Citrix NetScaler

Данное руководство содержит инструкции по настройке Citrix, который позволяет использовать ресурсы серверов и сети и повышать скорость доставки веб-приложений.

Настройка источника событий

Citrix CTX120609 обеспечивает синхронизацию и настройку системных журналов NetScaler с помощью Newsyslog. По умолчанию Citrix ADC хранит несколько системных журналов на локальном устройстве.

Краткое описание типов событий, регистрируемых в каждом из журналов, представлено в документации Citrix.

Рассмотрим настройку на примере журнала аудита User Configurable Log Messages.

Чтобы создать политику для отправки записи системного журнала на внешний сервер syslog:

В интерфейсе NetScaler перейдите в раздел System → Auditing → Syslog.
Перейдите на вкладку Servers и нажмите на кнопку Add.
Укажите данные сервера:
- Name — имя сервера (например, syslog).
- В выпадающем списке Server Type выберите Server IP и в поле IP Address укажите IP-адрес сервера.
  
  Либо выпадающем списке Server Type выберите Server Domain Name и в поле Server Domain Name введите полное доменное имя сервера.
- Port — 514.
В блоке Log Levels укажите параметры логирования:
- Выберите нужный уровень логирования.
- В выпадающем списке Date Format выберите формат даты.
- Установите флажок User Configurable Log Messages.
Нажмите на кнопку Create.
Перейдите во вкладку Policies и нажмите на кнопку Add.
Укажите параметры политики:
- Name — имя политики (например, syslog);
- Expression Type — выберите Advanced Policy
- Server — выберите созданный ранее сервер.
Нажмите на кнопку Create.
На вкладке Policies выберите в раскрывающемся списке Select Action пункт Advanced Policy Global Bindings. Нажмите на кнопку Add Binding.
Укажите параметры привязки политики:
- Select Policy — название ранее созданной политики;
- Priority — 100 или меньше;
- Global Bind Type — SYSTEM_GLOBAL.
  
  Нажмите на кнопку Bind.

Настройка логирования и отправки логов на сервер syslog завершена.

Настройка логирования подробно описана в документации Citrix.

Настройка сервера syslog

Для настройки сервера syslog выполните следующие шаги:

Откройте конфигурационный файл rsyslog (/etc/rsyslog.conf или /etc/rsyslog.d/).

Добавьте следующее правило обработки:

# Укажите IP-адрес Citrix NetScaler
if $fromhost-ip=='192.0.2.0' then {
# Укажите адрес и порт SIEM
  action(type="omfwd" target="siem.sea.land" port="30000" protocol="tcp")
  stop
}

Перезапустите rsyslog, чтобы изменения вступили в силу:
```
sudo systemctl restart rsyslog
```

Настройка конвейера для сбора событий аудита

Для интеграции источника с R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
1. Тип точки входа — Syslog;
2. Порт точки входа и Протокол — в соответствии с настройками на стороне сервера syslog.
Добавьте на конвейер элемент VRL-трансформация со следующим кодом:
```
.dproduct="Citrix Net Scaler"
```
Соедините VRL-трансформацию с точкой входа.
Добавьте на конвейер Нормализатор с правилом Citrix NetScaler. Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий. Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера

Если настройка выполнена корректно, в хранилище начнут поступать события Citrix NetScaler.