ADC

Journalisation des audits

Important

Citrix vous recommande de mettre à jour une configuration SYSLOG ou NSLOG uniquement pendant la maintenance ou les interruptions de service. Si vous mettez à jour une configuration après avoir créé une session, les modifications ne sont pas appliquées aux journaux de session existants.

L’audit est un examen méthodique ou un examen d’un état ou d’une situation. La fonction de journalisation des audits vous permet de consigner les états de NetScaler et les informations d’état collectées par différents modules. Les informations du journal peuvent se trouver dans le noyau et dans les démons de niveau utilisateur. Pour la journalisation des audits, vous pouvez utiliser le protocole SYSLOG, le protocole NSLOG natif, ou les deux.

SYSLOG est un protocole standard pour la journalisation. Il comporte deux composantes :

  • Module d’audit SYSLOG. S’exécute sur l’appliance NetScaler.
  • Serveur SYSLOG. S’exécute sur le système d’exploitation (SE) FreeBSD sous-jacent de l’appliance NetScaler ou sur un système distant.

SYSLOG utilise un protocole de données utilisateur (UDP) pour le transfert de données.

De même, le protocole NSLOG natif comporte deux composants :

  • Module d’audit NSLOG. S’exécute sur l’appliance NetScaler.
  • Serveur NSLOG. S’exécute sur le système d’exploitation FreeBSD sous-jacent de l’appliance NetScaler ou sur un système distant.

NSLOG utilise le protocole TCP pour le transfert de données.

Lorsque vous exécutez un serveur SYSLOG ou NSLOG, il se connecte à l’appliance NetScaler. L’appliance NetScaler commence alors à envoyer toutes les informations du journal au serveur SYSLOG ou NSLOG. Et le serveur filtre les entrées du journal avant de les stocker dans un fichier journal. Un serveur NSLOG ou SYSLOG reçoit des informations de journal provenant de plusieurs appliances NetScaler. L’appliance NetScaler envoie les informations du journal à plusieurs serveurs SYSLOG ou NSLOG.

Si plusieurs serveurs SYSLOG sont configurés, l’appliance NetScaler envoie ses événements et messages SYSLOG à tous les serveurs de journaux externes configurés. Cela entraîne le stockage de messages redondants et complique la surveillance pour les administrateurs système. Pour résoudre ce problème, l’appliance NetScaler propose des algorithmes d’équilibrage de charge. L’appliance peut équilibrer la charge des messages SYSLOG entre les serveurs de journaux externes pour améliorer la maintenance et les performances. Les algorithmes d’équilibrage de charge pris en charge incluent RoundRobin, LeastBandWidth, CustomLoad, LeastPackets et AuditLogHash.

Remarque

L’appliance NetScaler peut envoyer des messages de journal d’audit jusqu’à 16 Ko à un serveur SYSLOG externe.

Les informations de journal qu’un serveur SYSLOG ou NSLOG collecte auprès d’une appliance NetScaler sont stockées dans un fichier journal sous forme de messages. Ces messages contiennent généralement les informations suivantes :

  • Adresse IP d’une appliance NetScaler qui a généré le message du journal.
  • Un horodatage
  • Le type de message
  • Les niveaux de journalisation prédéfinis (critique, erreur, notification, avertissement, information, débogage, alerte et urgence)
  • Les informations de message

Pour configurer la journalisation des audits, vous devez d’abord configurer les modules d’audit sur l’appliance NetScaler. L’appliance implique la création de stratégies d’audit et la spécification des informations sur le serveur NSLOG ou SYSLOG. Vous installez et configurez ensuite le serveur SYSLOG ou NSLOG sur le système d’exploitation FreeBSD sous-jacent de l’appliance NetScaler ou sur un système distant.

Remarque

SYSLOG est une norme industrielle pour l’enregistrement des messages des programmes, et divers fournisseurs fournissent une assistance. La documentation ne contient pas d’informations de configuration du serveur SYSLOG.

Le serveur NSLOG possède son propre fichier de configuration (auditlog.conf). Vous pouvez personnaliser la journalisation sur le système serveur NSLOG en apportant des modifications supplémentaires au fichier de configuration (auditlog.conf).

Remarque

L’accès ICMP au serveur Syslog est obligatoire si le serveur Syslog est utilisé comme FQDN sous Syslog Action sur le réseau. Si l’accès ICMP est bloqué dans l’environnement, configurez-le en tant que serveur Syslog à charge équilibrée et définissez la valeur du paramètre HealthMonitor dans la commande set service sur NO. Pour configurer ICMP, voir Serveurs SYSLOG d’équilibragede charge

Journalisation des audits