Le serveur Syslog consigne les événements qui se produisent sur le dispositif Unified Access Gateway. Ces événements sont capturés dans les fichiers journaux qui ont un format spécifique. Pour vous aider à comprendre certaines des informations capturées lorsque les événements sont générés, cette rubrique répertorie les événements, les exemples d'événements et les formats Syslog.

Format Syslog

Les événements d'audit Syslog sont consignés dans le fichier audit.log et les événements Syslog sont consignés dans les fichiers admin.log et esmanager.log. Tous les fichiers journaux suivent un certain format.

Les tableaux suivants répertorient les fichiers journaux ( audit.log, admin.log et esmanager.log), leurs formats respectifs et les descriptions des champs :
Note : Les événements générés suivent le format de journal. Cependant, les événements peuvent contenir uniquement certains champs présents dans ce format.
Fichier journal Format de journal
  • audit.log
  • admin.log
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>
Champ Description
<timestamp> Indique l'heure à laquelle l'événement a été généré et enregistré dans le serveur Syslog.
<UAG hostname> Nom d'hôte du dispositif Unified Access Gateway.
<appname> Application qui génère l'événement.
Note : En fonction du fichier journal, les valeurs de ce champ sont les suivantes : UAG-AUDIT, UAG-ADMIN et UAG-ESMANAGER.
<thread id> ID du thread dans lequel l'événement est généré.
<log level> Type d'informations collectées dans le message de journal.

Pour plus d'informations sur les niveaux de journalisation, reportez-vous à la section Collecte de journaux depuis le dispositif Unified Access Gateway.

<file name> Nom du fichier à partir duquel le journal est généré.
<function name> Nom de la fonction dans ce fichier à partir duquel le journal est généré.
<line no.> Numéro de ligne dans le fichier dans lequel l'événement de journal est généré.
<client IP> Adresse IP du composant (telle que Horizon Client, équilibrage de charge, etc.) qui envoie une demande au dispositif Unified Access Gateway.
<session type> Service Edge (par exemple Horizon et proxy inverse Web) pour lequel la session est créée.
Si la session est destinée au proxy inverse Web, le type de session est mentionné comme WRP- <instanceId>.
Note : <instanceId> est l'ID d'instance du service Edge du proxy inverse Web.
<session id> Identifiant unique du locataire.
<log message> Fournit un résumé de ce qui s'est produit dans l'événement.

Événements d'audit Syslog

Le tableau suivant décrit les événements d'audit avec des exemples :

Description de l'événement Exemple d'événement

Les événements sont consignés lorsqu'un administrateur se connecte à l'interface utilisateur d'administration d'Unified Access Gateway, qu'il effectue des modifications de configuration dans l'interface utilisateur d'administration, qu'il se déconnecte de l'interface utilisateur d'administration et lors de l'échec de la connexion.

Les événements sont consignés lors de la création d'une session au moment de la connexion de l'utilisateur et lors de la destruction d'une session après la déconnexion de l'utilisateur.

  • Sep 8 08:50:04 UAG Name UAG-AUDIT: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
  • 05/20 14:03:59,288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
  • Sep 8 08:50:13 UAG Name UAG-AUDIT: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
  • Sep 8 08:50:13 tunneltest UAG-AUDIT: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password. Il vous reste 2 tentatives.
  • 05/20 14:07:46,841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
  • Sep 8 08:52:24 UAG Name UAG-AUDIT: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
  • Sep 8 07:32:01 UAG Name UAG-ADMIN: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
  • 08/22 13:52:22,815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated. OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]

Événements Syslog

Le tableau suivant décrit les événements système avec des exemples :

Description de l'événement Exemple d'événement
Un événement est consigné lorsque les services Edge configurés dans Unified Access Gateway sont démarrés et arrêtés en conséquence. Dans les exemples d'événements suivants, UAG Name représente l'option qui est configurée dans le cadre de la Configuration système d'Unified Access Gateway dans l'interface utilisateur d'administration :
  • Sep 9 05:36:55 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started
  • Sep 9 05:36:54 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped
Les événements sont consignés lorsque les paramètres de proxy inverse Web sont activés ou désactivés dans l'interface utilisateur d'administration Unified Access Gateway.
  • Sep 8 09:34:52 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped
  • Sep 8 12:08:18 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started
Les événements sont consignés lorsque les paramètres du service Edge Horizon sont activés ou désactivés dans l'interface utilisateur d'administration Unified Access Gateway.
  • Sep 8 09:15:21 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started
  • Sep 8 09:15:07 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped
Les événements sont consignés lorsqu'une session Horizon est établie, ce qui constitue la création de la session, la connexion utilisateur, l'authentification utilisateur, le démarrage du poste de travail et l'arrêt de la session. Lorsque plusieurs événements sont consignés via le flux, les exemples d'événements incluent les scénarios de connexion, les scénarios de réussite et d'échec de l'authentification utilisateur et le délai d'expiration d'authentification. Dans l'un des exemples, Horizon a été configuré grâce à la méthode d'authentification RADIUS :
  • Sep 8 07:28:46 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-***-7cfa] - Created session : 5a0b-***-7cfa
  • Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:testradius
  • Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication successful for user testradius. Auth type: RADIUS-AUTH, Sub type: passcode
  • Sep 8 07:28:52 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication attempt response - partial
  • Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:user name
  • Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt - LOGIN initiated
  • Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt response - ok
  • Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2
  • Sep 8 07:29:04 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Horizon Tunnel connection established
  • Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address
  • Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - BSG route 5504-***-2905 with auth token Ob6NP-***-aEEqK added
  • Sep 8 07:29:55 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2

Messages système envoyés au serveur Syslog

Le tableau suivant décrit les événements générés lors de l'envoi des messages système au serveur Syslog :

Description de l'événement Exemple d'événement
Les événements sont consignés lorsque l'utilisateur racine se connecte à la console de la machine virtuelle Unified Access Gateway, se déconnecte de la console et en cas d'échec de l'authentification.
  • May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0)

    May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root.

    May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'

  • May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root

    May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out. Waiting for processes to exit.

    May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.

  • May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root

    May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure

Les événements sont consignés lorsque l'utilisateur racine se connecte à Unified Access Gateway et se déconnecte de celui-ci à l'aide de SSH et en cas d'échec de l'authentification.
  • May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2

    May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0)

    May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.

  • Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root

    Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user

    Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389

    Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2

Les événements sont consignés lorsque l'utilisation du CPU, de la mémoire, du segment de mémoire ou du disque dépasse la valeur de seuil sur Unified Access Gateway
  • Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%
  • Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%
  • Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%
Les événements sont consignés lorsque la demande de signature de certificat est générée correctement à l'aide de la commande uagcertutil. 09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST-----

Secure Email Gateway

Secure Email Gateway est configuré pour suivre les configurations Syslog configurées dans le cadre des paramètres système d'Unified Access Gateway. Par défaut, seul le contenu du fichier app.log dans Secure Email Gateway est déclenché en tant qu'événements Syslog.

Pour plus d'informations sur les configurations Syslog, consultez la section Configurer les paramètres système d'Unified Access Gateway.

VMware Tunnel

Pour plus d'informations, consultez les sections Journaux d'accès et intégration Syslog et Configurer VMware Tunnel dans la Documentation du produit VMware Workspace ONE UEM sur VMware Docs.