在Citrix ADC 13.0
在Citrix ADC.
在所有产品中
产品文档
在Citrix ADC 13.0
在Citrix ADC.
在所有产品中
Citrix ADC
当前版本 12.1 11.1
查看PDF

配置Citrix ADC设备以进行审核日志记录

2021年8月24日
贡献者:
C

审核日志记录显示来自不同模块的状态信息,以便管理员可以按时间顺序查看事件历史记录。审计框架的主要组成部分是“审计行动”,“审计策略”,“审计操作”描述审计服务器配置信息,而“审计策略”将绑定实体链接到“审计审计作品”

但是,在将审计日志策略与全球实体绑定方面,政策框架彼此不同。以前,审核模块仅支持经典表达式,但现在它同时支持经典和高级策略表达式。目前,高级表达式只能将审核日志策略绑定到系统全局实体。

注意

将策略绑定到全局实体时,必须将其绑定到同一表达式的系统全局实体。例如,您不能将经典策略绑定到高级全局实体,也不能将高级策略绑定到经典全局实体。

外卖,

在经典策略表达式中配置审核日志策略

在经典策略中配置审核日志记录包括以下步骤:

  1. 配置审核日志作品。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作“描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG和NSLOG仅使用TCP将日志信息传输到日志服务器。TCP比UDP更可靠地传输完整数据。将TCP用于SYSLOG时,可以在Citrix ADC设备上设置缓冲区限制以存储日志。之后,日志将发送到SYSLOG服务器。
  2. 配置审核日志策略。您可以配置SYSLOG策略以将消息记录到SYSLOG服务器,也可以配置NSLOG策略以将消息记录到NSLOG服务器。每个策略都包含一个标识要记录的消息的规则,以及一个SYSLOG或NS记录操作。
  3. 将审核日志策略绑定到全局实体。您必须将审核日志全局绑定到实实体,例如系统,vpn,citrix adc aaa等。你可以这样做来使用含有citrix adc系统事件的日志记录。通过过定义优先级级别,您可以日志记录的评估顺序。

以下各节将介绍这些步骤中的每一个步骤。

配置审核日志作品

使用命令行界面在高级策略基础结构中配置SYSLOG操作。

注意

Citrix ADC设备允许您仅为SYSLOG服务器IP地址和端口配置一个SYSLOG操作。设备不允许您将多个SYSLOG操作配置到同一服务器IP地址和端口。

syslog操作包含对syslog服务器的引用。它指定要记录哪些信息,并提及如何记录这些信息。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

- 添加审核syslogaction   [-serverport ] -loglevel  [-dateformat(mmddyyyy | ddmmyyyy)] [-transport(tcp | udp)]` -  show audit syslogaction []<! - 需要 - >

使用命令行界面在高级策略基础结构中配置NSLOG操作

ns log操作品包含nslog服务服务引对息息函数,并提及如何记录函数。

在命令提示窗口中,键入以下命令来设置参数并验证配置:

- add audit nslogAction   [- serverport ] -logLevel  [- dateformat (MMDDYYYY | DDMMYYYY)] - show audit nslogAction []

配置审核日志策略

使用命令行界面在经典策略基础结构中配置审核日志策略

在命令提示符下,键入:

- add audit nslogpolicy  <-rule>  - add audit nslogpolicy  < rule> rm audit nslogpolicy show audit nslogpolicy []set audit nslogpolicy  [-rule ] [-action ]

将审核系统日志策略定到定到全局日志

使用命令行界面在经典策略框架中绑定审核日志策略

在命令提示符下,键入:

bind audit syslogGlobal [-globalBindType

unbind audit syslogGlobal [-globalBindType ]

使用高级策略表达式配置审核日志策略

在高级策略中配置审核日志记录包括以下步骤:

  1. 配置审核日志作品。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作“描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG和NSLOG仅使用TCP将日志信息传输到日志服务器。TCP比UDP更可靠地传输完整数据。将TCP用于SYSLOG时,可以在Citrix ADC设备上设置缓冲区限制以存储日志。之后,日志将发送到SYSLOG服务器。
  2. 配置审核日志策略。您可以配置SYSLOG策略以将消息记录到SYSLOG服务器,也可以配置NSLOG策略以将消息记录到NSLOG服务器。每个策略都包含一个标识要记录的消息的规则,以及一个SYSLOG或NS记录操作。
  3. 将审核日志策略绑定到全局实体。必须将审核日志策略全局绑定到系统全局实体,才能启用所有Citrix ADC系统事件的日志记录。通过定义优先级级别,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高值,首先评估。优先次数越高,评价的优先次数就越低。

注意:

Citrix ADC设备将评估绑定为真正的所有策略。

配置审核日志作品

使用命令行界面在高级策略基础结构中配置syslog操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

- add audit syslogAction   [- serverport ] -logLevel  [- dateformat (MMDDYYYY | DDMMYYYY)] [-transport (TCP | UDP)] - show audit syslogAction []

使用命令行界面在高级策略基础结构中配置NSLOG操作

在命令提示窗口中,键入以下命令来设置参数并验证配置:

- add audit nslogAction   [- serverport ] -logLevel  [- dateformat (MMDDYYYY | DDMMYYYY)] - show audit nslogAction []

配置审核日志策略

使用命令行界面添加系统

在命令提示符下,键入:

添加审计syslogAction <名称> (< serverIP > | ((< serverDomainName > [-domainResolveRetry <整数>])| -lbVserverName <字符串>))(-serverPort <端口>]-logLevel < logLevel > [dateFormat < dateFormat >] [-logFacility < logFacility >] [tcp(没有|全部)][acl(启用|禁用)][时区(GMT_TIME | LOCAL_TIME)] [-userDefinedAuditlog(是的|不)][-lsn (ENABLED | DISABLED)][-alg (ENABLED | DISABLED)][-subscriberLog (ENABLED | DISABLED)][-transport (TCP | UDP)][-tcpProfileName ][-maxLogDataSizeToHold

示例

> add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateformat MMDDYYYY > add audit syslogpolicy syslog-pol1 TRUE audit-action1 > add audit nslogPolicy nslog-pol1 TRUE nslog-action1 > bind system global nslog-pol1优先级20 < !——NeedCopy >

使用命令行界面添加nslog审核操作

在命令提示符下,键入:

add audit nslogAction  ( | ([-domainResolveRetry ])) [-serverPort ] -logLevel …[dateFormat < dateFormat >] [-logFacility < logFacility >] [tcp(没有|全部)][acl(启用|禁用)][时区(GMT_TIME | LOCAL_TIME)] [-userDefinedAuditlog(是的|不)][-appflowExport(启用|禁用)](lsn(启用|禁用)][alg(启用|禁用)][-subscriberLog(启用|禁用)]“< !——NeedCopy >

将审核日志策略绑定到全球实体

使用命令行界面在高级策略框架中绑定syslog审核日志策略

在命令提示符下,键入:

bind audit syslogGlobal [-globalBindType

unbind audit syslogGlobal [-globalBindType ]

使用GUI配置审核日志策略

  1. 导航到配置>系统>审核>系统日志

系统日志审计

  1. 选择”服务器“选项卡。
  2. 单击添加
  3. 在“创建审核服务器”页面中,填充相关字段,然后单击”创建"。
  4. 要添加策略,请选择”策略“选项卡,然后单击”添加"。

  5. 在“创建审核系统日志策略”页面中,填充相关字段,然后单击”创建"。

    系统日志策略

  6. 要全局绑定策略,请从下拉列表中选择高级策略全局绑定。选择best_syslog_policy_ver策略。单位选择(选择)。
  7. 从下拉列表中,选择绑定点作为SYSTEM_GLOBAL,然后单击绑定完成

配置基因策略的日志记录

您,当策略中的日子记录。然后以定义中的日子记录,将以定义的日志记录,将以定义的日志,您以定义的日子记录,您配置定义的日子记录,可以以以策略使记录。语法达达式来指定消息消息格式的审计审计作品日志级别记录消息,可口是仅以syslog格式或时实用syslog格式和新nslog格式记录消息

必备条件

  • 在配置要以定义格式向向发布日本的审核作者时机时,使用了“用途可配置日志(UserdefindedAuditlog)”选项。
  • 相关的审核策略与全局系统相关。

配置审核消息作品

您可以将审计消息操作业为在各种日志级别消息,可以是仅以syslog格式驾驶时代使用系统洛夫和新闻NS日志格式记录消息。

使用命令行界面创建创建消息操作用

在命令提示符下,键入:

add audit messageaction    [-logtoNewnslog (YES|NO)] [-bypassSafetyCheck (YES|NO)] 
add audit messageaction log-act1 CRITICAL '"Client:"+ Client . ip . add audit messageaction log-act1 CRITICAL 'SRC + + HTTP.REQ“访问”。URL' -bypassSafetyCheck YES

使用GUI配置审核消息操作

导航到“系统”>“审核”>“消息操作”,然后创建审核消息操作。

将审核消息操作绑定到策略

创建审核消息操作业,必须将其绑定到重写响应程序策略。有关是否日本志操操绑定重写响应程序策略的更多信息,请请重写响应程序

配置Citrix ADC设备以进行审核日志记录
2021年8月24日
贡献者:
C
2021年8月24日
贡献者:
C

本文中间的内容

站点反馈 | 隐私和法律条款 | cookie首选项 | 同意设置
©1999 -思杰系统有限公司。保留所有权利。