网络疑难解

客户可以从一个玻璃窗格查看所有网络设备的日志,从而快速进行故障排除。可以查看审核和设备日志。

审核日志

审核日志将捕获客户网络中的用户执行的操作的操作、时间和结果。

网络审核日志

设备日志

客户可以查看站点特定的设备日志。

您可以选择特定的设备日志、下载并在必要时与站点管理员共享。

网络设备日志

安全日志

在 Citrix SD-WAN 设备中,边缘安全事件记录在 SDWAN_advanced_firewall.log 文件中。日志文件会根据大小定期轮换,剩余最多 23 个档案或一天价值的日志,以较少者为准。例如,考虑以下两个使用案例:

  • 如果日志文件以每 20 个事务(日志条目)1 GB 的速率填满,则在任何给定时间,设备中都可以使用大约 8 小时的日志。
  • 如果日志文件以每小时 1 GB 或更慢的速度填满,则设备中可以查看整天的日志。

注意

  • 日志轮换的大小阈值取决于设备。对于 Citrix SD-WAN 1100 设备,日志轮换大小阈值为 1 GB。
  • 日志文件 SDWAN_advanced_firewall.log 仅适用于 Citrix SD-WAN 1100 设备,但在 Citrix SD-WAN 210 SE 和 Citrix SD-WAN 210 SE LTE 设备上不可用。

要从 Citrix SD-WAN 设备接收安全日志,请在设备 UI 中导航到配置 > 设备设置 > 日志/监控 > Syslog Server 并确保启用了防火墙日志到 Syslog 选项。

从管弦乐队中检索

与其他设备日志文件类似,您可以从 Citrix SD-WAN Orchestrator 中检索边缘安全防火墙日志。在网络级别,导航到故障排除 > 设备日志,选择启用了 Edge Security 的站点,选择要下载的高级防火墙日志,然后单击下载

网络疑难解

导出到外部 syslog 服务器

如果在设备 UI(设备设置 > 日志记录/监视 > 系统日志服务器)上配置了外部 syslog 服务器,则将生成边缘安全日志并卸载到此服务器。

日志条目

边缘安全日志条目遵循通用事件格式 (CEF)。CEF 是定义日志消息语法的标准,因此允许在解决方案中生成日志消息的多个设备的互操作性。

CEF 由标准标题和变量扩展组成。标题格式如下:

Timestamp host CEF:Version|Device Vendor|Device Product|Device Version|Device Event Class ID|Name|Severity|[Extension] ```

示例:

Jan 18 11:07:53 sd-wan CEF:0 Citrix SD-WAN 11.2.2.7 EdgeSec Name Severity Extension ```

以下字段是 SD-WAN 生成的所有边缘安全日志的通用字段:

  • 时间戳:生成日志消息的时间。

    注意

    这一时间可能与消息对应的事件的发生时间不同。

  • 主机:生成日志文件的主机的名称。例如,mybranch

  • CEF:固定字符串,表示消息的剩余部分采用 CEF 格式。

    注意

    不支持其他格式。

  • 版本:标识 CEF 格式的版本。当前的 CEF 版本是 0。

  • 设备供应商:生成 CEF 消息的实例或设备的供应商。该领域始终是 Citrix

  • 设备产品:产品 SD-WAN

  • 设备版本:SD-WAN 设备的软件版本,采用 major.minor.patch.buildnumber 格式。例如,11.2.0.88。

  • 设备事件类别 ID:每种事件类型的唯一标识符。对于边缘安全日志,它始终是 EdgeSec

  • 名称:边缘安全事件类型的人类可读描述。例如,HTTP、FTP 等。

  • 严重性:反映事件的安全关键程度。CEF 标准中定义的严重级别如下:
    • 0-3=Low
    • 4-6=Medium
    • 7-8=High
    • 9-10=Very-High

    对于 Citrix SD-WAN Edge 安全事件,以下标准用于确定严重性级别:

    Severity level Description   - -   0 All SESSION events and all allowed HTTP Web filtering events   3 All clean (allowed) FTP, SMTP, and HTTP Anti-Malware events   4 Logged IPS events   6 Blocked HTTP Web filtering events   7 Blocked IPS events   8 Blocked (infected) FTP, SMTP, and HTTP Anti-Malware events
  • 扩展:提供有关事件的更多详细信息的键值对的集合。例如,“rt=Aug 13 2020 11:46:55”,其中“rt”是事件时间戳的关键,而“Aug 13 2020 11:46:55”是值。使用的键值对取决于 CEF 消息对应的事件类型。以下部分提供了事件类型的详细描述。

HTTP

HTTP (S) 日志条目捕获与 HTTP 或 HTTPS 流量相关的事件。此类事件可以由 Web 过滤组件(对 HTTP (S) 请求执行 URL 分类的 Web 过滤组件或反恶意软件组件(该组件扫描 HTTP 响应是否存在恶意软件感染)生成。下表介绍了 HTTP 日志条目中的各种扩展:

Field Description   - -   rt 事件的时间,没有时区。时间以 UTC.   CN1 会话标识符表示,允许与会话事件关联   CN1label cn1label cn1 字段的描述性文本。值为 session_ID.   CS1 cs1 cs1 字段的配置安全策略   CS1label 描述性文本。The value is Security profile.   src The source IP address (client-side)   spt The source port (client-side)   dst The destination IP address (server-side)   dpt The destination port address (server-side)   requestMethod The HTTP request (for example, GET, POST)   request The HTTP URL   dhost The HTTP host name   act The action for the HTTP event.对于允许的 HTTP 事件,该值为 allowed,对于被阻止的 HTTP 事件,该值为 blocked   reason 生成该事件的组件。有效值为 web_filteranti_malware   cs2 url 类别的类别名称匹配   cs2Label 字段的描述性文本。值为 URL 类别.   CS3 在负载中识别的恶意软件的名称(如果有)   CS3label cs3label cs3 字段的描述性文本。值是恶意软件名称.

HTTP 事件可以由 Web 过滤或反恶意软件组件生成。对于 Web 过滤事件,cs3 键的值为空,而对于反恶意软件事件,cs2 键的值为空。

允许的 HTTP web 过滤事件的典型日志条目如下:

Oct 8 2020 09:51:01 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|0|rt=Oct 8 2020 09:51:01 cn1=104946811893306 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=54749 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/eicar.exe dhost=192.168.1.2 act=allowed reason=web_filter cs2=Uncategorized cs2Label=URL Category cs3= cs3Label=Malware name ```

阻止的 HTTP Web 过滤事件的典型日志条目如下:

Oct 8 2020 09:46:57 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec HTTP 6 rt=Oct 8 2020 09:46:57 cn1=104946811893249 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=59543 dst=192.168.1.2 dpt=443 requestMethod=GET request=http://www.randomadultsite.com/ dhost=www.randomadultsite.com act=blocked reason=web_filter cs2=Adult and Pornography cs2Label=URL Category cs3= cs3Label=Malware name ```

允许的 HTTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 11:49:09 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|HTTP|3|rt=Oct 8 2020 11:49:08 cn1=104946811893527 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=34143 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/harmless.exe dhost=192.168.1.2 act=allowed reason=anti_malware cs2= cs2Label=URL Category cs3= cs3Label=Malware name ```

阻止的 HTTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 11:45:43 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec HTTP 8 rt=Oct 8 2020 11:45:43 cn1=104946811893520 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=37702 dst=192.168.1.2 dpt=80 requestMethod=GET request=http://192.168.1.2/eicar.exe dhost=192.168.1.2 act=blocked reason=anti_malware cs2= cs2Label=URL Category cs3=EICAR-Test-File cs3Label=Malware name ```

FTP 事件

FTP 日志条目捕获与 FTP 请求相关的用户活动。下表介绍了 FTP 日志条目中的各个字段:

字段 描述   - -   RT 事件的时间,没有时区   CN1 会话标识符允许与会话事件关联   CN1label cn1label cn1 字段的描述性文本。值为 session_ID.   CS1 cs1 cs1 字段的配置安全策略   CS1label 描述性文本。值为 安全配置文件.   SRC 源 IP 地址(客户端)   DST 目标 IP 地址(服务器端)   请求 FTP URI   ACT FTP 事件的操作。对于允许的 FTP 事件,该值为 allowed,对于被阻止的 FTP 事件,该值为 blocked   reason 生成该事件的组件。目前,唯一生成 FTP 事件的组件是 anti_malware   cs3 在负载中识别的恶意软件的名称(如果有)   CS3label cs3label cs3 字段的描述性文本。值是恶意软件名称.

允许的 FTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 09:49:56 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|FTP|3|rt=Oct 8 2020 09:49:56 cn1=104946811893256 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=harmless.exe act=allowed reason=anti_malware cs3= cs3Label=Malware name ```

被阻止的 FTP 反恶意软件事件的典型日志条目如下:

Oct 8 2020 09:50:06 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec FTP 8 rt=Oct 8 2020 09:50:06 cn1=104946811893276 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 dst=192.168.1.2 request=eicar.exe act=blocked reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name ```

SMTP 活动

SMTP 日志条目捕获与使用 SMTP 协议发送的未加密电子邮件相关的用户活动。下表介绍了 SMTP 日志条目中的各个字段:

字段 描述   - -   RT 事件的时间,没有时区   CN1 会话标识符允许与会话事件关联   CN1label cn1label cn1 字段的描述性文本。值为 session_ID.   CS1 cs1 cs1 字段的配置安全策略   CS1label 描述性文本。值为 安全配置文件.   SRC 源 IP 地址(客户端)   SPT 源端口(客户端)   DST 目标 IP 地址(服务器端)   DPT 目标端口地址(服务器端)   CN2 消息标识符   CN2label cn2 字段的描述性文本。值为 消息标识符.   CS4 cs4label cs4label cs4 字段的描述性文本。值为 消息主题.   suser 发件人的地址   Duser 接收者的地址   ACT SMTP 事件的操作。对于允许的 SMTP 电子邮件,值为 allowed,对于阻止的 SMTP 电子邮件,值为 blocked,对于删除恶意软件有效负载后允许发送的 SMTP 电子邮件,值为 remove   reason 操作的原因。值为 anti_malware   cs3 在负载中识别的恶意软件的名称(如果有)   cs3Label cs3 字段的描述性文本。值是恶意软件名称.

带有病毒的 SMTP 事件的典型日志条目如下:

Oct 8 2020 11:51:31 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|SMTP|8|rt=Oct 8 2020 11:51:31 cn1=104946811893617 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=36097 dst=192.168.1.2 dpt=25 cn2=104946811893546 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=remove reason=anti_malware cs3=EICAR-Test-File cs3Label=Malware name ```

没有病毒的 SMTP 事件的典型日志条目如下:

Oct 8 2020 11:50:50 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec SMTP 3 rt=Oct 8 2020 11:50:50 cn1=104946811893573 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=52737 dst=192.168.1.2 dpt=25 cn2=104946811893537 cn2Label=message identifier cs4=Test email cs4Label=subject suser=sender@sender.com suserLabel=sender duser=receiver@receiver.com duserLabel=receiver act=allowed reason=anti_malware cs3= cs3Label=Malware name ```

IP/ID

字段 描述   - -   RT 事件的时间,没有时区   CN3 触发事件的 IPS/IDS 签名标识符   CN3Label cn3Label cn3Label cn3 的描述性文本。值为 signature_id.   SRC 数据包的源 IP 地址   SPT 数据包的源端口(如果适用)   DST 数据包的目的 IP 地址   DPT 数据包的目标端口(如果适用)   proto 数据包的协议(TCP、UDP) ACT IPS/IDS 事件的操作。对于允许的 IPS/IDS 事件,值为 logged,而对于被阻止的 IPS/IDS 事件,该值被 blocked   cs5 触发事件的 IPS/IDS 签名的类型   cs5Label cs5 的描述性文本。值为 class-type   msg 与事件关联的 IPS 消息

被阻止的 IPS 事件的典型日志条目如下:

Aug 14 2020 14:58:59 mybranch CEF:0|Citrix|SD-WAN|11.2.2.53|EdgeSec|HTTP|7|rt=Aug 14 2020 14:58:59 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1944 dst=192.168.1.2 dpt=22 proto=TCP act=blocked cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack ```

记录的 IPS 事件的典型日志条目如下:

Oct 8 2020 12:57:36 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec IPS 4 rt=Oct 8 2020 12:57:36 cn3=2210051 cn3Label=signature_id src=192.168.0.2 spt=1076 dst=192.168.1.2 dpt=22 proto=TCP act=logged cs5=protocol-command-decode cs5Label=class-type msg=SURICATA STREAM Packet with broken ack ```

会话活动

会话日志条目捕获 TCP 层的用户活动。它们通过提供有关 TCP 会话持续时间以及开始和停止时间戳的洞察来补充 HTTP、FTP 和 SMTP 事件。会话日志条目可以引用会话开始、会话结束或更新事件。

字段 描述   - -   RT 事件的时间,没有时区。对于会话开始事件,时间戳是建立会话的时间。   CN1 会话标识符   CN1label cn1label cn1 字段的描述性文本。值为 session_ID.   CS1 cs1 cs1 字段的配置安全策略   CS1label 描述性文本。The value is Security profile.   src The source IP address (client-side)   spt The source port (client-side)   dst The destination IP address (server-side)   dpt The destination port address (server-side)   act The type of the session event.It can be new_session for events referring to a newly established session, session_update, for events referring to existing long-lived sessions, and session_closed, for events referring to sessions closing.   end The time the session closed without time zone.该字段仅适用于 session_closed 事件。

会话启动事件的典型日志条目如下:

Oct 7 2020 23:46:44 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:46:44 cn1=104946811892916 cn1Label=session_id cs1=Test_Prof1 cs1Label=Security profile src=192.168.0.2 spt=43838 dst=10.78.242.11 dpt=53 act=new_session ```

会话结束事件的典型日志条目如下:

Oct 7 2020 23:46:46 mybranch CEF:0 Citrix SD-WAN 11.2.2.2 EdgeSec Session 0 rt=Oct 7 2020 23:46:45 cn1=104946811892917 cn1Label=session_id cs1=1 cs1Label=Security profile end=1602114405989 src=192.168.0.2 spt=42253 dst=10.78.242.11 dpt=53 act=session_closed ```

会话更新

Session 每分钟更新日志条目捕获 TCP 层长时间运行的会话的用户活动。会话更新有助于识别与仍打开的会话对应的现有日志条目(HTTP、SMTP、FTP 和会话事件)。由于会话关闭可能会更新某些属性(即会话结束时间),因此可以忽略相应的事件,也可以将其视为暂定事件。与 session_start 和 session_closed 事件相反,session_update 事件只有有限的字段子集。

字段 描述   - -   RT 事件的时间,没有时间区域   CN1 会话标识符   CN1Label cn1Label cn1 字段的描述性文本。值为 session_ID.   ACT IPS/IDS 事件的操作。对于会话更新,值为 session_update.

会话更新事件的典型日志条目如下:

Oct 7 2020 23:47:00 mybranch CEF:0|Citrix|SD-WAN|11.2.2.2|EdgeSec|Session|0|rt=Oct 7 2020 23:47:00 cn1=104946811892912 cn1Label=session_id act=session_update

网络疑难解