收集 NetScaler 日志

支持的语言:

本文档介绍如何使用 Google Security Operations 转发器收集 NetScaler 日志。

如需了解详情,请参阅 Google Security Operations 数据注入概览

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CITRIX_NETSCALER 注入标签的解析器。

配置 NetScaler VPX

如需配置 NetScaler VPX 以将日志发送到 Google Security Operations 转发器,请执行以下操作:

验证主机名配置

  1. 使用管理员凭据登录 NetScaler 网页界面。
  2. 依次选择配置 > 设置
  3. 点击主机名、DNS IP 地址和时区
  4. 如果主机名字段为空,请输入主机名。不包含空格。 如果此字段已配置,则无需执行任何操作。
  5. DNS IP 地址字段中,验证是否指定了本地 DNS IP 地址。
  6. 时区字段中,输入您的时区。

创建审核服务器

  1. 在 NetScaler 网页界面中,依次选择配置 > 系统 > 审核 > Syslog > 服务器
  2. 在以下字段中指定 syslog 详细信息:
    • 名称
    • 服务器类型
    • IP 地址
    • Port(端口)
  3. 日志级别选择为自定义
  4. 在配置中,选中除 DEBUG 级别以外的所有复选框。
  5. 日志功能列表中,选择 LOCAL0
  6. 日期格式列表中,选择 MMDDYYYY
  7. 选择 Time zoneGMT
  8. 清除以下复选框:
    • TCP 日志记录
    • ACL 日志记录
    • 用户可配置的日志消息
    • AppFlow 日志记录
    • 大规模 NAT 日志记录
    • ALG 消息日志记录
    • 订阅者日志记录
    • DNS
    • SSL 拦截
    • 网址过滤
    • 内容检查日志记录
  9. 点击确定以创建审核服务器。

将创建的审核政策绑定到服务器

  1. 在 NetScaler 网页界面中,依次选择配置 > 系统 > 审核 > Syslog
  2. 点击政策标签页。
  3. 名称字段中,输入政策的名称。
  4. 服务器列表中,选择上一部分中的政策。
  5. 点击创建
  6. 右键点击创建的审核政策,然后依次选择操作 > 全局绑定
  7. 点击添加绑定
  8. 政策绑定窗口中,执行以下操作:
    1. 选择政策字段中,输入创建的审核政策。
    2. 绑定详情窗格的优先级字段中,输入 120,因为这是默认优先级。
    3. 点击 Bind(绑定)。

配置 NetScaler SDX

如需将 NetScaler SDX 配置为将日志发送到 Google Security Operations 转发器,请执行以下操作:

验证 NetScaler SDX 的主机名配置

  1. 使用管理员凭据登录 NetScaler 网页界面。
  2. 在 NetScaler 网页界面中,依次选择系统 > 系统设置
  3. 如果主机名字段为空,请输入主机名。不包含空格。 如果此字段已配置,则无需执行任何操作。
  4. 时区字段中,选择 UTCGMT

配置 syslog 服务器

  1. 在 NetScaler 网页界面中,依次选择 System > Notifications > Syslog servers
  2. 详细信息窗格中,点击添加
  3. 创建 Syslog 服务器窗口中,为以下 Syslog 服务器参数指定值:
    1. 名称字段中,输入一个名称。
    2. IP 地址字段中,输入 Google Security Operations 转发器的 IP 地址。
    3. 端口字段中,输入端口号。
    4. 日志级别选择为自定义
    5. 选择除调试以外的所有日志级别。
  4. 点击创建

配置 syslog 参数

  1. 在 NetScaler 网页界面中,依次选择 System > Notifications > Syslog servers
  2. 详细信息窗格中,点击 Syslog 参数
  3. 配置 syslog 参数页面中,选择 Date formatMMDDYYYY,并选择 Time zoneGMT
  4. 点击确定

配置 Google Security Operations 转发器以注入 NetScaler 日志

  1. 依次选择 SIEM 设置 > 转发器
  2. 点击添加新转发器
  3. 转发器名称字段中,输入转发器的唯一名称。
  4. 点击提交,然后点击确认。转发器已添加,系统会显示添加收集器配置窗口。
  5. 收集器名称字段中,为收集器输入一个唯一名称。
  6. 选择 Citrix NetScaler 作为日志类型
  7. 收集器类型字段中,选择 Syslog
  8. 配置以下必需的输入参数:
    • 协议:指定收集器用于监听 syslog 数据的连接协议。
    • 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
    • 端口:指定收集器所在的目标端口,并监听 syslog 数据。
  9. 点击提交

如需详细了解 Google Security Operations 转发器,请参阅通过 Google Security Operations 界面管理转发器配置

如果您在创建转发器时遇到问题,请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器以键值格式处理 Citrix Netscaler SYSLOG 日志,从 message 字段中提取 JSON 格式的数据,并在清理后使用 host.hostnameuser_agent.original 等其他字段中的信息来丰富 UDM。它通过回退到原始日志消息来处理主消息为空的情况。

UDM 映射表

日志字段 UDM 映射 逻辑
AAA 交易 ID security_result.detection_fields[].value 从“AAA 交易 ID”字段中提取的值。
访问 security_result.action_details 如果“访问权限”为“允许”,则将 security_result.action 设置为 ALLOW。如果“访问权限”为“拒绝”,请将 security_result.action 设置为 BLOCK。
applicationName principal.application 从“applicationName”字段中提取的值。
Browser_type network.http.user_agent 从“Browser_type”字段提取的值。
ClientIP principal.ipprincipal.asset.ip 从“ClientIP”字段中提取的值。
ClientPort principal.port 从“ClientPort”字段中提取的值。
client_cookie additional.fields[].value.string_value 从“client_cookie”字段提取的值。
命令 target.process.command_line 从“命令”字段中提取的值。
connectionId security_result.detection_fields[].value 从“connectionId”字段中提取的值。
目的地 target.iptarget.asset.ip 从“目的地”字段中提取的值。
目的地 target.iptarget.asset.ip 从“目的地”字段中提取的值。
device_serial_number target.asset_id target.asset_id 设置为“device_serial_number:”。
时长 network.session_duration.seconds 时长会转换为秒并进行映射。
结束时间 security_result.detection_fields[].value 从“结束时间”字段提取的值。
Failure_reason metadata.description 从“Failure_reason”字段中提取的值。
flags additional.fields[].value.string_value 从“标志”字段中提取的值。
群组 target.group.group_display_name 从“群组”字段中提取的值。
原因 metadata.description 从“原因”字段中提取的值。
Remote_ip target.iptarget.asset.ip 从“Remote_ip”字段中提取的值。
ServerIP target.iptarget.asset.ip 从“ServerIP”字段提取的值。
ServerPort target.port 从“ServerPort”字段提取的值。
session_guid metadata.product_log_id 从“session_guid”字段提取的值。
SessionId network.session_id 从“SessionId”字段中提取的值。
来源 principal.ipprincipal.asset.ip 从“来源”字段中提取的值。
开始时间 security_result.detection_fields[].value 从“开始时间”字段提取的值。
startTime security_result.detection_fields[].value 从“startTime”字段提取的值。
状态 security_result.description 从“状态”字段中提取的值。
Total_bytes_recv network.received_bytes 从“Total_bytes_recv”字段提取的值。
Total_bytes_send network.sent_bytes 从“Total_bytes_send”字段中提取的值。
Total_bytes_wire_recv security_result.detection_fields[].value 从“Total_bytes_wire_recv”字段提取的值。
Total_bytes_wire_send security_result.detection_fields[].value 从“Total_bytes_wire_send”字段提取的值。
用户 principal.user.userid 从“用户”字段中提取的值。
VserverServiceIP target.iptarget.asset.ip 从“VserverServiceIP”字段提取的值。
VserverServicePort target.port 从“VserverServicePort”字段提取的值。硬编码为“CITRIX”。硬编码为“NETSCALER”。硬编码为“CITRIX_NETSCALER”。由解析器根据 product_event_type 确定。示例:NETWORK_CONNECTION、USER_LOGIN、USER_LOGOUT、USER_STATS、STATUS_UPDATE、USER_UNCATEGORIZED、GENERIC_EVENT。从日志前缀中提取的值(例如,CONN_DELINK、CONN_TERMINATE、OTHERCONN_DELINK 等)。事件的简短说明,有时从“原因”或“Failure_reason”等其他字段派生而来。根据日志条目中的日期和时间字段计算得出。解析器可处理各种格式和时区。从“username:domainname”字段中提取,取冒号后面的部分。对于 metadata.product_event_type 中包含“TCP”的事件,硬编码为 TCP。对于成功的登录和命令,设置为 ALLOW;对于失败的登录和被阻止的资源访问,设置为 BLOCK。派生自“状态”“失败原因”和“访问权限”等字段。如果使用用户名和密码进行身份验证,则设置为 USERNAME_PASSWORD(从某些日志消息中推断得出)。设置为 VPN,用于 VPN 相关的登录/退出事件。使用 user-agent 解析库从 network.http.user_agent 字段解析。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。