ADC

Audit-Protokollierung

Wichtig

Wir empfehlen Ihnen, eine SYSLOG- oder NSLOG-Konfiguration nur während Wartungs- oder Ausfallzeiten zu aktualisieren. Wenn Sie eine Konfiguration aktualisieren, nachdem Sie eine Sitzung erstellt haben, werden die Änderungen nicht auf die vorhandenen Sitzungsprotokolle angewendet.

Auditing ist eine methodische Untersuchung oder Überprüfung eines Zustands oder einer Situation. Mit der Audit-Logging-Funktion können Sie NetScaler-Status und Statusinformationen protokollieren, die von verschiedenen Modulen gesammelt wurden. Die Protokollinformationen können sich im Kernel und in den Daemons auf Benutzerebene befinden.

Sie können NetScaler so konfigurieren, dass die Protokollinformationen lokal auf NetScaler gespeichert oder auf einen Remoteserver oder beides exportiert werden.

Lokale Protokollierung

Lokale Protokollierung bezieht sich auf den Prozess des Speicherns der von NetScaler generierten Ereignisdaten wie Fehler, Warnungen und Systemereignisse, lokal in NetScaler. Diese Daten können zur Überwachung und Fehlerbehebung, Prüfung und Sicherheitsanalyse verwendet werden.

Standardmäßig speichert NetScaler seine Protokolle mithilfe des UDP-Protokolls lokal im persistenten NetScaler-Speicher. Die Protokolle werden in der Datei ns.log unter dem Ordner /var/log/ gespeichert. Da die lokale Protokollierung standardmäßig aktiviert ist, müssen Sie keine zusätzlichen Konfigurationen vornehmen, um die Protokolle zu speichern.

Die lokale Protokollierung bietet die folgenden Vorteile:

  • Barrierefreiheit: Sie können auch bei Netzwerkproblemen auf die Protokolle zugreifen. Auf die Protokolle kann schnell zugegriffen werden, da sie nicht von Netzwerkverbindungen abhängig sind.
  • Sicherheit: Die sensiblen oder vertraulichen Daten verbleiben in NetScaler und reduzieren somit das Risiko eines unbefugten Zugriffs.
  • Einhaltung: Viele regulatorische Anforderungen schreiben die Aufbewahrung von Protokolldaten für einen bestimmten Zeitraum vor. Durch das lokale Speichern von Protokollen stellt NetScaler also sicher, dass es konform ist.

Standardmäßig sind alle Log-Levels außer DEBUG aktiviert. Sie können jedoch die Ebenen der in der Datei ns.log gespeicherten Protokolle anpassen.

Warnung

Wenn Sie die lokale Protokollierung für viele Funktionen konfigurieren oder die Protokollebene so einstellen, dass weniger schwerwiegende Protokolle gespeichert werden, kann dies die Stabilität und Leistung von NetScaler beeinträchtigen. Wir empfehlen dringend, lokale Protokollierung nicht in großem Umfang zu verwenden. Verwenden Sie stattdessen die Remote-Protokollierung, wenn eine ausführliche Protokollierung erforderlich ist.

Verwenden Sie den folgenden Befehl, um die Standardprotokolleinstellung zu ändern:

set syslogparams -acl ( ENABLED | DISABLED )
        -alg ( ENABLED | DISABLED )
        -appflowExport ( ENABLED | DISABLED )
        -ContentInspectionLog ( ENABLED | DISABLED )
        -dateFormat <dateFormat>
        -dns ( ENABLED | DISABLED )
        -logFacility <logFacility>
        -logLevel <logLevel> ...
        -lsn ( ENABLED | DISABLED )
        -serverIP <ip_addr|ipv6_addr|*>
        -serverPort <port>
        -sslInterception ( ENABLED | DISABLED )
        -subscriberLog ( ENABLED | DISABLED )
        -tcp ( NONE | ALL )
        -timeZone ( GMT_TIME | LOCAL_TIME )
        -urlFiltering ( ENABLED | DISABLED )
        -userDefinedAuditlog ( YES | NO )
<!--NeedCopy-->

Die lokale Protokollierung hat die folgenden Nachteile:

  • Beeinträchtigung der Leistung: Protokollierungsaktivitäten können Systemressourcen beanspruchen, was sich potenziell auf die Leistung und Stabilität von NetScaler auswirken kann.
  • Speicher: NetScaler kann nur eine begrenzte Menge an Protokolldaten speichern, da die lokale Speicherkapazität im Vergleich zu zentralisiertem Speicher gering ist.
  • Skalierbarkeit: Nicht für groß angelegte Bereitstellungen geeignet. Bei groß angelegten Bereitstellungen werden zentralisierte Protokollierungslösungen bevorzugt, um die Verwaltung und Skalierbarkeit zu vereinfachen.
    • Compliance-Herausforderungen bei groß angelegten Implementierungen: In vielen Branchen gibt es Vorschriften und Compliance-Anforderungen in Bezug auf die Verwaltung und Aufbewahrung von Protokollen. Das Compliance-Management wird komplexer, wenn Protokolle lokal gespeichert werden, da sichergestellt werden muss, dass jedes Gerät den erforderlichen Standards entspricht.
  • Barrierefreiheit in großen Netzwerken: Für den Zugriff auf lokal auf NetScaler gespeicherte Protokolle ist möglicherweise direkter Zugriff auf das Gerät erforderlich. Dies wird in großen Netzwerken unpraktisch, da der Zugriff auf Protokolle von mehreren Geräten, die über ein Netzwerk verteilt sind, umständlich ist.
  • Zentrale Fehlerstelle: Bei einer Hardwarefehlung sind alle lokal gespeicherten Protokolle unzugänglich. Dadurch entsteht eine einzige Fehlerstelle für die Protokollierung von Daten, was möglicherweise zum Verlust wertvoller Informationen führt.

Remoteprotokollierung

NetScaler ermöglicht es Ihnen, die Protokollinformationen auf einem externen Server zu speichern. Sie können NetScaler so konfigurieren, dass die Protokolle mithilfe von UDP oder TCP auf den externen Server exportiert werden. Je nach Ihren Anforderungen können Sie die Protokollinformationen entweder lokal speichern oder auf einen externen Server exportieren oder beides. Ausführliche Informationen zur Remote-Protokollierung und zur Konfiguration der Remote-Protokollierung finden Sie unter NetScaler für Audit-Logging konfigurieren.

SYSLOG und NSLOG

Für die Auditprotokollierung können Sie das SYSLOG-Protokoll, das native NSLOG-Protokoll oder beides verwenden.

SYSLOG ist ein Standardprotokoll für die Protokollierung. Es besteht aus zwei Komponenten:

  • SYSLOG-Überwachungsmodul: Läuft auf NetScaler.
  • SYSLOG-Server: Läuft auf dem zugrunde liegenden FreeBSD-Betriebssystem (OS) von NetScaler oder auf einem Remote-System.

SYSLOG verwendet ein Benutzerdatenprotokoll (UDP) für die Datenübertragung.

In ähnlicher Weise besteht das native NSLOG-Protokoll aus zwei Komponenten:

  • NSLOG-Auditmodul: Läuft auf NetScaler.
  • NSLOG-Server: Läuft auf dem zugrundeliegenden FreeBSD-Betriebssystem von NetScaler oder auf einem Remote-System.

NSLOG verwendet TCP für die Datenübertragung.

Wenn Sie einen SYSLOG- oder NSLOG-Server ausführen, stellt er eine Verbindung zu NetScaler her. NetScaler beginnt dann, alle Protokollinformationen an den SYSLOG- oder NSLOG-Server zu senden. Und der Server filtert die Logeinträge, bevor er sie in einer Protokolldatei speichert. Ein NSLOG- oder SYSLOG-Server empfängt Protokollinformationen von mehr als einem NetScaler. NetScaler sendet Protokollinformationen an mehr als einen SYSLOG-Server oder NSLOG-Server.

Wenn mehrere SYSLOG-Server konfiguriert sind, sendet NetScaler seine SYSLOG-Ereignisse und -Meldungen an alle konfigurierten externen Protokollserver. Dies führt zum Speichern redundanter Nachrichten und erschwert Systemadministratoren die Überwachung. Um dieses Problem zu beheben, bietet NetScaler Load-Balancing-Algorithmen. NetScaler kann den Lastausgleich der SYSLOG-Meldungen zwischen den externen Protokollservern durchführen, um die Wartung und Leistung zu verbessern. Zu den unterstützten Load-Balancing-Algorithmen gehören RoundRobin, LeastBandwidth, CustomLoad, LeastPackets und AuditlogHash.

Hinweis

NetScaler kann Audit-Log-Meldungen bis zu 16 KB an einen externen SYSLOG-Server senden.

Die Protokollinformationen, die ein SYSLOG- oder NSLOG-Server von einem NetScaler sammelt, werden in einer Protokolldatei in Form von Nachrichten gespeichert. Diese Meldungen enthalten normalerweise die folgenden Informationen:

  • Die IP-Adresse von NetScaler, die die Protokollnachricht generiert hat.
  • Zeitstempel
  • Meldungstyp
  • Die vordefinierten Protokollebenen (Kritisch, Fehler, Hinweis, Warnung, Information, Debug, Warnung und Notfall)
  • Meldungstext

Um die Auditprotokollierung zu konfigurieren, konfigurieren Sie zunächst die Auditmodule auf NetScaler. NetScaler umfasst das Erstellen von Überwachungsrichtlinien und das Angeben der NSLOG-Server- oder SYSLOG-Serverinformationen. Anschließend installieren und konfigurieren Sie den SYSLOG- oder NSLOG-Server auf dem zugrunde liegenden FreeBSD-Betriebssystem von NetScaler oder auf einem Remote-System.

Hinweis

SYSLOG ist ein Industriestandard für die Protokollierung von Programmmeldungen, und verschiedene Anbieter bieten Unterstützung. Die Dokumentation enthält keine Informationen zur SYSLOG-Serverkonfiguration.

Der NSLOG-Server hat eine eigene Konfigurationsdatei (auditlog.conf). Sie können die Protokollierung auf dem NSLOG-Serversystem anpassen, indem Sie zusätzliche Änderungen an der Konfigurationsdatei (auditlog.conf) vornehmen.

Hinweis

Der ICMP-Zugriff auf den SYSLOG-Server ist obligatorisch, wenn der SYSLOG-Server als FQDN unter SYSLOG Action im Netzwerk verwendet wird. Wenn der ICMP-Zugriff in der Umgebung blockiert ist, konfigurieren Sie ihn als SYSLOG-Server mit Lastenausgleich und setzen Sie den Wert des Parameters healthMonitorim Befehl set service auf NO. Informationen zur Konfiguration von ICMP finden Sie unter SYSLOG-Server für den Lastausgleich

Audit-Protokollierung