Syslog 伺服器會記錄 Unified Access Gateway 應用裝置上發生的事件。這些事件會擷取在具有特定格式的記錄檔中。為了協助您瞭解產生事件時所擷取的部分資訊,此主題會列出事件、事件範例和 Syslog 格式。
Syslog 格式
Syslog 稽核事件會記錄在 audit.log 中,而 Syslog 事件會記錄在 admin.log 和 esmanager.log 檔案中。所有記錄檔會遵循特定格式。
下表列出了記錄檔 (
audit.log、
admin.log 和
esmanager.log)、其各自的格式和欄位說明:
備註: 產生的事件會遵循記錄格式;但這些事件可能僅包含格式中呈現的部分欄位。
記錄檔 |
記錄格式 |
|
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <log message>
|
esmanager.log |
<timestamp> <UAG hostname> <app name> <thread id> <log level> <file name> <function name> <line no.> <client IP> <username> <session type> <session id> <log message> |
欄位 |
說明 |
<timestamp> |
指出在 Syslog 伺服器中產生和記錄事件的時間。 |
<UAG hostname> |
Unified Access Gateway 應用裝置的主機名稱。 |
<appname> |
產生事件的應用程式。
備註: 根據應用程式,此欄位可以包含
uag-admin_ 和
uag-esmanager_ 等識別碼。對於審核事件,此欄位還可以包含
uag-admin_uag-audit_ 。
|
<thread id> |
產生事件的執行緒識別碼。 |
<log level> |
記錄訊息中收集的資訊類型。 如需關於記錄層級的詳細資訊,請參閱從 Unified Access Gateway 應用裝置收集記錄。 |
<file name> |
從中產生記錄的檔案名稱。 |
<function name> |
從中產生記錄的檔案內函數名稱。 |
<line no.> |
檔案中產生記錄事件的行號。 |
<client IP> |
傳送要求至 Unified Access Gateway 應用裝置之元件 (例如 Horizon Client、負載平衡器等) 的 IP 位址。 |
<session type> |
為其建立工作階段的 Edge 服務 (例如 Horizon 和 Web 反向 Proxy)。
如果工作階段適用於 Web 反向 Proxy,則系統會將工作階段類型稱為 WRP-
<instanceId>。
備註:
<instanceId> 是 Web 反向 Proxy Edge 服務的執行個體識別碼。
|
<session id> |
工作階段的唯一識別碼。 |
<log message> |
提供事件中所發生項目的摘要。 |
Syslog 稽核事件
下表說明稽核事件與範例:
事件說明 |
事件範例 |
當管理員登入 Unified Access Gateway 管理員 UI、在管理員 UI 內執行組態變更、登出管理員 UI,以及登入失敗時,系統會記錄事件。 在使用者登入時建立工作階段,以及在使用者登出後銷毀工作階段時,系統會記錄事件。 |
- Sep 8 08:50:04 UAG Name uag-admin_uag_-audit: [qtp1062181581-73]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGIN_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- Sep 8 07:32:01 288 INFO: SESSION_CREATED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 1
- Sep 8 08:50:13 UAG Name uag-admin_uag-audit: [qtp1062181581-79]INFO utils.SyslogAuditManager[logAuditLog: 418] - LOGOUT_SUCCESS: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin
- Sep 8 08:50:13 tunneltest uag-admin_uag-audit: [qtp1901824111-61]INFO utils.SyslogAuditManager[logAuditLog: 452] - LOGIN_FAILED: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: REASON=Incorrect Password.2 attempts are remaining.
- Sep 8 07:32:01 841 INFO: SESSION_DESTROYED: SOURCE_IP_ADDR=Client_Machine_IP_Address: USERNAME=admin: INFO=HttpSession@1165374987, Active session count for this user is 0
- Sep 8 08:52:24 UAG Name uag-admin_uag-audit_: [qtp1062181581-80]INFO utils.SyslogAuditManager[logAuditLog: 418] - CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IP_Address USERNAME=admin: CHANGE=allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sshPublicKeys:(null->[]) - ntpServers:( - null->) - adminPasswordExpirationDays:(90->50) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- Sep 8 07:32:01 UAG Name uag-admin_: [qtp1062181581-27]INFO utils.SyslogManager[save: 57] - SETTINGS:CONFIG_CHANGED:allowedHostHeaderValues:(null->) - tlsSyslogServerSettings:(null->[]) - dns:(null->) - sessionTimeout:(9223372036854775807->36000000) - sshPublicKeys:(null->[]) - ntpServers:(null->) - dnsSearch:(null->) - fallBackNtpServers:(null->) -
- Sep 8 07:32:01 815 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=Client_Machine_IPAddress: USERNAME=admin: CHANGE=httpproxyalias SSL_CERTIFICATE_METHOD_SETTINGS:CONFIG_CHANGED:certificate updated.OldValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of existing certificate], NewValue:[Subject, Issuer, SerialNumber, Expiry and SHA256 thumbprint details of new certificate]
|
Syslog 事件
下表說明系統事件與範例:
事件說明 |
事件範例 |
當 Unified Access Gateway 內設定的任何 Edge 服務相應地啟動和停止時會記錄事件。 |
在下列事件範例中,UAG 名稱為在管理員 UI 的系統組態中設定為 Unified Access Gateway 一部分的選項:
- Sep 9 05:36:55 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[start: 355][][][][] - Edge Service Manager : started
- Sep 9 05:36:54 UAG Name uag-esmanager_: [Curator-QueueBuilder-0]INFO utils.SyslogManager[stop: 1071][][][][] - Edge Service Manager : stopped
|
在 Unified Access Gateway 管理員 UI 上啟用或停用 Web 反向 Proxy 設定時會記錄事件。 |
- Sep 8 09:34:52 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 287][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : stopped
- Sep 8 12:08:18 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 211][][][][] - Reverse Proxy Edge Service with instance id 'wiki' : started
|
在 Unified Access Gateway 管理員 UI 上啟用或停用 Horizon Edge 服務設定時會記錄事件。 |
- Sep 8 09:15:21 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[startService: 335][][][][] - Horizon Edge Service : started
- Sep 8 09:15:07 UAG Name uag-esmanager_: [main-EventThread]INFO utils.SyslogManager[stopService: 702][][][][] - Horizon Edge Service : stopped
|
建立 Horizon 工作階段時,系統會記錄包含工作階段建立、使用者登入、使用者驗證、桌面平台啟動與工作階段終止等事件。 |
雖然該流程會記錄多個事件,但範例事件會包括登入案例、使用者驗證成功和失敗案例,以及驗證逾時。在其中一個範例中,Horizon 已設定為使用 RADIUS 驗證方法:
- Sep 8 07:28:46 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[write: 163][Client_Machine_IP_Address][][][5a0b-***-7cfa] - Created session : 5a0b-***-7cfa
- Sep 8 07:28:51 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:testradius
- Sep 8 07:28:51 UAG Name uag-esmanager_: [jersey-client-async-executor-1]INFO utils.SyslogManager[logMessage: 190][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication successful for user testradius.驗證類型:RADIUS-AUTH,子類型:密碼
- Sep 8 07:28:52 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][testradius][Horizon][5a0b-***-7cfa] - Authentication attempt response - partial
- Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[putUserNameInMDC: 494][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - UAG sessionId:5a0b-***-7cfa username:user name
- Sep 8 07:29:02 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processXmlString: 190][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt - LOGIN initiated
- Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[processDocument: 110][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Authentication attempt response - ok
- Sep 8 07:29:03 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[setAuthenticated: 384][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:AUTHENTICATED:Horizon session authenticated - Session count:9, Authenticated sessions: 2
- Sep 8 07:29:04 UAG Name uag-esmanager_: [nioEventLoopGroup-41-1]INFO utils.SyslogManager[onSuccess: 109][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Horizon Tunnel connection established
- Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[resolveHostName: 234][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - Accessing virtual/rdsh desktop using protocol BLAST with IP Address IP_Address
- Sep 8 07:29:16 UAG Name uag-esmanager_: [nioEventLoopGroup-42-1]INFO utils.SyslogManager[onSuccess: 293][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - BSG route 5504-***-2905 with auth token Ob6NP-***-aEEqK added
- Sep 8 07:29:55 UAG Name uag-esmanager_: [nioEventLoopGroup-46-1]INFO utils.SyslogManager[terminateSession: 450][Client_Machine_IP_Address][user name][Horizon][5a0b-***-7cfa] - HORIZON_SESSION:TERMINATED:Horizon Session terminated due to logout - Session count:9, Authenticated sessions: 2
|
傳送到 Syslog 伺服器的系統訊息
下表說明將系統訊息傳送至 Syslog 伺服器時產生的事件:
事件說明 |
事件範例 |
當根使用者登入 Unified Access Gateway 虛擬機器主控台、登出主控台,以及驗證失敗時,系統會記錄事件。 |
-
May 10 07:39:44 UAG Name login[605]: pam_unix(login:session): session opened for user root by (uid=0) May 10 07:39:44 UAG Name systemd-logind[483]: New session c14 of user root. May 10 07:39:44 UAG Name login[10652]: ROOT LOGIN on '/dev/tty1'
-
May 10 07:46:24 UAG Name login[605]: pam_unix(login:session): session closed for user root May 10 07:46:24 UAG Name systemd-logind[483]: Session c14 logged out.Waiting for processes to exit. May 10 07:46:24 UAG Name systemd-logind[483]: Removed session c14.
-
May 10 07:39:08 UAG Name login[605]: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=root May 10 07:39:12 UAG Name login[605]: FAILED LOGIN (1) on '/dev/tty1' FOR 'root', Authentication failure
|
當根使用者使用 SSH 登入和登出 Unified Access Gateway 以及驗證失敗時,系統會記錄事件。 |
-
May 10 04:30:40 UAG Name sshd[2880]: Accepted password for root from Client_Machine_IP_Address port 53599 ssh2 May 10 04:30:40 UAG Name sshd[2880]: pam_unix(sshd:session): session opened for user root by (uid=0) May 10 04:30:40 UAG Name systemd-logind[483]: New session c2 of user root.
-
Jun 11 09:53:34 BVT_NONFIPS sshd[2852]: pam_unix(sshd:session): session closed for user root Jun 18 05:47:13 rootPasswd sshd[6857]: Received disconnect from Client_Machine_IP_Address port 31389:11: disconnected by user Jun 18 05:47:13 rootPasswd sshd[6857]: Disconnected from user root Client_Machine_IP_Address port 31389 Jun 18 05:45:12 rootPasswd sshd[6772]: Failed password for root from Client_Machine_IP_Address port 31287 ssh2
|
當 CPU、記憶體、堆積或磁碟使用率超過 Unified Access Gateway 上的臨界值時,就會記錄事件。 |
- Feb 2 08:28:35 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 93% of disk space usage is above threshold: 90%
- Feb 2 08:31:16 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 100.0% of System CPU usage is above threshold 95%
- Feb 2 08:34:17 uag-620c787e-440b-494e-91b2-54d2d8905c80 uag-esmanager_: [Monitoring]WARN utils.SyslogManager[lambda$getConfiguredPerformanceCounters$2: 655][][][][] - UAGW00283: 99.0% of memory usage is above threshold: 95%
|
使用 uagcertutil 命令成功產生 CSR 時會記錄事件 |
09/09 12:46:16,022+0000 INFO: CONFIG_CHANGE: SOURCE_IP_ADDR=localhost: USERNAME=root (CLI): CHANGE=uagcertutil: New private key and CSR generated. CSR details: -----BEGIN CERTIFICATE REQUEST-----base64 encoded CSR content-----END CERTIFICATE REQUEST----- |
Secure Email Gateway
Secure Email Gateway 會設定為遵循 Syslog 組態,此組態則會在 Unified Access Gateway 系統設定中進行設定。依預設,只有 Secure Email Gateway 中的 app.log 內容會以 Syslog 事件的形式來觸發。
如需關於 Syslog 組態的詳細資訊,請參閱系統組態。
VMware Tunnel
如需詳細資訊,請參閱 VMware Docs 的《VMware Workspace ONE UEM 產品說明文件》中的〈存取記錄和 Syslog 整合〉和〈設定 VMware Tunnel〉。