NetScaler-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die NetScaler-Logs mithilfe eines Google Security Operations-Forwarders erfassen können.
Weitere Informationen finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.
Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label CITRIX_NETSCALER.
NetScaler VPX konfigurieren
So konfigurieren Sie den NetScaler VPX, damit Protokolle an den Google Security Operations-Forwarder gesendet werden:
- Hostname-Konfiguration prüfen
- Auditing-Server erstellen
- Binden Sie die erstellte Audit-Richtlinie an den Server.
Hostname-Konfiguration prüfen
- Melden Sie sich mit Administratoranmeldedaten in der NetScaler-Weboberfläche an.
- Wählen Sie Konfiguration > Einstellungen aus.
- Klicken Sie auf Hostname, DNS IP address, and Time zone (Hostname, DNS-IP-Adresse und Zeitzone).
- Wenn das Feld Hostname leer ist, geben Sie den Hostnamen ein. Fügen Sie keine Leerzeichen ein. Wenn dieses Feld bereits konfiguriert ist, sind keine Maßnahmen erforderlich.
- Prüfen Sie im Feld DNS-IP-Adresse, ob die lokale DNS-IP-Adresse angegeben ist.
- Geben Sie im Feld Zeitzone Ihre Zeitzone ein.
Audit-Server erstellen
- Wählen Sie in der NetScaler-Weboberfläche Configuration > System > Auditing > Syslog > Servers aus.
- Geben Sie die Syslog-Details in den folgenden Feldern an:
- Name
- Servertyp
- IP-Adresse
- Port
- Wählen Sie Logebenen als Benutzerdefiniert aus.
- Wählen Sie in der Konfiguration alle Kästchen außer der Ebene DEBUG aus.
- Wählen Sie in der Liste Log-Einrichtung die Option LOCAL0 aus.
- Wählen Sie in der Liste Datumsformat die Option MMDDYYYY aus.
- Wählen Sie als Zeitzone GMT aus.
- Entfernen Sie die Häkchen aus den folgenden Kästchen:
- TCP-Logging
- ACL-Logging
- Vom Nutzer konfigurierbare Log-Nachrichten
- AppFlow-Logging
- Large Scale NAT-Logging
- ALG-Nachrichten-Logging
- Abonnentenprotokollierung
- DNS
- SSL-Abfangen
- URL-Filterung
- Protokollierung der Inhaltsprüfung
- Klicken Sie auf Ok, um den Auditing-Server zu erstellen.
Erstellte Audit-Richtlinie an den Server binden
- Wählen Sie in der NetScaler-Weboberfläche Configuration> System> Auditing> Syslog aus.
- Klicken Sie auf den Tab Richtlinien.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Wählen Sie in der Liste Server die Richtlinie aus dem vorherigen Abschnitt aus.
- Klicken Sie auf Erstellen.
- Klicken Sie mit der rechten Maustaste auf die erstellte Überwachungsrichtlinie und wählen Sie Aktion > Globale Bindungen aus.
- Klicken Sie auf Bindung hinzufügen.
- Führen Sie im Fenster Policy binding (Richtlinienbindung) die folgenden Schritte aus:
- Geben Sie im Feld Richtlinie auswählen die erstellte Prüfrichtlinie ein.
- Geben Sie im Bereich Binding details (Bindungsdetails) im Feld Priority (Priorität) den Wert 120 ein, da dies die Standardpriorität ist.
- Klicken Sie auf Bind.
NetScaler SDX konfigurieren
So konfigurieren Sie NetScaler SDX, damit Logs an den Google Security Operations-Forwarder gesendet werden:
- Hostname-Konfiguration für NetScaler SDX überprüfen
- Syslog-Server konfigurieren
- Syslog-Parameter konfigurieren
Hostname-Konfiguration für NetScaler SDX prüfen
- Melden Sie sich mit Administratoranmeldedaten in der NetScaler-Weboberfläche an.
- Wählen Sie in der NetScaler-Weboberfläche System > Systemeinstellungen aus.
- Wenn das Feld Hostname leer ist, geben Sie den Hostnamen ein. Fügen Sie keine Leerzeichen ein. Wenn dieses Feld bereits konfiguriert ist, sind keine Maßnahmen erforderlich.
- Wählen Sie im Feld Zeitzone die Option UTC oder GMT aus.
Syslog-Server konfigurieren
- Wählen Sie in der NetScaler-Weboberfläche System > Benachrichtigungen > Syslog-Server aus.
- Klicken Sie im Bereich Details auf Hinzufügen.
- Geben Sie im Fenster Syslog-Server erstellen Werte für die folgenden Syslog-Serverparameter an:
- Geben Sie im Feld Name einen Namen ein.
- Geben Sie im Feld IP-Adresse die IP-Adresse des Google Security Operations-Forwarders ein.
- Geben Sie im Feld Port die Portnummer ein.
- Wählen Sie Logebenen als Benutzerdefiniert aus.
- Wählen Sie alle Logebenen außer Debug aus.
- Klicken Sie auf Erstellen.
Syslog-Parameter konfigurieren
- Wählen Sie in der NetScaler-Weboberfläche System > Benachrichtigungen > Syslog-Server aus.
- Klicken Sie im Bereich Details auf Syslog-Parameter.
- Wählen Sie auf der Seite Syslog-Parameter konfigurieren als Datumsformat die Option MMDDYYYY und als Zeitzone die Option GMT aus.
- Klicken Sie auf OK.
Google Security Operations-Forwarder für die Aufnahme von NetScaler-Logs konfigurieren
- Wählen Sie SIEM Settings > Forwarders aus.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
- Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Wählen Sie Citrix NetScaler als Logtyp aus.
- Wählen Sie im Feld Collector-Typ die Option Syslog aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um Syslog-Daten zu empfangen.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Parser verarbeitet Citrix Netscaler-SYSLOG-Logs im Schlüssel/Wert-Format, extrahiert JSON-formatierte Daten aus dem Feld message und reichert das UDM mit Informationen aus anderen Feldern wie host.hostname und user_agent.original an, nachdem diese bereinigt wurden. Es werden Fälle behandelt, in denen die primäre Nachricht leer ist, indem auf die ursprüngliche Log-Nachricht zurückgegriffen wird.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| AAA-Transaktions-ID | security_result.detection_fields[].value |
Aus dem Feld „AAA trans id“ extrahierter Wert. |
| Zugriff | security_result.action_details |
Wenn „Zugriff“ auf „Erlaubt“ gesetzt ist, setzen Sie security_result.action auf ALLOW. Wenn „Zugriff“ auf „Verweigert“ gesetzt ist, setzen Sie security_result.action auf BLOCK. |
| applicationName | principal.application |
Wert aus dem Feld „applicationName“ extrahiert. |
| Browser_type | network.http.user_agent |
Wert aus dem Feld „Browser_type“ extrahiert. |
| ClientIP | principal.ip, principal.asset.ip |
Wert aus dem Feld „ClientIP“ extrahiert. |
| ClientPort | principal.port |
Aus dem Feld „ClientPort“ extrahierter Wert. |
| client_cookie | additional.fields[].value.string_value |
Der Wert wird aus dem Feld „client_cookie“ extrahiert. |
| Befehl | target.process.command_line |
Wert aus dem Feld „Befehl“ extrahiert. |
| connectionId | security_result.detection_fields[].value |
Wert, der aus dem Feld „connectionId“ extrahiert wurde. |
| Ziel | target.ip, target.asset.ip |
Wert aus dem Feld „Ziel“ extrahiert. |
| Ziel | target.ip, target.asset.ip |
Wert aus dem Feld „Ziel“ extrahiert. |
| device_serial_number | target.asset_id |
target.asset_id ist auf „device_serial_number: |
| Dauer | network.session_duration.seconds |
Die Dauer wird in Sekunden umgerechnet und zugeordnet. |
| Ende | security_result.detection_fields[].value |
Wert aus dem Feld „Ende“ extrahiert. |
| Failure_reason | metadata.description |
Wert, der aus dem Feld „Failure_reason“ extrahiert wurde. |
| flags | additional.fields[].value.string_value |
Wert aus dem Feld „flags“ extrahiert. |
| Gruppe(n) | target.group.group_display_name |
Wert aus dem Feld „Gruppen“ extrahiert. |
| Grund | metadata.description |
Aus dem Feld „Grund“ extrahierter Wert. |
| Remote_ip | target.ip, target.asset.ip |
Aus dem Feld „Remote_ip“ extrahierter Wert. |
| ServerIP | target.ip, target.asset.ip |
Wert aus dem Feld „ServerIP“ extrahiert. |
| ServerPort | target.port |
Wert aus dem Feld „ServerPort“ extrahiert. |
| session_guid | metadata.product_log_id |
Der Wert wird aus dem Feld „session_guid“ extrahiert. |
| SessionId (Sitzungs-ID) | network.session_id |
Wert aus dem Feld „SessionId“ extrahiert. |
| Quelle | principal.ip, principal.asset.ip |
Wert, der aus dem Feld „Quelle“ extrahiert wurde. |
| Beginn | security_result.detection_fields[].value |
Wert aus dem Feld „Beginn“ extrahiert. |
| startTime | security_result.detection_fields[].value |
Wert aus dem Feld „startTime“ extrahiert. |
| Status | security_result.description |
Der Wert wird aus dem Feld „Status“ extrahiert. |
| Total_bytes_recv | network.received_bytes |
Wert aus dem Feld „Total_bytes_recv“ extrahiert. |
| Total_bytes_send | network.sent_bytes |
Wert, der aus dem Feld „Total_bytes_send“ extrahiert wurde. |
| Total_bytes_wire_recv | security_result.detection_fields[].value |
Wert, der aus dem Feld „Total_bytes_wire_recv“ extrahiert wurde. |
| Total_bytes_wire_send | security_result.detection_fields[].value |
Aus dem Feld „Total_bytes_wire_send“ extrahierter Wert. |
| Nutzer | principal.user.userid |
Wert, der aus dem Feld „Nutzer“ extrahiert wurde. |
| VserverServiceIP | target.ip, target.asset.ip |
Wert aus dem Feld „VserverServiceIP“ extrahiert. |
| VserverServicePort | target.port |
Der Wert wird aus dem Feld „VserverServicePort“ extrahiert. Fest codiert auf „CITRIX“. Fest codiert auf „NETSCALER“. Fest codiert auf „CITRIX_NETSCALER“. Wird vom Parser basierend auf dem „product_event_type“ bestimmt. Beispiele: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED, GENERIC_EVENT. Wert, der aus dem Logpräfix extrahiert wurde (z.B. CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK usw.). Eine kurze Beschreibung des Ereignisses, die manchmal aus anderen Feldern wie „Reason“ (Grund) oder „Failure_reason“ (Fehlergrund) abgeleitet wird. Wird aus den Datums- und Zeitfeldern im Logeintrag berechnet. Der Parser verarbeitet verschiedene Formate und Zeitzonen. Wird aus dem Feld „username:domainname“ extrahiert, wobei der Teil nach dem Doppelpunkt verwendet wird. Für Ereignisse mit „TCP“ in metadata.product_event_type ist TCP fest codiert. Auf ALLOW für erfolgreiche Anmeldungen und Befehle und auf BLOCK für fehlgeschlagene Anmeldungen und blockierten Ressourcenzugriff festlegen. Abgeleitet von Feldern wie „Status“, „Failure_reason“ und „Access“. Wird auf USERNAME_PASSWORD gesetzt, wenn Nutzername und Passwort für die Authentifizierung verwendet werden (wird aus bestimmten Log-Nachrichten abgeleitet). Auf VPN für VPN-bezogene An- und Abmeldeereignisse festgelegt. Wird aus dem Feld network.http.user_agent mit einer User-Agent-Parsing-Bibliothek geparst. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten