Syslog-Formate und -Ereignisse

Syslog-Format

Die Syslog-Überwachungsereignisse werden in der Datei audit.log protokolliert, die Syslog-Ereignisse in den Dateien admin.log und esmanager.log. Alle Protokolldateien folgen einem bestimmten Format.

In den folgenden Tabellen sind die Protokolldateien ( audit.log, admin.log und esmanager.log), ihre jeweiligen Formate und Feldbeschreibungen aufgeführt:

Hinweis: Die generierten Ereignisse folgen dem Protokollformat. Die Ereignisse enthalten jedoch möglicherweise nur einige der Felder, die im Format vorhanden sind.

Protokolldatei	Protokollformat
audit.log admin.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>

Protokolldatei

Protokollformat

audit.log
admin.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>

esmanager.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>


Bereich	Beschreibung
`<timestamp>`	Gibt die Zeit an, zu der das Ereignis generiert und auf dem Syslog-Server protokolliert wurde.
`<UAG hostname>`	Hostname der Unified Access Gateway-Appliance.
`<appname>`	Anwendung, die das Ereignis generiert. Hinweis: Je nach Anwendung kann dieses Feld Bezeichner wie `uag-admin_` und `uag-esmanager_` enthalten. Bei Überwachungsereignissen kann dieses Feld auch `uag-admin_uag-audit_` enthalten.
`<thread id>`	ID des Threads, in dem das Ereignis generiert wird.
`<log level>`	Art der in der Protokollmeldung erfassten Informationen. Weitere Informationen zu Protokollierungsebenen finden Sie unter Erfassen von Protokollen auf der Unified Access Gateway-Appliance.
`<file name>`	Name der Datei, von der das Protokoll generiert wird.
`<function name>`	Name der Funktion in der betreffenden Datei, von der das Protokoll generiert wird.
`<line no.>`	Zeilennummer in der Datei, in der das Protokollereignis generiert wird.
`<client IP>`	IP-Adresse der Komponente (z. B. Horizon Client, Lastausgleichsdienst usw.), die eine Anforderung an die Unified Access Gateway-Appliance sendet.
`<session type>`	Edge-Dienst (z. B. Horizon und Web Reverse Proxy), für den die Sitzung erstellt wurde. Wenn die Sitzung für den Web Reverse Proxy bestimmt ist, wird der Sitzungstyp als WRP- `<instanceId>` angegeben. Hinweis: `<instanceId>` ist die Instanz-ID des Web Reverse Proxy-Edge-Diensts.
`<session id>`	Der eindeutige Bezeichner der Sitzung.
`<log message>`	Gibt eine Übersicht darüber, was beim Ereignis aufgetreten ist.

Syslog-Überwachungsereignisse

In der folgenden Tabelle werden die Überwachungsereignisse mit Beispielen beschrieben:

Beschreibung des Ereignisses	Beispiel
Ereignisse werden protokolliert, wenn sich ein Administrator bei der Unified Access Gateway-Administrator-Benutzeroberfläche anmeldet, Konfigurationsänderungen innerhalb der Administrator-Benutzeroberfläche durchführt, sich von der Administrator-Benutzeroberfläche abmeldet sowie bei einem Anmeldefehler. Ereignisse werden protokolliert, wenn eine Sitzung bei der Benutzeranmeldung erstellt wird und wenn eine Sitzung nach der Benutzerabmeldung gelöscht wird.	`Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1` `Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password. Es sind noch 2 Versuche möglich.` `Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0` `Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated. OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]`

Beschreibung des Ereignisses

Beispiel

Ereignisse werden protokolliert, wenn sich ein Administrator bei der Unified Access Gateway-Administrator-Benutzeroberfläche anmeldet, Konfigurationsänderungen innerhalb der Administrator-Benutzeroberfläche durchführt, sich von der Administrator-Benutzeroberfläche abmeldet sowie bei einem Anmeldefehler.

Ereignisse werden protokolliert, wenn eine Sitzung bei der Benutzeranmeldung erstellt wird und wenn eine Sitzung nach der Benutzerabmeldung gelöscht wird.

Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password. Es sind noch 2 Versuche möglich.
Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated. OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]

Syslog-Ereignisse

In der folgenden Tabelle werden die Systemereignisse mit Beispielen beschrieben:

Beschreibung des Ereignisses	Beispiel
Ein Ereignis wird protokolliert, wenn alle innerhalb von Unified Access Gateway konfigurierten Edge-Dienste entsprechend gestartet und angehalten werden.	In den folgenden Ereignisbeispielen stellt `UAG Name` die Option dar, die als Teil der Unified Access Gateway-Systemkonfiguration in der Admin-Benutzeroberfläche konfiguriert ist: `Sep 9 05:36:55 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started` `Sep 9 05:36:54 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped`
Ereignisse werden protokolliert, wenn die Web-Reverse-Proxy-Einstellungen auf der Admin-Benutzeroberfläche von Unified Access Gateway aktiviert oder deaktiviert sind.	`Sep 8 09:34:52 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped` `Sep 8 12:08:18 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started`
Ereignisse werden protokolliert, wenn die Horizon Edge-Diensteinstellungen auf der Admin-Benutzeroberfläche von Unified Access Gateway aktiviert oder deaktiviert sind.	`Sep 8 09:15:21 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started` `Sep 8 09:15:07 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped`
Ereignisse werden protokolliert, wenn eine Horizon-Sitzung eingerichtet wird; dies umfasst die Erstellung der Sitzung, die Benutzeranmeldung, die Benutzerauthentifizierung, den Start des Desktops und die Beendigung der Sitzung.	Während mehrere Ereignisse über den Flow protokolliert werden, umfassen die Beispielereignisse Anmelde-, Erfolgs- und Fehlerszenarien sowie Zeitüberschreitungen bei der Benutzerauthentifizierung. In einem der Beispiele wurde Horizon mit der Authentifizierungsmethode `RADIUS` konfiguriert: `Sep 8 07:28:46 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-*-7cfa] - Created session : 5a0b--7cfa` `Sep 8 07:28:51 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:testradius` `Sep 8 07:28:51 UAG Name uag-esmanager_: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication successful for user testradius. Auth type: RADIUS-AUTH, Sub type: passcode` `Sep 8 07:28:52 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication attempt response - partial` `Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:user name` `Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt - LOGIN initiated` `Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt response - ok` `Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2` `Sep 8 07:29:04 UAG Name uag-esmanager_: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Horizon Tunnel connection established` `Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address` `Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - BSG route 5504--2905 with auth token Ob6NP--aEEqK added` `Sep 8 07:29:55 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-**-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2`

An Syslog-Server gesendete Systemmeldungen

In der folgenden Tabelle werden die Ereignisse beschrieben, die generiert werden, wenn Systemmeldungen an den Syslog-Server gesendet werden:

Beschreibung des Ereignisses	Beispiel
Ereignisse werden protokolliert, wenn sich der Root-Benutzer bei der Unified Access Gateway-Konsole der virtuellen Maschine anmeldet, sich von der Konsole abmeldet und bei einem Authentifizierungsfehler.	`May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0)` `May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root.` `May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'` `May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root` `May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out. Waiting for processes to exit.` `May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.` `May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root` `May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure`
Ereignisse werden protokolliert, wenn sich der Root-Benutzer über SSH bei Unified Access Gateway an- und abmeldet und bei einem Authentifizierungsfehler.	`May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2` `May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0)` `May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.` `Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root` `Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user` `Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389` `Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2`
Ereignisse werden protokolliert, wenn die CPU-, Arbeitsspeicher-, Heap- oder Festplattennutzung den Schwellenwert für Unified Access Gateway überschreitet.	`Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%` `Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%` `Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%`
Ereignisse werden protokolliert, wenn eine CSR mit dem Befehl `uagcertutil` erfolgreich generiert wird	`09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST-----`

Secure Email Gateway

Secure Email Gateway ist so konfiguriert, dass es den Syslog-Konfigurationen folgt, die als Teil der Unified Access Gateway-Systemeinstellungen konfiguriert sind. Standardmäßig werden nur die Inhalte von app.log in Secure Email Gateway als Syslog-Ereignisse ausgelöst.

Weitere Informationen zu den Syslog-Konfigurationen finden Sie unter Konfigurieren der Unified Access Gateway-Systemeinstellungen.

VMware Tunnel

Weitere Informationen finden Sie unter Zugreifen auf Protokolle und die Syslog-Integration und Konfigurieren von VMware Tunnel in der VMware Workspace ONE UEM-Produktdokumentation unter VMware Docs.