ADC

SYSLOG a través de TCP

Syslog es un estándar para enviar mensajes de notificación de eventos. Estos mensajes se pueden almacenar localmente o en un servidor de registro externo. Syslog permite a los administradores de red consolidar los mensajes de registro y obtener información de los datos recopilados.

Syslog se diseñó originalmente para funcionar a través de UDP, que puede transmitir una enorme cantidad de datos dentro de la misma red con una pérdida mínima de paquetes. Sin embargo, los operadores de telecomunicaciones prefieren transmitir datos de syslog a través de TCP, porque necesitan una transmisión de datos fiable y ordenada entre redes. Por ejemplo, la empresa de telecomunicaciones rastrea las actividades de los usuarios y TCP proporciona retransmisión en caso de error de la red.

Cómo funciona Syslog over TCP

Para entender cómo funciona syslog over TCP, considere dos casos hipotéticos:

Sam, un administrador de red, desea registrar eventos importantes en un servidor syslog externo.

XYZ Telecom, un ISP, tiene que transmitir y almacenar una cantidad significativa de datos en servidores syslog para cumplir con las regulaciones gubernamentales.

En ambos casos, los mensajes de registro deben transmitirse a través de un canal fiable y almacenarse de forma segura en un servidor syslog externo. A diferencia de UDP, TCP establece una conexión, transmite mensajes de forma segura y retransmite (del remitente al receptor) cualquier dato que esté dañado o perdido debido a un error de la red.

El dispositivo NetScaler envía mensajes de registro a través de UDP al daemon syslog local y envía mensajes de registro a través de TCP o UDP a servidores syslog externos.

Soporte de SNIP para Syslog

Cuando el módulo de registro de auditorías genera mensajes de syslog, utiliza una dirección IP de NetScaler (NSIP) como dirección de origen para enviar los mensajes a un servidor syslog externo. Para configurar un SNIP como dirección de origen, debe hacerlo parte de la opción netProfile y vincular netProfile a la acción syslog.

Nota

TCP usa SNIP para enviar sondeos de supervisión para verificar la conectividad y luego envía los registros a través de NSIP. Por lo tanto, se debe poder acceder al servidor syslog a través de SNIP. Los perfiles de red se pueden usar para redirigir todo el tráfico de syslog TCP a través de SNIP por completo.

El uso de una dirección SNIP no se admite en el registro interno.

Nombre de dominio totalmente cualificado Soporte para registro de auditoría

Anteriormente, el módulo audit-log se configuraba con la dirección IP de destino del servidor syslog externo al que se enviaban los mensajes de registro. Ahora, el servidor de registro de auditoría utiliza un nombre de dominio completo (FQDN) en lugar de la dirección IP de destino. La configuración de FQDN resuelve el nombre de dominio configurado del servidor syslog en la dirección IP de destino correspondiente para enviar los mensajes de registro desde el módulo audit-log. El servidor de nombres debe estar configurado correctamente para resolver el nombre de dominio y evitar problemas de servicio basados en el dominio.

Nota

Al configurar un FQDN, no se admite la configuración del nombre de dominio del servidor del mismo dispositivo NetScaler en la acción syslog o en la acción nslog.

Configuración de Syslog sobre TCP mediante la interfaz de línea de comandos

Para configurar un dispositivo NetScaler para enviar mensajes de syslog a través de TCP mediante la interfaz de línea de comandos

En la línea de comandos, escriba:

    add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName<string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>] [-logFacility <logFacility>]   [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )][-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold <positive_integer>][-dns ( ENABLED | DISABLED )] [-netProfile <string>]
<!--NeedCopy-->

    add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY -transport TCP
<!--NeedCopy-->

Agregar la dirección IP SNIP a la opción de perfil de red mediante la interfaz de línea de comandos

Para agregar una dirección IP SNIP al perfil de red mediante la interfaz de línea de comandos

En la línea de comandos, escriba:

    add netProfile <name> [-td <positive_integer>] [-srcIP <string>][-srcippersistency ( ENABLED | DISABLED )][-overrideLsn ( ENABLED | DISABLED )]add syslogaction <name> <serverIP> –loglevel all –netprofile net1
<!--NeedCopy-->
    add netprofile net1 –srcip 10.102.147.204`
<!--NeedCopy-->

Donde srCip es el SNIP.

Agregar perfil de red en una acción de syslog mediante la interfaz de línea de comandos

Para agregar una opción netProfile en una acción de syslog mediante la interfaz de línea de comandos

En la línea de comandos, escriba:

     add audit syslogaction <name> (<serverIP> | -lbVserverName <string>)  -logLevel <logLevel>
    -netProfile <string> …

<!--NeedCopy-->
    add syslogaction sys_act1 10.102.147.36 –loglevel all –netprofile net1
<!--NeedCopy-->

Donde -netprofile especifica el nombre del perfil de red configurado. La dirección SNIP se configura como parte de netProfile y esta opción netProfile está enlazada a la acción syslog.

Nota

Siempre debe vincular netProfile a los servicios SYSLOGUDP o SYSLOGTCP que están enlazados al servidor virtual de equilibrio de carga SYSLOGUDP o SYSLOGTCP.

Configuración de la compatibilidad con FQDN mediante la interfaz de línea de comandos

Para agregar un nombre de dominio de servidor a una acción de Syslog mediante la interfaz de línea de comandos

En la línea de comandos, escriba:

add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>]) | -lbVserverName <string>)) -logLevel <logLevel> ...
    set audit syslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>]-serverDomainName <string>] [-lbVserverName <string>]-domainResolveRetry <integer>] [-domainResolveNow]
<!--NeedCopy-->

Agregar un nombre de dominio de servidor a una acción Nslog mediante la interfaz de línea de comandos.

En la línea de comandos, escriba:

    add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>]))  -logLevel <logLevel> ...
    set audit nslogAction <name> [-serverIP <ip_addr|ipv6_addr|*>][-serverDomainName <string>] [-domainResolveRetry <integer>][-domainResolveNow]
<!--NeedCopy-->

Donde ServerDomainName. Nombre de dominio del servidor de registro. Es mutuamente excluyente con ServerIP/ LBVServerName.

DomainResolveRetry entero. Tiempo (en segundos) que el dispositivo NetScaler espera, después de que falle una resolución de DNS, antes de enviar la siguiente consulta de DNS para resolver el nombre de dominio.

Domain Resolve ahora. Se incluye si la consulta DNS debe enviarse inmediatamente para resolver el nombre de dominio del servidor.

Configuración de Syslog sobre TCP mediante la GUI

Para configurar el dispositivo NetScaler para enviar mensajes de Syslog a través de TCP mediante la GUI

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores .
  2. Haga clic en Agregar y seleccione Tipo de transporte como TCP.

Configuración de un perfil de red para la compatibilidad con SNIP mediante la GUI

Para configurar el perfil de red para la compatibilidad con SNIP mediante la GUI

  1. Vaya aSistema > Auditoría > Syslogy seleccione la ficha Servidores.
  2. Haga clic en Agregar y seleccione un perfil de red de la lista.

Configuración de FQDN mediante la GUI

Para configurar el FQDN mediante la GUI

  1. Vaya a Sistema > Auditoría > Syslog y seleccione la ficha Servidores .
  2. Haga clic en Agregar y seleccione un tipo de servidor y un nombre de dominio de servidor de la lista.
SYSLOG a través de TCP