LSN のロギングとモニタリング
LSN 情報をログに記録して、問題の診断、トラブルシューティング、法的要件を満たすことができます。LSN 統計カウンタを使用し、現在の LSN セッションを表示することによって、LSN 機能のパフォーマンスを監視できます。
LSN のロギング
LSN情報のロギングは、法的要件を満たし、任意の時点でトラフィックの送信元を識別するために、ISPが必要とする重要な機能の1つです。
Citrix ADCアプライアンスは、LSNマッピングエントリと、LSNグループごとに作成または削除されたLSNセッションを記録します。LSN グループのロギングパラメータとセッションロギングパラメータを使用して、LSN グループの LSN 情報のロギングを制御できます。これらはグループレベルのパラメータであり、デフォルトでは無効になっています。Citrix ADCアプライアンスは、ロギングとセッションロギングの両方のパラメータが有効になっている場合にのみ、LSNグループのLSNセッションをログに記録します。
次の表は、ロギングパラメータとセッションロギングパラメータのさまざまな設定に対する LSN グループのロギング動作を示しています。
| ログ | セッションロギング | ロギングの動作 |
|---|---|---|
| 有効 | 有効 | LSN マッピングエントリおよび LSN セッションを記録します。 |
| 有効 | 無効 | LSN マッピングエントリを記録しますが、LSN セッションは記録しません。 |
| 無効 | 有効 | マッピングエントリも LSN セッションもログに記録しません。 |
LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)。
- タイム・スタンプ
- エントリの種類 (MAPPING)
- LSN マッピングエントリが作成または削除されたかどうか
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が存在する場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートはログに記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピングのログに記録されます。
LSN セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元であるCitrix ADCが所有するIPアドレス(NSIPアドレスまたはSNIPアドレス)。
- タイム・スタンプ
- エントリの種類 (SESSION)
- LSN セッションが作成または削除されるかどうか
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
アプライアンスは、既存の syslog フレームワークと監査ログフレームワークを使用して LSN 情報を記録します。関連する NSLOG アクションおよび SYLOG アクションエンティティで LSN パラメータを有効にして、グローバルレベルの LSN ロギングを有効にする必要があります。Loggingパラメータを有効にすると、Citrix ADCアプライアンスは、このLSNグループのLSNマッピングおよびLSNセッションに関連するログメッセージを生成します。アプライアンスは、NSLOG アクションおよび SYSLOG アクションエンティティに関連付けられたサーバにこれらのログメッセージを送信します。
LSN情報をログに記録するには、次をお勧めします:
- Citrix ADCアプライアンスではなく、外部ログサーバーにLSN情報を記録します。外部サーバーにログオンすると、アプライアンスが大量の LSN ログエントリを (数百万の順) 作成するときに、最適なパフォーマンスが促進されます。
-
TCP または NSLOG 経由でのSYSLOGの使用。デフォルトでは、SYSLOG は UDP を使用し、NSLOG は TCP だけを使用してログ情報をログサーバに転送します。TCPは、完全なデータを転送するためのUDPよりも信頼性が高い。
注:
- Citrix ADCアプライアンスで生成されたSYSLOGは、外部ログサーバーに動的に送信されます。
- SYSLOG over TCPを使用する場合、TCP接続がダウンしているか、SYSLOGサーバーがビジー状態である場合、Citrix ADCアプライアンスはログをバッファに保存し、接続がアクティブになるとデータを送信します。
ログの構成の詳細については、「 監査ログ」を参照してください。
LSN ロギングの設定は、次の作業で構成されます。
-
Citrix ADCアプライアンスのログ記録の設定このタスクでは、Citrix ADCアプライアンスのさまざまなエンティティとパラメータの作成と設定を行います。
-
SYSLOG または NSLOG 監査ログ構成を作成します。監査ログ設定の作成には、次の作業が含まれます。
- NSLOG または SYSLOG 監査アクションを作成し、LSN パラメータを有効にします。監査アクションは、ログサーバーの IP アドレスを指定します。
- SYSLOG または NSLOG 監査ポリシーを作成し、監査アクションを監査ポリシーにバインドします。監査アクションは、ログサーバーの IP アドレスを指定します。オプションで、外部ログサーバに送信されるログメッセージの転送方法を設定できます。デフォルトでは UDP が選択されており、信頼性の高いトランスポートメカニズムのために TCP としてトランスポート方式を設定できます。監査ポリシーをシステムグローバルにバインドします。
- SYSLOG または NSLOG 監査ポリシーを作成し、監査アクションを監査ポリシーにバインドします。
- 監査ポリシーをシステムグローバルにバインドします。 注: 既存の監査ログ設定では、監査アクションで指定されたサーバーで LSN 情報をログに記録するための LSN パラメータを有効にするだけです。
- ロギングおよびセッションロギングパラメータを有効にします。LSN グループを追加するか、グループを作成した後で、ロギングパラメータとセッションロギングパラメータを有効にします。Citrix ADCアプライアンスは、これらのLSNグループに関連するログメッセージを生成し、LSNパラメータが有効になっている監査アクションのサーバーに送信します。
-
SYSLOG または NSLOG 監査ログ構成を作成します。監査ログ設定の作成には、次の作業が含まれます。
- ログサーバの設定。このタスクでは、目的のサーバに SYSLOG パッケージまたは NSLOG パッケージをインストールします。また、このタスクでは、SYSLOGまたはNSLOGの構成ファイルでCitrix ADCアプライアンスのNSIPアドレスを指定します。NSIPアドレスを指定すると、サーバはCitrix ADCアプライアンスから送信されるログ情報を識別して、ログファイルに保存できます。
ログの構成の詳細については、「 監査ログ」を参照してください。
コマンドラインインターフェイスを使用した SYSLOG の設定
コマンドラインインターフェイスを使用して LSN ログ用の SYSLOG サーバーアクションを作成するには
コマンドプロンプトで入力します。
add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel>... [-transport (TCP)] [-lsn ( ENABLED | DISABLED )]
<!--NeedCopy-->
コマンドラインインターフェイスを使用して LSN ログ用の SYSLOG サーバーポリシーを作成するには
コマンドプロンプトで入力します。
add audit syslogPolicy <name> <rule> <action>
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、SYSLOG サーバーポリシーを LSN ログ用にシステムグローバルにバインドするには
コマンドプロンプトで入力します。
bind system global [<policyName> [-priority <positive_integer>]]
<!--NeedCopy-->
構成ユーティリティを使用した SYSLOG 構成
構成ユーティリティを使用して LSN ログの SYSLOG サーバーアクションを構成するには
- [システム] > [監査] > [Syslog] に移動し、[サーバー] タブで新しい監査サーバーを追加するか、既存のサーバーを編集します。
- LSN ログを有効にするには、[大規模な NAT ログ] オプションを選択します。
- (オプション)TCP を介した SYSLOG を有効にするには、[TCP ロギング] オプションを選択します。
構成ユーティリティを使用して LSN ログ用の SYSLOG サーバーポリシーを構成するには
[システム] > [監査] > [Syslog] に移動し、[ポリシー] タブで新しいポリシーを追加するか、既存のポリシーを編集します。
構成ユーティリティを使用して、SYSLOG サーバーポリシーを LSN ログ用にシステムグローバルにバインドするには
- [システム] > [監査] > [Syslog] に移動します。
- [ポリシー] タブの [操作] ボックスの一覧で、[グローバルバイン ド] をクリックして、監査グローバルポリシーをバインドします。
コマンドラインインターフェイスを使用した NSLOG の設定
コマンドラインインターフェイスを使用して LSN ログ用の NSLOG サーバーアクションを作成するには
コマンドプロンプトで入力します。
add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-lsn ( ENABLED | DISABLED )]
<!--NeedCopy-->
コマンドラインインターフェイスを使用して LSN ログ用の NSLOG サーバーポリシーを作成するには
コマンドプロンプトで入力します。
add audit nslogPolicy <name> <rule> <action>
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、NSLOG サーバポリシーを LSN ログ用にシステムグローバルにバインドするには
コマンドプロンプトで入力します。
bind system global [<policyName>]
<!--NeedCopy-->
構成ユーティリティを使用した NSLOG の構成
構成ユーティリティを使用して LSN ログ用の NSLOG サーバーアクションを構成するには
- [システム] > [監査] > [Nslog] に移動し、[サーバー] タブで新しい監査サーバーを追加するか、既存のサーバーを編集します。
- LSN ログを有効にするには、[大規模な NAT ログ] オプションを選択します。
構成ユーティリティを使用して LSN ログ用の NSLOG サーバポリシーを構成するには
[システム] > [監査] > [Nslog] に移動し、[ポリシー] タブで新しいポリシーを追加するか、既存のポリシーを編集します。
構成ユーティリティを使用して、NSLOG サーバポリシーを LSN ログ用にシステムグローバルにバインドするには
- [システム] > [監査] > [Nslog] に移動します。
- [ポリシー] タブの [操作] ボックスの一覧で、[グローバルバイン ド] をクリックして、監査グローバルポリシーをバインドします。
例
次の構成では、LSN ログを含むログエントリを格納するための 2 つの SYSLOG サーバと 2 つの NSLOG サーバを指定します。LSN ロギングは、LSN グループ LSN-グループ 2 および LSN-グループ 3 に対して設定されます。
Citrix ADCアプライアンスは、これらのLSNグループのLSNマッピングおよびLSNセッションに関連するログメッセージを生成し、指定されたログサーバーに送信します。
add audit syslogAction SYS-ACTION-1 198.51.101.10 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
add audit syslogAction SYS-ACTION-2 198.51.101.20 -logLevel ALL -lsn ENABLED
Done
add audit syslogPolicy SYSLOG-POLICY-2 ns_true SYS-ACTION-2
Done
bind system global SYSLOG-POLICY-2
Done
add audit nslogAction NSLOG-ACTION-1 198.51.101.30 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-1 ns_true NSLOG-ACTION-1
Done
bind system global NSLOG-POLICY-1
Done
add audit nslogAction NSLOG-ACTION-2 198.51.101.40 -logLevel ALL -lsn ENABLED
Done
add audit nslogPolicy NSLOG-POLICY-2 ns_true NSLOG-ACTION-2
Done
bind system global NSLOG-POLICY-2
Done
add lsn group LSN-GROUP-3 -clientname LSN-CLIENT-2 –logging ENABLED –sessionLogging ENABLED
Done
set lsn group LSN-GROUP-2 –logging ENABLED –sessionLogging ENABLED
Done
<!--NeedCopy-->
次の設定では、TCP を使用して外部 SYSLOG サーバ 192.0.2.10 にログメッセージを送信するための SYSLOG 設定を指定します。
add audit syslogAction SYS-ACTION-1 192.0.2.10 -logLevel ALL -transport TCP
Done
add audit syslogPolicy SYSLOG-POLICY-1 ns_true SYS-ACTION-1
Done
bind system global SYSLOG-POLICY-1
Done
<!--NeedCopy-->
次の表に、設定されたログサーバに格納されている各タイプの LSN ログエントリの例を示します。これらのLSNログエントリは、NSIPアドレスが10.102.37.115であるCitrix ADCアプライアンスによって生成されます。
| LSN ログエントリタイプ | サンプルログエントリ |
|---|---|
| LSN セッションの作成 | Local4.Informational 10.102.37.115 08/05/2014:09:59:48 GMT 0-PPE-0 : LSN LSN_SESSION 2581750 : SESSION CREATED Client IP:Port:TD 192.0.2.10: 15136:0, NatIP:NatPort 203.0.113.6: 6234, Destination IP:Port:TD 198.51.100.9: 80:0, Protocol: TCP |
| LSN セッションの削除 | Local4.Informational 10.102.37.115 08/05/2014:10:05:12 GMT 0-PPE-0 : LSN LSN_SESSION 3871790 : SESSION DELETED Client IP:Port:TD 192.0.2.11: 15130:0, NatIP:NatPort 203.0.113.6: 7887, Destination IP:Port:TD 198.51.101.2:80:0, Protocol: TCP |
| LSN マッピングの作成 | Local4.Informational 10.102.37.115 08/05/2014:09:59:47 GMT 0-PPE-0 : LSN LSN_MAPPING 2581580 : EIM CREATED Client IP:Port 192.0.2.15: 14567, NatIP:NatPort 203.0.113.5: 8214, Protocol: TCP |
| LSN マッピングの削除 | Local4.Informational 10.102.37.115 08/05/2014:10:05:12 GMT 0-PPE-0 : LSN LSN_MAPPING 3871700 : EIM DELETED Client IP:Port 192.0.3.15: 14565, NatIP:NatPort 203.0.113.11: 8217, Protocol: TCP |
最小限のロギング
Deterministic LSN 構成とポートブロックを使用したDynamic LSN 構成により、LSN ログ量が大幅に減少します。この2つのタイプの構成では、Citrix ADCアプライアンスはNAT IPアドレスとポートのブロックをサブスクライバに割り当てます。Citrix ADCアプライアンスは、サブスクライバへの割り当て時に、ポートブロックのログメッセージを生成します。Citrix ADCアプライアンスは、NAT IPアドレスとポートブロックが解放されたときにログメッセージも生成します。接続の場合、加入者は、マッピングされた NAT IP アドレスとポートブロックによってのみ識別できます。このため、Citrix ADCアプライアンスは、作成または削除されたLSNセッションを記録しません。また、アプライアンスは、セッションに対して作成されたマッピング・エントリーも記録しません。また、マッピング・エントリが削除されることもありません。
Deterministic LSN 設定およびポートブロックを使用したDynamic LSN 設定の最小ロギング機能は、デフォルトで有効になっており、無効にする規定はありません。つまり、Citrix ADCアプライアンスは、Deterministic LSN構成とポートブロックを使用した動的LSN構成について、最小限のログを自動的に実行します。この機能を無効にするオプションはありません。アプライアンスは、構成されているすべてのログサーバにログメッセージを送信します。
各ポートブロックのログメッセージは、次の情報で構成されます。
- Citrix ADCアプライアンスのNSIPアドレス
- タイム・スタンプ
- エントリのタイプ(DETERMINISTIC識別型またはPORTBLOCK)
- ポート・ブロックが割り当てられているか、解放されているか
- サブスクライバの IP アドレスと割り当てられた NAT IP アドレスとポートブロック
- プロトコル名
Deterministic LSN 設定のための最小限のロギング
IP アドレスが 192.0.17.1、192.0.17.2、192.0.17.3、および 192.0.17.4 の 4 つのサブスクライバに対する単純なDeterministic LSN 設定の例を考えてみましょう。
この LSN 構成では、ポートブロックサイズが 32768 に設定され、LSN NAT IP アドレスプールの IP アドレスは 203.0.113.19 ~ 203.0.113.23 の範囲にあります。
add lsn client LSN-CLIENT-7
Done
bind lsn client LSN-CLIENT-7 -network 192.0.17.0 -netmask 255.255.255.253
Done
add lsn pool LSN-POOL-7 -nattype DETERMINISTIC
Done
bind lsn pool LSN-POOL-7 203.0.113.19-203.0.113.23
Done
add lsn group LSN-GROUP-7 -clientname LSN-CLIENT-7 -nattype DETERMINISTIC -portblocksize 32768
Done
bind lsn group LSN-GROUP-7 -poolname LSN-POOL-7
Done
<!--NeedCopy-->
Citrix ADCアプライアンスは、LSN NAT IPプールから、設定されたポートブロックサイズに基づいて、LSN NAT IPアドレスと各サブスクライバーへのポートのブロックを順番に事前割り当てします。これは、開始 NAT IP アドレス(203.0.113.19)のポートの最初のブロック(1024-33791)を、開始サブスクライバ IP アドレス(192.0.17.1)に割り当てます。次の範囲のポートは、次のサブスクライバに割り当てられます。次のサブスクライバに対して十分なポートが NAT アドレスにないまで、次のサブスクライバに割り当てられます。この時点で、次の NAT IP アドレスの最初のポートブロックがサブスクライバに割り当てられます。アプライアンスは、NAT IP アドレスと、各サブスクライバに割り当てられたポートのブロックを記録します。
Citrix ADCアプライアンスは、これらのサブスクライバーに対して作成または削除されたLSNセッションを記録しません。アプライアンスは LSN 設定に関する次のログメッセージを生成します。
1) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201453 0 : Dtrstc ALLOC Client 12.0.0.241, NatInfo 50.0.0.2:59904 to 60415
2) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201454 0 : Dtrstc ALLOC Client 12.0.0.242, NatInfo 50.0.0.2:60416 to 60927
3) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
4) 03/23/2015:00:30:56 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201455 0 : Dtrstc ALLOC Client 12.0.0.243, NatInfo 50.0.0.2:60928 to 61439
<!--NeedCopy-->
LSN 設定を削除すると、割り当てられた NAT IP アドレスとポートのブロックが各加入者から解放されます。アプライアンスは、NAT IP アドレスと各サブスクライバから解放されたポートのブロックを記録します。LSN 設定を削除すると、アプライアンスによってサブスクライバごとに次のログメッセージが生成されます。
1) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201706 0 : Dtrstc FREE Client 12.0.0.238, NatInfo 50.0.0.2:58368 to 58879
2) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201707 0 : Dtrstc FREE Client 12.0.0.239, NatInfo 50.0.0.2:58880 to 59391
3) 03/23/2015:00:33:57 GMT Informational 0-PPE-0 : default LSN LSN_DETERMINISTIC 79201708 0 : Dtrstc FREE Client 12.0.0.240, NatInfo 50.0.0.2:59392 to 59903
<!--NeedCopy-->
ポートブロックを使用したDynamic LSN 設定の最小ロギング
ネットワーク 192.0.2.0/24 の加入者に対するポートブロックを使用した単純なDynamic LSN 設定の例を考えてみましょう。この LSN 構成では、ポートブロックサイズが 1024 に設定され、LSN NAT IP アドレスプールが 203.0.113.3-203.0.113.4 の範囲の IP アドレスを持ちます。
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
<!--NeedCopy-->
Citrix ADCアプライアンスは、サブスクライバが初めてセッションを開始するときに、LSN NAT IPプールから、設定されたポートブロックサイズに基づいて、ランダムなNAT IPアドレスとポートブロックを割り当てます。Citrix ADCは、この加入者に割り当てられたNAT IPアドレスとポートのブロックを記録します。アプライアンスは、このサブスクライバに対して作成または削除された LSN セッションを記録しません。すべてのポートが、加入者の割り当てられたポートブロックから(異なる加入者のセッションに対して)割り当てられている場合、アプライアンスは、追加のセッションのために加入者に新しいランダム NAT IP アドレスとポートブロックを割り当てます。Citrix ADCは、加入者に割り当てられたすべてのNAT IPアドレスとポートブロックを記録します。
IP アドレスが 192.0.2.1 の加入者がセッションを開始すると、アプライアンスは次のログメッセージを生成します。ログメッセージには、アプライアンスが NAT IP アドレス 203.0.113.3 とポートブロック 1024-2047 をサブスクライバに割り当てたことが示されます。
03/23/2015:00:07:12 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106725793 0 : Portblock ALLOC Client 12.0.2.72, NatInfo 203.0.113.3:1024 to 2047, Proto:TCP
<!--NeedCopy-->
割り当てられた NAT IP アドレスと割り当てられたポートブロック内のポートの 1 つを使用しているセッションが残っていなければ、割り当てられた NAT IP アドレスとポートのブロックはサブスクライバから解放されます。Citrix ADCは、NAT IPアドレスとポートのブロックがサブスクライバから解放されたことを記録します。割り当てられた NAT IP アドレス(203.0.113.3)および割り当てられたポートブロック(1024-2047)からのポートを使用するセッションが残っていない場合、アプライアンスによって IP アドレス 192.0.2.1 を持つサブスクライバに関する次のログメッセージが生成されます。ログメッセージには、NAT IP アドレスとポートブロックがサブスクライバから解放されたことが示されます。
03/23/2015:00:11:09 GMT Informational 0-PPE-3 : default LSN LSN_PORTBLOCK 106814342 0 : Portblock FREE Client 12.0.3.122, NatInfo 203.0.113.3: 1024 to 2047, Proto:TC
<!--NeedCopy-->
負荷分散 SYSLOG サーバ
Citrix ADCアプライアンスは、構成されているすべての外部ログサーバーにSYSLOGイベントとメッセージを送信します。これにより、冗長なメッセージが保存され、システム管理者の監視が困難になります。この問題に対処するため、Citrix ADCアプライアンスは、外部ログサーバー間でSYSLOGメッセージを負荷分散できる負荷分散アルゴリズムを提供し、メンテナンスとパフォーマンスを向上させます。サポートされている負荷分散アルゴリズムには、ラウンドロビン、最小帯域幅、カスタムロード、最小接続、最小パケット、監査ログハッシュがあります。
コマンド・ライン・インタフェースを使用した SYSLOG サーバのロード・バランシング
サービスを追加し、サービスタイプを SYSLOGTCP または SYSLOGUDP として指定します。
add service <name>(<IP> | <serverName>) <serviceType (SYSLOGTCP | SYSLOGUDP)> <port>
<!--NeedCopy-->
負荷分散仮想サーバーを追加し、サービスの種類を SYSLOGTCP または SYSLOGTCP、ロードバランシング方法を AUDITLOGHASH として指定します。
add lb vserver <name> <serviceType (SYSLOGTCP | SYSLOGUDP)> [-lbMethod <AUDITLOGHASH>]
<!--NeedCopy-->
負荷分散仮想サーバーにサービスを Bing します。
Bind lb vserver <name> <serviceName>
<!--NeedCopy-->
SYSLOG アクションを追加し、サービスタイプとして SYSLOGTCP または SYSLOGUDP を持つロードバランシングサーバ名を指定します。
add syslogaction <name> <serverIP> [-lbVserverName <string>] [-logLevel <logLevel>]
<!--NeedCopy-->
規則とアクションを指定して SYSLOG ポリシーを追加します。
add syslogpolicy <name> <rule> <action>
<!--NeedCopy-->
SYSLOG ポリシーをシステムグローバルにバインドして、ポリシーを有効にします。
bind system global <policyName>
<!--NeedCopy-->
構成ユーティリティを使用した SYSLOG サーバの負荷分散
-
サービスを追加し、サービスタイプを SYSLOGTCP または SYSLOGUDP として指定します。
Traffic Management > Services, click Addに移動してSYLOGTCPまたはSYSLOGUDPをプロトコルとして選択します。
-
負荷分散仮想サーバーを追加し、サービスの種類を SYSLOGTCP または SYSLOGTCP、ロードバランシング方法を AUDITLOGHASH として指定します。
[トラフィック管理] > [仮想サーバー] に移動し、[追加] をクリックして、プロトコルとして SYLOGTCP または SYSLOGUDP を選択します。
-
サービスへの負荷分散仮想サーバーにサービスを Bing します。
負荷分散仮想サーバーにサービスを Bing します。
[トラフィック管理] > [仮想サーバー] に移動し、仮想サーバーを選択し、ロードバランシング方式で [AUDITLOGHASH] を選択します。
-
SYSLOG アクションを追加し、サービスタイプとして SYSLOGTCP または SYSLOGUDP を持つロードバランシングサーバ名を指定します。
[システム] > [監査] に移動し、[サーバー] をクリックし、[サーバー] で [LB Vserver] オプションを選択してサーバーを追加します。
-
規則とアクションを指定して SYSLOG ポリシーを追加します。
System > Syslogに移動してPoliciesをクリックしてSYSLOGポリシーを追加します。
-
SYSLOG ポリシーをシステムグローバルにバインドして、ポリシーを有効にします。
System > Syslogに移動してSYSLOGポリシーを選択し、Action、Global Bindingsをクリックしてポリシーをシステムグローバルにバインドします。
例:
次の構成では、ロードバランシング方式として AUDITLOGHASH を使用して、外部ログサーバ間の SYSLOG メッセージのロードバランシングを指定します。Citrix ADCアプライアンスは、サービス、サービス1、サービス2、サービス3の間で負荷分散されるSYSLOGイベントとメッセージを生成します。
add service service1 192.0.2.10 SYSLOGUDP 514
Done
add service service2 192.0.2.11 SYSLOGUDP 514
Done
add service service3 192.0.2.11 SYSLOGUDP 514
Done
add lb vserver lbvserver1 SYSLOGUDP -lbMethod AUDITLOGHASH
Done
bind lb vserver lbvserver1 service1
Done
bind lb vserver lbvserver1 service2
Done
bind lb vserver lbvserver1 service3
Done
add syslogaction sysaction1 -lbVserverName lbvserver1 -logLevel All
Done
add syslogpolicy syspol1 ns_true sysaction1
Done
bind system global syspol1
Done
<!--NeedCopy-->
HTTP ヘッダー情報のロギング
Citrix ADCアプライアンスは、Citrix ADCのLSN機能を使用しているHTTP接続の要求ヘッダー情報をログに記録できるようになりました。HTTP 要求パケットの次のヘッダー情報をログに記録できます。
- HTTP リクエストの宛先となる URL。
- HTTP リクエストで指定された HTTP メソッド。
- HTTP リクエストで使用される HTTP バージョン。
- HTTP 要求を送信した加入者の IP アドレス。
ISP は、HTTP ヘッダーログを使用して、セット加入者間の HTTP プロトコルに関連する傾向を確認できます。たとえば、ISP はこの機能を使用して、一連の加入者の中で最も人気のあるウェブサイトを見つけることができます。
HTTP ヘッダーログプロファイルは、ロギングを有効または無効にできる HTTP ヘッダー属性(URL や HTTP メソッドなど)のコレクションです。HTTP ヘッダーログプロファイルは、LSN グループにバインドされます。次に、Citrix ADCアプライアンスは、LSNグループに関連するすべてのHTTP要求のロギング用にバインドされたHTTPヘッダーログプロファイルで有効になっているHTTPヘッダー属性をログに記録します。アプライアンスは、構成済みのログサーバにログメッセージを送信します。
HTTP ヘッダーログプロファイルは、複数の LSN グループにバインドできますが、LSN グループには 1 つの HTTP ヘッダーログプロファイルしか設定できません。
コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、HTTP ヘッダーログプロファイルを LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
例
次の LSN 設定の例では、HTTP ヘッダーログプロファイル HTTP-ヘッダー LOG-1 が LSN グループ LSN-GROUP-1 にバインドされています。ログプロファイルでは、すべての HTTP 属性(URL、HTTP 方式、HTTP バージョン、および HOST IP アドレス)がロギング用に有効になっているため、これらの属性はすべて、LSN グループに関連するサブスクライバ(ネットワーク 192.0.2.0/24 内)からの HTTP 要求に対してロギングされます。
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
set lsn parameter -memLimit 4000
Done
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-1 -clientname LSN-CLIENT-1 -portblocksize 1024
Done
bind lsn group LSN-GROUP-1 -poolname pool1 LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
Citrix ADCは、LSN構成例に属する加入者の1人がHTTP要求を送信すると、次のHTTPヘッダーログメッセージを生成します。
ログメッセージは、IP アドレス 192.0.2.33 を持つクライアントが HTTP メソッド GET および HTTP バージョン 1.1 を使用して、URL example.com に HTTP リクエストを送信していることを示しています。
03/19/2015:16:24:04 GMT Informational 0-PPE-1 : default LSN Message 59 0 : "LSN Client IP:TD 10.102.37.118:0 URL: example.com Host: 192.0.2.33 Version: HTTP1.1 Method: GET"
<!--NeedCopy-->
MSISDN 情報のロギング
モバイルステーション統合サブスクライバディレクトリ番号(MSISDN)は、複数のモバイルネットワークにわたるサブスクライバを一意に識別する電話番号です。MSISDN は、加入者のオペレータを識別する国コードおよび国別宛先コードに関連付けられています。
Citrix ADCアプライアンスは、モバイルネットワークの加入者のLSNログエントリにMSISDNを含めるように構成できます。LSN ログに MSISDN が存在すると、ポリシーまたは法律に違反したモバイル加入者、または合法的な傍受機関によって情報が要求されるモバイル加入者の迅速かつ正確なバックトレースで管理者が役立ちます。
次の LSN ログエントリの例には、LSN 設定のモバイルサブスクライバからの接続の MSISDN 情報が含まれています。ログエントリには、MSISDN が E 164:5556543210 であるモバイルサブスクライバが、NAT IP: ポート 203.0.113. 3:45195 を介して宛先 IP: ポート 23.0.0. 1:80 に接続されていたことが示されています。
| ログエントリタイプ | サンプルログエントリ |
|---|---|
| LSN セッションの作成 | Oct 14 15:37:30 10.102.37.77 10/14/2015:10:08:14 GMT 0-PPE-6 : default LSN LSN_SESSION 25012 0 : SESSION CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| LSN マッピングの作成 | Oct 14 15:37:30 10.102.37.77 10/14/2015:10:08:14 GMT 0-PPE-6 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| LSN セッションの削除 | Oct 14 15:40:30 10.102.37.77 10/14/2015:10:11:14 GMT 0-PPE-6 : default LSN LSN_SESSION 25012 0 : SESSION CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
| LSNマッピング | Oct 14 15:40:30 10.102.37.77 10/14/2015:10:11:14 GMT 0-PPE-6 : default LSN LSN_ADDR_MAPPING 25013 0 : ADM CREATED E164:5556543210 Client IP:Port:TD 192.0.2.50:4649:0, NatIP:NatPort 203.0.113.3:45195, Destination IP:Port:TD 23.0.0.1:0:0, Protocol: TCP |
LSN ログに MSISDN 情報を含めるには、次のタスクを実行します
- LSNログプロファイルを作成します。LSN ログプロファイルには、LSN 設定の LSN ログに MSISDN 情報を含めるかどうかを指定するログサブスクライバ ID パラメータが含まれます。LSN ログプロファイルの作成時に、ログサブスクライバ ID パラメータを有効にします。
- LSNログプロファイルをLSN構成のLSNグループにバインドします。作成された LSN ログプロファイル名にログプロファイル名パラメータを設定して、作成された LSN ログプロファイルを LSN 構成の LSN グループにバインドします。大規模な NAT の設定手順については、 LSN の設定手順を参照してください。
CLI を使用して LSN ログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn logprofile <logprofilename -logSubscriberID ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
設定例:
この LSN 設定の例では、LSN ログプロファイルでログサブスクライバ ID パラメータが有効になっています。プロファイルは LSN グループ LSN-GROUP-9 にバインドされています。MSISDN 情報は、モバイルサブスクライバ(ネットワーク 192.0.2.0/24)からの接続の LSN セッションおよび LSN マッピングログに含まれています。
add lsn logprofile LOG-PROFILE-MSISDN-9 -logSubscriberID ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 -logprofilename LOG-PROFILE-MSISDN-9
Done
<!--NeedCopy-->
現在の LSN セッションの表示
Citrix ADCアプライアンス上の不要なLSNセッションや非効率的なLSNセッションを検出するために、現在のLSNセッションを表示できます。選択パラメータに基づいて、すべてまたは一部の LSN セッションを表示できます。
注:Citrix ADCアプライアンスに100万を超えるLSNセッションが存在する場合は、選択パラメータを使用してすべてのセッションではなく、選択したLSNセッションを表示することをお勧めします。
コマンドラインインターフェイスを使用した設定
コマンドラインインターフェイスを使用してすべての LSN セッションを表示するには
コマンドプロンプトで入力します。
show lsn session
<!--NeedCopy-->
コマンドラインインターフェイスを使用して選択的な LSN セッションを表示するには
コマンドプロンプトで入力します。
show lsn session [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
例
Citrix ADC上に存在するすべてのLSNセッションを表示するには
LSN クライアントエンティティ LSN-CLIENT-2 に関連するすべての LSN セッションを表示するには
NAT IP アドレスとして 203.0.113.5 を使用するすべての LSN セッションを表示するには
設定ユーティリティを使用した設定
構成ユーティリティを使用してすべての LSN セッションまたは選択した LSN セッションを表示するには
- [システム] > [大規模NAT] > [セッション] に移動し、[NAT44] タブをクリックします。
- 選択パラメータに基づいて LSN セッションを表示するには、[Search] をクリックします。
パラメータの説明(CLI プロシージャにリストされているコマンド)
-
show lsn session
-
clientname
LSN クライアントエンティティの名前。最大長:127
-
network
加入者の IP アドレスまたはネットワークアドレス。
-
netmask
network パラメータで指定された IP アドレスのサブネットマスク。
デフォルト値:255.255.255.255
-
td
LSN クライアントエンティティのトラフィックドメイン ID。
デフォルト値:0
最小値:0
最大値:4094
-
natIP
LSN セッションで使用されるマッピングされた NAT IP アドレス。
-
LSN 統計情報の表示
LSN 機能に関連する統計情報を表示して、LSN 機能のパフォーマンスを評価したり、問題をトラブルシューティングしたりできます。LSN 機能または特定の LSN グループの統計情報の要約を表示できます。統計カウンタには、Citrix ADCアプライアンスが最後に再起動されてからのイベントが反映されます。Citrix ADCアプライアンスが再起動されると、これらのカウンタはすべて0にリセットされます。
コマンドラインインターフェイスを使用してすべての LSN 統計情報を表示するには
コマンドプロンプトで入力します。
stat lsn
<!--NeedCopy-->
コマンドラインインターフェイスを使用して、指定した LSN グループの統計情報を表示するには
コマンドプロンプトで入力します。
stat lsn group [<groupname>]
<!--NeedCopy-->
例
> stat lsn
Large Scale NAT statistics
Rate(/s) Total
LSN TCP Received Packets 0 40
LSN TCP Received Bytes 0 3026
LSN TCP Transmitted Packets 0 40
LSN TCP Transmitted Bytes 0 3026
LSN TCP Dropped Packets 0 0
LSN TCP Current Sessions 0 0
LSN UDP Received Packets 0 0
LSN UDP Received Bytes 0 0
LSN UDP Transmitted Packets 0 0
LSN UDP Transmitted Bytes 0 0
LSN UDP Dropped Packets 0 0
LSN UDP Current Sessions 0 0
LSN ICMP Received Packets 0 982
LSN ICMP Received Bytes 0 96236
LSN ICMP Transmitted Packets 0 0
LSN ICMP Transmitted Bytes 0 0
LSN ICMP Dropped Packets 0 982
LSN ICMP Current Sessions 0 0
LSN Subscribers 0 1
Done
> stat lsn group LSN-GROUP-1
LSN Group Statistics
Rate (/s) Total
TCP Translated Pkts 0 40
TCP Translated Bytes 0 3026
TCP Dropped Pkts 0 0
TCP Current Sessions 0 0
UDP Translated Pkts 0 0
UDP Translated Bytes 0 0
UDP Dropped Pkts 0 0
UDP Current Sessions 0 0
ICMP Translated Pkts 0 0
ICMP Translated Bytes 0 0
ICMP Dropped Pkts 0 0
ICMP Current Sessions 0 0
Current Subscribers 0 1
Done
<!--NeedCopy-->
パラメータの説明(CLI プロシージャにリストされているコマンド)
-
stat lsn group
-
groupname
LSN グループの名前。最大長:127
-
detail
詳細出力(統計情報を含む)を指定します。出力はかなりボリュームがあります。この引数がなければ、出力にはサマリーのみが表示されます。
-
fullValues
数字と文字列が完全な形式で表示されるように指定します。このオプションを指定しないと、長い文字列が短縮され、大きな数字が省略されます。
-
ntimes
統計情報を表示する回数(7秒間隔)。
デフォルト値:1
-
logFile
入力として使用するログファイルの名前。
-
clearstats
静的な/カウンタをクリアする
設定可能な値:basic、full
-
コンパクトロギング
LSN 情報のロギングは、ISP が法的要件を満たし、いつでもトラフィックの送信元を特定できるようにするために必要な重要な機能の 1 つです。その結果、ログデータが大量に作成され、ISPはログインフラストラクチャを維持するために多額の投資をする必要があります。
コンパクトログは、イベント名とプロトコル名の短いコードを含む表記変更を使用して、ログサイズを小さくする手法です。たとえば、クライアントの場合は C、作成されたセッションの場合は SC、TCP の場合は T を指定します。コンパクトログでは、ログサイズが平均 40% 削減されます。
次の NAT44 マッピング作成ログエントリの例は、コンパクトロギングの利点を示しています。
| Default logging format | 02/02/2016:01:13:01 GMT Informational 0-PPE-2 : default LSN LSN_ADDRPORT_MAPPING 85 0 : A&PDM CREATED ClientIP:Port:TD1.1.1.1:6500:0,NatIP:NatPort8.8.8.8:47902, DestinationIP:Port:TD2.2.2.2:80:0, Protocol: TCP | ||||
| Compact logging format | 02/02/2016:01:14:57 GMT Info 0-PE2:default LSN 87 0:A&PDMC | C-1.1.1.1:6500:0 | N-8.8.8.9:51066 | D-2.2.2.2:80:0 | T |
構成の手順
コンパクト形式で LSN 情報をロギングするには、次の作業を実行します。
- LSN ログプロファイルを作成します。LSN ログプロファイルには、LSN 構成の情報をコンパクト形式で記録するかどうかを指定する Log Compact パラメーターが含まれています。
- LSN ログプロファイルを LSN 設定の LSN グループにバインドします。作成された LSN ログプロファイル名に [ログプロファイル名] パラメーターを設定して、作成された LSN ログプロファイルを LSN 構成の LSN グループにバインドします。この LSN グループのすべてのセッションとマッピングは、コンパクト形式で記録されます。
CLI を使用して LSN ログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn logprofile <logprofilename> -logCompact (ENABLED|DISABLED)
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
設定例:
add lsn logprofile LOG-PROFILE-COMPACT-9 -logCompact ENABLED
Done
add lsn client LSN-CLIENT-9
Done
bind lsn client LSN-CLIENT-9 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-9
Done
bind lsn pool LSN-POOL-9 203.0.113.3-203.0.113.4
Done
add lsn group LSN-GROUP-9 -clientname LSN-CLIENT-9
Done
bind lsn group LSN-GROUP-9 -poolname LSN-POOL-9
Done
bind lsn group LSN-GROUP-9 –logProfileName LOG-PROFILE-COMPACT-9
Done
<!--NeedCopy-->
IPFIX ロギング
Citrix ADCアプライアンスは、LSNイベントに関する情報をインターネット・プロトコル・フロー情報エクスポート(IPFIX)形式でIPFIXコレクタで構成されたセットに送信できます。アプライアンスは、既存のAppFlow機能を使用して、IPFIX形式のLSNイベントをIPFIXコレクタに送信します。
IPFIX ベースのロギングは、次の大規模な NAT44 関連イベントで使用できます。
- LSN セッションの作成または削除。
- LSN マッピングエントリの作成または削除。
- Deterministic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
- Dynamic NAT のコンテキストにおけるポートブロックの割り当てまたは割り当て解除。
- サブスクライバセッションクォータを超えた場合。
IPFIX ロギングを構成する前に考慮すべきポイント
IPSec ALG の設定を開始する前に、次の点を考慮してください。
- Citrix ADCアプライアンスでAppFlow機能およびIPFIXコレクタを構成する必要があります。手順については、「AppFlow機能の構成」トピックを参照してください。
構成の手順
LSN 情報を IPFIX 形式でロギングするには、次の作業を実行します。
- AppFlow構成でLSNロギングを有効にします。AppFlow構成の一部としてLSNロギングパラメータを有効にします。
- LSNログプロファイルを作成します。LSN ログプロファイルには、IPFIX 形式のログ情報を有効または無効にする IPFIX パラメータが含まれています。
- LSNログプロファイルをLSN構成のLSNグループにバインドします。LSN ログプロファイルを 1 つまたは複数の LSN グループにバインドします。バインドされた LSN グループに関連するイベントは、IPFIX 形式で記録されます。
CLIを使用してAppFlow構成でLSNロギングを有効にするには
コマンドプロンプトで入力します。
set appflow param -lsnLogging ( ENABLED | DISABLED )
show appflow param
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを作成するにはコマンドプロンプトで
コマンドプロンプトで入力します。
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
GUI を使用して LSN ログプロファイルを作成するには
[システム] > [大規模NAT] > [プロファイル] に移動し、[ログ] タブをクリックしてログプロファイルを追加します。
GUI を使用して LSN ログプロファイルを LSN 構成の LSN グループにバインドするには
- [ システム ] > [ 大規模NAT ] > [ LSN グループ] に移動し、LSN グループを開きます。
- [詳細設定] で、 [+ ログプロファイル] をクリックして、作成したログプロファイルを LSN グループにバインドします。