审计政策
审计策略决定在Web App Firewall会话期间生成和记录的消息。消息以SYSLOG格式记录到本地NSLOG服务器或外部日志服务器。根据所选择的日志级别记录不同类型的消息。
创建审计策略时,必须先创建NSLOG服务器或SYSLOG服务器。然后创建策略并指定日志类型和发送日志的服务器。
使用命令行界面创建审计服务器
可以创建两种类型的审计服务器:NSLOG服务器和SYSLOG服务器。命令名称不同,参数相同。
要创建审计服务器,在命令提示符下输入以下命令:
add audit syslogAction[-serverPort ] -logLevel …[-dateFormat (MMDDYYYY | DDMMYYYY)] [-logFacility ] [-tcp (NONE | ALL)] [-acl (ENABLED | DISABLED)] [-timeZone (GMT_TIME | LOCAL_TIME)] [-userDefinedAuditlog (YES | NO)] [-appflowExport (ENABLED | DISABLED)] 保存ns配置
例子
下面的示例在IP 10.124.67.91上创建一个名为syslog1的syslog服务器,日志级别为紧急、关键和警告,日志设施设置为LOCAL1,记录所有TCP连接:
add audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning -logFacility LOCAL1 -tcp ALL save ns config 使用命令行界面修改或删除审计服务器
- 要修改审计服务器,请键入set audit
<类型>命令、审计服务器的名称、要更改的参数及其新值。 - 要删除审计服务器,请键入rm audit
<类型>命令和审计服务器的名称。
例子
修改名为syslog1的syslog服务器,将错误和告警添加到日志级别,示例如下:
set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error -logFacility LOCAL1 -tcp ALL save ns config 通过使用GUI创建或配置审计服务器
- 导航到安全>Citrix Web应用防火墙>政策>审计>Nslog.
- 在“Nslog审计”界面,单击服务器选项卡。
- 做以下其中一件事:
- 要添加新的审计服务器,请单击添加.
- 要修改现有的审计服务器,请选择该服务器,然后单击编辑.
- 在创建审计服务器界面,设置如下参数:
- 名字
- 服务器类型
- IP地址
- 港口
- 日志级别
- 日志功能
- 日期格式
- 时区
- TCP日志
- ACL记录
- 用户可配置的日志信息
- 演示applow日志
- 大规模NAT日志
- ALG消息记录
- 用户日志
- SSL拦截
- URL过滤
- 内容检查日志
点击创建和关闭.
使用命令行界面创建审计策略
可以创建NSLOG策略和SYSLOG策略。策略类型必须与服务器类型匹配。两种策略的命令名称不同,但参数相同。
在命令提示符下,输入以下命令:
add audit syslogPolicy<-rule > 保存ns配置
例子
下面的示例创建一个名为syslogP1的策略,将Web应用防火墙的流量记录到名为syslog1的syslog服务器上。
add audit syslogPolicy syslogP1 rule“ns_true”action syslog1 .使用实例保存ns配置
通过命令行方式配置审计策略
在命令提示符下,输入以下命令:
set audit syslogPolicy[-rule ] [-action ] 保存ns配置
例子
下面以修改名为syslogP1的策略为例,将Web应用防火墙的流量记录到名为syslog2的syslog服务器上。
set audit syslogPolicy syslogP1规则“ns_true”动作syslog2保存ns配置
使用GUI配置审计策略
- 导航到安全>Citrix Web应用防火墙>政策.
- 在详细信息窗格中,单击审计Nslog策略.
- 在“Nslog审计”界面,单击政策按TAB键并执行下列操作之一:
- 单击,新建策略添加.
- 如果需要修改已存在的策略,请选中待修改的策略,单击编辑.
- 在创建审计Nslog策略界面,设置如下参数:
- 名字
- 审计类型
- 表达式类型
- 服务器
点击创建.
复制!
失败了!