ADC

Configuración del dispositivo NetScaler para el registro de auditoría

Advertencia:

Las expresiones directivas clásicas y su uso están en desuso (se desaconseja su uso, pero siguen siendo compatibles) a partir de la compilación 56.20 de NetScaler 12.0 y, como alternativa, Citrix recomienda utilizar directivas avanzadas. Para obtener más información, consulte Directivas avanzadas.

El registro de auditoría muestra la información de estado de los diferentes módulos para que el administrador pueda ver el historial de eventos en orden cronológico. Los principales componentes de un marco de auditoría son la “acción de auditoría” y la “directiva de auditoría”. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad vinculante a una “acción de auditoría”. Las directivas de auditoría utilizan el marco “Classic Policy Engine” (CPE) o el marco de Progress Integration (PI) para vincular la “acción de auditoría” con las “entidades vinculantes globales del sistema”.

Sin embargo, los marcos de directivas difieren entre sí en cuanto a vincular las directivas de registro de auditoría a las entidades globales. Anteriormente, el módulo de auditoría solo admitía expresiones de directiva clásicas y avanzadas. Actualmente, con la expresión avanzada puede vincular las directivas de registro de auditoría solo a las entidades globales del sistema.

Nota

Al enlazar una directiva a entidades globales, debe vincularla a una entidad global del sistema de la misma expresión. Por ejemplo, no puede vincular una directiva clásica a una entidad global avanzada ni vincular una directiva avanzada a una entidad global clásica.

Además, no puede vincular la directiva de registro de auditoría clásica y la directiva de registro de auditoría avanzada a un servidor virtual de equilibrio de carga.

Configuración de directivas de registro de auditoría en una expresión de directiva clásica

La configuración del registro de auditoría en la directiva clásica consta de los siguientes pasos:

  1. Configurar una acción de registro de auditoría. Puede configurar una acción de auditoría para distintos servidores y para distintos niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad vinculante a una “acción de auditoría”. De forma predeterminada, SYSLOG usa un protocolo de datos de usuario (UDP) para la transferencia de datos y NSLOG usa solo TCP para transferir la información de registro a los servidores de registro. TCP es más fiable que UDP para transferir datos completos. Al utilizar TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo NetScaler para almacenar los registros. Una vez alcanzado el límite del búfer, los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Puede configurar directivas SYSLOG para registrar mensajes en un servidor SYSLOG o directivas NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que se establece en true o ns_true para los mensajes que se van a registrar, y una acción de SYSLOG o NSLOG.
  3. Directivas de registro de auditoría vinculantes a entidades globales. Debe enlazar globalmente las directivas de registro de auditoría a entidades globales como SYSTEM, VPN, NetScaler AAA, etc. Puede hacerlo para habilitar el registro de todos los sucesos del sistema NetScaler. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Cada uno de estos pasos se explica en las secciones siguientes.

Configuración de la acción del registro de auditoría

Para configurar la acción de SYSLOG en una infraestructura de directivas avanzada mediante la CLI.

Nota

El dispositivo NetScaler permite configurar solo una acción SYSLOG en la dirección IP y el puerto del servidor SYSLOG. El dispositivo no permite configurar varias acciones SYSLOG en la misma dirección IP y puerto del servidor.

Una acción syslog contiene una referencia a un servidor syslog. Especifica qué información se va a registrar y menciona cómo registrar esa información.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
-  show audit syslogAction [<name>]

<!--NeedCopy-->

Para configurar la acción del NSLOG en la infraestructura de directivas avanzada mediante la CLI.

Una acción de registro ns contiene una referencia a un servidor de registro ns. Especifica qué información se va a registrar y menciona cómo registrar esa información.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuración de directivas de registro de auditoría

Configure las directivas de registro de auditoría en la infraestructura de directivas clásica mediante la CLI.

En la línea de comandos, escriba:

-  add audit syslogpolicy <name> <-rule> <action>
-  add audit nslogpolicy <name> <-rule> <action>
<!--NeedCopy-->

Vinculación de directivas syslog de auditoría a syslog global de auditoría

Vincule la directiva de registro de auditoría a un marco de directivas avanzado mediante la CLI.

En la línea de comandos, escriba:

bind syslogGlobal -policyName <policyName> -priority <priority>

unbind syslogGlobal -policyName <policyName> -priority <priority>

Vincule la directiva de registro de auditoría al marco de directivas clásico mediante la CLI.

En la línea de comandos, escriba:

bind systemglobal <policy Name> <Priority>

unbind systemglobal <policy Name> <Priority>

Configuración de directivas de registro de auditoría mediante una expresión de directiva avanzada

La configuración del registro de auditoría en la directiva avanzada consiste en los siguientes pasos:

  1. Configurar una acción de registro de auditoría. Puede configurar una acción de auditoría para distintos servidores y para distintos niveles de registro. La “acción de auditoría” describe la información de configuración del servidor de auditoría, mientras que la “directiva de auditoría” vincula una entidad vinculante a una “acción de auditoría”. De forma predeterminada, SYSLOG usa un protocolo de datos de usuario (UDP) para la transferencia de datos y NSLOG usa solo TCP para transferir la información de registro a los servidores de registro. TCP es más fiable que UDP para transferir datos completos. Al utilizar TCP para SYSLOG, puede establecer el límite de búfer en el dispositivo NetScaler para almacenar los registros. Una vez alcanzado el límite del búfer, los registros se envían al servidor SYSLOG.
  2. Configuración de la directiva de registro de auditoría. Puede configurar directivas SYSLOG para registrar mensajes en un servidor SYSLOG o directivas NSLOG para registrar mensajes en un servidor NSLOG. Cada directiva incluye una regla que se establece en true o ns_true para los mensajes que se van a registrar, y una acción de SYSLOG o NSLOG.
  3. Directivas de registro de auditoría vinculantes a entidades globales. Debe enlazar globalmente las directivas de registro de auditoría a la entidad global SYSTEM para habilitar el registro de todos los sucesos del sistema NetScaler. Al definir el nivel de prioridad, puede establecer el orden de evaluación del registro del servidor de auditoría. La prioridad 0 es la más alta y se evalúa primero. Cuanto mayor sea el número de prioridad, menor será la prioridad de la evaluación.

Nota

El dispositivo NetScaler evalúa todas las directivas vinculadas a true.

Configuración de la acción del registro de auditoría

Para configurar la acción de syslog en la infraestructura de directivas avanzada mediante la CLI.

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
-  show audit syslogAction [<name>]
<!--NeedCopy-->

Configure la acción NSLOG en la infraestructura de directivas avanzada mediante la CLI:

En el símbolo del sistema, escriba los siguientes comandos para establecer los parámetros y verificar la configuración:

-  add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
-  show audit nslogAction [<name>]
<!--NeedCopy-->

Configuración de directivas de registro de auditoría

Para agregar una acción de auditoría de syslog mediante la CLI.

En la línea de comandos, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
    | -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel> [-managementlog <managementlog> ...] ... [-managementloglevel <managementloglevel> ...][-dateFormat <dateFormat>]
     [-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
    [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
     [-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
    [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold]
<!--NeedCopy-->

Ejemplo

    > add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
    > add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
    > add audit syslogpolicy syslog-pol1 TRUE audit-action1
    > add audit nslogPolicy nslog-pol1 TRUE nslog-action1
    > bind system global nslog-pol1 -priority 20
<!--NeedCopy-->

Nota:

La opción managementlog de la configuración de syslogaction solo admite la configuración de puertos e IP del servidor. No se admiten las configuraciones de nombres de servidores virtuales de equilibrio de carga y de servicio basado en dominios (DBS).

Para los registros de administración, utilice el comando compatible: No se admiten

add syslogAction <serverIP>

las siguientes configuraciones:

add syslogAction <serverDomainName>

add syslogAction -lbVserverName <lb_vserver_name>

Para obtener más información, consulte Exportar los registros de administración directamente de NetScalera Splunk.

Agregue una acción de auditoría de nslog mediante la CLI.

En la línea de comandos, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>]       -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
<!--NeedCopy-->

Directivas de registro de auditoría vinculantes a entidades globales

Enlace la directiva de registro de auditoría de syslog a un marco de directivas avanzado mediante la CLI.

En la línea de comandos, escriba:

bind audit syslogGlobal <policyName> [-globalBindType <globalBindType

unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]

Configuración de la directiva de registro de auditoría mediante la interfaz gráfica de usuario

  1. Vaya a Configuración > Sistema > Auditoría > Syslog.
  2. Seleccione la ficha Servidores.
  3. Haga clic en Agregar.
  4. En la página Crear servidor de auditoría, rellene los campos correspondientes y haga clic en Crear.
  5. Para agregar la directiva, seleccione la ficha Directivas y haga clic en Agregar.
  6. En la página Crear directiva de syslog de auditoría, rellene los campos pertinentes y haga clic en Crear.
  7. Para enlazar la directiva de forma global, seleccione Enlaces globales de directivas avanzadas en la lista desplegable. Seleccione la directiva best_syslog_policy_ever. Haga clic en Seleccionar.
  8. En la lista desplegable, seleccione el punto de enlace como SYSTEM_GLOBAL, haga clic en Enlazar y, a continuación, haga clic en Listo.

Configuración del registro basado en directivas

Puede configurar el registro basado en directivas para las directivas de reescritura y respuesta. Los mensajes de auditoría se registran en un formato definido cuando la regla de una directiva se evalúa como TRUE. Para configurar el registro basado en directivas, configure una acción de mensaje de auditoría que utilice expresiones de directiva avanzadas para especificar el formato de los mensajes de auditoría. Y asocie la acción con una directiva. La directiva se puede enlazar de forma global o a un servidor virtual de equilibrio de carga o conmutación de contenido. Puede utilizar acciones de mensajes de auditoría para registrar mensajes en varios niveles de registro, ya sea solo en formato syslog o tanto en formato syslog como en formato nslog nuevo

Requisitos previos

  • La opción Mensajes de registro configurables por el usuario (userDefinedAuditlog) está habilitada para configurar el servidor de acciones de auditoría al que quiere enviar los registros en un formato definido.
  • La directiva de auditoría relacionada está vinculada al sistema global.

Configuración de una acción de mensaje de auditoría

Puede configurar acciones de mensajes de auditoría para registrar mensajes en varios niveles de registro, ya sea solo en formato syslog o en formatos de registro syslog y ns nuevos. Las acciones de mensajes de auditoría utilizan expresiones para especificar el formato de los mensajes de auditoría.

Cree una acción de mensaje de auditoría mediante la CLI

En la línea de comandos, escriba:

add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)]
<!--NeedCopy-->
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL'
<!--NeedCopy-->

Configurar una acción de mensaje de auditoría mediante la interfaz gráfica de usuario

Vaya a Sistema > Auditoría > Acciones de mensajesy cree la acción del mensaje de auditoría.

Enlazar acción de mensaje de auditoría a una directiva

Después de crear una acción de mensaje de auditoría, debe vincularla a una directiva de reescritura o respuesta. Para obtener más información sobre cómo vincular acciones de mensajes de registro a una directiva de reescritura o respuesta, consulte Reescritura o Respondedor.

Configuración del dispositivo NetScaler para el registro de auditoría