ADC

監査ロギング

重要

Citrixでは、メンテナンス時またはダウンタイム時にのみSYSLOGまたはNSLOGの構成を更新することをお勧めします。セッションの作成後に構成を更新した場合、変更は既存のセッションログには適用されません。

監査とは、状態または状況を系統的に調査またはレビューすることです。監査ログ機能を使用すると、さまざまなモジュールによって収集されたCitrix ADCの状態とステータス情報をログに記録できます。ログ情報は、カーネルとユーザーレベルのデーモンに格納できます。監査ログには、SYSLOG プロトコル、ネイティブ NSLOG プロトコル、またはその両方を使用できます。

SYSLOG はロギング用の標準プロトコルです。これには次の 2 つのコンポーネントがあります。

  • SYSLOG 監査モジュール。 Citrix ADCアプライアンスで実行されます。
  • SYSLOGサーバ。 Citrix ADC アプライアンスの基盤となる FreeBSD オペレーティングシステム(OS)またはリモートシステム上で実行されます。

SYSLOG はデータ転送にユーザーデータプロトコル (UDP) を使用します。

同様に、ネイティブ NSLOG プロトコルには次の 2 つのコンポーネントがあります。

  • NSLOG 監査モジュール。 Citrix ADCアプライアンスで実行されます。
  • NSLOG サーバー。 Citrix ADCアプライアンスの基盤となるFreeBSDOSまたはリモートシステムで実行されます。

NSLOG はデータ転送に TCP を使用します。

SYSLOGサーバーまたはNSLOGサーバーを実行すると、Citrix ADCアプライアンスに接続されます。その後、Citrix ADCアプライアンスはすべてのログ情報をSYSLOGまたはNSLOGサーバーに送信し始めます。また、サーバーはログファイルに保存する前にログエントリをフィルタリングします。NSLOGまたはSYSLOGサーバーは、複数のCitrix ADCアプライアンスからログ情報を受信します。Citrix ADCアプライアンスは、ログ情報を複数のSYSLOGサーバーまたはNSLOGサーバーに送信します。

複数のSYSLOGサーバーが構成されている場合、Citrix ADCアプライアンスは、構成されたすべての外部ログサーバーにSYSLOGイベントとメッセージを送信します。その結果、メッセージが重複して保存され、システム管理者の監視が困難になります。この問題に対処するために、Citrix ADCアプライアンスは負荷分散アルゴリズムを提供します。アプライアンスは、メンテナンスとパフォーマンスを向上させるために、外部ログサーバー間でSYSLOGメッセージの負荷分散を行うことができます。サポートされている負荷分散アルゴリズムには、ラウンドロビン、最小帯域幅、カスタムロード、最小パケット、および監査ログハッシュが含まれます。

Citrix ADCアプライアンスは、最大16 KBの監査ログメッセージを外部SYSLOGサーバーに送信できます。

SYSLOGまたはNSLOGサーバーがCitrix ADCアプライアンスから収集するログ情報は、メッセージ形式でログファイルに保存されます。通常、これらのメッセージには次の情報が含まれています。

  • ログメッセージを生成したCitrix ADCアプライアンスのIPアドレス。
  • タイムスタンプ
  • メッセージの種類
  • 定義済みのログレベル (重大、エラー、通知、警告、情報、デバッグ、アラート、緊急)
  • メッセージの情報

監査ログを構成するには、まずCitrix ADCアプライアンスで監査モジュールを構成します。アプライアンスには、監査ポリシーの作成と、NSLOG サーバーまたは SYSLOG サーバーの情報の指定が含まれます。次に、Citrix ADCアプライアンスの基盤となるFreeBSD OSまたはリモートシステムにSYSLOGまたはNSLOGサーバーをインストールして構成します。

SYSLOG はプログラムメッセージロギングの業界標準であり、さまざまなベンダーがサポートを提供しています。ドキュメントには SYSLOG サーバの設定情報は含まれていません。

NSLOG サーバーには独自の構成ファイル (auditlog.conf) があります。構成ファイル (auditlog.conf) にさらに変更を加えることで、NSLOG サーバーシステムのロギングをカスタマイズできます。

ネットワーク内の Syslog アクションで Syslog サーバーを FQDN として使用する場合は、Syslog サーバーへの ICMP アクセスが必須です。環境内で ICMP アクセスがブロックされている場合は、負荷分散された Syslog サーバーとして設定し、set service コマンドの HealthMonitor パラメータの値を NO に設定します。 ICMP の設定については、「 SYSLOG サーバーの負荷分散」を参照してください。

監査ロギング

この記事の概要