Konfigurieren der NetScaler-Appliance für die Überwachungsprotokollierung
Warnung:
Klassische Richtlinienausdrücke und ihre Verwendung sind ab NetScaler 12.0 Build 56.20 veraltet (von der Verwendung abgeraten, werden aber weiterhin unterstützt). Als Alternative empfiehlt Citrix, erweiterte Richtlinien zu verwenden. Weitere Informationen finden Sie unterErweiterte Richtlinien。
在der Auditprotokollierung了Statusinformationen aus verschiedenen Modulen angezeigt, sodass ein Administrator den Ereignisverlauf in chronologischer Reihenfolge einsehen kann. Hauptbestandteile eines Prüfungsrahmens sind “Prüfungsaktion”, “Audit-Richtlinie”. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Die Prüfungsrichtlinien verwenden das Framework “Classic Policy Engine” (CPE) oder das Progress Integration (PI) -Framework, um “Prüfungsmaßnahmen” mit “globalen Systembindungsgesellschaften” zu verknüpfen.
Die Richtlinienrahmen unterscheiden sich jedoch voneinander darin, dass die Audit-Log-Richtlinien für globale Unternehmen verbindlich sind. Bisher unterstützte das Audit-Modul nur klassische und erweiterte Richtlinienausdrücke. Derzeit können Sie mit dem erweiterten Ausdruck Audit-Log-Richtlinien nur an globale Systementitäten binden.
Hinweis
Wenn Sie eine Richtlinie an globale Entitäten binden, müssen Sie sie an eine globale Systementität desselben Ausdrucks binden. Beispielsweise können Sie eine klassische Richtlinie nicht an eine erweiterte globale Entität binden oder eine erweiterte Richtlinie an eine klassische globale Entität binden.
Außerdem können Sie nicht sowohl die klassische Überwachungsprotokollrichtlinie als auch die erweiterte Überwachungsprotokollrichtlinie an einen virtuellen Lastausgleichsserver binden.
Konfiguration von Audit-Log-Richtlinien in einem klassischen Richtlinienausdruck
Die Konfiguration der Auditprotokollierung in der klassischen Richtlinie besteht aus den folgenden Schritten:
- Konfiguration einer Audit-Log-Aktion。您konnen eine Überwachungsaktion für verschiedene Server und für verschiedene Protokollierungsstufen konfigurieren. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Standardmäßig verwenden SYSLOG und NSLOG nur TCP, um Protokollinformationen an die Protokollserver zu übertragen. TCP ist für die Übertragung vollständiger Daten zuverlässiger als UDP. Wenn Sie TCP für SYSLOG verwenden, können Sie das Pufferlimit auf der NetScaler-Appliance festlegen, um die Protokolle zu speichern. Danach werden die Protokolle an den SYSLOG-Server gesendet.
- Konfiguration der Audit-Log-Richtlinie。您可以在entweder SYSLOG-Richtlinien konfigurieren, um Nachrichten auf einem SYSLOG-Server zu protokollieren, oder eine NSLOG-Richtlinie, um Nachrichten auf einem NSLOG-Server zu protokollieren. Jede Richtlinie enthält eine Regel, die auf
true
oderns_true
für die zu protokollierenden Nachrichten festgelegt ist, sowie eine SYSLOG- oder NSLOG-Aktion. - Verbindliche Audit-Log-Richtlinien für globale Unternehmen。Sie müssen die Überwachungsprotokollrichtlinien global an globale Entitäten wie SYSTEM, VPN, NetScaler AAA usw. binden. Sie können dies tun, um die Protokollierung aller NetScaler-Systemereignisse zu aktivieren. Durch Definieren der Prioritätsstufe können Sie die Auswertungsreihenfolge für die Protokollierung des Audit-Servers festlegen. Priorität 0 ist die höchste und wird zuerst ausgewertet. Je höher die Prioritätszahl, desto niedriger ist die Priorität der Bewertung.
Jeder dieser Schritte wird in den folgenden Abschnitten erläutert.
Konfiguration der Audit-Log-Aktion
Um die SYSLOG-Aktion in einer erweiterten Richtlinieninfrastruktur über die CLI zu konfigurieren.
Hinweis
Mit der NetScaler-Appliance können Sie nur eine SYSLOG-Aktion für die IP-Adresse und den Port des SYSLOG-Servers konfigurieren. Die Appliance erlaubt es Ihnen nicht, mehrere SYSLOG-Aktionen für dieselbe Server-IP-Adresse und denselben Port zu konfigurieren.
Eine Syslog-Aktion enthält einen Verweis auf einen Syslog-Server. Es gibt an, welche Informationen protokolliert werden sollen, und erwähnt, wie diese Informationen protokolliert werden sollen.
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:
- add audit syslogAction [-serverPort ] -logLevel [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]` - show audit syslogAction []
Um die NSLOG-Aktion in einer erweiterten Richtlinieninfrastruktur über die CLI zu konfigurieren.
Eine ns-Protokollaktion enthält einen Verweis auf einen nslog-Server. Es gibt an, welche Informationen protokolliert werden sollen, und erwähnt, wie diese Informationen protokolliert werden sollen.
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:
- add audit nslogAction [-serverPort ] -logLevel [-dateFormat ( MMDDYYYY | DDMMYYYY )] - show audit nslogAction []
Auditprotokollrichtlinien konfigurieren
Konfigurieren Sie die Audit-Log-Richtlinien in der klassischen Policy-Infrastruktur über die CLI.
Geben Sie in der Befehlszeile Folgendes ein:
- add audit syslogpolicy <-rule> - add audit nslogpolicy <-rule>
Verbindliche Audit-Syslog-Richtlinien zur Prüfung von syslog global
Binden Sie die Audit-Log-Richtlinie im Advanced Policy Framework über die CLI.
Geben Sie in der Befehlszeile Folgendes ein:
bind audit syslogGlobal
unbind audit syslogGlobal
Binden Sie die Audit-Log-Richtlinie im klassischen Policy-Framework über die CLI.
Geben Sie in der Befehlszeile Folgendes ein:
bind systemglobal
unbind systemglobal
Audit-Log-Richtlinien mit Advanced Policy Expression konfigurieren
Die Konfiguration der Auditprotokollierung in Advanced Policy besteht aus den folgenden Schritten:
- Konfiguration einer Audit-Log-Aktion。您konnen eine Überwachungsaktion für verschiedene Server und für verschiedene Protokollierungsstufen konfigurieren. “Audit-Aktion” beschreibt Konfigurationsinformationen des Überwachungsservers, während “Audit-Richtlinie” eine Bindungseinheit mit einer “Audit-Aktion” verknüpft. Standardmäßig verwenden SYSLOG und NSLOG nur TCP, um Protokollinformationen an die Protokollserver zu übertragen. TCP ist für die Übertragung vollständiger Daten zuverlässiger als UDP. Wenn Sie TCP für SYSLOG verwenden, können Sie das Pufferlimit auf der NetScaler-Appliance festlegen, um die Protokolle zu speichern. Danach werden die Protokolle an den SYSLOG-Server gesendet.
- Konfiguration der Audit-Log-Richtlinie。您可以在entweder SYSLOG-Richtlinien konfigurieren, um Nachrichten auf einem SYSLOG-Server zu protokollieren, oder eine NSLOG-Richtlinie, um Nachrichten auf einem NSLOG-Server zu protokollieren. Jede Richtlinie enthält eine Regel, die auf
true
oderns_true
für die zu protokollierenden Nachrichten festgelegt ist, sowie eine SYSLOG- oder NSLOG-Aktion. - Verbindliche Audit-Log-Richtlinien für globale Unternehmen。Sie müssen die Überwachungsprotokollrichtlinien global an die globale System-Entität binden, um die Protokollierung aller NetScaler-Systemereignisse zu ermöglichen. Durch Definieren der Prioritätsstufe können Sie die Auswertungsreihenfolge für die Protokollierung des Audit-Servers festlegen. Priorität 0 ist die höchste und wird zuerst ausgewertet. Je höher die Prioritätszahl, desto niedriger ist die Priorität der Bewertung.
Hinweis
Die NetScaler-Appliance wertet alle Richtlinien aus, die an true gebunden sind.
Konfiguration der Audit-Log-Aktion
Um die Syslog-Aktion in einer erweiterten Richtlinieninfrastruktur über die CLI zu konfigurieren.
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:
- add audit syslogAction [-serverPort ] -logLevel [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )] - show audit syslogAction []
Konfigurieren Sie die NSLOG-Aktion in der erweiterten Richtlinieninfrastruktur über die CLI:
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Parameter festzulegen und die Konfiguration zu überprüfen:
- add audit nslogAction [-serverPort ] -logLevel [-dateFormat ( MMDDYYYY | DDMMYYYY )] - show audit nslogAction []
Auditprotokollrichtlinien konfigurieren
Um eine Syslog-Audit-Aktion über die CLI hinzuzufügen.
Geben Sie in der Befehlszeile Folgendes ein:
add audit syslogAction ( | (([-domainResolveRetry ]) | -lbVserverName ))[-serverPort ] -logLevel [-dateFormat ] [-logFacility ][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )] [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName ][-maxLogDataSizeToHold
Beispiel
> add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY > add audit syslogpolicy syslog-pol1 TRUE audit-action1 > add audit nslogPolicy nslog-pol1 TRUE nslog-action1 > bind system global nslog-pol1 -priority 20
Fügen Sie über die CLI eine nslog-Audit-Aktion hinzu.
Geben Sie in der Befehlszeile Folgendes ein:
add audit nslogAction ( | ([-domainResolveRetry ])) [-serverPort ] -logLevel ... [-dateFormat ][-logFacility ] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
Verbindliche Audit-Log-Richtlinien für globale Unternehmen
Binden Sie die Syslog-Audit-Log-Richtlinie im Advanced Policy Framework über die CLI.
Geben Sie in der Befehlszeile Folgendes ein:
bind audit syslogGlobal
unbind audit syslogGlobal
Konfiguration der Audit-Log-Richtlinie über die GUI
- Navigieren Sie zuKonfiguration>System>Auditing>Syslog。
- Wählen Siedie Registerkarte Server。
- Klicken Sie aufHinzufügen。
- Füllen Sie auf der Seite“非盟diting Server erstellen“ die entsprechenden Felder aus und klicken Sie aufErstellen。
- Um die Richtlinie hinzuzufügen, wählen Sie die RegisterkarteRichtlinienaus und klicken Sie aufHinzufügen。
FüllenSie auf der Seite “Auditing Syslog-Richtlinieerstellen” die entsprechenden Felder aus und klicken Sie aufErstellen。
- Um die Richtlinie global zu binden, wählen SieAdvanced Policy Globale Bindingsaus der Dropdownliste aus. Wählen Sie die Richtliniebest_syslog_policy_everaus. Klicken Sie aufSelect。
- Wählen Sie in der Dropdownliste den Bindepunkt alsSYSTEM_GLOBALaus, klicken Sie aufBinden, und klicken Sie dann aufFertig。
Konfigurieren der richtlinienbasierten Protokollierung
您konnen richtlinienbasierte Protokollierung für Rewrite- und Responder-Richtlinien konfigurieren. Überwachungsmeldungen werden dann in einem definierten Format protokolliert, wenn die Regel in einer Richtlinie auf TRUE ausgewertet wird. Um die richtlinienbasierte Protokollierung zu konfigurieren, konfigurieren Sie eine Auditmeldungsaktion, die erweiterte Richtlinienausdrücke verwendet, um das Format der Auditmeldungen anzugeben. Und verknüpfen Sie die Aktion mit einer Richtlinie. Die Richtlinie kann entweder global oder an einen virtuellen Lastausgleich- oder Content Switching-Server gebunden sein. Sie können Audit-Message-Aktionen verwenden, um Nachrichten auf verschiedenen Protokollierungsebenen zu protokollieren, entweder nur im Syslog-Format oder sowohl im Syslog- als auch im neuen nslog-Format.
Voraussetzungen
- Die Option Konfigurierbare Protokollmeldungen (userDefinedAuditlog) ist für die Konfiguration des Überwachungsaktionsservers aktiviert, an den Sie die Protokolle in einem definierten Format senden möchten.
- Die zugehörige Prüfungsrichtlinie ist an das globale System gebunden.
Konfigurieren einer Aktion für Überwachungsnachrichten
您konnen Aktionen für Überwachungsnachrichten konfigurieren, um Nachrichten auf verschiedenen Protokollierungsebenen zu protokollieren, entweder nur im Syslog-Format oder sowohl im Syslog- als auch in neuen ns-Protokollformaten. Auditmeldungsaktionen verwenden Ausdrücke, um das Format der Auditmeldungen anzugeben.
Erstellen Sie eine Audit-Nachrichtenaktion über die CLI
Geben Sie in der Befehlszeile Folgendes ein:
add audit messageaction [-logtoNewnslog (YES|NO)]
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
Konfigurieren Sie eine Audit-Nachrichtenaktion über die GUI
Navigieren Sie zuSystem > Auditing > Nachrichtenaktionen, und erstellen Sie die Aktion “Überwachungsnachricht”.
Aktion für Audit-Nachrichten an eine Richtlinie binden
Nachdem Sie eine Überwachungsnachrichtenaktion erstellt haben, müssen Sie sie an eine Rewrite- oder Responderrichtlinie binden. Weitere Informationen zum Binden von Protokollnachrichtenaktionen an eine Rewrite- oder Responder Policy finden Sie unterRewriteoderResponder。