Syslog サーバは Unified Access Gateway アプライアンスで発生するイベントをログに記録します。これらのイベントは、特定の形式のログ ファイルにキャプチャされます。イベントが生成されたときにキャプチャされる情報の一部を理解しやすくするために、このトピックではイベント、イベント サンプル、および Syslog 形式の一覧を示します。
Syslog 形式
Syslog 監査イベントは audit.log に記録され、Syslog イベントは admin.log ファイルおよび esmanager.log ファイルに記録されます。すべてのログ ファイルは、特定の形式に従います。
次の表に、ログ ファイル(
audit.log、
admin.log、
esmanager.log)、それぞれの形式、およびフィールドの説明を示します。
注: 生成されるイベントはログ形式に従います。ただし、イベントには、その形式に存在するフィールドの一部のみが含まれる場合があります。
ログ ファイル |
ログ形式 |
|
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
|
esmanager.log |
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message> |
フィールド |
説明 |
<timestamp> |
イベントが生成され、Syslog サーバにログインした時刻を示します。 |
<UAG hostname> |
Unified Access Gateway アプライアンスのホスト名。 |
<appname> |
イベントを生成するアプリケーション。
注: アプリケーションに応じて、このフィールドに
uag-admin_ や
uag-esmanager_ などの識別子を含めることができます。監査イベントの場合、このフィールドには
uag-admin_uag-audit_ を含めることもできます。
|
<thread id> |
イベントが生成されるスレッドの ID。 |
<log level> |
ログ メッセージで収集される情報のタイプ。 ログ レベルの詳細については、Unified Access Gateway アプライアンスからのログの収集を参照してください。 |
<file name> |
ログの生成元のファイルの名前。 |
<function name> |
ログの生成元のファイル内の関数の名前。 |
<line no.> |
ログ イベントが生成されるファイルの行番号。 |
<client IP> |
Unified Access Gateway アプライアンスに要求を送信するコンポーネント(Horizon Client、ロード バランサなど)の IP アドレス。 |
<session type> |
セッションが作成される Edge サービス(Horizon や Web リバース プロキシなど)。
セッションが Web リバース プロキシに対応している場合、セッション タイプは WRP-
<instanceId> として記載されています。
注:
<instanceId> は Web リバース プロキシ Edge サービスのインスタンス ID です。
|
<session id> |
セッションの一意の識別子。 |
<log message> |
イベントで発生した内容についての概要を提供します。 |
Syslog 監査イベント
次の表は、監査イベントとその例を示しています。
イベントの説明 |
イベントのサンプル |
イベントは、管理者が Unified Access Gateway 管理ユーザー インターフェイスにログインしたとき、管理ユーザー インターフェイス内で構成の変更を実行したとき、管理ユーザー インターフェイスからログアウトしたとき、およびログインが失敗したときに記録されます。 ユーザーのログイン時にセッションが作成され、ユーザーのログアウト後にセッションが破棄されると、イベントが記録されます。 |
- Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
- Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password.2 attempts are remaining.
- Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
- Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated.OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of new certificate]
|
Syslog イベント
次の表は、システム イベントとその例を示しています。
イベントの説明 |
イベントのサンプル |
Unified Access Gateway 内で構成された Edge サービスが開始および停止すると、イベントが記録されます。 |
次のイベント サンプルでは、UAG Name は、管理ユーザー インターフェイスで Unified Access Gateway の [システム構成] の一部として構成されているオプションです。
- Sep 9 05:36:55 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started
- Sep 9 05:36:54 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped
|
Web リバース プロキシ設定が有効化または無効化されると、Unified Access Gateway 管理ユーザー インターフェイスでイベントが記録されます。 |
- Sep 8 09:34:52 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped
- Sep 8 12:08:18 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started
|
Horizon Edge サービス設定が有効化または無効化されると、Unified Access Gateway 管理ユーザー インターフェイスでイベントが記録されます。 |
- Sep 8 09:15:21 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started
- Sep 8 09:15:07 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped
|
セッションの作成、ユーザーのログイン、ユーザー認証、デスクトップの起動、セッションの終了を構成する Horizon セッションが確立されると、イベントが記録されます。 |
複数のイベントがフローによって記録されますが、サンプル イベントには、ログイン シナリオ、ユーザー認証の成功と失敗のシナリオ、認証タイムアウトなどがあります。サンプルの 1 つでは、Horizon が RADIUS 認証方法で構成されています。
- Sep 8 07:28:46 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-***-7cfa] - Created session : 5a0b-***-7cfa
- Sep 8 07:28:51 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:testradius
- Sep 8 07:28:51 UAG Name uag-esmanager_: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication successful for user testradius.Auth type: RADIUS-AUTH, Sub type: passcode
- Sep 8 07:28:52 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication attempt response - partial
- Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:user name
- Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt - LOGIN initiated
- Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt response - ok
- Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2
- Sep 8 07:29:04 UAG Name uag-esmanager_: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Horizon Tunnel connection established
- Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address
- Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - BSG route 5504-***-2905 with auth token Ob6NP-***-aEEqK added
- Sep 8 07:29:55 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2
|
Syslog サーバに送信されるシステム メッセージ
次の表では、Syslog サーバにシステム メッセージが送信される際に生成されるイベントについて説明します。
イベントの説明 |
イベントのサンプル |
root ユーザーが Unified Access Gateway 仮想マシン コンソールにログインし、コンソールからログアウトし、認証に失敗すると、イベントが記録されます。 |
-
May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0) May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root. May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'
-
May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out.Waiting for processes to exit. May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.
-
May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure
|
root ユーザーが SSH を使用して、Unified Access Gateway にログインおよびログアウトし、認証に失敗すると、イベントが記録されます。 |
-
May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2 May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0) May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.
-
Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389 Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2
|
CPU、メモリ、ヒープ、またはディスクの使用率が Unified Access Gateway のしきい値を超えると、イベントが記録されます。 |
- Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%
- Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%
- Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%
|
uagcertutil コマンドを使用して CSR が正常に生成されると、イベントがログに記録されます。 |
09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST----- |
Secure Email Gateway
Secure Email Gateway は、Unified Access Gateway システム設定の一部として構成されている Syslog 構成に従って構成されます。デフォルトでは、Secure Email Gateway 内の app.log の内容のみが Syslog イベントとしてトリガされます。
Syslog 設定の詳細については、システム構成 を参照してください。
VMware Tunnel
詳細については、VMware Docs で『VMware Workspace ONE UEM 製品』ドキュメントの「アクセス ログと Syslog の統合」および「VMware Tunnel の構成」を参照してください。