Syslog サーバは Unified Access Gateway アプライアンスで発生するイベントをログに記録します。これらのイベントは、特定の形式のログ ファイルにキャプチャされます。イベントが生成されたときにキャプチャされる情報の一部を理解しやすくするために、このトピックではイベント、イベント サンプル、および Syslog 形式の一覧を示します。

Syslog 形式

Syslog 監査イベントは audit.log に記録され、Syslog イベントは admin.log ファイルおよび esmanager.log ファイルに記録されます。すべてのログ ファイルは、特定の形式に従います。

次の表は、ログ ファイル、それぞれの形式、およびフィールドの説明を示しています。
注: 生成されるイベントはログ形式に従います。ただし、イベントには、その形式に存在するフィールドの一部のみが含まれる場合があります。
ログ ファイル ログ形式
  • audit.log
  • admin.log
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>
フィールド 説明
<timestamp> イベントが生成され、Syslog サーバにログインした時刻を示します。
<UAG hostname> Unified Access Gateway アプライアンスのホスト名。
<appname> イベントを生成するアプリケーション。
注: ログ ファイルによって、このフィールドの値は UAG-AUDITUAG-ADMINUAG-ESMANAGER になります。
<thread id> イベントが生成されるスレッドの ID。
<log level> ログ メッセージで収集される情報のタイプ。

ログ レベルの詳細については、Unified Access Gateway アプライアンスからのログの収集を参照してください。

<file name> ログの生成元のファイルの名前。
<function name> ログの生成元のファイル内の関数の名前。
<line no.> ファイル内のログの行番号。
<client IP> Unified Access Gateway アプライアンスに要求を送信するコンポーネント(Horizon Client、ロード バランサなど)の IP アドレス。
<session type> セッションが作成される Edge サービス(Horizon や Web リバース プロキシなど)。
セッションが Web リバース プロキシに対応している場合、セッション タイプは WRP- <instanceId> として記載されています。
注: <instanceId> は Web リバース プロキシ Edge サービスのインスタンス ID です。
<session id> セッションの一意の識別子。
<log message> イベントで発生した内容についての概要を提供します。

Syslog 監査イベント

次の表は、監査イベントとその例を示しています。

イベントの説明 イベントのサンプル
イベントは、管理者が Unified Access Gateway 管理ユーザー インターフェイスにログイン、管理ユーザー インターフェイス内で構成の変更を実行、管理ユーザー インターフェイスからログアウトしたときに記録されます。
  • Sep 8 08:50:04 UAG Name UAG-AUDIT: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
  • Sep 8 08:50:13 UAG Name UAG-AUDIT: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
  • Sep 8 08:52:24 UAG Name UAG-AUDIT: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
  • Sep 8 07:32:01 UAG Name UAG-ADMIN: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -

Syslog イベント

次の表は、システム イベントとその例を示しています。

イベントの説明 イベントのサンプル
Unified Access Gateway 内で構成された Edge サービスが開始および停止すると、イベントが記録されます。 次のイベント サンプルでは、UAG Name は、管理ユーザー インターフェイスで Unified Access Gateway[システム構成] の一部として構成されているオプションです。
  • Sep 9 05:36:55 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started
  • Sep 9 05:36:54 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped
Web リバース プロキシ設定が有効化または無効化されると、Unified Access Gateway 管理ユーザー インターフェイスでイベントが記録されます。
  • Sep 8 09:34:52 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped
  • Sep 8 12:08:18 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started
Horizon Edge サービス設定が有効化または無効化されると、Unified Access Gateway 管理ユーザー インターフェイスでイベントが記録されます。
  • Sep 8 09:15:21 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started
  • Sep 8 09:15:07 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped
セッションの作成、ユーザーのログイン、ユーザー認証、デスクトップの起動、セッションの終了を構成する Horizon セッションが確立されると、イベントが記録されます。 複数のイベントがフローによって記録されますが、サンプル イベントには、ログイン シナリオ、ユーザー認証の成功と失敗のシナリオ、認証タイムアウトなどがあります。サンプルの 1 つでは、HorizonRADIUS 認証方法で構成されています。
  • Sep 8 07:28:46 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-***-7cfa] - Created session : 5a0b-***-7cfa
  • Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:testradius
  • Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication successful for user testradius.Auth type: RADIUS-AUTH, Sub type: passcode
  • Sep 8 07:28:52 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication attempt response - partial
  • Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:user name
  • Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt - LOGIN initiated
  • Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt response - ok
  • Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2
  • Sep 8 07:29:04 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Horizon Tunnel connection established
  • Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address
  • Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - BSG route 5504-***-2905 with auth token Ob6NP-***-aEEqK added
  • Sep 8 07:29:55 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][uesr name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2

Secure Email Gateway

Secure Email Gateway は、Unified Access Gateway システム設定の一部として構成されている Syslog 構成に従って構成されます。デフォルトでは、Secure Email Gateway 内の app.log の内容のみが Syslog イベントとしてトリガされます。

Syslog 設定の詳細については、Unified Access Gateway システム設定の構成 を参照してください。

VMware Tunnel

詳細については、VMware Docs『VMware Workspace ONE UEM 製品』ドキュメントの「アクセス ログと Syslog の統合」および「VMware Tunnel の構成」を参照してください。