Syslog 形式とイベント

Syslog 形式

Syslog 監査イベントは audit.log に記録され、Syslog イベントは admin.log ファイルおよび esmanager.log ファイルに記録されます。すべてのログファイルは、特定の形式に従います。

次の表に、ログファイル（ audit.log、 admin.log、 esmanager.log）、それぞれの形式、およびフィールドの説明を示します。

注：生成されるイベントはログ形式に従います。ただし、イベントには、その形式に存在するフィールドの一部のみが含まれる場合があります。

ログファイル	ログ形式
audit.log admin.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
esmanager.log	<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>

ログファイル

ログ形式

audit.log
admin.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>

esmanager.log

<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message>


フィールド	説明
`<timestamp>`	イベントが生成され、Syslog サーバにログインした時刻を示します。
`<UAG hostname>`	Unified Access Gateway アプライアンスのホスト名。
`<appname>`	イベントを生成するアプリケーション。注：アプリケーションに応じて、このフィールドに `uag-admin_` や `uag-esmanager_` などの識別子を含めることができます。監査イベントの場合、このフィールドには `uag-admin_uag-audit_` を含めることもできます。
`<thread id>`	イベントが生成されるスレッドの ID。
`<log level>`	ログメッセージで収集される情報のタイプ。ログレベルの詳細については、Unified Access Gateway アプライアンスからのログの収集を参照してください。
`<file name>`	ログの生成元のファイルの名前。
`<function name>`	ログの生成元のファイル内の関数の名前。
`<line no.>`	ログイベントが生成されるファイルの行番号。
`<client IP>`	Unified Access Gateway アプライアンスに要求を送信するコンポーネント（Horizon Client、ロードバランサなど）の IP アドレス。
`<session type>`	セッションが作成される Edge サービス（Horizon や Web リバースプロキシなど）。セッションが Web リバースプロキシに対応している場合、セッションタイプは WRP- `<instanceId>` として記載されています。注： `<instanceId>` は Web リバースプロキシ Edge サービスのインスタンス ID です。
`<session id>`	セッションの一意の識別子。
`<log message>`	イベントで発生した内容についての概要を提供します。

Syslog 監査イベント

次の表は、監査イベントとその例を示しています。

イベントの説明	イベントのサンプル
イベントは、管理者が Unified Access Gateway 管理ユーザーインターフェイスにログインしたとき、管理ユーザーインターフェイス内で構成の変更を実行したとき、管理ユーザーインターフェイスからログアウトしたとき、およびログインが失敗したときに記録されます。ユーザーのログイン時にセッションが作成され、ユーザーのログアウト後にセッションが破棄されると、イベントが記録されます。	`Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1` `Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin` `Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password.2 attempts are remaining.` `Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0` `Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -` `Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated.OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of new certificate]`

イベントの説明

イベントのサンプル

イベントは、管理者が Unified Access Gateway 管理ユーザーインターフェイスにログインしたとき、管理ユーザーインターフェイス内で構成の変更を実行したとき、管理ユーザーインターフェイスからログアウトしたとき、およびログインが失敗したときに記録されます。

ユーザーのログイン時にセッションが作成され、ユーザーのログアウト後にセッションが破棄されると、イベントが記録されます。

Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password.2 attempts are remaining.
Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated.OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of new certificate]

Syslog イベント

次の表は、システムイベントとその例を示しています。

イベントの説明	イベントのサンプル
Unified Access Gateway 内で構成された Edge サービスが開始および停止すると、イベントが記録されます。	次のイベントサンプルでは、`UAG Name` は、管理ユーザーインターフェイスで Unified Access Gateway の [システム構成] の一部として構成されているオプションです。 `Sep 9 05:36:55 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started` `Sep 9 05:36:54 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped`
Web リバースプロキシ設定が有効化または無効化されると、Unified Access Gateway 管理ユーザーインターフェイスでイベントが記録されます。	`Sep 8 09:34:52 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped` `Sep 8 12:08:18 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started`
Horizon Edge サービス設定が有効化または無効化されると、Unified Access Gateway 管理ユーザーインターフェイスでイベントが記録されます。	`Sep 8 09:15:21 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started` `Sep 8 09:15:07 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped`
セッションの作成、ユーザーのログイン、ユーザー認証、デスクトップの起動、セッションの終了を構成する Horizon セッションが確立されると、イベントが記録されます。	複数のイベントがフローによって記録されますが、サンプルイベントには、ログインシナリオ、ユーザー認証の成功と失敗のシナリオ、認証タイムアウトなどがあります。サンプルの 1 つでは、Horizon が `RADIUS` 認証方法で構成されています。 `Sep 8 07:28:46 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-*-7cfa] - Created session : 5a0b--7cfa` `Sep 8 07:28:51 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:testradius` `Sep 8 07:28:51 UAG Name uag-esmanager_: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication successful for user testradius.Auth type: RADIUS-AUTH, Sub type: passcode` `Sep 8 07:28:52 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b--7cfa] - Authentication attempt response - partial` `Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - UAG sessionId:5a0b--7cfa username:user name` `Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt - LOGIN initiated` `Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Authentication attempt response - ok` `Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2` `Sep 8 07:29:04 UAG Name uag-esmanager_: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Horizon Tunnel connection established` `Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address` `Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b--7cfa] - BSG route 5504--2905 with auth token Ob6NP--aEEqK added` `Sep 8 07:29:55 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-**-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2`

Syslog サーバに送信されるシステムメッセージ

次の表では、Syslog サーバにシステムメッセージが送信される際に生成されるイベントについて説明します。

イベントの説明	イベントのサンプル
root ユーザーが Unified Access Gateway 仮想マシンコンソールにログインし、コンソールからログアウトし、認証に失敗すると、イベントが記録されます。	`May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0)` `May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root.` `May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'` `May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root` `May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out.Waiting for processes to exit.` `May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.` `May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root` `May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure`
root ユーザーが SSH を使用して、Unified Access Gateway にログインおよびログアウトし、認証に失敗すると、イベントが記録されます。	`May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2` `May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0)` `May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.` `Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root` `Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user` `Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389` `Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2`
CPU、メモリ、ヒープ、またはディスクの使用率が Unified Access Gateway のしきい値を超えると、イベントが記録されます。	`Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%` `Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%` `Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%`
`uagcertutil` コマンドを使用して CSR が正常に生成されると、イベントがログに記録されます。	`09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST-----`

Secure Email Gateway

Secure Email Gateway は、Unified Access Gateway システム設定の一部として構成されている Syslog 構成に従って構成されます。デフォルトでは、Secure Email Gateway 内の app.log の内容のみが Syslog イベントとしてトリガされます。

Syslog 設定の詳細については、システム構成を参照してください。

VMware Tunnel

詳細については、VMware Docs で『VMware Workspace ONE UEM 製品』ドキュメントの「アクセスログと Syslog の統合」および「VMware Tunnel の構成」を参照してください。