Syslog 格式和事件

Syslog 格式

Syslog 审核事件记录在 audit.log 中，Syslog 事件记录在 admin.log 和 esmanager.log 文件中。所有日志文件均采用特定格式。

下表列出了日志文件（ audit.log、 admin.log 和 esmanager.log）、其相应的格式和字段说明：

注：生成的事件遵循日志格式；但是，这些事件可能仅包含使用相应格式的某些字段。

日志文件	日志格式
audit.log admin.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>

日志文件

日志格式

audit.log
admin.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>

esmanager.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>


字段	描述
`<timestamp>`	表示事件在 Syslog 服务器中生成和记录的时间。
`<UAG hostname>`	Unified Access Gateway 设备的主机名。
`<appname>`	生成事件的应用程序。注：根据应用程序，此字段可以包含 `uag-admin_` 和 `uag-esmanager_` 等标识符。对于审核事件，此字段还可以包含 `uag-admin_uag-audit_`。
`<thread id>`	生成事件的线程 ID。
`<log level>`	在日志消息中收集的信息类型。有关日志记录级别的更多信息，请参阅从 Unified Access Gateway 设备收集日志。
`<file name>`	用于生成日志的文件名。
`<function name>`	该文件中用于生成日志的函数名称。
`<line no.>`	文件中生成日志事件的行号。
`<client IP>`	向 Unified Access Gateway 设备发送请求的组件（例如 Horizon Client、负载均衡器等）的 IP 地址。
`<session type>`	为其创建会话的 Edge 服务（例如 Horizon 和 Web 反向代理）。如果会话用于 Web 反向代理，则会话类型为 WRP- `<instanceId>`。注： `<instanceId>` 是 Web 反向代理 Edge 服务的实例 ID。
`<session id>`	会话的唯一标识符。
`<log message>`	提供有关事件中所发生情况的摘要。

Syslog 审核事件

下表介绍了审核事件，并提供了一些示例：

事件描述	事件样本
当管理员登录到 Unified Access Gateway 管理 UI、在管理 UI 中执行配置更改、注销管理 UI，并在登录失败时记录事件。在用户登录时创建会话以及在用户注销后销毁会话时记录事件。	`Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1` `Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password.2 attempts are remaining.` `Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0` `Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated.OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of new certificate]`

事件描述

事件样本

当管理员登录到 Unified Access Gateway 管理 UI、在管理 UI 中执行配置更改、注销管理 UI，并在登录失败时记录事件。

在用户登录时创建会话以及在用户注销后销毁会话时记录事件。

Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password.2 attempts are remaining.
Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated.OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of new certificate]

Syslog 事件

下表介绍了系统事件，并提供了一些示例：

事件描述	事件样本
当相应地启动和停止在 Unified Access Gateway 中配置的任何 Edge 服务时记录事件。	在以下事件示例中，`UAG Name` 选项作为管理 UI 中 Unified Access Gateway 的系统配置的一部分进行配置： `Sep 9 05:36:55 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started` `Sep 9 05:36:54 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped`
当在 Unified Access Gateway 管理 UI 上启用或禁用 Web 反向代理设置时记录事件。	`Sep 8 09:34:52 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped` `Sep 8 12:08:18 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started`
当在 Unified Access Gateway 管理 UI 上启用或禁用 Horizon Edge 服务设置时记录事件。	`Sep 8 09:15:21 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started` `Sep 8 09:15:07 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped`
当建立的 Horizon 会话包含会话创建、用户登录、用户身份验证、桌面启动和会话终止时记录事件。	虽然此过程中会记录多个事件，但示例事件包括登录场景、用户身份验证成功和故障场景以及身份验证超时。在其中一个示例中，为 Horizon 配置了 `RADIUS` 身份验证方法： `Sep 8 07:28:46 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-*-7cfa] - Created session : 5a0b--7cfa` `Sep 8 07:28:51 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:testradius` `Sep 8 07:28:51 UAG Name uag-esmanager_: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication successful for user testradius.Auth type: RADIUS-AUTH, Sub type: passcode` `Sep 8 07:28:52 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication attempt response - partial` `Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:user name` `Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt - LOGIN initiated` `Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt response - ok` `Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2` `Sep 8 07:29:04 UAG Name uag-esmanager_: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Horizon Tunnel connection established` `Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address` `Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - BSG route 5504--2905 with auth token Ob6NP--aEEqK added` `Sep 8 07:29:55 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-**-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2`

发送到 Syslog 服务器的系统消息

下表介绍了将系统消息发送到 Syslog 服务器时生成的事件：

事件描述	事件样本
当 root 用户登录到 Unified Access Gateway 虚拟机控制台、注销控制台以及身份验证失败时记录事件。	`May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0)` `May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root.` `May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'` `May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root` `May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out.Waiting for processes to exit.` `May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.` `May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root` `May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure`
当 root 用户使用 SSH 登录和注销 Unified Access Gateway 以及身份验证失败时记录事件。	`May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2` `May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0)` `May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.` `Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root` `Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user` `Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389` `Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2`
当 CPU、内存、堆或磁盘使用率超过 Unified Access Gateway 上的阈值时记录事件。	`Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%` `Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%` `Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%`
当使用 `uagcertutil` 命令成功生成 CSR 时记录事件	`09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST-----`

Secure Email Gateway

Secure Email Gateway 配置为使用 Syslog 配置，并将作为 Unified Access Gateway 系统设置的一部分进行配置。默认情况下，Secure Email Gateway 中只有 app.log 的内容将作为 Syslog 事件触发。

有关 Syslog 配置的更多信息，请参阅系统配置。

VMware Tunnel

有关更多信息，请参阅位于 VMware Docs 的 VMware Workspace ONE UEM 产品文档中的访问日志和 Syslog 集成以及配置 VMware Tunnel。