Syslog 服务器会记录在 Unified Access Gateway 设备上发生的事件。这些事件捕获到具有特定格式的日志文件中。为帮助您了解生成事件时捕获的部分信息,本主题列出了事件、事件示例和 Syslog 格式。
Syslog 格式
Syslog 审核事件记录在 audit.log 中,Syslog 事件记录在 admin.log 和 esmanager.log 文件中。所有日志文件均采用特定格式。
下表列出了日志文件(
audit.log、
admin.log 和
esmanager.log)、其相应的格式和字段说明:
注: 生成的事件遵循日志格式;但是,这些事件可能仅包含使用相应格式的某些字段。
日志文件 |
日志格式 |
|
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
|
esmanager.log |
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message> |
字段 |
描述 |
<timestamp> |
表示事件在 Syslog 服务器中生成和记录的时间。 |
<UAG hostname> |
Unified Access Gateway 设备的主机名。 |
<appname> |
生成事件的应用程序。
注: 根据日志文件,此字段的值如下:
UAG-AUDIT 、
UAG-ADMIN 和
UAG-ESMANAGER 。
|
<thread id> |
生成事件的线程 ID。 |
<log level> |
在日志消息中收集的信息类型。 有关日志记录级别的更多信息,请参阅从 Unified Access Gateway 设备收集日志。 |
<file name> |
用于生成日志的文件名。 |
<function name> |
该文件中用于生成日志的函数名称。 |
<line no.> |
文件中生成日志事件的行号。 |
<client IP> |
向 Unified Access Gateway 设备发送请求的组件(例如 Horizon Client、负载均衡器等)的 IP 地址。 |
<session type> |
为其创建会话的 Edge 服务(例如 Horizon 和 Web 反向代理)。
如果会话用于 Web 反向代理,则会话类型为 WRP-
<instanceId>。
注:
<instanceId> 是 Web 反向代理 Edge 服务的实例 ID。
|
<session id> |
会话的唯一标识符。 |
<log message> |
提供有关事件中所发生情况的摘要。 |
Syslog 审核事件
下表介绍了审核事件,并提供了一些示例:
事件描述 |
事件样本 |
当管理员登录到 Unified Access Gateway 管理 UI、在管理 UI 中执行配置更改、注销管理 UI,并在登录失败时记录事件。 在用户登录时创建会话以及在用户注销后销毁会话时记录事件。 |
- Sep 8 08:50:04 UAG Name UAG-AUDIT: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- 05/20 14:03:59,288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
- Sep 8 08:50:13 UAG Name UAG-AUDIT: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- Sep 8 08:50:13 tunneltest UAG-AUDIT: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password.2 attempts are remaining.
- 05/20 14:07:46,841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
- Sep 8 08:52:24 UAG Name UAG-AUDIT: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- Sep 8 07:32:01 UAG Name UAG-ADMIN: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- 08/22 13:52:22,815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated.OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]
|
Syslog 事件
下表介绍了系统事件,并提供了一些示例:
事件描述 |
事件样本 |
当相应地启动和停止在 Unified Access Gateway 中配置的任何 Edge 服务时记录事件。 |
在以下事件示例中,UAG Name 选项作为管理 UI 中 Unified Access Gateway 的系统配置的一部分进行配置:
- Sep 9 05:36:55 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started
- Sep 9 05:36:54 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped
|
当在 Unified Access Gateway 管理 UI 上启用或禁用 Web 反向代理设置时记录事件。 |
- Sep 8 09:34:52 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped
- Sep 8 12:08:18 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started
|
当在 Unified Access Gateway 管理 UI 上启用或禁用 Horizon Edge 服务设置时记录事件。 |
- Sep 8 09:15:21 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started
- Sep 8 09:15:07 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped
|
当建立的 Horizon 会话包含会话创建、用户登录、用户身份验证、桌面启动和会话终止时记录事件。 |
虽然此过程中会记录多个事件,但示例事件包括登录场景、用户身份验证成功和故障场景以及身份验证超时。在其中一个示例中,为 Horizon 配置了 RADIUS 身份验证方法:
- Sep 8 07:28:46 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-***-7cfa] - Created session : 5a0b-***-7cfa
- Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:testradius
- Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication successful for user testradius.Auth type: RADIUS-AUTH, Sub type: passcode
- Sep 8 07:28:52 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication attempt response - partial
- Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:user name
- Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt - LOGIN initiated
- Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt response - ok
- Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2
- Sep 8 07:29:04 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Horizon Tunnel connection established
- Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address
- Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - BSG route 5504-***-2905 with auth token Ob6NP-***-aEEqK added
- Sep 8 07:29:55 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2
|
发送到 Syslog 服务器的系统消息
下表介绍了将系统消息发送到 Syslog 服务器时生成的事件:
事件描述 |
事件样本 |
当 root 用户登录到 Unified Access Gateway 虚拟机控制台、注销控制台以及身份验证失败时记录事件。 |
-
May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0) May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root. May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'
-
May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out.Waiting for processes to exit. May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.
-
May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure
|
当 root 用户使用 SSH 登录和注销 Unified Access Gateway 以及身份验证失败时记录事件。 |
-
May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2 May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0) May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.
-
Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389 Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2
|
当 CPU、内存、堆或磁盘使用率超过 Unified Access Gateway 上的阈值时记录事件。 |
- Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%
- Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%
- Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%
|
当使用 uagcertutil 命令成功生成 CSR 时记录事件 |
09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST----- |
Secure Email Gateway
Secure Email Gateway 配置为使用 Syslog 配置,并将作为 Unified Access Gateway 系统设置的一部分进行配置。默认情况下,Secure Email Gateway 中只有 app.log 的内容将作为 Syslog 事件触发。
有关 Syslog 配置的更多信息,请参阅配置 Unified Access Gateway 系统设置。
VMware Tunnel
有关更多信息,请参阅位于 VMware Docs 的 VMware Workspace ONE UEM 产品文档中的访问日志和 Syslog 集成以及配置 VMware Tunnel。