Mengumpulkan log NetScaler

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log NetScaler menggunakan forwarder Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CITRIX_NETSCALER.

Mengonfigurasi NetScaler VPX

Untuk mengonfigurasi NetScaler VPX agar mengirim log ke forwarder Google Security Operations, lakukan tindakan berikut:

Memverifikasi konfigurasi nama host

  1. Login ke antarmuka web NetScaler menggunakan kredensial administrator.
  2. Pilih Konfigurasi > Setelan.
  3. Klik Nama host, alamat IP DNS, dan Zona waktu.
  4. Jika kolom Host name kosong, masukkan nama host. Jangan sertakan spasi. Jika kolom ini sudah dikonfigurasi, Anda tidak perlu melakukan tindakan apa pun.
  5. Di kolom DNS IP address, verifikasi apakah alamat IP DNS lokal ditentukan.
  6. Di kolom Zona waktu, masukkan zona waktu Anda.

Membuat server audit

  1. Di antarmuka web NetScaler, pilih Configuration > System > Auditing > Syslog > Servers.
  2. Tentukan detail syslog di kolom berikut:
    • Nama
    • Jenis server
    • Alamat IP
    • Port
  3. Pilih Tingkat log sebagai Kustom.
  4. Centang semua kotak centang kecuali tingkat DEBUG dalam konfigurasi.
  5. Dalam daftar Log facility, pilih LOCAL0.
  6. Dalam daftar Format tanggal, pilih MMDDYYYY.
  7. Pilih Zona waktu sebagai GMT.
  8. Hapus centang pada kotak berikut:
    • Logging TCP
    • Logging ACL
    • Pesan log yang dapat dikonfigurasi pengguna
    • Pembuatan log AppFlow
    • Logging NAT skala besar
    • Logging pesan ALG
    • Logging pelanggan
    • DNS
    • Intersepsi SSL
    • Pemfilteran URL
    • Logging pemeriksaan konten
  9. Klik Ok untuk membuat server audit.

Mengikat kebijakan audit yang dibuat ke server

  1. Di antarmuka web NetScaler, pilih Configuration > System > Auditing > Syslog.
  2. Klik tab Kebijakan.
  3. Di kolom Nama, masukkan nama untuk kebijakan.
  4. Dalam daftar Server, pilih kebijakan dari bagian sebelumnya.
  5. Klik Create.
  6. Klik kanan kebijakan audit yang dibuat, lalu pilih Action > Global bindings.
  7. Klik Tambahkan binding.
  8. Di jendela Policy binding, lakukan tindakan berikut:
    1. Di kolom Select policy, masukkan kebijakan audit yang dibuat.
    2. Di panel Binding details, di kolom Priority, masukkan 120 karena merupakan prioritas default.
    3. Klik Bind.

Mengonfigurasi NetScaler SDX

Untuk mengonfigurasi NetScaler SDX agar mengirim log ke penerusan Google Security Operations, lakukan hal berikut:

Memverifikasi konfigurasi nama host untuk NetScaler SDX

  1. Login ke antarmuka web NetScaler menggunakan kredensial administrator.
  2. Di antarmuka web NetScaler, pilih Sistem > Setelan sistem.
  3. Jika kolom Host name kosong, masukkan nama host. Jangan sertakan spasi. Jika kolom ini sudah dikonfigurasi, Anda tidak perlu melakukan tindakan apa pun.
  4. Di kolom Zona waktu, pilih UTC atau GMT.

Mengonfigurasi server syslog

  1. Di antarmuka web NetScaler, pilih Sistem > Notifikasi > Server syslog.
  2. Di panel Details, klik Add.
  3. Di jendela Create syslog server, tentukan nilai untuk parameter server syslog berikut:
    1. Di kolom Name, masukkan nama.
    2. Di kolom IP address, masukkan alamat IP forwarder Google Security Operations.
    3. Di kolom Port, nomor port.
    4. Pilih Tingkat log sebagai Kustom.
    5. Pilih semua level log kecuali Debug.
  4. Klik Create.

Mengonfigurasi parameter syslog

  1. Di antarmuka web NetScaler, pilih Sistem > Notifikasi > Server syslog.
  2. Di panel Details, klik Syslog parameters.
  3. Di halaman Configure syslog parameters, pilih Date format sebagai MMDDYYYY dan pilih Time zone sebagai GMT.
  4. Klik Ok.

Mengonfigurasi forwarder Google Security Operations untuk menyerap log NetScaler

  1. Pilih Setelan SIEM > Penerima.
  2. Klik Tambahkan penerusan baru.
  3. Di kolom Nama pengirim, masukkan nama unik untuk pengirim.
  4. Klik Kirim, lalu klik Konfirmasi. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
  5. Di kolom Nama kolektor, ketik nama unik untuk kolektor.
  6. Pilih Citrix NetScaler sebagai Jenis log.
  7. Di kolom Jenis kolektor, pilih Syslog.
  8. Konfigurasikan parameter input wajib berikut:
    • Protokol: menentukan protokol koneksi yang digunakan kolektor untuk memproses data syslog.
    • Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
    • Port: menentukan port target tempat kolektor berada dan memproses data syslog.
  9. Klik Kirim.

Untuk informasi selengkapnya tentang forwarder Google Security Operations, lihat Mengelola konfigurasi forwarder melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini memproses log SYSLOG Citrix Netscaler dalam format nilai kunci, mengekstrak data berformat JSON dari kolom message, dan memperkaya UDM dengan informasi dari kolom lain seperti host.hostname dan user_agent.original setelah membersihkannya. Fungsi ini menangani kasus saat pesan utama kosong dengan kembali ke pesan log asli.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
ID trans AAA security_result.detection_fields[].value Nilai yang diekstrak dari kolom "AAA trans id".
Akses security_result.action_details Jika "Akses" adalah "Diizinkan", tetapkan security_result.action ke IZINKAN. Jika "Akses" "Ditolak", tetapkan security_result.action ke BLOCK.
applicationName principal.application Nilai yang diekstrak dari kolom "applicationName".
Browser_type network.http.user_agent Nilai diekstrak dari kolom "Browser_type".
ClientIP principal.ip, principal.asset.ip Nilai yang diekstrak dari kolom "ClientIP".
ClientPort principal.port Nilai yang diekstrak dari kolom "ClientPort".
client_cookie additional.fields[].value.string_value Nilai yang diekstrak dari kolom "client_cookie".
Perintah target.process.command_line Nilai diekstrak dari kolom "Command".
connectionId security_result.detection_fields[].value Nilai yang diekstrak dari kolom "connectionId".
Tujuan target.ip, target.asset.ip Nilai diekstrak dari kolom "Tujuan".
Tujuan target.ip, target.asset.ip Nilai diekstrak dari kolom "Tujuan".
device_serial_number target.asset_id target.asset_id ditetapkan ke "device_serial_number:".
Durasi network.session_duration.seconds Durasi dikonversi menjadi detik dan dipetakan.
Waktu Berakhir security_result.detection_fields[].value Nilai yang diekstrak dari kolom "Waktu Akhir".
Failure_reason metadata.description Nilai yang diekstrak dari kolom "Failure_reason".
flag additional.fields[].value.string_value Nilai yang diekstrak dari kolom "flags".
Grup target.group.group_display_name Nilai yang diekstrak dari kolom "Grup".
Alasan metadata.description Nilai yang diekstrak dari kolom "Alasan".
Remote_ip target.ip, target.asset.ip Nilai yang diekstrak dari kolom "Remote_ip".
ServerIP target.ip, target.asset.ip Nilai diekstrak dari kolom "ServerIP".
ServerPort target.port Nilai diekstrak dari kolom "ServerPort".
session_guid metadata.product_log_id Nilai yang diekstrak dari kolom "session_guid".
SessionId network.session_id Nilai yang diekstrak dari kolom "SessionId".
Sumber principal.ip, principal.asset.ip Nilai yang diekstrak dari kolom "Sumber".
Waktu Mulai security_result.detection_fields[].value Nilai yang diekstrak dari kolom "Waktu Mulai".
startTime security_result.detection_fields[].value Nilai yang diekstrak dari kolom "startTime".
Status security_result.description Nilai diekstrak dari kolom "Status".
Total_bytes_recv network.received_bytes Nilai yang diekstrak dari kolom "Total_bytes_recv".
Total_bytes_send network.sent_bytes Nilai yang diekstrak dari kolom "Total_bytes_send".
Total_bytes_wire_recv security_result.detection_fields[].value Nilai diekstrak dari kolom "Total_bytes_wire_recv".
Total_bytes_wire_send security_result.detection_fields[].value Nilai diekstrak dari kolom "Total_bytes_wire_send".
Pengguna principal.user.userid Nilai yang diekstrak dari kolom "Pengguna".
VserverServiceIP target.ip, target.asset.ip Nilai yang diekstrak dari kolom "VserverServiceIP".
VserverServicePort target.port Nilai diekstrak dari kolom "VserverServicePort". Di-hardcode ke "CITRIX". Di-hardcode ke "NETSCALER". Di-hardcode ke "CITRIX_NETSCALER". Ditentukan oleh parser berdasarkan product_event_type. Contoh: NETWORK_CONNECTION, USER_LOGIN, USER_LOGOUT, USER_STATS, STATUS_UPDATE, USER_UNCATEGORIZED, GENERIC_EVENT. Nilai yang diekstrak dari awalan log (misalnya, CONN_DELINK, CONN_TERMINATE, OTHERCONN_DELINK, dll.). Deskripsi singkat tentang peristiwa, terkadang berasal dari kolom lain seperti "Alasan" atau "Alasan_kegagalan". Dihitung dari kolom tanggal dan waktu dalam entri log. Parser menangani berbagai format dan zona waktu. Diekstrak dari kolom "username:domainname", dengan mengambil bagian setelah titik dua. Di-hardcode ke TCP untuk peristiwa dengan "TCP" di metadata.product_event_type. Tetapkan ke ALLOW untuk login dan perintah yang berhasil, BLOCK untuk login yang gagal dan akses resource yang diblokir. Berasal dari kolom seperti "Status", "Failure_reason", dan "Access". Tetapkan ke USERNAME_PASSWORD jika nama pengguna dan sandi digunakan untuk autentikasi (disimpulkan dari pesan log tertentu). Tetapkan ke VPN untuk peristiwa login/logout terkait VPN. Diurai dari kolom network.http.user_agent menggunakan library penguraian user-agent.

Perubahan

2024-05-21

  • Mengubah pola Grok untuk mengurai log yang dihapus.

2024-05-20

  • Menambahkan pola Grok baru untuk mengurai log yang tidak diuraikan.

2024-05-08

  • Memperbarui pemetaan informasi durasi dari "security_results" menjadi "network.session_duration" .

2024-04-29

  • Menambahkan pemeriksaan bersyarat untuk "Browser_type" dan memetakan ke "network.http.parsed_user_agent".
  • Menambahkan pemeriksaan bersyarat untuk "userId" dan "user_email".
  • Memetakan "Browser" ke "network.http.parsed_user_agent".

2024-02-23

  • Memperbarui pola Grok untuk mengurai nama host seperti yang diharapkan di kolom UDM.

2024-01-25

  • Menambahkan pola Grok untuk mengurai log dengan "message_type" adalah "Message", "NONHTTP_RESOURCEACCESS_DENIED", "UDPFLOWSTAT", dan "EXTRACTED_GROUPS".
  • Menambahkan dukungan untuk mengurai log dengan "fitur" adalah "GUI" dan "EVENT".
  • Memetakan "principal_port" ke "principal.port".
  • Memetakan "ClientIP" ke "principal.asset.ip".
  • Memetakan "principal_ip" ke "principal.ip" dan "principal.asset.ip".
  • Memetakan "target_ip" ke "target.ip" dan "target.asset.ip".
  • Memetakan "target_port" ke "target.port".
  • Memetakan "description" ke "metadata.description".
  • Memetakan "type", "aaa_trans_id", "pcb_trans_id", "pcb_state", "pcb_label", "trans_id", "authPolicyLen", "login_attempts", "PromptLen", "partitionLen", "cmdPolicyLen", dan "ssh_pubkey_len" ke "security_result.detection_fields".
  • Memetakan "principal_hostname" ke "principal.hostname" dan "principal.asset.hostname".
  • Memetakan "hostname" ke "intermediary.asset.hostname".
  • Memetakan "hostname" ke "observer.asset.hostname".
  • Memetakan "cip", "ServerIP", "VIP", "VserverServiceIP", dan "Remote_ip" ke "target.asset.ip".
  • Jika "message_type" adalah "Message", maka petakan "User" ke "principal.user.userid".
  • Jika "principal_ip" dan "target_ip" ada, tetapkan "metadata.event_type" ke "NETWORK_CONNECTION".
  • Jika "Client_ip" dan "target_ip" ada, tetapkan "metadata.event_type" ke "NETWORK_CONNECTION".
  • Jika "message_type" adalah "NONHTTP_RESOURCEACCESS_DENIED" dan "UDPFLOWSTAT", tetapkan "metadata.event_type" ke "USER_STATS".
  • Jika "message_type" adalah "Message" dan "User" ada, tetapkan "metadata.event_type" ke "USER_UNCATEGORIZED".
  • Jika "principal_ip" ada, tetapkan "metadata.event_type" ke "STATUS_UPDATE".

2023-11-26

  • Enhancement-
  • Menambahkan pola Grok untuk mengurai log dengan "message_type" adalah "Message".

2023-07-21

  • Peningkatan - Memperbarui parser untuk mengurai log yang berisi fitur dengan benar - 'CLI'.

2022-09-26

  • Peningkatan - Memigrasikan parser kustom ke parser default.

2022-06-09

  • Peningkatan- Menambahkan pemetaan yang diminta:
  • Memetakan 'startTime', 'endTime', 'Duration' ke 'security_result.detection_fields'.
  • Memperbarui parser untuk mengurai log yang berisi message_type - 'CHANNEL_UPDATE', 'NETWORK_UPDATE', 'AAATM Message'.

2022-05-09

  • Perbaikan bug - Memperbarui parser untuk menguraikan log yang berisi message_type - 'TCPCONNSTAT' dengan benar.
  • Memperbarui grok untuk menyertakan nama domain lengkap di 'principal.administrative_domain'.
  • Mengurai log yang gagal selama pengujian Validation API.

2022-04-27

  • Peningkatan- Menambahkan pemetaan yang diminta
  • Kolom intermediary.hostname yang dipetakan
  • Log kegagalan API yang diuraikan