Eventos y formatos de syslog

Formato de syslog

Los eventos de auditoría de syslog se registran en audit.log y los eventos de syslog se registran en los archivos admin.log y esmanager.log. Todos los archivos de registro siguen un determinado formato.

Las siguientes tablas enumeran los archivos de registro ( audit.log , admin.log y esmanager.log), sus respectivos formatos y descripciones de campos:

Nota: Los eventos generados siguen el formato de registro; sin embargo, los eventos pueden contener solo algunos de los campos que aparecen en el formato.

Archivo de registro	Formato del registro
audit.log admin.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>

Archivo de registro

Formato del registro

audit.log
admin.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>

esmanager.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>


Campo	Descripción
`<timestamp>`	Indica la hora a la que se generó el evento y se registró en el servidor syslog.
`<UAG hostname>`	Nombre de host del dispositivo Unified Access Gateway.
`<appname>`	Aplicación que genera el evento. Nota: En función del archivo de registro, los valores de este campo son los siguientes: `UAG-AUDIT`, `UAG-ADMIN` y `UAG-ESMANAGER`.
`<thread id>`	Identificador del subproceso en el que se genera el evento.
`<log level>`	Tipo de información recopilada en el mensaje de registro. Para obtener más información sobre los niveles de registro, consulte Recopilar registros del dispositivo Unified Access Gateway.
`<file name>`	Nombre del archivo desde el que se genera el registro.
`<function name>`	Nombre de la función en ese archivo desde la cual se genera el registro.
`<line no.>`	Número de línea en el archivo donde se genera el evento de registro.
`<client IP>`	Dirección IP del componente (como Horizon Client, equilibrador de carga, etc.) que envía una solicitud al dispositivo Unified Access Gateway.
`<session type>`	Servicio perimetral (como Horizon y proxy inverso de web) para el que se crea la sesión. Si la sesión es para el proxy inverso de web, el tipo de sesión se menciona como WRP- `<ID_instancia>`. Nota: `<ID_instancia>` es el identificador de la instancia del servicio perimetral de proxy inverso de web.
`<session id>`	Identificador único de la sesión.
`<log message>`	Proporciona un resumen sobre lo que ha sucedido en el evento.

Eventos de auditoría de syslog

En la siguiente tabla se describen los eventos de auditoría con ejemplos:

Descripción del evento	Ejemplo de evento
Los eventos se registran cuando un administrador inicia sesión en la interfaz de usuario del administrador de Unified Access Gateway, realiza cambios en la configuración dentro de la interfaz de usuario del administrador o cierra la sesión de la interfaz de usuario del administrador. Los eventos se registran cuando se crea una sesión en el momento en que el usuario inicia sesión y cuando se destruye una sesión después de que el usuario cierra sesión.	`Sep 8 08:50:04 UAG Name UAG-AUDIT: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `05/20 14:03:59,288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1` `Sep 8 08:50:13 UAG Name UAG-AUDIT: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 08:50:13 tunneltest UAG-AUDIT: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password. 2 attempts are remaining.` `05/20 14:07:46,841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0` `Sep 8 08:52:24 UAG Name UAG-AUDIT: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 UAG Name UAG-ADMIN: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `08/22 13:52:22,815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated. OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]`

Descripción del evento

Ejemplo de evento

Los eventos se registran cuando un administrador inicia sesión en la interfaz de usuario del administrador de Unified Access Gateway, realiza cambios en la configuración dentro de la interfaz de usuario del administrador o cierra la sesión de la interfaz de usuario del administrador.

Los eventos se registran cuando se crea una sesión en el momento en que el usuario inicia sesión y cuando se destruye una sesión después de que el usuario cierra sesión.

Sep 8 08:50:04 UAG Name UAG-AUDIT: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
05/20 14:03:59,288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
Sep 8 08:50:13 UAG Name UAG-AUDIT: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 08:50:13 tunneltest UAG-AUDIT: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password. 2 attempts are remaining.
05/20 14:07:46,841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
Sep 8 08:52:24 UAG Name UAG-AUDIT: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 UAG Name UAG-ADMIN: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
08/22 13:52:22,815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated. OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]

Eventos de syslog

En la siguiente tabla se describen los eventos del sistema con ejemplos:

Descripción del evento	Ejemplo de evento
Se registra un evento cuando cualquiera de los servicios perimetrales configurados dentro de Unified Access Gateway se inicia y se detiene del modo correspondiente.	En los siguientes ejemplos de eventos, `nombre_UAG` es la opción que se configura como parte de la Configuración del sistema de Unified Access Gateway en la interfaz de usuario del administrador: `Sep 9 05:36:55 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started` `Sep 9 05:36:54 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped`
Los eventos se registran cuando la configuración del proxy inverso de web está habilitada o deshabilitada en la interfaz de usuario del administrador de Unified Access Gateway.	`Sep 8 09:34:52 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped` `Sep 8 12:08:18 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started`
Los eventos se registran cuando la configuración del servicio perimetral de Horizon está habilitada o deshabilitada en la interfaz de usuario del administrador de Unified Access Gateway.	`Sep 8 09:15:21 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started` `Sep 8 09:15:07 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped`
Los eventos se registran cuando se establece una sesión de Horizon, esto incluye la creación de la sesión, el inicio de sesión del usuario, la autenticación del usuario, el inicio del escritorio y la finalización de la sesión.	Mientras se registran varios eventos a través del flujo, los eventos de ejemplo incluyen escenarios de inicio de sesión, escenarios de autenticación de usuario correcta y con errores, y tiempo de espera de autenticación. En uno de los ejemplos, Horizon se ha configurado con el método de autenticación `RADIUS`: `Sep 8 07:28:46 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-*-7cfa] - Created session : 5a0b--7cfa` `Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:testradius` `Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication successful for user testradius. Auth type: RADIUS-AUTH, Sub type: passcode` `Sep 8 07:28:52 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication attempt response - partial` `Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:user name` `Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt - LOGIN initiated` `Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt response - ok` `Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2` `Sep 8 07:29:04 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Horizon Tunnel connection established` `Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address` `Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - BSG route 5504--2905 with auth token Ob6NP--aEEqK added` `Sep 8 07:29:55 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-**-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2`

Mensajes del sistema enviados al servidor syslog

En la siguiente tabla se describen los eventos que se generan cuando se envían mensajes del sistema al servidor syslog:

Descripción del evento	Ejemplo de evento
Los eventos se registran cuando el usuario raíz inicia sesión en la consola de la máquina virtual de Unified Access Gateway, cuando cierra sesión en la consola y en caso de error de autenticación.	`May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0)` `May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root.` `May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'` `May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root` `May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out. Waiting for processes to exit.` `May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.` `May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root` `May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure`
Los eventos se registran cuando el usuario raíz inicia y cierra sesión en Unified Access Gateway mediante SSH y en caso de error de autenticación.	`May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2` `May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0)` `May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.` `Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root` `Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user` `Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389` `Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2`
Los eventos se registran cuando el uso de CPU, memoria, pila o disco supera el valor de umbral en Unified Access Gateway	`Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%` `Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%` `Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%`
Los eventos se registran cuando CSR se genera correctamente mediante el comando `uagcertutil`	`09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST-----`

Secure Email Gateway

Secure Email Gateway está configurado para seguir los ajustes de syslog que se configuran como parte de los ajustes del sistema de Unified Access Gateway. De forma predeterminada, solo se activarán los contenidos de app.log en Secure Email Gateway como eventos de syslog.

Para obtener más información sobre las configuraciones de syslog, consulte Configurar los parámetros del sistema de Unified Access Gateway.

VMware Tunnel

Para obtener más información, consulte la información sobre los Registros de acceso y la integración de syslog y sobre cómo Configurar VMware Tunnel en la documentación del producto VMware Workspace ONE UEM en VMware Docs.