Syslog 形式とイベント

Syslog サーバは Unified Access Gateway アプライアンスで発生するイベントをログに記録します。これらのイベントは、特定の形式のログファイルにキャプチャされます。イベントが生成されたときにキャプチャされる情報の一部を理解しやすくするために、このトピックではイベント、イベントサンプル、および Syslog 形式の一覧を示します。

Syslog 形式

Syslog 監査イベントは audit.log に記録され、Syslog イベントは admin.log ファイルおよび esmanager.log ファイルに記録されます。すべてのログファイルは、特定の形式に従います。

次の表は、ログファイル、それぞれの形式、およびフィールドの説明を示しています。

注：生成されるイベントはログ形式に従います。ただし、イベントには、その形式に存在するフィールドの一部のみが含まれる場合があります。

ログファイル	ログ形式
audit.log admin.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>

ログファイル

ログ形式

audit.log
admin.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>

esmanager.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>


フィールド	説明
`<timestamp>`	イベントが生成され、Syslog サーバにログインした時刻を示します。
`<UAG hostname>`	Unified Access Gateway アプライアンスのホスト名。
`<appname>`	イベントを生成するアプリケーション。注：ログファイルによって、このフィールドの値は `UAG-AUDIT`、 `UAG-ADMIN`、 `UAG-ESMANAGER` になります。
`<thread id>`	イベントが生成されるスレッドの ID。
`<log level>`	ログメッセージで収集される情報のタイプ。ログレベルの詳細については、Unified Access Gateway アプライアンスからのログの収集を参照してください。
`<file name>`	ログの生成元のファイルの名前。
`<function name>`	ログの生成元のファイル内の関数の名前。
`<line no.>`	ファイル内のログの行番号。
`<client IP>`	Unified Access Gateway アプライアンスに要求を送信するコンポーネント（Horizon Client、ロードバランサなど）の IP アドレス。
`<session type>`	セッションが作成される Edge サービス（Horizon や Web リバースプロキシなど）。セッションが Web リバースプロキシに対応している場合、セッションタイプは WRP- `<instanceId>` として記載されています。注： `<instanceId>` は Web リバースプロキシ Edge サービスのインスタンス ID です。
`<session id>`	セッションの一意の識別子。
`<log message>`	イベントで発生した内容についての概要を提供します。

Syslog 監査イベント

次の表は、監査イベントとその例を示しています。

イベントの説明	イベントのサンプル
イベントは、管理者が Unified Access Gateway 管理ユーザーインターフェイスにログイン、管理ユーザーインターフェイス内で構成の変更を実行、管理ユーザーインターフェイスからログアウトしたときに記録されます。	`Sep 8 08:50:04 UAG Name UAG-AUDIT: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 08:50:13 UAG Name UAG-AUDIT: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 08:52:24 UAG Name UAG-AUDIT: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 UAG Name UAG-ADMIN: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -`

イベントの説明

イベントのサンプル

イベントは、管理者が Unified Access Gateway 管理ユーザーインターフェイスにログイン、管理ユーザーインターフェイス内で構成の変更を実行、管理ユーザーインターフェイスからログアウトしたときに記録されます。

Sep 8 08:50:04 UAG Name UAG-AUDIT: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 08:50:13 UAG Name UAG-AUDIT: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 08:52:24 UAG Name UAG-AUDIT: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 UAG Name UAG-ADMIN: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -

Syslog イベント

次の表は、システムイベントとその例を示しています。

イベントの説明	イベントのサンプル
Unified Access Gateway 内で構成された Edge サービスが開始および停止すると、イベントが記録されます。	次のイベントサンプルでは、`UAG Name` は、管理ユーザーインターフェイスで Unified Access Gateway の [システム構成] の一部として構成されているオプションです。 `Sep 9 05:36:55 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started` `Sep 9 05:36:54 UAG Name UAG-ESMANAGER: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped`
Web リバースプロキシ設定が有効化または無効化されると、Unified Access Gateway 管理ユーザーインターフェイスでイベントが記録されます。	`Sep 8 09:34:52 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped` `Sep 8 12:08:18 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started`
Horizon Edge サービス設定が有効化または無効化されると、Unified Access Gateway 管理ユーザーインターフェイスでイベントが記録されます。	`Sep 8 09:15:21 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started` `Sep 8 09:15:07 UAG Name UAG-ESMANAGER: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped`
セッションの作成、ユーザーのログイン、ユーザー認証、デスクトップの起動、セッションの終了を構成する Horizon セッションが確立されると、イベントが記録されます。	複数のイベントがフローによって記録されますが、サンプルイベントには、ログインシナリオ、ユーザー認証の成功と失敗のシナリオ、認証タイムアウトなどがあります。サンプルの 1 つでは、Horizon が `RADIUS` 認証方法で構成されています。 `Sep 8 07:28:46 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-*-7cfa] - Created session : 5a0b--7cfa` `Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:testradius` `Sep 8 07:28:51 UAG Name UAG-ESMANAGER: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication successful for user testradius.Auth type: RADIUS-AUTH, Sub type: passcode` `Sep 8 07:28:52 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication attempt response - partial` `Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:user name` `Sep 8 07:29:02 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt - LOGIN initiated` `Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt response - ok` `Sep 8 07:29:03 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2` `Sep 8 07:29:04 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Horizon Tunnel connection established` `Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address` `Sep 8 07:29:16 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - BSG route 5504--2905 with auth token Ob6NP--aEEqK added` `Sep 8 07:29:55 UAG Name UAG-ESMANAGER: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][uesr name][Horizon][5a0b-**-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2`

Secure Email Gateway

Secure Email Gateway は、Unified Access Gateway システム設定の一部として構成されている Syslog 構成に従って構成されます。デフォルトでは、Secure Email Gateway 内の app.log の内容のみが Syslog イベントとしてトリガされます。

Syslog 設定の詳細については、Unified Access Gateway システム設定の構成を参照してください。

VMware Tunnel

詳細については、VMware Docs で『VMware Workspace ONE UEM 製品』ドキュメントの「アクセスログと Syslog の統合」および「VMware Tunnel の構成」を参照してください。