Syslog 서버는 Unified Access Gateway 장치에서 발생하는 이벤트를 기록합니다. 이러한 이벤트는 특정 형식의 로그 파일에 캡처됩니다. 이벤트를 생성할 때 캡처되는 정보 중 일부를 이해하는 데 도움이 되도록 이 항목에서는 이벤트, 이벤트 샘플 및 syslog 형식을 나열합니다.
Syslog 형식
Syslog 감사 이벤트가 audit.log에 기록되고 syslog 이벤트는 admin.log 및 esmanager.log 파일에 기록됩니다. 모든 로그 파일은 특정 형식을 따릅니다.
다음 표에는 로그 파일(
audit.log,
admin.log 및
esmanager.log), 해당하는 형식 및 필드 설명이 나열되어 있습니다.
참고: 생성된 이벤트는 로그 형식을 따릅니다. 그러나 이벤트에는 형식에 있는 일부 필드만 포함될 수 있습니다.
로그 파일 |
로그 형식 |
|
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
|
esmanager.log |
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message> |
필드 |
설명 |
<timestamp> |
이벤트를 생성하여 syslog 서버에 기록한 시간을 나타냅니다. |
<UAG hostname> |
Unified Access Gateway 장치의 호스트 이름입니다. |
<appname> |
이벤트를 생성하는 애플리케이션입니다.
참고: 애플리케이션에 따라 이 필드에는
uag-admin_ 및
uag-esmanager_ 같은 식별자가 포함될 수 있습니다. 감사 이벤트의 경우 이 필드에는
uag-admin_uag-audit_ 이 포함될 수도 있습니다.
|
<thread id> |
이벤트가 생성된 스레드의 ID입니다. |
<log level> |
로그 메시지에 수집되는 정보 유형입니다. 로깅 수준에 대한 자세한 내용은 Unified Access Gateway 장치에서 로그 수집을 참조하십시오. |
<file name> |
로그가 생성되는 파일의 이름입니다. |
<function name> |
로그가 생성된 해당 파일의 함수 이름입니다. |
<line no.> |
로그 이벤트가 생성된 파일의 줄 번호입니다. |
<client IP> |
Unified Access Gateway 장치에 요청을 보내는 구성 요소(예: Horizon Client, 로드 밸런서 등)의 IP 주소입니다. |
<session type> |
세션을 생성할 Edge 서비스(예: Horizon 및 Web Reverse Proxy)입니다.
세션이 Web Reverse Proxy에 대한 것이면 세션 유형이 WRP-
<instanceId>로 언급됩니다.
참고:
<instanceId>는 Web Reverse Proxy Edge 서비스의 인스턴스 ID입니다.
|
<session id> |
세션의 고유 식별자입니다. |
<log message> |
이벤트에서 발생한 작업에 대한 요약을 제공합니다. |
Syslog 감사 이벤트
다음 표에서는 예시를 포함하는 감사 이벤트에 대해 설명합니다.
이벤트 설명 |
이벤트 샘플 |
관리자가 Unified Access Gateway 관리 UI에 로그인하거나 관리 UI 내에서 구성 변경을 수행하고, 관리 UI에서 로그아웃하거나 로그인에 실패하면 이벤트가 기록됩니다. 이벤트는 사용자 로그인 시 세션이 생성될 때와 사용자 로그아웃 후 세션이 삭제될 때 로깅됩니다. |
- Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
- Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password. 2 attempts are remaining.
- Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
- Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated. OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA1 thumbprint details of new certificate]
|
Syslog 이벤트
다음 표에서는 예시를 포함하는 시스템 이벤트에 대해 설명합니다.
이벤트 설명 |
이벤트 샘플 |
Unified Access Gateway 내에 구성된 Edge 서비스가 시작 및 따라 중지되면 이벤트가 기록됩니다. |
다음 이벤트 샘플에서 UAG Name은 관리 UI에서 Unified Access Gateway의 시스템 구성의 일부로 구성된 옵션입니다.
- Sep 9 05:36:55 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started
- Sep 9 05:36:54 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped
|
Unified Access Gateway 관리 UI에서 Web Reverse Proxy 설정을 사용하거나 사용하지 않도록 설정하면 이벤트가 기록됩니다. |
- Sep 8 09:34:52 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped
- Sep 8 12:08:18 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started
|
Unified Access Gateway 관리 UI에서 Horizon Edge 서비스 설정을 사용하거나 사용하지 않도록 설정하면 이벤트가 기록됩니다. |
- Sep 8 09:15:21 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started
- Sep 8 09:15:07 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped
|
이벤트는 세션 생성, 사용자 로그인, 사용자 인증, 데스크톱 시작 및 세션 종료로 구성되는 Horizon 세션이 설정될 때 기록됩니다. |
흐름을 통해 여러 이벤트가 기록되는 동안 샘플 이벤트에는 로그인 시나리오, 사용자 인증 성공 및 실패 시나리오, 인증 시간 초과가 포함됩니다. 샘플 중 하나에서 Horizon은 RADIUS 인증 방법으로 구성되었습니다.
- Sep 8 07:28:46 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-***-7cfa] - Created session : 5a0b-***-7cfa
- Sep 8 07:28:51 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:testradius
- Sep 8 07:28:51 UAG Name uag-esmanager_: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication successful for user testradius. Auth type: RADIUS-AUTH, Sub type: passcode
- Sep 8 07:28:52 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication attempt response - partial
- Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:user name
- Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt - LOGIN initiated
- Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt response - ok
- Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2
- Sep 8 07:29:04 UAG Name uag-esmanager_: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Horizon Tunnel connection established
- Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address
- Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - BSG route 5504-***-2905 with auth token Ob6NP-***-aEEqK added
- Sep 8 07:29:55 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2
|
Syslog 서버에 전송되는 시스템 메시지
다음 표에서는 시스템 메시지가 syslog 서버로 전송될 때 생성되는 이벤트에 대해 설명합니다.
이벤트 설명 |
이벤트 샘플 |
이벤트는 루트 사용자가 Unified Access Gateway 가상 시스템 콘솔에 로그인할 때, 콘솔에서 로그아웃할 때 및 인증이 실패할 때 로깅됩니다. |
-
May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0) May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root. May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'
-
May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out. Waiting for processes to exit. May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.
-
May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure
|
이벤트는 루트 사용자가 SSH를 사용하여 Unified Access Gateway에서 로그인하고 로그아웃할 때와 인증이 실패할 때 로깅됩니다. |
-
May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2 May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0) May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.
-
Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389 Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2
|
CPU, 메모리, 힙 또는 디스크 사용량이 Unified Access Gateway의 임계값을 초과하면 이벤트가 기록됩니다. |
- Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%
- Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%
- Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%
|
uagcertutil 명령을 사용하여 CSR이 성공적으로 생성되면 이벤트가 기록됩니다. |
09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST----- |
Secure Email Gateway
Secure Email Gateway는 Unified Access Gateway 시스템 설정의 일부로 구성된 Syslog 구성을 따르도록 구성됩니다. 기본적으로 Secure Email Gateway의 app.log 콘텐츠만 Syslog 이벤트로 트리거됩니다.
Syslog 구성에 대한 자세한 내용은 Unified Access Gateway 시스템 설정 구성을 참조하십시오.
VMware Tunnel
자세한 내용은 VMware Docs의 "VMware Workspace ONE UEM 제품 설명서" 에서 "액세스 로그 및 Syslog 통합" 및 "VMware Tunnel 구성" 을 참조하십시오.