Citrix NetScaler: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Citrix NetScaler в R-Vision SIEM.

Предварительные требования

Перед настройкой пересылки событий в R-Vision SIEM убедитесь, что сетевая связность между Citrix NetScaler и R-Vision SIEM (или промежуточным узлом) обеспечена, а необходимые порты открыты.

Настройка Citrix NetScaler

Настройка системных журналов NetScaler и их ротация осуществляются в соответствии с рекомендациями Citrix (например, CTX121898). По умолчанию NetScaler (Citrix ADC) хранит журналы локально, используя утилиту newsyslog для управления их размером и хранением.

Краткое описание типов событий, регистрируемых в каждом из журналов, представлено в документации Citrix.

Рассмотрим настройку на примере журнала аудита User Configurable Log Messages.

Чтобы создать политику для отправки записей системного журнала на внешний сервер syslog:

В интерфейсе NetScaler перейдите в раздел System → Auditing → Syslog.
Перейдите на вкладку Servers и нажмите на кнопку Add.
Укажите данные сервера:
- В поле Name введите имя сервера (например, syslog).
- Выполните один из следующих шагов:
  - В поле Server Type выберите из выпадающего списка вариант Server IP и в поле IP Address укажите IP-адрес сервера.
  - В поле Server Type выберите из выпадающего списка вариант Server Domain Name и в поле Server Domain Name введите полное доменное имя сервера.
- В поле Port введите значение (рекомендуется использовать порт в диапазоне от 30000 до 32999).
В блоке Log Levels укажите параметры логирования:
- Выберите нужный уровень логирования.
- Выберите из выпадающего списка Date Format формат даты.
- Установите флажок User Configurable Log Messages.
Нажмите на кнопку Create.
Перейдите на вкладку Policies и нажмите на кнопку Add.
Укажите параметры политики:
- В поле Name введите имя политики (например, syslog).
- В поле Expression Type выберите вариант Advanced Policy.
- Из выпадающего списка Server выберите созданный ранее сервер.
Нажмите на кнопку Create.
На вкладке Policies выберите из выпадающего списка Select Action вариант Advanced Policy Global Bindings.
Нажмите на кнопку Add Binding.
Укажите параметры привязки политики:
- В поле Select Policy укажите название ранее созданной политики.
- В поле Priority введите значение 100 или меньше.
- Из выпадающего списка Global Bind Type выберите вариант SYSTEM_GLOBAL.
Нажмите на кнопку Bind.
Сохраните изменения.

Настройка логирования и отправки логов на сервер syslog завершена.

Настройка логирования подробно описана в документации Citrix.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.
Добавьте на конвейер элемент Точка входа со следующими параметрами:
- Название: введите название точки входа.
- Тип точки входа: выберите вариант Syslog.
- Порт точки входа: введите значение в соответствии с настройками на стороне Citrix NetScaler.
- Протокол: выберите вариант в соответствии с настройками на стороне Citrix NetScaler.
Добавьте на конвейер элемент VRL-трансформация со значением:
```
.device_product = "netscaler"
```
Соедините добавленную точку входа и VRL-трансформацию.
Добавьте на конвейер элемент Нормализатор с правилом Citrix NetScaler (идентификатор правила: RV-N-344).
Соедините нормализатор с VRL-трансформацией.
Добавьте на конвейер элемент Конечная точка типа Хранилище событий.
Соедините конечную точку с нормализатором.
Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

citrix netscaler pipeline scheme

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Citrix NetScaler.

Найти события Citrix NetScaler в хранилище можно по следующему фильтру:

device_product = "netscaler"

Была ли полезна эта страница?