Citrix NetScaler
Para integrar eventos de Citrix NetScaler con JSA, debe configurar Citrix NetScaler para reenviar eventos syslog.
Con SSH, inicie sesión en su dispositivo Citrix NetScaler como usuario raíz.
-
Escriba el siguiente comando para agregar un servidor syslog remoto:
add audit syslogAction <ActionName> <IP Address> -serverPort 514 -logLevelInfo -dateFormat DDMMYYYY
Dónde:
ActionName<> es un nombre descriptivo para la acción del servidor syslog.
IP Address<> es la dirección IP o el nombre de host de su consola JSA.
Ejemplo:
add audit syslogAction action-QRadar 192.0.2.1 -serverPort 514 -logLevel Info -dateFormat DDMMYYYY
Escriba el siguiente comando para agregar una política de auditoría:
add audit syslogPolicyPolicyName<> <Rule> <ActionName>
Dónde:
PolicyName<> es un nombre descriptivo para la política syslog.
Rule<> es la regla o expresión que usa la política. El único valor compatible es
ns_true.ActionName<> es un nombre descriptivo para la acción del servidor syslog.
add audit syslogPolicy policy-QRadar ns_true action-QRadar
Escriba el siguiente comando para enlazar la política globalmente:
bind system globalPolicyName<> -priority <Integer>
Dónde:
PolicyName<> es un nombre descriptivo para la política syslog.
Integer<> es un valor numérico que se utiliza para clasificar la prioridad del mensaje para varias políticas que se comunican mediante syslog.
bind system global policy-QRadar -priority 30
Cuando varias políticas tienen prioridad (representada por un valor numérico que se les asigna), el valor de número inferior se evalúa antes que el valor numérico más alto.
Escriba el siguiente comando para guardar la configuración de Citrix NetScaler.
save config
Escriba el siguiente comando para comprobar que la política se guarda en su configuración:
sh system global
Nota:Para obtener información sobre cómo configurar syslog mediante la interfaz de usuario de Citrix NetScaler, consulte http://support.citrix.com/article/CTX121728 o la documentación de su proveedor.
La configuración está completa. El origen del registro se agrega a JSA a medida que se detectan automáticamente los eventos de Citrix NetScaler. Los eventos que Citrix NetScaler reenvía se muestran en la pestaña Registrar actividad de JSA.
Parámetros de origen de registro syslog para Citrix NetScaler
Si JSA no detecta automáticamente el origen del registro, agregue un origen de registro De Citrix NetScaler en JSA Console mediante el protocolo syslog.
Cuando se usa el protocolo syslog, hay parámetros específicos que debe usar.
En la tabla siguiente se describen los parámetros que requieren valores específicos para recopilar eventos syslog de Citrix NetScaler:
Parámetro |
Valor |
|---|---|
Tipo de fuente de registro |
Citrix NetScaler |
Configuración de protocolo |
Syslog |
Identificador de origen de registro |
Escriba la dirección IP o el nombre de host del origen del registro. El identificador le ayuda a determinar qué eventos provenían de sus dispositivos Citrix NetScaler. |
Mensaje de evento de ejemplo de Citrix NetScaler
Utilice este mensaje de evento de ejemplo para comprobar que la integración con JSA es correcta.
Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, luego, elimine los caracteres de retorno de transporte o fuente de línea.
Mensaje de ejemplo de Citrix NetScaler cuando utiliza el protocolo Syslog
El siguiente mensaje de evento de ejemplo muestra un apretón de manos SSL correcto.
<135> 12/04/2017:17:21:00 GMT citrix.netscaler.test 0-PPE-1 : SSLLOG SSL_HANDSHAKE_SUCCESS 5743593 0 : SPCBId 87630 - ClientIP 172.25.184.157 - ClientPort 19849 - VserverServiceIP 10.254.14.94 - VserverServicePort 443 - ClientVersion TLSv1.2 - CipherSuite "RC4-MD5 TLSv1.2 Non-Export 128-bit" - Session Reuse
Nombre de campo JSA |
Valores destacados en la carga del evento |
|---|---|
ID de evento |
SSL_HANDSHAKE_SUCCESS |
IP de origen |
172.25.184.157 |
Puerto de origen |
19849 |
IP de destino |
10.254.14.94 |
Puerto de destino |
443 |
Tiempo del dispositivo |
12/04/2017:17:21:00 GMT |