Raccogliere i log di NetScaler

Supportato in:

Questo documento descrive come raccogliere i log NetScaler utilizzando un forwarder Google Security Operations.

Per saperne di più, consulta la Panoramica sull'importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CITRIX_NETSCALER.

Configura NetScaler VPX

Per configurare NetScaler VPX in modo che invii i log al forwarder Google Security Operations, fai quanto segue:

Verificare la configurazione del nome host

  1. Accedi all'interfaccia web di NetScaler utilizzando le credenziali di amministratore.
  2. Seleziona Configurazione > Impostazioni.
  3. Fai clic su Nome host, indirizzo IP DNS e fuso orario.
  4. Se il campo Nome host è vuoto, inserisci il nome host. Non includere spazi. Se questo campo è già configurato, non è richiesta alcuna azione.
  5. Nel campo Indirizzo IP DNS, verifica se è specificato l'indirizzo IP DNS locale.
  6. Nel campo Fuso orario, inserisci il tuo fuso orario.

Crea server di controllo

  1. Nell'interfaccia web di NetScaler, seleziona Configuration > System > Auditing > Syslog > Servers.
  2. Specifica i dettagli di Syslog nei seguenti campi:
    • Nome
    • Tipo di server
    • Indirizzo IP
    • Port (Porta)
  3. Seleziona Livelli di log come Personalizzato.
  4. Seleziona tutte le caselle di controllo tranne il livello DEBUG nella configurazione.
  5. Nell'elenco Strumento di logging, seleziona LOCAL0.
  6. Nell'elenco Formato data, seleziona MMGGAAAA.
  7. Seleziona Fuso orario come GMT.
  8. Deseleziona le seguenti caselle di controllo:
    • Logging TCP
    • Logging ACL
    • Messaggi di log configurabili dall'utente
    • Registrazione di log di AppFlow
    • Logging NAT su larga scala
    • Registrazione dei messaggi ALG
    • Registrazione degli iscritti
    • DNS
    • Intercettazione SSL
    • Filtro degli URL
    • Registrazione dell'ispezione dei contenuti
  9. Fai clic su Ok per creare il server di controllo.

Collega il criterio di audit creato al server

  1. Nell'interfaccia web di NetScaler, seleziona Configuration > System > Auditing > Syslog.
  2. Fai clic sulla scheda Norme.
  3. Nel campo Nome, inserisci un nome per il criterio.
  4. Nell'elenco Server, seleziona la policy della sezione precedente.
  5. Fai clic su Crea.
  6. Fai clic con il tasto destro del mouse sul criterio di controllo creato e seleziona Azione > Binding globali.
  7. Fai clic su Aggiungi associazione.
  8. Nella finestra Associazione criteri:
    1. Nel campo Seleziona criterio, inserisci il criterio di controllo creato.
    2. Nel riquadro Dettagli binding, nel campo Priorità, inserisci 120, poiché è la priorità predefinita.
    3. Fai clic su Associa.

Configura NetScaler SDX

Per configurare NetScaler SDX in modo che invii i log al forwarder Google Security Operations, procedi nel seguente modo:

Verifica la configurazione del nome host per NetScaler SDX

  1. Accedi all'interfaccia web di NetScaler utilizzando le credenziali di amministratore.
  2. Nell'interfaccia web di NetScaler, seleziona System > System settings (Sistema > Impostazioni di sistema).
  3. Se il campo Nome host è vuoto, inserisci il nome host. Non includere spazi. Se questo campo è già configurato, non è richiesta alcuna azione.
  4. Nel campo Fuso orario, seleziona UTC o GMT.

Configurare il server syslog

  1. Nell'interfaccia web NetScaler, seleziona System > Notifications > Syslog servers.
  2. Nel riquadro Dettagli, fai clic su Aggiungi.
  3. Nella finestra Crea server syslog, specifica i valori per i seguenti parametri del server syslog:
    1. Nel campo Nome, inserisci un nome.
    2. Nel campo Indirizzo IP, inserisci l'indirizzo IP del forwarder di Google Security Operations.
    3. Nel campo Porta, il numero di porta.
    4. Seleziona Livelli di log come Personalizzato.
    5. Seleziona tutti i livelli di log tranne Debug.
  4. Fai clic su Crea.

Configurare i parametri syslog

  1. Nell'interfaccia web NetScaler, seleziona System > Notifications > Syslog servers.
  2. Nel riquadro Dettagli, fai clic su Parametri Syslog.
  3. Nella pagina Configura parametri syslog, seleziona Formato data come MMGGAAAA e seleziona Fuso orario come GMT.
  4. Fai clic su Ok.

Configura il programma di inoltro di Google Security Operations per l'importazione dei log NetScaler

  1. Seleziona Impostazioni SIEM > Forwarder.
  2. Fai clic su Aggiungi nuovo inoltro.
  3. Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
  4. Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  5. Nel campo Nome del raccoglitore, digita un nome univoco per il raccoglitore.
  6. Seleziona Citrix NetScaler come Tipo di log.
  7. Nel campo Tipo di raccoglitore, seleziona Syslog.
  8. Configura i seguenti parametri di input obbligatori:
    • Protocollo: specifica il protocollo di connessione utilizzato dal raccoglitore per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
  9. Fai clic su Invia.

Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite la UI di Google Security Operations.

Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser elabora i log SYSLOG di Citrix Netscaler in formato chiave-valore, estraendo i dati in formato JSON dal campo message e arricchendo UDM con informazioni provenienti da altri campi come host.hostname e user_agent.original dopo averli sanificati. Gestisce i casi in cui il messaggio principale è vuoto tornando al messaggio di log originale.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AAA trans id security_result.detection_fields[].value Valore estratto dal campo "ID transazione AAA".
Accesso security_result.action_details Se "Accesso" è "Consentito", imposta security_result.action su ALLOW. Se "Accesso" è "Negato", imposta security_result.action su BLOCK.
applicationName principal.application Valore estratto dal campo "applicationName".
Browser_type network.http.user_agent Valore estratto dal campo "Browser_type".
ClientIP principal.ip, principal.asset.ip Valore estratto dal campo "ClientIP".
ClientPort principal.port Valore estratto dal campo "ClientPort".
client_cookie additional.fields[].value.string_value Valore estratto dal campo "client_cookie".
Comando target.process.command_line Valore estratto dal campo "Command".
connectionId security_result.detection_fields[].value Valore estratto dal campo "connectionId".
Destinazione target.ip, target.asset.ip Valore estratto dal campo "Destinazione".
Destinazione target.ip, target.asset.ip Valore estratto dal campo "Destinazione".
device_serial_number target.asset_id target.asset_id è impostato su "device_serial_number:".
Durata network.session_duration.seconds La durata viene convertita in secondi e mappata.
Ora di fine security_result.detection_fields[].value Valore estratto dal campo "Ora di fine".
Failure_reason metadata.description Valore estratto dal campo "Failure_reason".
flags additional.fields[].value.string_value Valore estratto dal campo "flags".
Gruppi target.group.group_display_name Valore estratto dal campo "Gruppi".
Motivo metadata.description Valore estratto dal campo "Motivo".
Remote_ip target.ip, target.asset.ip Valore estratto dal campo "Remote_ip".
ServerIP target.ip, target.asset.ip Valore estratto dal campo "ServerIP".
ServerPort target.port Valore estratto dal campo "ServerPort".
session_guid metadata.product_log_id Valore estratto dal campo "session_guid".
SessionId network.session_id Valore estratto dal campo "SessionId".
Origine principal.ip, principal.asset.ip Valore estratto dal campo "Origine".
Ora di inizio security_result.detection_fields[].value Valore estratto dal campo "Ora di inizio".
startTime security_result.detection_fields[].value Valore estratto dal campo "startTime".
Stato security_result.description Valore estratto dal campo "Stato".
Total_bytes_recv network.received_bytes Valore estratto dal campo "Total_bytes_recv".
Total_bytes_send network.sent_bytes Valore estratto dal campo "Total_bytes_send".
Total_bytes_wire_recv security_result.detection_fields[].value Valore estratto dal campo "Total_bytes_wire_recv".
Total_bytes_wire_send security_result.detection_fields[].value Valore estratto dal campo "Total_bytes_wire_send".
Utente principal.user.userid Valore estratto dal campo "Utente".
VserverServiceIP target.ip, target.asset.ip Valore estratto dal campo "VserverServiceIP".
VserverServicePort target.port Valore estratto dal campo "VserverServicePort". Codificato come "CITRIX". Codificato in modo permanente su "NETSCALER". Codificato come "CITRIX_NETSCALER". Determinato dal parser in base a product_event_type. Esempi: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED, GENERIC_EVENT. Valore estratto dal prefisso del log (ad es. CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK e così via). Una breve descrizione dell'evento, a volte derivata da altri campi come "Motivo" o "Failure_reason". Calcolato dai campi data e ora della voce di log. Il parser gestisce vari formati e fusi orari. Estratto dal campo "nomeutente:nomedominio", prendendo la parte dopo i due punti. Codificato in modo permanente su TCP per gli eventi con "TCP" in metadata.product_event_type. Imposta ALLOW per accessi e comandi riusciti e BLOCK per accessi non riusciti e accesso alle risorse bloccato. Derivato da campi come "Stato", "Motivo_errore" e "Accesso". Imposta su USERNAME_PASSWORD quando vengono utilizzati nome utente e password per l'autenticazione (dedotto da determinati messaggi di log). Imposta su VPN per gli eventi di accesso/disconnessione correlati alla VPN. Analizzato dal campo network.http.user_agent utilizzando una libreria di analisi dello user agent.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.