ADC

审核策略

审核策略确定在 Web App Firewall 会话期间生成和记录的消息。消息以 SYSLOG 格式记录到本地 NSLOG 服务器或外部日志服务器。根据所选的日志记录级别,会记录不同类型的消息。

要创建审核策略,必须先创建 NSLOG 服务器或 SYSLOG 服务器。然后创建策略并指定日志类型和发送日志的服务器。

使用命令行界面创建审核服务器

您可以创建两种不同类型的审核服务器:NSLOG 服务器或 SYSLOG 服务器。命令名称不同,但命令的参数相同。

要创建审核服务器,请在命令提示符处键入以下命令:

  • add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> ... [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-logFacility <logFacility>] [-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )] [-userDefinedAuditlog ( YES | NO )] [-appflowExport ( ENABLED | DISABLED )]
  • save ns config

示例

以下示例在 IP 10.124.67.91 上创建了一个名为 syslog1 的系统日志服务器,其日志级别为紧急、严重和警告,日志工具设置为 LOCAL1,用于记录所有 TCP 连接:

add audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning -logFacility
LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

使用命令行界面修改或删除审核服务器

  • 要修改审核服务器,请键入 set audi <type> t 命令、审核服务器的名称和要更改的参数及其新值。
  • 要删除审核服务器,请键入 rm audi <type> t 命令和审核服务器的名称。

示例

以下示例修改了名为 syslog1 的 syslog 服务器,将错误和警报添加到日志级别:

set audit syslogAction syslog1 10.124.67.91 -logLevel emergency critical warning alert error
-logFacility LOCAL1 -tcp ALL
save ns config
<!--NeedCopy-->

使用 GUI 创建或配置审核服务器

  1. 导航到安全 > Citrix Web App Firewall > 策略 > 审核 > Nslog
  2. 在 Nslog 审核页面中,单击“服务器”选项卡。
  3. 执行以下操作之一:
    • 要添加新的审核服务器,请单击“添加”。
    • 要修改现有的审核服务器,请选择该服务器,然后单击“编辑”。
  4. 在“创建审核服务器”页中,设置以下参数:
    • 名称
    • 服务器类型
    • IP 地址
    • 端口
    • 日志级别
    • 日志设施
    • 日期格式
    • 时区
    • TCP 日志
    • ACL 日志
    • 用户可配置的日志消息
    • AppFlow 记录
    • 大规模 NAT 日志记录
    • ALG 消息日志
    • 订阅者登录
    • SSL 截获
    • URL 过滤
    • 内容检查日志
  5. 单击创建关闭

使用命令行界面创建审核策略

您可以创建 NSLOG 策略或 SYSLOG 策略。策略的类型必须与服务器的类型相匹配。这两种策略的命令名称不同,但命令的参数相同。

在命令提示符下,键入以下命令:

  • add audit syslogPolicy <name> <-rule > <action>
  • save ns config

示例

以下示例创建了一个名为 syslogP1 的策略,该策略将 Web App Firewall 流量记录到名为 syslog1 的系统日志服务器。

add audit syslogPolicy syslogP1 rule "ns_true" action syslog1 save ns config

使用命令行界面配置审核策略

在命令提示符下,键入以下命令:

  • set audit syslogPolicy <name> [-rule <expression>] [-action <string>]
  • save ns config

示例

以下示例修改了名为 syslogP1 的策略,将Web App Firewall 流量记录到名为 syslog2 的系统日志服务器。

set audit syslogPolicy syslogP1 rule "ns_true" action syslog2 save ns config

使用 GUI 配置审核策略

  1. 导航到安全 > Citrix Web App Firewall > 策略
  2. 在详细信息窗格中,单击“审核 Nslog 策略”。
  3. 在 Nslog 审核页面中,单击“策略”选项卡并执行以下操作之一:
    • 要添加新策略,请单击“添加”。
    • 要修改某个现有策略,请选择该策略,然后单击 Edit(编辑)。
  4. 在“创建审核 Nslog 策略”页中,设置以下参数:
    • 名称
    • 审核类型
    • 表达式类型
    • 服务器
  5. 单击创建