ADC

監査ロギング

重要

SYSLOG または NSLOG 構成は、メンテナンス時またはダウンタイム時にのみ更新することをお勧めします。セッションの作成後に構成を更新した場合、変更は既存のセッションログには適用されません。

監査とは、状態または状況を系統的に調査またはレビューすることです。監査ログ機能を使用すると、さまざまなモジュールによって収集されたNetScalerの状態とステータス情報を記録できます。ログ情報は、カーネルとユーザーレベルのデーモンに格納できます。

ログ情報をNetScalerにローカルに保存するか、リモートサーバーにエクスポートするか、あるいはその両方を行うようにNetScalerを構成できます。

ローカルロギング

ローカルロギングとは、エラー、警告、システムイベントなど、NetScalerによって生成されたイベントデータをNetScaler内にローカルに保存するプロセスを指します。このデータは、監視とトラブルシューティング、監査、およびセキュリティ分析に使用できます。

デフォルトでは、NetScalerはUDPプロトコルを使用してログをNetScalerパーシステントストレージにローカルに保存します。ログは/var/log/フォルダの下のns.logファイルに保存されます。ローカルロギングはデフォルトで有効になっているため、ログを保存するために追加の設定を行う必要はありません。

ローカルロギングには次の利点があります:

  • アクセシビリティ:ネットワークに問題があってもログにアクセスできます。ログはネットワーク接続に依存しないため、すばやくアクセスできます。
  • セキュリティ:機密データや機密データはNetScaler内に残るため、不正アクセスのリスクが軽減されます。
  • コンプライアンス:多くの規制要件により、ログデータを一定期間保持することが義務付けられています。そのため、NetScalerはログをローカルに保存することで、コンプライアンスを保証します。

デフォルトでは、DEBUG を除くすべてのログレベルが有効になっています。ただし、ns.log ファイルに保存されるログのレベルは調整できます。

警告

多くの機能のローカルログを構成したり、ログレベルをそれほど重要ではないログを保存するように設定したりすると、NetScalerの安定性とパフォーマンスが影響を受ける可能性があります。ローカルロギングを多用することは避けることを強くお勧めします。詳細なロギングが必要な場合は、代わりにリモートロギングを使用してください。

デフォルトのログ設定を変更するには、次のコマンドを使用します:

set syslogparams -acl ( ENABLED | DISABLED )
        -alg ( ENABLED | DISABLED )
        -appflowExport ( ENABLED | DISABLED )
        -ContentInspectionLog ( ENABLED | DISABLED )
        -dateFormat <dateFormat>
        -dns ( ENABLED | DISABLED )
        -logFacility <logFacility>
        -logLevel <logLevel> ...
        -lsn ( ENABLED | DISABLED )
        -serverIP <ip_addr|ipv6_addr|*>
        -serverPort <port>
        -sslInterception ( ENABLED | DISABLED )
        -subscriberLog ( ENABLED | DISABLED )
        -tcp ( NONE | ALL )
        -timeZone ( GMT_TIME | LOCAL_TIME )
        -urlFiltering ( ENABLED | DISABLED )
        -userDefinedAuditlog ( YES | NO )
<!--NeedCopy-->

ローカルロギングには次の欠点があります:

  • パフォーマンスへの影響 -ログアクティビティはシステムリソースを消費し、NetScalerのパフォーマンスと安定性に影響を与える可能性があります。
  • ストレージ:ローカルストレージ容量は集中型ストレージに比べて少ないため、NetScalerは限られた量のログデータしか保存できません。
  • スケーラビリティ -大規模な導入には適していません。大規模な導入では、管理が容易でスケーラビリティが高いため、一元化されたロギングソリューションが推奨されます。
    • 大規模な導入におけるコンプライアンス上の課題 -多くの業界では、ログの管理と保存に関する規制とコンプライアンス要件があります。ログをローカルに保存すると、各デバイスが必要な基準に準拠していることを確認する必要があるため、コンプライアンスの管理はより複雑になります。
  • 大規模ネットワークでのアクセシビリティ -NetScalerにローカルに保存されているログにアクセスするには、デバイスへの直接アクセスが必要になる場合があります。ネットワーク全体に分散している複数のデバイスからログにアクセスするのは面倒なので、大規模なネットワークでは不便になります。
  • 単一障害点 -ハードウェアに障害が発生すると、ローカルに保存されているログにアクセスできなくなります。これにより、データロギングの単一障害点が発生し、貴重な情報が失われる可能性があります。

リモートログ機能

NetScalerでは、ログ情報を外部サーバーに保存できます。UDPまたはTCPを使用してログを外部サーバーにエクスポートするようにNetScalerを構成できます。要件に応じて、ログ情報をローカルに保存するか、外部サーバーにエクスポートするか、あるいはその両方を行うことができます。リモートログの詳細とリモートログの構成方法については、「 監査ログ用のNetScalerの構成」を参照してください。

SYSLOG と NSLOG

監査ログには、SYSLOG プロトコル、ネイティブ NSLOG プロトコル、またはその両方を使用できます。

SYSLOG はロギング用の標準プロトコルです。これには次の 2 つのコンポーネントがあります:

  • システムログ監査モジュール:NetScaler 上で実行されます。
  • SYSLOGサーバー:NetScalerの基盤となるFreeBSDオペレーティングシステム(OS)またはリモートシステム上で実行されます。

SYSLOG はデータ転送にユーザーデータプロトコル (UDP) を使用します。

同様に、ネイティブ NSLOG プロトコルには次の 2 つのコンポーネントがあります:

  • NSLOG 監査モジュール:NetScaler 上で実行されます。
  • NSLOG サーバー:NetScaler の基盤となる FreeBSD OS またはリモートシステム上で実行されます。

NSLOG はデータ転送に TCP を使用します。

システムログサーバーまたはNSLOGサーバーを実行すると、そのサーバーはNetScaler に接続します。その後、NetScalerはすべてのログ情報をシステムログサーバーまたはNSLOGサーバーに送信し始めます。また、サーバーはログファイルに保存する前にログエントリをフィルタリングします。NSLOGまたはSYSLOGサーバーは、複数のNetScalerからログ情報を受け取ります。NetScalerは、ログ情報を複数のシステムログサーバーまたはNSLOGサーバーに送信します。

複数のSYSLOGサーバーが構成されている場合、NetScalerはSYSLOGイベントとメッセージを構成されているすべての外部ログサーバーに送信します。その結果、メッセージが重複して保存され、システム管理者の監視が困難になります。この問題に対処するために、NetScalerは負荷分散アルゴリズムを提供しています。NetScalerは、外部ログサーバー間でSYSLOGメッセージの負荷分散を行い、メンテナンスとパフォーマンスを向上させることができます。サポートされている負荷分散アルゴリズムには、ラウンドロビン、最小帯域幅、カスタムロード、最小パケット、および監査ログハッシュが含まれます。

NetScalerは、外部システムログサーバーに最大16 KBの監査ログメッセージを送信できます。

SYSLOGまたはNSLOGサーバーがNetScalerから収集するログ情報は、メッセージ形式でログファイルに保存されます。通常、これらのメッセージには次の情報が含まれています:

  • ログメッセージを生成したNetScalerのIPアドレス。
  • タイムスタンプ
  • メッセージの種類
  • 定義済みのログレベル (重大、エラー、通知、警告、情報、デバッグ、アラート、緊急)
  • メッセージの情報

監査ログを構成するには、まずNetScalerで監査モジュールを構成します。NetScalerでは、監査ポリシーを作成し、NSLOGサーバーまたはSYSLOGサーバー情報を指定する必要があります。次に、NetScalerの基盤となるFreeBSD OSまたはリモートシステムに、SYSLOGまたはNSLOGサーバーをインストールして構成します。

SYSLOG はプログラムメッセージロギングの業界標準であり、さまざまなベンダーがサポートを提供しています。ドキュメントには SYSLOG サーバの設定情報は含まれていません。

NSLOG サーバーには独自の構成ファイル (auditlog.conf) があります。構成ファイル (auditlog.conf) にさらに変更を加えることで、NSLOG サーバーシステムのロギングをカスタマイズできます。

SYSLOG サーバがネットワークの SYSLOG アクションで FQDN として使用されている場合は、SYSLOG サーバへの ICMP アクセスが必須です。環境でICMPアクセスがブロックされている場合は、負荷分散されたSYSLOGサーバとして設定し、set serviceコマンドのhealthMonitorパラメータ値をNOに設定します。 ICMP の設定については、「 SYSLOG サーバーの負荷分散」を参照してください

監査ロギング