      网络审计信息

  • 记录有效负载:默认情况下,此选项处于禁用状态。启用后,API 消息的请求正文将显示在 “ 审计信息 ” 部分中。有关 API 的更多信息,请参阅 Citrix SD-WAN Orchestrator 的 API 指南

    网络审核日志

设备日志

客户可以查看特定于站点的设备日志。

您可以选择特定的设备日志、下载并在必要时与站点管理员共享。

网络设备日志

安全日志

在 Citrix SD-WAN 设备中,边缘安全事件记录在 SDWAN_advanced_firewall.log 文件中。日志文件会根据大小定期轮换,剩余最多 23 个档案或一天价值的日志,以较少者为准。例如,考虑以下两个使用案例:

  • 如果日志文件以每 20 个事务(日志条目)1 GB 的速率填满,则在任何给定时间,设备中都可以使用大约 8 小时的日志。
  • 如果日志文件以每小时 1 GB 或更慢的速度填满,则设备中可以查看整天的日志。

注意

  • 日志轮换的大小阈值取决于设备。对于 Citrix SD-WAN 1100 设备,日志轮换大小阈值为 1 GB。
  • 日志文件 SDWAN_advanced_firewall.log 仅适用于 Citrix SD-WAN 1100 设备。它在 Citrix SD-WAN 210 SE 和 Citrix SD-WAN 210 SE LTE 设备上不可用。

要接收来自 Citrix SD-WAN 设备的安全日志,请在设备用户界面中导航到 配置 > 设备设置 > 记录/监控 > Syslog 服务器 ,并确保启用 “ 防火墙记录到系统日志 ” 选项。

从 Citrix SD-WAN Orchestrator 服务中检索

与其他设备日志文件类似,您可以从 Citrix SD-WAN Orchestrator 服务检索 Edge Security 防火墙日志。在网络级别,导航到 故障排除 > 设备日志,选择启用了 Edge Security 的站点,选择要下载的高级防火墙日志,然后单击 “ 下载”。

网络疑难解

导出到外部 syslog 服务器

如果在设备用户界面(设备设置 > 记录 /监控 > Syslog 服务器)上配置了外部syslog 服务器,则会生成 Edge Security 日志并将其卸载到此服务器。

日志条目

边缘安全日志条目遵循通用事件格式 (CEF)。CEF 是定义日志消息语法的标准,因此允许在解决方案中生成日志消息的多个设备的互操作性。

CEF 由标准标题和变量扩展组成。标题格式如下:

Timestamp host CEF:Version|Device Vendor|Device Product|Device Version|Device Event Class ID|Name|Severity|[Extension]
<!--NeedCopy-->

示例:

Jan 18 11:07:53 sd-wan CEF:0|Citrix|SD-WAN|11.2.2.7|EdgeSec|Name|Severity|Extension
<!--NeedCopy-->

以下字段是 SD-WAN 生成的所有边缘安全日志的通用字段:

  • 时间戳:生成日志消息的时间。

    注意

    此时间可能与消息对应的事件时间不同。

  • 主机:生成日志文件的主机的名称。例如, mybranch

  • CEF:固定字符串,表示消息的其余部分遵循 CEF 格式。

    注意

    不支持其他格式。

  • 版本:标识 CEF 格式的版本。当前的 CEF 版本是 0。

  • 设备供应商:生成 CEF 消息的实例或设备的供应商。该字段始终为 Citrix

  • 设备产品:产品, SD-WAN

  • 设备版本主要.minor.patch.buildnum ber 格式的 SD-WAN 设备的软件版本。例如,11.2.0.88。

  • 设备事件类别 ID:每种事件类型的唯一标识符。对于 Edge 安全日志,它始终是 EdgeSec

  • 名称:对 Edge Security 事件类型的人类可读描述。例如,HTTP、FTP 等。

  • 严重性:反映事件的安全严重程度。CEF 标准中定义的严重级别如下:
    • 0-3=Low
    • 4-6=Medium
    • 7-8=High
    • 9-10=Very-High

    对于 Citrix SD-WAN Edge 安全事件,以下标准用于确定严重性级别:

    严重性级别 说明
    0 所有会话事件和所有允许的 HTTP Web 筛选事件
    3 所有清除(允许)FTP、SMTP 和 HTTP 防恶意软件事件
    4 记录的 IPS 事件
    6 阻止的 HTTP Web 过滤事件
    7 阻止的 IPS 事件
    8 阻止(受感染)FTP、SMTP 和 HTTP 防恶意软件事件
  • 扩展:提供有关事件更多详细信息的键值对的集合。例如,“rt=2020 年 8 月 13 日 11:46:55”,其中 “rt” 是事件时间戳的密钥,“2020 年 8 月 13 日 11:46:55” 是值。使用的键值对取决于 CEF 消息对应的事件类型。以下部分提供了事件类型的详细描述。

HTTP

HTTP (S) 日志条目捕获与 HTTP 或 HTTPS 流量相关的事件。此类事件可以由 Web 过滤组件(对 HTTP (S) 请求执行 URL 分类的 Web 过滤组件或反恶意软件组件(该组件扫描 HTTP 响应是否存在恶意软件感染)生成。下表介绍了 HTTP 日志条目中的各种扩展:

字段 说明
rt 事件的时间,不包括时区。时间用 UTC 表示。
cn1 会话标识符,允许与会话事件相关联
cn1Label cn1 字段的描述性文本。值为 session_ID
cs1 配置的安全策略
cs1Label cs1 字段的描述性文本。值为 安全配置文件
src 源 IP 地址(客户端)
spt 源端口(客户端)
dst 目标 IP 地址(服务器端)
dpt 目标端口地址(服务器端)
请求方法 HTTP 请求(例如 GET、POST)
请求 HTTP 网址
dhost HTTP 主机名
行动 HTTP 事件的操作。对于允许的 HTTP 事件,该值为 允许 值;对于已阻止的 HTTP 事件,该值被 阻止
原因 生成事件的组件。有效值为 web_filteranti_malware。
cs2 URL 类别的类别名称已匹配
cs2Label cs2 字段的描述性文本。值为 URL 类别
cs3 有效负载中识别的恶意软件的名称(如果有)
cs3Label cs3 字段的描述性文本。值为 恶意软件名称

HTTP 事件可以由 Web 过滤或反恶意软件组件生成。对于 Web 过滤事件,cs3 键的值为空,而对于反恶意软件事件,cs2 键的值为空。

允许的 HTTP web 过滤事件的典型日志条目如下:

Oct 8 2020 09:51:01 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|0|rt=Oct 8 2020 09:51:01 cn1=104946811893306 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=54749 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/eicar.exe dhost=192.168.1.2 act=allowed reason=web_filter cs2=Uncategorized cs2Label=URL Category cs3= cs3Label=Malware name
<!--NeedCopy-->

阻止的 HTTP Web 过滤事件的典型日志条目如下:

Oct 8 2020 09:46:57 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|6|rt=Oct 8 2020 09:46:57 cn1=104946811893249 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=59543 dst=192.168.1.2 dpt=443 requestMethod=GET request=http://www.randomadultsite.com/ dhost=www.randomadultsite.com act=blocked reason=web_filter cs2=Adult and Pornography cs2Label=URL Category cs3= cs3Label=Malware name
<!--NeedCopy-->

允许的 HTTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 11:49:09 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|3|rt=Oct 8 2020 11:49:08 cn1=104946811893527 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=34143 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/harmless.exe dhost=192.168.1.2 act=allowed reason=anti_malware cs2= cs2Label=URL Category cs3= cs3Label=Malware name
<!--NeedCopy-->

阻止的 HTTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 11:45:43 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|8|rt=Oct 8 2020 11:45:43 cn1=104946811893520 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=37702 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/eicar.exe dhost=192.168.1.2 act=blocked reason=anti_malware cs2= cs2Label=URL Category cs3=EICAR-Test-File cs3Label=Malware name
<!--NeedCopy-->

FTP 事件

FTP 日志条目捕获与 FTP 请求相关的用户活动。下表介绍了 FTP 日志条目中的各个字段:

字段 说明
rt 事件的时间,不包括时区
cn1 会话标识符,允许与会话事件相关联
cn1Label cn1 字段的描述性文本。值为 session_ID
cs1 配置的安全策略
cs1Label cs1 字段的描述性文本。值为 安全配置文件
src 源 IP 地址(客户端)
dst 目标 IP 地址(服务器端)
请求 FTP URI
行动 FTP 事件的操作。对于允许的 FTP 事件,该值为 允许 ;对于已阻止 FTP 事件,该值为 阻止
原因 生成事件的组件。生成 FTP 事件的唯一组件目前是 反恶意软件
cs3 有效负载中识别的恶意软件的名称(如果有)
cs3Label cs3 字段的描述性文本。值为 恶意软件名称

允许的 FTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 09:49:56 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|FTP|3|rt=Oct 8 2020 09:49:56 cn1=104946811893256 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=harmless.exe act=allowed reason=anti_malware cs3= cs3Label=Malware name
<!--NeedCopy-->

被阻止的 FTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 09:50:06 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|FTP|8|rt=Oct 8 2020 09:50:06 cn1=104946811893276 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=eicar.exe act=blocked reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name
<!--NeedCopy-->

SMTP 活动

SMTP 日志条目捕获与使用 SMTP 协议发送的未加密电子邮件相关的用户活动。下表介绍了 SMTP 日志条目中的各个字段:

字段 说明
rt 事件的时间,不包括时区
cn1 会话标识符,允许与会话事件相关联
cn1Label cn1 字段的描述性文本。值为 session_ID
cs1 配置的安全策略
cs1Label cs1 字段的描述性文本。值为 安全配置文件
src 源 IP 地址(客户端)
spt 源端口(客户端)
dst 目标 IP 地址(服务器端)
dpt 目标端口地址(服务器端)
cn2 消息标识符
cn2Label cn2 字段的描述性文本。该值是 消息标识符
cs4 电子邮件主题
cs4Label cs4 字段的描述性文本。值为 消息主题
使用者 发件人的地址
duser 接收者的地址
行动 SMTP 事件的操作。对于 允许的 SMTP 电子邮件,该值为 “允许”,对于 阻止的 SMTP 电子邮件,对于 删除 恶意软件负载后允许的 SMTP 电子邮件,该值为 “删除”。
原因 采取行动的原因。值为 反恶意软件
cs3 有效负载中识别的恶意软件的名称(如果有)
cs3Label cs3 字段的描述性文本。值为 恶意软件名称

带有病毒的 SMTP 事件的典型日志条目如下:

Oct 8 2020 11:51:31 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|SMTP|8|rt=Oct 8 2020 11:51:31 cn1=104946811893617 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=36097 dst=192.168.1.2 dpt=25 cn2=104946811893546 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=remove reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name
<!--NeedCopy-->

没有病毒的 SMTP 事件的典型日志条目如下:

Oct 8 2020 11:50:50 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|SMTP|3|rt=Oct 8 2020 11:50:50 cn1=104946811893573 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=52737 dst=192.168.1.2 dpt=25 cn2=104946811893537 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=allowed reason=anti_malware cs3= cs3Label=Malware name
<!--NeedCopy-->

IP/ID

字段 说明
rt 事件的时间,不包括时区
cn3 触发事件的 IPS/IDS 签名标识符
cn3Label cn3 的描述性文本。值是 s ignature_id
src 数据包的源 IP 地址
spt 数据包的源端口(如果适用)
dst 数据包的目标 IP 地址
dpt 数据包的目标端口(如果适用)
原体 数据包的协议(TCP、UDP)
行动 IPS/IDS 事件的动作。对于允许的 IPS/IDS 事件,将 记录该值,而对于已阻止 IPS/IDS 事件,该值 将被阻止
cs5 触发事件的 IPS/IDS 签名的类类型
cs5Label cs5 的描述性文本。该值为 类类型
味精 与事件相关的 IPS 消息

被阻止的 IPS 事件的典型日志条目如下:

Aug 14 2020 14:58:59 mybranch CEF:0|Citrix|SD-WAN|11.2.2.53|EdgeSec|HTTP|7|rt=Aug 14 2020 14:58:59 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1944 dst=192.168.1.2 dpt=22 proto=TCP act=blocked cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack
<!--NeedCopy-->

记录的 IPS 事件的典型日志条目如下:

Oct 8 2020 12:57:36 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|IPS|4|rt=Oct 8 2020 12:57:36 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1076 dst=192.168.1.2 dpt=22 proto=TCP act=logged cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack
<!--NeedCopy-->

会话活动

会话日志条目捕获 TCP 层的用户活动。它们通过提供有关 TCP 会话持续时间以及开始和停止时间戳的洞察来补充 HTTP、FTP 和 SMTP 事件。会话日志条目可以引用会话开始、会话结束或更新事件。

字段 说明
rt 事件的时间,不包括时区。对于会话启动事件,时间戳是建立会话的时间。
cn1 会话标识符
cn1Label cn1 字段的描述性文本。值为 session_ID
cs1 配置的安全策略
cs1Label cs1 字段的描述性文本。值为 安全配置文件
src 源 IP 地址(客户端)
spt 源端口(客户端)
dst 目标 IP 地址(服务器端)
dpt 目标端口地址(服务器端)
行动 会话事件的类型。对于引用新建 会话的事件,它可以是 new_s ession;对于引用现有长时间 会话的事件,可以是 session_update;对于涉及 会话关闭的事件,可以是 session_closed。
结束 会话关闭的时间,不包括时区。该字段仅适用于 session_close d 事件。

会话启动事件的典型日志条目如下:

Oct 7 2020 23:46:44 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:46:44 cn1=104946811892916 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=43838 dst=10.78.242.11 dpt=53 act=new_session
<!--NeedCopy-->

会话结束事件的典型日志条目如下:

Oct 7 2020 23:46:46 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:46:45 cn1=104946811892917 cn1Label=session_id cs1=1 cs1Label=Security profile end=1602114405989 src=192.168.0.2 spt=42253 dst=10.78.242.11 dpt=53 act=session_closed
<!--NeedCopy-->

会话更新

Session 每分钟更新日志条目捕获 TCP 层长时间运行的会话的用户活动。会话更新有助于识别与仍打开的会话对应的现有日志条目(HTTP、SMTP、FTP 和会话事件)。可以忽略相应的事件,也可以将其视为 暂定事件,因为会话关闭可能会更新某些属性(即会话结束时间)。与 session_start 和 session_closed 事件相反,session_update 事件只有有限的字段子集。

字段 说明
rt 事件的时间,不包括时区
cn1 会话标识符
cn1Label cn1 字段的描述性文本。值为 session_ID
行动 IPS/IDS 事件的动作。对于会话更新,值为 session_update

会话更新事件的典型日志条目如下:

Oct 7 2020 23:47:00 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:47:00 cn1=104946811892912 cn1Label=session_id act=session_update
<!--NeedCopy-->

显示技术支持包

Show Tech Support (STS) 捆绑包包含重要的实时系统信息,例如访问日志、诊断日志、防火墙日志。STS 捆绑包用于对 SD-WAN 设备中的问题进行故障排除。您可以创建、下载 STS 捆绑包,然后与 Citrix 支持代表共享。

选择要为其创建或下载 STS 包的站点。如果在 HA 部署模式下配置站点,则可以选择要为其创建或下载 STS 包的活动或备用设备。

要创建 STS 包,请在网络级别导航到 故障排除 > STS 捆绑包,选择一个站点,然后单击 新建

网络级显示技术支持包

提供 STS 捆绑包的名称。名称必须以字母开头,并且可以包含字母、数字、破折号和分数不足。名称的最大允许长度为 32 个字符。用户提供的名称用作最终名称的前缀。为了确保文件名的唯一性(时间戳)并帮助从 STS 包(序列号)中识别设备,该服务会生成一个全名。如果未提供名称,则在创建包时自动生成名称。

只有当设备处于联机状态且设备上没有运行 STS 进程时,您才能请求新的 STS。即使设备处于脱机状态,您也可以从 Citrix SD-WAN Orchestrator 服务下载已经可用的 STS。

创建显示技术支持包

在任何给定时间,STS 过程处于以下状态之一:

STS 状态 说明
已请求 请求新的 STS 捆绑包。该请求需要几分钟才能得到处理。如有必要,您可以选择取消 STS 创建过程。
正在上传 创建的 STS 软件包将上传到云服务。持续时间取决于包裹的大小。状态每 5 秒更新一次。您无法取消 STS 上传过程。
失败 STS 过程在创建或上传过程中失败。您可以删除失败的 STS 操作的条目。
可供下载 STS 的创建和上传过程已成功。您现在可以下载或删除 STS 软件包。

在设备上启动 STS 进程后,状态列下的进度将定期更新。例如, 已请求(收集日志文件)

STS 捆绑包和故障记录保留 7 天,之后会自动删除。

网络疑难解