审核策略
审核策略确定 Web应用防火墙会话期间生成和记录的消息。邮件以 系统日志格式记录到本地 NSLOG服务器或外部日志记录服务器。根据所选日志记录级别记录不同类型的消息。
若要创建审核策略,必须首先创建 NSLOG服务器或 系统日志服务器。然后创建策略并指定日志类型和日志发送到的服务器。
使用命令行界面创建审核服务器
您可以创建两种不同类型的审核服务器:NSLOG服务器或 系统日志服务器。命令名称不同,但命令的参数相同。
要创建审核服务器,请在命令提示符下键入以下命令:
添加审核系统操作
[-serverPort ]-logLevel ..[-dateFormat(MMDDYYYY | ddmmyyyyy)][-logFacility ][-tcp(NONE | ALL)][-acl(ENABLED | DISABLED)][-timeZone(GMT|时间|本地|][-userDefinedAuditlog(YES NO)][-appflowExport(ENABLED | DISABLED)] 保存ns配置
示例
以下示例在 IP 10.124.67.91处创建名为 系统逻辑1的系统日志服务器,其日志级别的紧急情况、关键和警告日志功能设置为 本地1该服务器记录所有 传输控制协议连接:
添加审核系统日志操作系统日志1 10.124.67.91-日志级别紧急关键警告-日志设施本地1-tcp所有保存ns配置<!--NeedCopy-->
使用命令行界面修改或删除审核服务器
- 要修改审核服务器,请键入集审核
命令、审核服务器的名称以及要更改的参数及其新值。 - 要删除审核服务器,请键入 rm审核
命令和审核服务器的名称。
示例
以下示例修改名为 系统逻辑1的 系统日志服务器以将错误和警报添加到日志级别:
set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error -logFacility LOCAL1 -tcp ALL save ns config
使用 桂创建或配置审核服务器
- 导航到”安全”>“Citrix Web应用防火墙”>“策略”>“审核”>“Nslog”。
- 在 Nslog审核页中,单击服务器选项卡。
- 执行以下操作之一:
- 要添加新的审核服务器,请单击“添加”。
- 若要修改现有审核服务器,请选择该服务器,然后单击“编辑”。
- 在“创建审核服务器”页面中,设置以下参数:
- 名称
- 服务器类型
- IP地址
- 端口
- 日志级别
- 日志设施
- 日期格式
- 时区
- 传输控制协议日志记录
- 国际计算语言学协会日志记录
- 用户可配置的日志消息
- AppFlow日志记录
- 大规模NAT日志记录
- ALG消息日志记录
- 订阅者日志记录
- SSL截获
- URL过滤
- 内容检查日志记录
单击创建和关闭。
使用命令行界面创建审核策略
您可以创建NSLOG策略或SYSLOG策略。策略的类型必须与服务器的类型相匹配。这两种类型的策略的命令名称不同,但命令的参数相同。
在命令提示符下,键入以下命令:
add audit syslogPolicy
<-rule > 保存ns配置
示例
以下示例创建一个名为 系统日志1的策略,该策略将 Web应用防火墙流量记录到名为 系统逻辑1的系统日志服务器。
添加审核syslogPolicy syslogP1规则“ns\u true”操作syslog1
保存ns配置
使用命令行界面配置审核策略
在命令提示符下,键入以下命令:
设置审核syslogPolicy
[-rule ][-action ] 保存ns配置
示例
以下示例修改名为 系统日志1的策略,以将 Web应用防火墙流量记录到名为 系统逻辑2的系统日志服务器。
设置审核syslogPolicy syslogP1规则“ns\u true”操作syslog2
保存ns配置
使用GUI配置审核策略
- 导航到安全>Citrix Web应用防火墙>策略。
- 在详细信息窗格中,单击审核 Nslog策略。
- 在“Nslog审核”页面中,单击”策略”选项卡并执行以下操作之一:
- 要添加新策略,请单击“添加”。
- 要修改某个现有策略,请选择该策略,然后单击编辑(编辑)。
- 在“创建审核 Nslog策略”页面中,设置以下参数:
- 名称
- 审核类型
- 表达式类型
- 服务器
单击创建。
已复制
失败!