配置用于审计日志记录的Citrix ADC设备
警告:
从Citrix ADC 12.0 build 56.20开始,经典策略表达式及其用法已被弃用(不鼓励使用,但仍然支持),作为替代方案,Citrix建议您使用高级策略。有关更多信息,请参见先进的政策。
审计日志显示来自不同模块的状态信息,以便管理员可以按时间顺序查看事件历史。审计框架的主要组成部分是“审计行动”、“审计策略”。“审计操作”描述审计服务器配置信息,而“审计策略”将绑定实体链接到“审计操作”。审计策略使用“经典策略引擎”(CPE)框架或“进度集成”(PI)框架将“审计操作”链接到“系统全局绑定实体”。
但是,在将审计日志策略绑定到全局实体方面,策略框架彼此不同。以前,审计模块只支持经典和高级策略表达式。目前,使用高级表达式只能将审计日志策略绑定到系统全局实体。
请注意
将策略绑定到全局实体时,必须将其绑定到具有相同表达式的系统全局实体。例如,不能将经典策略绑定到高级全局实体,也不能将高级策略绑定到经典全局实体。
此外,不能将经典审计日志策略和高级审计日志策略同时绑定到负载均衡虚拟服务器。
使用经典策略表达式配置审计日志策略
在经典策略中配置审计日志包括以下步骤:
- 配置审计日志操作。您可以针对不同的服务器和不同的日志级别配置审计操作。“审计操作”描述审计服务器配置信息,而“审计策略”将绑定实体链接到“审计操作”。缺省情况下,SYSLOG和NSLOG只使用TCP协议向日志服务器传输日志信息。TCP在传输完整数据方面比UDP更可靠。当对SYSLOG使用TCP时,您可以在Citrix ADC设备上设置缓冲区限制来存储日志。然后将日志发送到SYSLOG服务器。
- 配置审计日志策略。您可以配置SYSLOG策略将消息发送到SYSLOG服务器,也可以配置NSLOG策略将消息发送到NSLOG服务器。每个策略包含一个规则,该规则设置为
真正的
或ns_true
要记录的消息,以及SYSLOG或NSLOG操作。 - 将审计日志策略绑定到全局实体。必须将审计日志策略全局绑定到SYSTEM、VPN、Citrix ADC AAA等全局实体。您可以这样做以启用所有Citrix ADC系统事件的日志记录。通过定义优先级级别,您可以设置审计服务器日志记录的评估顺序。优先级0最高,优先计算。优先级数越高,评价优先级越低。
下面几节将解释每一个步骤。
配置审计日志动作
通过CLI配置高级策略基础架构的SYSLOG动作。
请注意
Citrix ADC设备允许您仅为SYSLOG服务器IP地址和端口配置一个SYSLOG动作。该设备不允许您将多个SYSLOG操作配置到相同的服务器IP地址和端口。
syslog动作包含对syslog服务器的引用。它指定要记录哪些信息,并提到如何记录这些信息。
在命令提示符下,输入以下命令设置参数并验证配置:
- add audit syslogAction [- serverport ] -logLevel [- dateformat (MMDDYYYY | DDMMYYYY)] [-transport (TCP | UDP)] ' - show audit syslogAction []
通过CLI方式在高级策略基础设施中配置NSLOG动作。
nslog动作包含对nslog服务器的引用。它指定要记录哪些信息,并提到如何记录这些信息。
在命令提示符下,输入以下命令设置参数并验证配置:
- add audit nslogAction [- serverport ] -logLevel [- dateformat (MMDDYYYY | DDMMYYYY)] - show audit nslogAction []
配置审计日志策略
在经典的Policy基础架构中使用CLI配置审计日志策略。
在命令提示符下,输入:
-添加审计nslogpolicy <-rule> -添加审计nslogpolicy <-rule>
绑定审计syslog策略到审计syslog global
通过CLI在高级策略框架中绑定审计日志策略。
在命令提示符下,输入:
bind audit syslogGlobal
unbind audit syslogGlobal
通过CLI在经典策略框架中绑定审计日志策略。
在命令提示符下,输入:
bind systemglobal <策略名称> <优先级>
unbind systemglobal <策略名称> <优先级>
使用高级策略表达式配置审计日志策略
配置高级策略审计日志包括以下步骤:
- 配置审计日志操作。您可以针对不同的服务器和不同的日志级别配置审计操作。“审计操作”描述审计服务器配置信息,而“审计策略”将绑定实体链接到“审计操作”。缺省情况下,SYSLOG和NSLOG只使用TCP协议向日志服务器传输日志信息。TCP在传输完整数据方面比UDP更可靠。当对SYSLOG使用TCP时,您可以在Citrix ADC设备上设置缓冲区限制来存储日志。然后将日志发送到SYSLOG服务器。
- 配置审计日志策略。您可以配置SYSLOG策略将消息发送到SYSLOG服务器,也可以配置NSLOG策略将消息发送到NSLOG服务器。每个策略包含一个规则,该规则设置为
真正的
或ns_true
要记录的消息,以及SYSLOG或NSLOG操作。 - 将审计日志策略绑定到全局实体。您必须将审计日志策略全局绑定到SYSTEM全局实体,以启用所有Citrix ADC系统事件的日志记录。通过定义优先级级别,您可以设置审计服务器日志记录的评估顺序。优先级0最高,优先计算。优先级数越高,评价优先级越低。
请注意
Citrix ADC设备评估绑定为true的所有策略。
配置审计日志动作
通过CLI配置高级策略基础架构的syslog动作。
在命令提示符下,输入以下命令设置参数并验证配置:
- add audit syslogAction [- serverport ] -logLevel [- dateformat (MMDDYYYY | DDMMYYYY)] [-transport (TCP | UDP)] - show audit syslogAction []
通过CLI配置高级策略基础设施中的NSLOG动作:
在命令提示符下,输入以下命令设置参数并验证配置:
- add audit nslogAction [- serverport ] -logLevel [- dateformat (MMDDYYYY | DDMMYYYY)] - show audit nslogAction []
配置审计日志策略
通过CLI方式添加syslog审计动作。
在命令提示符下,输入:
添加审计syslogAction <名称> (< serverIP > | ((< serverDomainName > [-domainResolveRetry <整数>])| -lbVserverName <字符串>))(-serverPort <端口>]-logLevel < logLevel > [dateFormat < dateFormat >] [-logFacility < logFacility >] [TCP(没有|全部)][acl(启用|禁用)][时区(GMT_TIME | LOCAL_TIME)] [-userDefinedAuditlog(是的|不)][-appflowExport(启用|禁用)](lsn(启用|禁用)][alg(启用|禁用)][-subscriberLog(启用|禁用)][把(TCP|UDP )] [-tcpProfileName ][-maxLogDataSizeToHold
例子
> add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateformat MMDDYYYY > add audit nslogPolicy syslog-pol1 TRUE audit-action1 > add audit nslogPolicy nslog-pol1 TRUE nslog-action1 > bind system global nslog-pol1 -priority 20
通过命令行方式添加nslog审计动作。
在命令提示符下,输入:
add audit nslogAction ( | ([-domainResolveRetry ])) [-serverPort ] -logLevel …[-dateFormat ][-logFacility ] [-tcp (NONE | ALL)][-acl (ENABLED | DISABLED)][-timeZone (GMT_TIME | LOCAL_TIME)][-userDefinedAuditlog (YES | NO)][-appflowExport (ENABLED | DISABLED)][-lsn (ENABLED | DISABLED)][-alg (ENABLED | DISABLED)][-subscriberLog (ENABLED | DISABLED)] '
将审计日志策略绑定到全局实体
在高级策略框架中绑定syslog审计日志策略。
在命令提示符下,输入:
bind audit syslogGlobal
unbind audit syslogGlobal
通过GUI配置审计日志策略
- 导航到配置>系统>审计>Syslog。
- 选择服务器选项卡。
- 点击添加。
- 在创建审计服务器页面,填充相关字段,然后单击创建。
- 要添加策略,请选择政策选项卡,然后单击添加。
在创建审计Syslog策略页面,填充相关字段,然后单击创建。
- 要全局绑定策略,请选择高级策略全局绑定从下拉列表中选择。选择best_syslog_policy_ever政策。点击选择。
- 从下拉列表中选择绑定点为SYSTEM_GLOBAL并点击绑定,然后点击完成。
配置策略日志
您可以为重写和响应器策略配置基于策略的日志记录。然后,当策略中的规则计算结果为TRUE时,以定义的格式记录审计消息。要配置基于策略的日志记录,需要配置一个审计消息操作,该操作使用高级策略表达式来指定审计消息的格式。并将动作与策略关联起来。可以将策略绑定到全局,也可以绑定到负载平衡或内容交换虚拟服务器。您可以使用审计消息操作在不同的日志级别记录消息,可以只使用syslog格式,也可以同时使用syslog和新的nslog格式
先决条件
- 用户可配置日志消息(userDefinedAuditlog)选项在配置审计操作服务器时启用,您希望以已定义的格式向该服务器发送日志。
- 相关的审计策略绑定到system global。
配置审计消息操作
您可以将审计消息操作配置为在不同的日志级别记录消息,既可以仅使用syslog格式,也可以同时使用syslog和新ns日志格式。审计消息操作使用表达式来指定审计消息的格式。
该任务指导系统管理员通过CLI创建审计消息动作
在命令提示符下,输入:
add audit messageaction [-logtoNewnslog (YES|NO)]
添加audit messageaction log-act1 CRITICAL '"Client:"+ Client . ip。SRC+“已访问”+HTTP.REQ。URL的< !——NeedCopy >
通过使用GUI配置审计消息操作
导航到系统>审计>消息动作,并创建审计消息操作。
将审计消息操作绑定到策略
创建审计消息操作后,必须将其绑定到重写或响应器策略。有关将日志消息操作绑定到重写或响应器策略的详细信息,请参见重写或应答器。