Syslog 服务器会记录在 Unified Access Gateway 设备上发生的事件。本主题将帮助您了解在记录这些事件时会捕获哪些信息。

Syslog 审核事件

下表介绍了审核事件,并提供了一些示例:

事件描述 事件样本
当管理员登录到 Unified Access Gateway 管理 UI、在管理 UI 中执行配置更改或注销管理 UI 时记录事件。
  • 06-09-2020 16:56:03 User.Info Syslog_Server_IP_Address UAG-AUDIT:[qtp332498651-46]INFO utils.SyslogAuditManager[logAuditLog: 382] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin"
  • 06-09-2020 16:57:25 User.Info Syslog_Server_IP_Address UAG-AUDIT:[qtp332498651-44]INFO utils.SyslogAuditManager[logAuditLog: 382] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: CHANGE=tlsSyslogServerSettings:(null->[]) - dns:(null->) - monitorInterval:(20->60) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
  • 06-09-2020 16:55:57 User.Info Syslog_Server_IP_Address UAG-AUDIT:[qtp332498651-22]INFO utils.SyslogAuditManager[logAuditLog: 382] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin

Syslog 事件

下表介绍了系统事件,并提供了一些示例:

事件描述 事件样本
当相应地启动和停止在 Unified Access Gateway 中配置的任何 Edge 服务时记录事件。 在以下事件示例中,UAG Name 选项作为管理 UI 中 Unified Access Gateway系统配置的一部分进行配置:
  • 06-09-2020 16:57:26 Local2.Info Syslog_Server_IP_Address Jun 9 11:25:59 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 993][] - EDGE_SERVICE_MANAGER:STOPPED:Stopped Edge Service Manager
  • 06-09-2020 16:57:26 Local2.Info Syslog_Server_IP_Address Jun 9 11:25:59 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 321][] - EDGE_SERVICE_MANAGER:STARTED:Started EdgeServiceManager.
当使用 HTTP 方案访问 Unified Access Gateway 并将其重定向到 HTTPS 时记录事件。
  • 06-09-2020 16:57:28 Local2.Info Syslog_Server_IP_Address Jun 9 11:26:01 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startAndStopHttpAndHttpsServer: 768][] - HTTP_REDIRECTION_SERVER:STARTED:Started HTTP redirection server listening on port 8080
  • 06-09-2020 16:57:26 Local2.Info Syslog_Server_IP_Address Jun 9 11:25:59 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 977][] - HTTP_REDIRECTION_SERVER:STOPPED:Stopped HTTP redirection serverlistening on port 8080
当在 Unified Access Gateway 管理 UI 上启用或禁用 Web 反向代理设置时记录事件。
  • 06-10-2020 11:11:06 Local2.Info Syslog_Server_IP_Address Jun 10 05:39:39 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 207][] - WS_PORTAL_SERVICE:STARTED:Started WS Portal Edge Service
  • 06-10-2020 11:10:32 Local2.Info Syslog_Server_IP_Address Jun 10 05:39:04 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 274][] - WS_PORTAL_SERVICE:STOPPED:Stopped WS Portal Edge Service
当在 Unified Access Gateway 管理 UI 上启用或禁用 Horizon Edge 服务设置时记录事件。
  • 06-10-2020 11:03:10 Local2.Info Syslog_Server_IP_Address Jun 10 05:31:43 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 689][] - HORIZON_SERVICE:STOPPED:Horizon View Edge Service
  • 06-10-2020 11:04:40 Local2.Info Syslog_Server_IP_Address Jun 10 05:33:13 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 332][] - HORIZON_SERVICE:STARTED:Started Horizon Edge Service
当建立的 Horizon 会话包含用户登录、用户身份验证和会话终止时记录事件。 虽然此过程中会记录多个事件,但示例事件包括登录场景、用户身份验证成功和故障场景以及身份验证超时。在其中一个示例中,为 Horizon 配置了 RADIUS 身份验证方法:
  • Sample Event -06-10-2020 10:46:09 Local2.Info Syslog_Server_IP_Address Jun 10 05:14:42 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-6-4]INFO utils.SyslogManager[processXmlString: 189][3df5-***-41f6] - Authentication attempt - LOGIN initiated
  • 06-10-2020 10:46:09 Local2.Info Syslog_Server_IP_Address Jun 10 05:14:42 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-6-4]INFO utils.SyslogManager[processDocument: 110][3df5-***-41f6] - Authentication attempt response - ok
  • 06-11-2020 14:52:47 Local2.Info Syslog_Server_IP_Address Jun 11 09:21:20 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-16-2]INFO utils.SyslogManager[processDocument: 110][1e85-***-1f8d] - Authentication attempt response - partial
  • 06-11-2020 15:02:28 Local2.Info Syslog_Server_IP_Address Jun 11 09:31:01 UAG Name UAG-ESMANAGER: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 188][f7ba-***-7a21] - AUTH SUCCESS for user radius.Auth type: RADIUS-AUTH, Sub type: passcode
  • 06-11-2020 14:52:47 Local2.Warning Syslog_Server_IP_Address Jun 11 09:21:20 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-16-2]WARN utils.SyslogManager[persistFailedLoginAttempt: 386][1e85-***-1f8d] - Authentication attempt - FAILED
  • 06-11-2020 14:58:22 Local2.Info Syslog_Server_IP_Address Jun 11 09:26:55 UAG Name UAG-ESMANAGER: [jersey-client-async-executor-0]INFO utils.SyslogManager[logMessage: 188][f22c-***-162d] - AUTH FAILED for user radius with error Received timeout from RADIUS server for user radius.Auth type: RADIUS-AUTH, Sub type: passcode
  • 06-10-2020 10:47:03 Local2.Info Syslog_Server_IP_Address Jun 10 05:15:36 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-6-4]INFO utils.SyslogManager[terminateSession: 450][3df5-***-41f6] - HORIZON_SESSION:TERMINATED:Horizon Session terminated - Session count:2, Authenticated sessions: 1

Secure Email Gateway

Secure Email Gateway 配置为使用 Syslog 配置,并将作为 Unified Access Gateway 系统设置的一部分进行配置。默认情况下,Secure Email Gateway 中只有 app.log 的内容将作为 Syslog 事件触发。

有关 Syslog 配置的更多信息,请参阅配置 Unified Access Gateway 系统设置

VMware Tunnel

有关更多信息,请参阅位于 VMware DocsVMware Workspace ONE UEM 产品文档中的访问日志和 Syslog 集成以及配置 VMware Tunnel