O servidor de syslog registra os eventos que ocorrem no dispositivo do Unified Access Gateway. Esses eventos são capturados em arquivos de log que têm um formato específico. Para ajudar você a compreender algumas das informações capturadas quando os eventos são gerados, este tópico lista os eventos, os exemplos de evento e os formatos de syslog.

Formato de syslog

Os eventos de auditoria de syslog são registrados no audit.log, e os eventos de syslog são registrados nos arquivos admin.log e esmanager.log. Todos os arquivos de log seguem um determinado formato.

As tabelas a seguir listam os arquivos de log ( audit.log, admin.log e esmanager.log), seus respectivos formatos e descrições de campo:
Observação: Os eventos gerados seguem o formato de log. No entanto, os eventos podem conter apenas alguns dos campos presentes no formato.
Arquivo de log Formato de log
  • audit.log
  • admin.log
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>
Campo Descrição
<timestamp> Indica o horário em que o evento foi gerado e registrado no servidor de syslog.
<UAG hostname> Nome do host do dispositivo do Unified Access Gateway.
<appname> Aplicativo que gera o evento.
Observação: Dependendo do aplicativo, esse campo pode conter identificadores como uag-admin_ e uag-esmanager_. Para eventos de auditoria, esse campo também pode conter uag-admin_uag-audit_.
<thread id> ID do thread no qual o evento é gerado.
<log level> Tipos de informação coletadas na mensagem de log.

Para obter mais informações sobre os níveis de log, consulte Coletando logs do appliance do Unified Access Gateway.

<file name> Nome do arquivo do qual o log é gerado.
<function name> Nome da função nesse arquivo do qual o log é gerado.
<line no.> Número de linha no arquivo no qual o evento de log é gerado.
<client IP> Endereço IP do componente (como o Horizon Client, o balanceador de carga e assim por diante) que envia uma solicitação para dispositivo do Unified Access Gateway.
<session type> Serviço de borda (como o Horizon e o proxy reverso da Web) para o qual a sessão é criada.
Se a sessão for para proxy reverso da Web, o tipo de sessão será mencionado como WRP- <instanceId>.
Observação: <instanceId> é o ID de instância do serviço de borda de proxy reverso da Web.
<session id> Identificador exclusivo da sessão.
<log message> Fornece um resumo sobre o que ocorreu no evento.

Eventos de auditoria do Syslog

A tabela a seguir descreve os eventos de auditoria com exemplos:

Descrição do evento Amostra de evento

Os eventos são registrados quando um administrador faz login na UI do Administrador do Unified Access Gateway, realiza alterações de configuração na UI do Administrador, faz logout na UI do Administrador e tem falha no login.

Os eventos são registrados quando uma sessão é criada no login do usuário e quando uma sessão é destruída após o logout do usuário.

  • Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
  • Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
  • Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
  • Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password. 2 attempts are remaining.
  • Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
  • Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
  • Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
  • Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated. OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]

Eventos de syslog

A tabela a seguir descreve os eventos do sistema com exemplos:

Descrição do evento Amostra de evento
Um evento é registrado quando qualquer um dos serviços de borda configurados no Unified Access Gateway são iniciados e interrompidos de acordo. Nas seguintes amostras de eventos, Nome UAG é a opção configurada como parte da Configuração do Sistema do Unified Access Gateway na interface de usuário do Administrador:
  • Sep 9 05:36:55 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started
  • Sep 9 05:36:54 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped
Os eventos são registrados quando as configurações de Proxy Reverso da Web estão ativadas ou desativadas na interface de usuário do Administrador do Unified Access Gateway.
  • Sep 8 09:34:52 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped
  • Sep 8 12:08:18 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started
Os eventos são registrados quando as configurações do serviço de borda do Horizon estão ativadas ou desativadas na interface de usuário do Administrador do Unified Access Gateway.
  • Sep 8 09:15:21 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started
  • Sep 8 09:15:07 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped
Os eventos são registrados quando uma sessão do Horizon é estabelecida, que consiste em criação de sessão, login do usuário, autenticação do usuário, inicialização de área de trabalho e encerramento da sessão. Embora vários eventos sejam registrados por meio do fluxo, os eventos de exemplo incluem cenários de login, cenários de êxito e falha de autenticação do usuário e tempo limite de autenticação. Em um dos exemplos, o Horizon foi configurado com o método de autenticação RADIUS:
  • Sep 8 07:28:46 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-***-7cfa] - Created session : 5a0b-***-7cfa
  • Sep 8 07:28:51 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:testradius
  • Sep 8 07:28:51 UAG Name uag-esmanager_: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication successful for user testradius. Auth type: RADIUS-AUTH, Sub type: passcode
  • Sep 8 07:28:52 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication attempt response - partial
  • Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:user name
  • Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt - LOGIN initiated
  • Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt response - ok
  • Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2
  • Sep 8 07:29:04 UAG Name uag-esmanager_: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Horizon Tunnel connection established
  • Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address
  • Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - BSG route 5504-***-2905 with auth token Ob6NP-***-aEEqK added
  • Sep 8 07:29:55 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2

Mensagens do sistema enviadas ao servidor de syslog

A tabela a seguir descreve os eventos que são gerados quando as mensagens do sistema são enviadas ao servidor de syslog:

Descrição do evento Amostra de evento
Os eventos são registrados em log quando o usuário raiz faz login no console da máquina virtual do Unified Access Gateway, faz logout do console e quando ocorre falha de autenticação.
  • May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0)

    May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root.

    May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'

  • May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root

    May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out. Waiting for processes to exit.

    May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.

  • May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root

    May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure

Os eventos são registrados quando o usuário raiz faz login e logout no Unified Access Gateway usando SSH e quando ocorre falha de autenticação.
  • May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2

    May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0)

    May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.

  • Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root

    Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user

    Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389

    Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2

Os eventos são registrados quando a utilização da CPU, da memória, do heap ou do disco excede o valor limite de Unified Access Gateway
  • Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%
  • Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%
  • Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%
Os eventos são registrados quando o CSR é gerado com êxito usando o comando uagcertutil 09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST-----

Secure Email Gateway

O Secure Email Gateway é configurado para seguir as configurações de Syslog que são definidas como parte das Configurações do Sistema do Unified Access Gateway. Por padrão, somente o conteúdo do app.log no Secure Email Gateway será disparado como eventos de Syslog.

Para obter mais informações sobre as configurações de Syslog, consulte Configurar as definições de sistema do Unified Access Gateway.

VMware Tunnel

Para obter mais informações, consulte Logs de acesso e integração do syslog e Configurar o VMware Tunnel na Documentação do produto VMware Workspace ONE UEM em VMware Docs.