Registro y supervisión de LSN
Puede registrar la información de LSN para diagnosticar, solucionar problemas y cumplir con los requisitos legales. Puede supervisar el rendimiento de la función LSN mediante el uso de contadores estadísticos de LSN y la visualización de las sesiones de LSN actuales.
Registro de LSN
El registro de la información del LSN es una de las funciones importantes que requieren los ISP para cumplir con los requisitos legales y para identificar la fuente del tráfico en un momento dado.
Un dispositivo NetScaler registra las entradas de mapeo de LSN y las sesiones de LSN creadas o eliminadas para cada grupo de LSN. Puede controlar el registro de la información de LSN de un grupo LSN mediante los parámetros de registro y registro de sesiones del grupo LSN. Se trata de parámetros a nivel de grupo y están inhabilitados de forma predeterminada. El dispositivo NetScaler registra las sesiones LSN de un grupo LSN solo cuando los parámetros de registro y registro de sesiones están habilitados.
La siguiente tabla muestra el comportamiento de registro de un grupo LSN para diversas configuraciones de parámetros de registro y registro de sesiones.
Registros | Registro de sesiones | Comportamiento de registro |
---|---|---|
Enabled | Enabled | Registra las entradas de mapeo de LSN, así como las sesiones de LSN. |
Habilitado | Inhabilitado | Registra las entradas de mapeo de LSN, pero no las sesiones de LSN. |
Inhabilitado | Habilitado | No registra las entradas de mapeo ni las sesiones de LSN. |
Un mensaje de registro para una entrada de mapeo de LSN consta de la siguiente información:
- Dirección IP propiedad de NetScaler (dirección NSIP o dirección SNIP) desde la que se origina el mensaje de registro.
- Marca de tiempo
- Tipo de entrada (MAPEO)
- Si se creó o se eliminó la entrada de mapeo de LSN
- Dirección IP, puerto e ID de dominio de tráfico del suscriptor
- Dirección IP y puerto de NAT
- Nombre de protocolo
- La dirección IP de destino, el puerto y el ID de dominio de tráfico pueden estar presentes, según las siguientes condiciones:
- La dirección IP y el puerto de destino no se registran para el mapeo independiente del punto final.
- Solo se registra la dirección IP de destino para el mapeo dependiente de la dirección. El puerto no está registrado.
- La dirección IP y el puerto de destino se registran para el mapeo dependiente del puerto de la dirección.
Un mensaje de registro de una sesión de LSN consta de la siguiente información:
- Dirección IP propiedad de NetScaler (dirección NSIP o dirección SNIP) desde la que se origina el mensaje de registro.
- Marca de tiempo
- Tipo de entrada (SESIÓN)
- Si la sesión de LSN se crea o se elimina
- Dirección IP, puerto e ID de dominio de tráfico del suscriptor
- Dirección IP y puerto de NAT
- Nombre de protocolo
- Dirección IP de destino, puerto e ID de dominio de tráfico
El dispositivo utiliza su marco de registro de registros de auditoría y syslog existente para registrar la información de LSN. Debe habilitar el registro LSN a nivel global habilitando el parámetro LSN en las entidades de acción NSLOG y SYLOG relacionadas. Cuando el parámetro Logging está habilitado, el dispositivo NetScaler genera mensajes de registro relacionados con las asignaciones de LSN y las sesiones LSN de este grupo de LSN. A continuación, el dispositivo envía estos mensajes de registro a los servidores asociados a las entidades de acción NSLOG y SYSLOG.
Para registrar la información de LSN, Citrix recomienda:
- Registrar la información de LSN en servidores de registro externos en lugar de en el dispositivo NetScaler. El registro en servidores externos facilita un rendimiento óptimo cuando el dispositivo crea grandes cantidades de entradas de registro LSN (del orden de millones).
-
Uso de SYSLOG a través de TCP o NSLOG. De forma predeterminada, SYSLOG usa UDP y NSLOG usa solo TCP para transferir la información de registro a los servidores de registro. TCP es más fiable que UDP para transferir datos completos.
Nota:
- El SYSLOG generado en el dispositivo NetScaler se envía de forma dinámica a los servidores de registro externos.
- Cuando se utiliza SYSLOG a través de TCP, si la conexión TCP está inactiva o el servidor SYSLOG está ocupado, los dispositivos NetScaler almacenan los registros en el búfer y envían los datos una vez que la conexión está activa.
Para obtener más información sobre la configuración del registro, consulte Registro de auditoría.
La configuración del registro LSN consta de las siguientes tareas:
-
Configuración del dispositivo NetScaler para el registro. Esta tarea implica crear y configurar varias entidades y parámetros del dispositivo NetScaler:
-
Cree una configuración de registro de auditoría de SYSLOG o NSLOG. La creación de una configuración de registro de auditoría implica las siguientes tareas:
- Cree una acción de auditoría de NSLOG o SYSLOG y habilite el parámetro LSN. Las acciones de auditoría especifican las direcciones IP de los servidores de registro.
- Cree una directiva de auditoría de SYSLOG o NSLOG y vincule la acción de auditoría a la directiva de auditoría. Las acciones de auditoría especifican las direcciones IP de los servidores de registro. Si lo desea, puede configurar el método de transporte para los mensajes de registro que se envían a los servidores de registro externos. De forma predeterminada, se selecciona UDP. Puede configurar el método de transporte como TCP para obtener un mecanismo de transporte confiable. Vincule la directiva de auditoría a la global del sistema.
- Cree una directiva de auditoría de SYSLOG o NSLOG y vincule la acción de auditoría a la directiva de auditoría.
- Enlazar la directiva de auditoría a la global del sistema. Nota: Para una configuración de registro de auditoría existente, simplemente habilite el parámetro LSN para registrar la información de LSN en el servidor especificado por la acción de auditoría.
- Habilite los parámetros de registro y registro de sesiones. Habilite los parámetros de registro y registro de sesiones al agregar grupos LSN o después de crearlos. El dispositivo NetScaler genera mensajes de registro relacionados con estos grupos LSN y los envía al servidor de las acciones de auditoría que tienen el parámetro LSN activado.
-
Cree una configuración de registro de auditoría de SYSLOG o NSLOG. La creación de una configuración de registro de auditoría implica las siguientes tareas:
- Configuración de servidores de registro. Esta tarea implica instalar los paquetes SYSLOG o NSLOG en los servidores deseados. Esta tarea también implica especificar la dirección NSIP del dispositivo NetScaler en el archivo de configuración de SYSLOG o NSLOG. Al especificar la dirección NSIP, el servidor puede identificar la información de registro enviada por el dispositivo NetScaler para almacenarla en un archivo de registro.
Para obtener más información sobre la configuración del registro, consulte Registro de auditoría.
Configuración SYSLOG mediante la interfaz de línea de comandos
Para crear una acción de servidor SYSLOG para el registro de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel>... [-transport (TCP)] [-lsn ( ENABLED | DISABLED )]
<!--NeedCopy-->
Para crear una directiva de servidor SYSLOG para el registro de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit syslogPolicy <name> <rule> <action>
<!--NeedCopy-->
Para vincular una directiva de servidor SYSLOG al sistema global para el registro de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind system global [<policyName> [-priority <positive_integer>]]
<!--NeedCopy-->
Configuración de SYSLOG mediante la utilidad de configuración
Para configurar una acción del servidor SYSLOG para el registro de LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Syslog y, en la ficha Servidores, añada un nuevo servidor de auditoría o edite un servidor existente.
- Para habilitar el registro LSN, seleccione la opción Registro NAT a gran escala .
- (Opcional) Para habilitar SYSLOG a través de TCP, seleccione la opción de registro TCP .
Para configurar una directiva de servidor SYSLOG para el registro de LSN mediante la utilidad de configuración
Vaya a Sistemas > Auditoría > Syslog y, en la ficha Directivas, añada una nueva directiva o edite una directiva existente.
Para vincular una directiva de servidor SYSLOG al sistema global para el registro de LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Syslog.
- En la ficha Directivas, en la lista de acciones, haga clic en Enlaces globales para vincular las directivas globales de auditoría.
Configuración de NSLOG mediante la interfaz de línea de comandos
Para crear una acción de servidor NSLOG para el registro de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-lsn ( ENABLED | DISABLED )]
<!--NeedCopy-->
Para crear una directiva de servidor NSLOG para el registro de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add audit nslogPolicy <name> <rule> <action>
<!--NeedCopy-->
Para vincular una directiva de servidor NSLOG al sistema global para el registro de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind system global [<policyName>]
<!--NeedCopy-->
Configuración de NSLOG mediante la utilidad de configuración
Para configurar una acción del servidor NSLOG para el registro de LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Nslog y, en la ficha Servidores, añada un nuevo servidor de auditoría o edite un servidor existente.
- Para habilitar el registro LSN, seleccione la opción Registro NAT a gran escala .
Para configurar una directiva de servidor NSLOG para el registro de LSN mediante la utilidad de configuración
Vaya a Sistemas > Auditoría > Nslog y, en la ficha Directivas, añada una nueva directiva o edite una directiva existente.
Para vincular una directiva de servidor NSLOG al sistema global para el registro de LSN mediante la utilidad de configuración
- Vaya a Sistemas > Auditoría > Nslog.
- En la ficha Directivas, en la lista de acciones, haga clic en Enlaces globales para vincular las directivas globales de auditoría.
Ejemplo
La siguiente configuración especifica dos servidores SYSLOG y dos NSLOG para almacenar las entradas de registro, incluidos los registros de LSN. El registro LSN está configurado para los grupos LSN LSN-GROUP-2 y LSN-GROUP-3.
El dispositivo NetScaler genera mensajes de registro relacionados con las asignaciones de LSN y las sesiones LSN de estos grupos de LSN y los envía a los servidores de registro especificados.
add audit syslogAction SYS-ACTION-1 198.51.101.10 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
add audit syslogAction SYS-ACTION-2 198.51.101.20 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-2 ns_true SYS-ACTION-2
Done
bind system global SYSLOG-POLICY-2
Done
add audit nslogAction NSLOG-ACTION-1 198.51.101.30 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-1 ns_true NSLOG-ACTION-1
Done
bind system global NSLOG-POLICY-1
Done
add audit nslogAction NSLOG-ACTION-2 198.51.101.40 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-2 ns_true NSLOG-ACTION-2
Done
bind system global NSLOG-POLICY-2
Done
add lsn group LSN-GROUP-3 -clientname LSN-CLIENT-2 –logging ENABLED –sessionLogging ENABLED
Done
set lsn group LSN-GROUP-2 –logging ENABLED –sessionLogging ENABLED
Done
<!--NeedCopy-->
La siguiente configuración especifica la configuración de SYSLOG para enviar mensajes de registro al servidor SYSLOG externo 192.0.2.10 mediante TCP.
add audit syslogAction SYS-ACTION-1 192.0.2.10 -logLevel ALL -transport TCP
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
<!--NeedCopy-->
La siguiente tabla muestra ejemplos de entradas de registro LSN de cada tipo almacenadas en los servidores de registro configurados. Estas entradas de registro de LSN las genera un dispositivo NetScaler cuya dirección NSIP es 10.102.37.115.
Tipo de entrada de registro de LSN | Ejemplo de entrada de registro |
---|---|
Creación de sesiones LSN | Local4.Informational 10.102.37.115 08/05/ 2014:09:59:48 GMT 0-PPE-0: LSN LSN_SESSION 2581750: SESIÓN CREADA IP de cliente:port:TD 192.0.2.10:15136:0, natiP:NATPORT 203.0.113.6:6234, IP de destino:puerto: TD 198.51.100.9:80:0, Protocolo: TCP |
Eliminación de sesiones de LSN | Local4.Informational 10.102.37.115 08/05/ 2014:10:05:12 GMT 0-PPE-0: LSN LSN_SESSION 3871790: SESIÓN ELIMINADA IP de cliente:port:TD 192.0.2.11:15130:0, natiP:NATPORT 203.0.113.6:7887, IP de destino:puerto: TD 198.51.101. 2:80:0, Protocolo: TCP |
Creación de mapas LSN | Local4.Informational 10.102.37.115 08/05/ 2014:09:59:47 GMT 0-PPE-0: LSN LSN_MAPPING 2581580: IP de cliente CREADA POR EIM: puerto 192.0.2.15:14567, natiP:NATport 203.0.113.5:8214, Protocolo: TCP |
Eliminación de mapeo LSN | Local4.Informational 10.102.37.115 08/05/ 2014:10:05:12 GMT 0-PPE-0: LSN LSN_MAPPING 3871700: EIM ELIMINÓ IP de cliente: puerto 192.0.3.15:14565, natiP: NATport 203.0.113.11:8217, Protocolo: TCP |
Registro mínimo
Las configuraciones LSN deterministas y las configuraciones LSN dinámicas con bloque de puertos reducen significativamente el volumen de registros de LSN. Para estos dos tipos de configuración, el dispositivo NetScaler asigna una dirección IP NAT y un bloque de puertos a un suscriptor. El dispositivo NetScaler genera un mensaje de registro para un bloque de puertos en el momento de la asignación a un suscriptor. El dispositivo NetScaler también genera un mensaje de registro cuando se libera una dirección IP NAT y un bloque de puertos. Para una conexión, se puede identificar a un suscriptor simplemente por su dirección IP NAT mapeada y su bloque de puertos. Por este motivo, el dispositivo NetScaler no registra ninguna sesión de LSN creada o eliminada. El dispositivo tampoco registra ninguna entrada de mapeo creada para una sesión ni cuándo se elimina la entrada de mapeo.
La función de registro mínimo para configuraciones LSN deterministas y configuraciones LSN dinámicas con bloque de puertos está habilitada de forma predeterminada y no hay ninguna disposición para inhabilitarla. En otras palabras, el dispositivo NetScaler realiza automáticamente un registro mínimo para las configuraciones de LSN deterministas y las configuraciones de LSN dinámicas con bloque de puertos. No hay ninguna opción disponible para inhabilitar esta función. El dispositivo envía los mensajes de registro a todos los servidores de registro configurados.
Un mensaje de registro para cada bloque de puertos consta de la siguiente información:
- Dirección NSIP del dispositivo NetScaler
- Marca de tiempo
- Tipo de entrada como DETERMINISTIC o PORTBLOCK
- Si un bloque de puertos está asignado o está liberado
- La dirección IP del suscriptor y la dirección IP NAT y el bloque de puertos asignados
- Nombre de protocolo
Registro mínimo para una configuración de LSN determinista
Considere un ejemplo de una configuración LSN determinista simple para cuatro suscriptores con las direcciones IP 192.0.17.1, 192.0.17.2, 192.0.17.3 y 192.0.17.4.
En esta configuración de LSN, el tamaño del bloque de puertos se establece en 32768 y el grupo de direcciones IP NAT de LSN tiene direcciones IP en el intervalo 203.0.113.19-203.0.113.23.
add lsn client LSN-CLIENT-7
Done
bind lsn client LSN-CLIENT-7 -network 192.0.17.0 -netmask 255.255.255.253
Done
add lsn pool LSN-POOL-7 -nattype DETERMINISTIC
Done
bind lsn pool LSN-POOL-7 203.0.113.19-203.0.113.23
Done
add lsn group LSN-GROUP-7 -clientname LSN-CLIENT-7 -nattype DETERMINISTIC -portblocksize 32768
Done
bind lsn group LSN-GROUP-7 -poolname LSN-POOL-7
Done
<!--NeedCopy-->
El dispositivo NetScaler preasigna secuencialmente, desde el grupo de IP NAT de LSN y en función del tamaño del bloque de puertos establecido, una dirección IP NAT de LSN y un bloque de puertos a cada suscriptor. Asigna el primer bloque de puertos (1024-33791) de la dirección IP NAT inicial (203.0.113.19) a la dirección IP del suscriptor inicial (192.0.17.1). El siguiente rango de puertos se asigna al siguiente suscriptor, y así sucesivamente, hasta que la dirección NAT no tenga suficientes puertos para el siguiente suscriptor. En ese momento, el primer bloque de puertos de la siguiente dirección IP de NAT se asigna al suscriptor, y así sucesivamente. El dispositivo registra la dirección IP de NAT y el bloque de puertos asignados a cada suscriptor.
El dispositivo NetScaler no registra ninguna sesión de LSN creada o eliminada para estos suscriptores. El dispositivo genera los siguientes mensajes de registro para la configuración de LSN.
1) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201453 0 : Dtrstc ALLOC Client 12.0.0.241, NatInfo 50.0.0.2:59904 to 60415
2) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201454 0 : Dtrstc ALLOC Client 12.0.0.242, NatInfo 50.0.0.2:60416 to 60927
3) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
4) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
<!--NeedCopy-->
Al eliminar la configuración de LSN, la dirección IP NAT asignada y el bloque de puertos se liberan de cada suscriptor. El dispositivo registra la dirección IP NAT y el bloque de puertos liberados de cada suscriptor. El dispositivo genera los siguientes mensajes de registro para cada suscriptor al eliminar la configuración de LSN.
1) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201706 0 : Dtrstc FREE Client 12.0.0.238, NatInfo 50.0.0.2:58368 to 58879
2) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201707 0 : Dtrstc FREE Client 12.0.0.239, NatInfo 50.0.0.2:58880 to 59391
3) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201708 0 : Dtrstc FREE Client 12.0.0.240, NatInfo 50.0.0.2:59392 to 59903
<!--NeedCopy-->
Registro mínimo para la configuración dinámica de LSN con bloque de puertos
Considere un ejemplo de una configuración LSN dinámica simple con bloque de puertos para cualquier suscriptor de la red 192.0.2.0/24. En esta configuración de LSN, el tamaño del bloque de puertos se establece en 1024 y el grupo de direcciones IP NAT de LSN tiene direcciones IP en el intervalo 203.0.113.3-203.0.113.4.
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
<!--NeedCopy-->
El dispositivo NetScaler asigna una dirección IP NAT aleatoria y un bloque de puertos, del grupo de IP NAT de LSN y en función del tamaño de bloque de puertos establecido, a un suscriptor cuando inicia una sesión por primera vez. El NetScaler registra la dirección IP de NAT y el bloque de puertos asignados a este suscriptor. El dispositivo no registra ninguna sesión de LSN creada o eliminada para este suscriptor. Si se asignan todos los puertos (para diferentes sesiones del suscriptor) desde el bloque de puertos asignado al suscriptor, el dispositivo asigna una nueva dirección IP NAT aleatoria y un bloque de puertos para el suscriptor para sesiones adicionales. El NetScaler registra cada dirección IP NAT y cada bloque de puertos asignados a un suscriptor.
El dispositivo genera el siguiente mensaje de registro cuando el suscriptor, que tiene la dirección IP 192.0.2.1, inicia una sesión. El mensaje de registro muestra que el dispositivo ha asignado la dirección IP NAT 203.0.113.3 y el bloque de puertos 1024-2047 al suscriptor.
03/23/2015:00:07:12 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106725793 0 : Portblock ALLOC Client 12.0.2.72, NatInfo 203.0.113.3:1024 to 2047, Proto:TCP
<!--NeedCopy-->
Cuando no queden más sesiones que utilicen la dirección IP NAT asignada y uno de los puertos del bloque de puertos asignado, el suscriptor liberará la dirección IP NAT y el bloque de puertos asignados. El NetScaler registra que la dirección IP de NAT y el bloque de puertos están libres del suscriptor. El dispositivo genera los siguientes mensajes de registro para el suscriptor, con la dirección IP 192.0.2.1, cuando no queden más sesiones y utiliza la dirección IP NAT asignada (203.0.113.3) y un puerto del bloque de puertos asignado (1024-2047). El mensaje de registro muestra que la dirección IP de NAT y el bloque de puertos están libres del suscriptor.
03/23/2015:00:11:09 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106814342 0 : Portblock FREE Client 12.0.3.122, NatInfo 203.0.113.3: 1024 to 2047, Proto:TC
<!--NeedCopy-->
Servidores SYSLOG de equilibrio de carga
El dispositivo NetScaler envía sus eventos y mensajes SYSLOG a todos los servidores de registro externos configurados. Esto da como resultado el almacenamiento de mensajes redundantes y dificulta la supervisión de los administradores del sistema. Para solucionar este problema, el dispositivo NetScaler ofrece algoritmos de equilibrio de carga que pueden equilibrar la carga de los mensajes SYSLOG entre los servidores de registro externos para mejorar el mantenimiento y el rendimiento. Los algoritmos de equilibrio de carga compatibles incluyen RoundRobin, LeastBandwidth, CustomLoad, LeastConnection, LeastPackets y AuditlogHash.
Equilibrio de carga de servidores SYSLOG mediante la interfaz de línea de comandos
Agregue un servicio y especifique el tipo de servicio como SYSLOGTCP o SYSLOGUDP.
add service <name>(<IP> | <serverName>) <serviceType (SYSLOGTCP | SYSLOGUDP)> <port>
<!--NeedCopy-->
Agregue un servidor virtual de equilibrio de carga, especifique el tipo de servicio como SYSLOGTCP o SYSLOGTCP y el método de equilibrio de carga como AUDITLOGHASH.
add lb vserver <name> <serviceType (SYSLOGTCP | SYSLOGUDP)> [-lbMethod <AUDITLOGHASH>]
<!--NeedCopy-->
Lleve el servicio al servidor virtual de equilibrio de carga.
Bind lb vserver <name> <serviceName>
<!--NeedCopy-->
Agregue una acción SYSLOG y especifique el nombre del servidor de equilibrio de carga que tiene SYSLOGTCP o SYSLOGUDP como tipo de servicio.
add syslogaction <name> <serverIP> [-lbVserverName <string>] [-logLevel <logLevel>]
<!--NeedCopy-->
Agregue una directiva SYSLOG especificando la regla y la acción.
add syslogpolicy <name> <rule> <action>
<!--NeedCopy-->
Enlazar la directiva SYSLOG al sistema global para que la directiva entre en vigor.
bind system global <policyName>
<!--NeedCopy-->
Equilibrio de carga de los servidores SYSLOG mediante la utilidad de configuración
-
Agregue un servicio y especifique el tipo de servicio como SYSLOGTCP o SYSLOGUDP.
Vaya a Administración del tráfico > Servicios, haga clic en Agregar y seleccione SYLOGTCP o SYSLOGUDP como protocolo.
-
Agregue un servidor virtual de equilibrio de carga, especifique el tipo de servicio como SYSLOGTCP o SYSLOGTCP y el método de equilibrio de carga como AUDITLOGHASH.
Vaya a Administración del tráfico > Servidores virtuales, haga clic en Agregar y seleccione SYLOGTCP o SYSLOGUDP como protocolo.
-
Lleve el servicio al servidor virtual de equilibrio de carga al servicio.
Lleve el servicio al servidor virtual de equilibrio de carga.
Vaya a Administración del tráfico > Servidores virtuales, seleccione un servidor virtual y, a continuación, seleccione AuditLogHash en el método de equilibrio de carga.
-
Agregue una acción SYSLOG y especifique el nombre del servidor de equilibrio de carga que tiene SYSLOGTCP o SYSLOGUDP como tipo de servicio.
Vaya a Sistema > Auditoría, haga clic en Servidores y añada un servidor seleccionando la opción InServers de LB Vserver.
-
Agregue una directiva SYSLOG especificando la regla y la acción.
Vaya a Sistema > Syslog, haga clic en Directivas y agregue una directiva SYSLOG.
-
Enlazar la directiva SYSLOG al sistema global para que la directiva entre en vigor.
Vaya a Sistema > Syslog, seleccione una directiva SYSLOG y haga clic en Accióny, a continuación, haga clic en Enlaces globales y vincule la directiva a System Global.
Ejemplo:
La siguiente configuración especifica el equilibrio de carga de los mensajes SYSLOG entre los servidores de registro externos mediante AUDITLOGHASH como método de equilibrio de carga. El dispositivo NetScaler genera eventos y mensajes SYSLOG con equilibrio de carga entre los servicios, service1, service2 y service 3.
add service service1 192.0.2.10 SYSLOGUDP 514
Done
add service service2 192.0.2.11 SYSLOGUDP 514
Done
add service service3 192.0.2.11 SYSLOGUDP 514
Done
add lb vserver lbvserver1 SYSLOGUDP -lbMethod AUDITLOGHASH
Done
bind lb vserver lbvserver1 service1
Done
bind lb vserver lbvserver1 service2
Done
bind lb vserver lbvserver1 service3
Done
add syslogaction sysaction1 -lbVserverName lbvserver1 -logLevel All
Done
add syslogpolicy syspol1 ns_true sysaction1
Done
bind system global syspol1
Done
<!--NeedCopy-->
Registro de la información del encabezado HTTP
El dispositivo NetScaler ahora puede registrar la información del encabezado de solicitud de una conexión HTTP que utiliza la función LSN de NetScaler. Se puede registrar la siguiente información de encabezado de un paquete de solicitud HTTP:
- URL a la que está destinada la solicitud HTTP.
- Método HTTP especificado en la solicitud HTTP.
- Versión HTTP utilizada en la solicitud HTTP.
- Dirección IP del suscriptor que envió la solicitud HTTP.
Los ISP pueden utilizar los registros de encabezados HTTP para ver las tendencias relacionadas con el protocolo HTTP entre un conjunto de suscriptores. Por ejemplo, un ISP puede utilizar esta función para encontrar los sitios web más populares entre un conjunto de suscriptores.
Un perfil de registro de encabezado HTTP es un conjunto de atributos de encabezado HTTP (por ejemplo, URL y método HTTP) que se pueden habilitar o inhabilitar para el registro. El perfil de registro de encabezados HTTP se enlaza entonces a un grupo LSN. A continuación, el dispositivo NetScaler registra los atributos de encabezado HTTP, que están habilitados en el perfil de registro de encabezados HTTP enlazado para el registro, de cualquier solicitud HTTP relacionada con el grupo LSN. A continuación, el dispositivo envía los mensajes de registro a los servidores de registro configurados.
Un perfil de registro de encabezado HTTP se puede vincular a varios grupos LSN, pero un grupo LSN solo puede tener un perfil de registro de encabezado HTTP.
Para crear un perfil de registro de encabezados HTTP mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
Para vincular un perfil de registro de encabezados HTTP a un grupo LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
Ejemplo
En el siguiente ejemplo de una configuración de LSN, el perfil de registro de encabezados HTTP HTTP-header-log-1 está enlazado al grupo LSN LSN-GROUP-1. El perfil de registro tiene todos los atributos HTTP (URL, método HTTP, versión HTTP y dirección IP de HOST) habilitados para el registro, de modo que todos estos atributos se registran para cualquier solicitud HTTP de los suscriptores (en la red 192.0.2.0/24) relacionada con el grupo LSN.
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
NetScaler genera el siguiente mensaje de registro de encabezados HTTP cuando uno de los suscriptores que pertenecen al ejemplo de configuración de LSN envía una solicitud HTTP.
El mensaje de registro nos indica que un cliente que tiene la dirección IP 192.0.2.33 envía una solicitud HTTP a la URL example.com mediante el método HTTP GET y la versión 1.1 de HTTP.
03/19/2015:16:24:04 GMT Informational 0-PPE-1 : default LSN Message 59 0 : "LSN Client IP:TD 10.102.37.118:0 URL: example.com Host: 192.0.2.33 Version: HTTP1.1 Method: GET"
<!--NeedCopy-->
Registro de información de MSISDN
El número de directorio de suscriptores integrado (MSISDN) de una estación móvil es un número de teléfono que identifica de forma única a un suscriptor en varias redes móviles. El MSISDN está asociado a un código de país y un código de destino nacional que identifican al operador del suscriptor.
Puede configurar un dispositivo NetScaler para incluir MSISDNS en las entradas de registro de LSN para los suscriptores de las redes móviles. La presencia de MSISDN en los registros del LSN ayuda al administrador a localizar de forma más rápida y precisa a un suscriptor de telefonía móvil que haya infringido una directiva o una ley, o cuya información sea requerida por las agencias de interceptación legales.
Los siguientes ejemplos de entradas de registro de LSN incluyen información de MSISDN para una conexión desde un suscriptor móvil en una configuración de LSN. Las entradas de registro muestran que un suscriptor móvil cuyo MSISDN es E 164:5556543210 se conectó a la IP de destino: puerto 23.0.0. 1:80 a través de la IP de NAT: puerto 203.0.113. 3:45195.
Tipo de entrada de registro | Ejemplo de entrada de registro |
---|---|
Creación de sesiones LSN | 14 de octubre 15:37:30 10.102.37.77 10/14/ 2015:10:08:14 GMT 0-PPE-6: predeterminado LSN LSN_SESSION 25012 0: SESIÓN CREADA E 164:5556543210 IP de cliente:port:TD 192.0.2. 50:4649:0, natiP:NATPORT 203.0.113. 3:45195, IP de destino:port:TD 23.0.0. 1:0:0, Protocolo: TCP |
Creación de mapas LSN | 14 de octubre 15:37:30 10.102.37.77 10/14/ 2015:10:08:14 GMT 0-PPE-6: predeterminado LSN LSN_ADDR_MAPPING 25013 0: ADM CREADO E 164:5556543210 IP de cliente:port:TD 192.0.2. 50:4649:0, natiP:NATPORT 203.0.113. 3:45195, IP de destino:port:TD 23.0.0. 1:0: Protocolo: TCP |
Eliminación de sesiones de LSN | 14 de octubre 15:40:30 10.102.37.77 10/14/ 2015:10:11:14 GMT 0-PPE-6: predeterminado LSN LSN_SESSION 25012 0: SESIÓN CREADA E 164:5556543210 IP de cliente:port:TD 192.0.2. 50:4649:0, natiP:NATPORT 203.0.113. 3:45195, IP de destino:port:TD 23.0.0. 1:0:0, Protocolo: TCP |
Mapeo LSN | 14 de octubre 15:40:30 10.102.37.77 10/14/ 2015:10:11:14 GMT 0-PPE-6: predeterminado LSN LSN_ADDR_MAPPING 25013 0: ADM CREADO E 164:5556543210 IP de cliente:port:TD 192.0.2. 50:4649:0, natiP:NATPORT 203.0.113. 3:45195, IP de destino:port:TD 23.0.0. 1:0:0, Protocolo: TCP |
Realice las siguientes tareas para incluir información de MSISDN en los registros de LSN
- Cree un perfil de registro de LSN. Un perfil de registro de LSN incluye el parámetro de ID de suscriptor de registro, que especifica si se debe incluir o no la información de MSISDN en los registros de LSN de una configuración de LSN. Habilite el parámetro ID de suscriptor de registro al crear el perfil de registro de LSN.
- Enlace el perfil de registro de LSN a un grupo de LSN de una configuración de LSN. Vincular el perfil de registro LSN creado a un grupo LSN de una configuración LSN estableciendo el parámetro Nombre de perfil de registro en el nombre de perfil de registro LSN creado. Para obtener instrucciones sobre cómo configurar NAT a gran escala, consulte Pasos de configuración para LSN.
Para crear un perfil de registro LSN mediante la CLI
En el símbolo del sistema, escriba:
add lsn logprofile <logprofilename -logSubscriberID ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
Para vincular un perfil de registro de LSN a un grupo LSN de una configuración de LSN mediante la CLI
En el símbolo del sistema, escriba:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
Configuración de ejemplo:
En este ejemplo de configuración de LSN, el perfil de registro de LSN tiene activado el parámetro ID de suscriptor de registro. El perfil está enlazado al grupo LSN LSN-GROUP-9. La información del MSISDN se incluye en los registros de mapeo de la sesión de LSN y del LSN para las conexiones de los suscriptores móviles (en la red 192.0.2.0/24).
add lsn logprofile LOG-PROFILE-MSISDN-9 -logSubscriberID ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 -logprofilename LOG-PROFILE-MSISDN-9
Done
<!--NeedCopy-->
Visualización de las sesiones LSN actuales
Puede mostrar las sesiones LSN actuales para detectar cualquier sesión LSN no deseada o ineficiente en el dispositivo NetScaler. Puede mostrar todas o algunas sesiones de LSN en función de los parámetros de selección.
Nota: Cuando haya más de un millón de sesiones LSN en el dispositivo NetScaler, Citrix recomienda mostrar las sesiones LSN seleccionadas en lugar de todas mediante los parámetros de selección.
Configuración mediante la interfaz de línea de comandos
Para mostrar todas las sesiones de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
show lsn session
<!--NeedCopy-->
Para mostrar sesiones LSN selectivas mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
show lsn session [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
Ejemplo
Para mostrar todas las sesiones de LSN existentes en un NetScaler
Para mostrar todas las sesiones de LSN relacionadas con una entidad cliente de LSN LSN-CLIENT-2
Para mostrar todas las sesiones de LSN que utilizan 203.0.113.5 como dirección IP de NAT
Configuración mediante la utilidad de configuración
Para mostrar todas las sesiones de LSN o algunas de ellas mediante la utilidad de configuración
- Vaya a Sistema > NAT a gran escala > Sesiones y haga clic en la ficha NAT44.
- Para mostrar las sesiones de LSN en función de los parámetros de selección, haga clic en Buscar.
Descripciones de parámetros (de los comandos enumerados en el procedimiento CLI)
-
mostrar sesión lsn
-
nombre_cliente
Nombre de la entidad cliente de LSN. Longitud máxima: 127
-
network
Dirección IP o dirección de red de los suscriptores.
-
máscara de red
Máscara de subred para la dirección IP especificada en el parámetro de red.
Valor predeterminado: 255.255.255.255
-
td
ID de dominio de tráfico de la entidad cliente LSN.
Valor predeterminado: 0
Valor mínimo: 0
Valor máximo: 4094
-
AntiIP
Dirección IP NAT mapeada utilizada en las sesiones de LSN.
-
Visualización de estadísticas de LSN
Puede mostrar estadísticas relacionadas con la función LSN para evaluar el rendimiento de la función LSN o solucionar problemas. Puede mostrar un resumen de las estadísticas de la función LSN o de un grupo de LSN en particular. Los contadores estadísticos reflejan los eventos ocurridos desde la última vez que se reinició el dispositivo NetScaler. Todos estos contadores se restablecen a 0 cuando se reinicia el dispositivo NetScaler.
Para mostrar todas las estadísticas de LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
stat lsn
<!--NeedCopy-->
Para mostrar las estadísticas de un grupo LSN especificado mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
stat lsn group [<groupname>]
<!--NeedCopy-->
Ejemplo
> stat lsn
Large Scale NAT statistics
Rate(/s) Total
LSN TCP Received Packets 0 40
LSN TCP Received Bytes 0 3026
LSN TCP Transmitted Packets 0 40
LSN TCP Transmitted Bytes 0 3026
LSN TCP Dropped Packets 0 0
LSN TCP Current Sessions 0 0
LSN UDP Received Packets 0 0
LSN UDP Received Bytes 0 0
LSN UDP Transmitted Packets 0 0
LSN UDP Transmitted Bytes 0 0
LSN UDP Dropped Packets 0 0
LSN UDP Current Sessions 0 0
LSN ICMP Received Packets 0 982
LSN ICMP Received Bytes 0 96236
LSN ICMP Transmitted Packets 0 0
LSN ICMP Transmitted Bytes 0 0
LSN ICMP Dropped Packets 0 982
LSN ICMP Current Sessions 0 0
LSN Subscribers 0 1
Done
> stat lsn group LSN-GROUP-1
LSN Group Statistics
Rate (/s) Total
TCP Translated Pkts 0 40
TCP Translated Bytes 0 3026
TCP Dropped Pkts 0 0
TCP Current Sessions 0 0
UDP Translated Pkts 0 0
UDP Translated Bytes 0 0
UDP Dropped Pkts 0 0
UDP Current Sessions 0 0
ICMP Translated Pkts 0 0
ICMP Translated Bytes 0 0
ICMP Dropped Pkts 0 0
ICMP Current Sessions 0 0
Current Subscribers 0 1
Done
<!--NeedCopy-->
Descripciones de parámetros (de los comandos enumerados en el procedimiento CLI)
-
grupo stat lsn
-
nombre de grupo
Nombre del Grupo LSN. Longitud máxima: 127
-
detalle
Especifica la salida detallada (incluidas más estadísticas). La salida puede ser bastante voluminosa. Sin este argumento, la salida mostrará solo un resumen.
-
Valores completos
Especifica que los números y las cadenas deben mostrarse en su forma completa. Sin esta opción, las cadenas largas se acortan y los números grandes se abrevian.
-
n veces
El número de veces, en intervalos de siete segundos, deben mostrarse las estadísticas.
Valor por defecto: 1
-
Archivo de registro
El nombre del archivo de registro que se utilizará como entrada.
-
estadísticas claras
Borrar las estadísticas/contadores
Valores posibles: básico, completo
-
Registro compacto
El registro de la información del LSN es una de las funciones importantes que necesitan los ISP para cumplir con los requisitos legales y poder identificar la fuente del tráfico en un momento dado. Con el tiempo, esto se traduce en un enorme volumen de datos de registro, lo que requiere que los ISP realicen grandes inversiones para mantener la infraestructura de registro.
El registro compacto es una técnica para reducir el tamaño del registro mediante un cambio de notación que incluye códigos cortos para los nombres de eventos y protocolos. Por ejemplo, C para el cliente, SC para la sesión creada y T para TCP. El registro compacto da como resultado una reducción promedio del 40 por ciento en el tamaño del registro.
Los siguientes ejemplos de entradas del registro de creación de mapas de NAT44 muestran la ventaja del registro compacto.
|-|-| |Formato de registro predeterminado|02/02/ 2016:01:13:01 GMT Informational 0-PPE-2: predeterminado LSN LSN_ADDRPORT_MAPPING 85 0: A&PDM CREATED ClientIp:port:TD1.1.1. 1:6500:0, natiP:NATPort8.8.8. 8:47902, Destination IP:Port:TD2.2.2. 2:80:0, Protocolo: TCP| |Formato de registro compacto|02/02 /02/ 2016:01:14:57 GMT Info 0-PE2: LSN 87 predeterminado 0:A&PDMC|C-1.1.1. 1:6500:0 |N-8.8.8. 9:51066 |D-2.2.2. 2:80:0 |T|
Pasos de configuración
Realice las siguientes tareas para registrar la información de LSN en formato compacto:
- Cree un perfil de registro de LSN. Un perfil de registro de LSN incluye el parámetro Log Compact, que especifica si se debe registrar o no la información en formato compacto para una configuración de LSN.
- Enlazar el perfil de registro LSN a un grupo LSN de una configuración LSN. Enlace el perfil de registro de LSN creado a un grupo LSN de una configuración de LSN estableciendo el parámetro Nombre del perfil de registro al nombre del perfil de registro de LSN creado. Todas las sesiones y los mapeos de este grupo de LSN se registran en formato compacto.
Para crear un perfil de registro LSN mediante la CLI
En el símbolo del sistema, escriba:
add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)
show lsn logprofile
<!--NeedCopy-->
Para vincular un perfil de registro de LSN a un grupo LSN de una configuración de LSN mediante la CLI
En el símbolo del sistema, escriba:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
Configuración de ejemplo:
add lsn logprofile LOG-PROFILE-COMPACT-9 -logCompact ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 –logProfileName LOG-PROFILE-COMPACT-9
Done
<!--NeedCopy-->
Registro de IPFIX
El dispositivo NetScaler admite el envío de información sobre los eventos de LSN en formato de exportación de información de flujo del protocolo de Internet (IPFIX) al conjunto configurado de recopiladores de IPFIX. El dispositivo utiliza la función AppFlow existente para enviar eventos de LSN en formato IPFIX a los recopiladores de IPFIX.
El registro basado en IPFIX está disponible para los siguientes eventos relacionados con NAT44 a gran escala:
- Creación o eliminación de una sesión de LSN.
- Creación o eliminación de una entrada de mapeo de LSN.
- Asignación o desasignación de bloques de puertos en el contexto de una NAT determinista.
- Asignación o desasignación de bloques de puertos en el contexto de una NAT dinámica.
- Siempre que se supere la cuota de sesión del suscriptor.
Puntos a tener en cuenta antes de configurar el registro de IPFIX
Antes de empezar a configurar IPSec ALG, tenga en cuenta los siguientes puntos:
- Debe configurar la función AppFlow y los recopiladores IPFIX en el dispositivo NetScaler. Para obtener instrucciones, consulte el tema Configurar la función AppFlow.
Pasos de configuración
Realice las siguientes tareas para registrar la información de LSN en formato IPFIX:
- Habilite el registro de LSN en la configuración de AppFlow. Habilite el parámetro de registro LSN como parte de la configuración de AppFlow.
- Cree un perfil de registro de LSN. Un perfil de registro de LSN incluye el parámetro IPFIX que habilita o inhabilita la información de registro en formato IPFIX.
- Enlace el perfil de registro de LSN a un grupo de LSN de una configuración de LSN. Enlazar el perfil de registro de LSN a uno o varios grupos de LSN. Los eventos relacionados con el grupo LSN enlazado se registrarán en formato IPFIX.
Para habilitar el registro de LSN en la configuración de AppFlow mediante la CLI
En el símbolo del sistema, escriba:
set appflow param -lsnLogging ( ENABLED | DISABLED )
show appflow param
<!--NeedCopy-->
Para crear un perfil de registro de LSN mediante el CLIat en la línea de comandos
En el símbolo del sistema, escriba:
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
Para vincular el perfil de registro de LSN a un grupo LSN de una configuración de LSN mediante la CLI
En el símbolo del sistema, escriba:
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
Para crear un perfil de registro LSN mediante la interfaz gráfica de usuario
Vaya a Sistema > NAT a gran escala > Perfiles, haga clic en la ficha Registro y, a continuación, agregue un perfil de registro.
Para vincular el perfil de registro de LSN a un grupo LSN de una configuración de LSN mediante la interfaz gráfica de usuario
- Vaya a Sistema > NAT a gran escala > Grupo LSN y abra el grupo LSN.
- En Configuración avanzada, haga clic en + Perfil de registro para vincular el perfil de registro creado al grupo LSN.