Mengumpulkan log NetScaler
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log NetScaler menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CITRIX_NETSCALER
ingestion.
Mengonfigurasi NetScaler VPX
Untuk mengonfigurasi NetScaler VPX agar mengirim log ke penerus Google Security Operations, lakukan hal berikut:
Memverifikasi konfigurasi nama host
- Login ke antarmuka web NetScaler menggunakan kredensial administrator.
- Pilih Configuration > Settings.
- Klik Nama host, alamat IP DNS, dan Zona waktu.
- Jika kolom Host name kosong, masukkan nama host. Jangan sertakan spasi. Jika kolom ini sudah dikonfigurasi, Anda tidak perlu melakukan tindakan apa pun.
- Di kolom DNS IP address, verifikasi apakah alamat IP DNS lokal ditentukan.
- Di kolom Zona waktu, masukkan zona waktu Anda.
Membuat server audit
- Di antarmuka web NetScaler, pilih Configuration > System > Auditing > Syslog > Servers.
- Tentukan detail syslog di kolom berikut:
- Nama
- Jenis server
- Alamat IP
- Port
- Pilih Tingkat log sebagai Kustom.
- Centang semua kotak kecuali tingkat DEBUG dalam konfigurasi.
- Dalam daftar Fasilitas log, pilih LOCAL0.
- Dalam daftar Format tanggal, pilih MMDDYYYY.
- Pilih Zona waktu sebagai GMT.
- Hapus centang pada kotak berikut:
- Logging TCP
- Logging ACL
- Pesan log yang dapat dikonfigurasi pengguna
- Pencatatan log AppFlow
- Logging NAT skala besar
- Logging pesan ALG
- Pencatatan log pelanggan
- DNS
- Penyadapan SSL
- Pemfilteran URL
- Logging pemeriksaan konten
- Klik Ok untuk membuat server audit.
Mengaitkan kebijakan audit yang dibuat ke server
- Di antarmuka web NetScaler, pilih Configuration > System > Auditing > Syslog.
- Klik tab Kebijakan.
- Di kolom Name, masukkan nama untuk kebijakan.
- Di daftar Server, pilih kebijakan dari bagian sebelumnya.
- Klik Create.
- Klik kanan kebijakan audit yang dibuat, lalu pilih Action > Global bindings.
- Klik Tambahkan binding.
- Di jendela Policy binding, lakukan langkah berikut:
- Di kolom Select policy, masukkan kebijakan audit yang dibuat.
- Di panel Detail binding, di kolom Priority, masukkan 120 karena ini adalah prioritas default.
- Klik Tautkan.
Mengonfigurasi NetScaler SDX
Untuk mengonfigurasi NetScaler SDX agar mengirim log ke penerus Google Security Operations, lakukan hal berikut:
- Verifikasi konfigurasi nama host untuk NetScaler SDX.
- Konfigurasi server syslog.
- Konfigurasi parameter syslog.
Memverifikasi konfigurasi nama host untuk NetScaler SDX
- Login ke antarmuka web NetScaler menggunakan kredensial administrator.
- Di antarmuka web NetScaler, pilih System > System settings.
- Jika kolom Host name kosong, masukkan nama host. Jangan sertakan spasi. Jika kolom ini sudah dikonfigurasi, Anda tidak perlu melakukan tindakan apa pun.
- Di kolom Zona waktu, pilih UTC atau GMT.
Mengonfigurasi server syslog
- Di antarmuka web NetScaler, pilih System > Notifications > Syslog servers.
- Di panel Detail, klik Tambahkan.
- Di jendela Create syslog server, tentukan nilai untuk parameter server syslog berikut:
- Di kolom Name, masukkan nama.
- Di kolom IP address, masukkan alamat IP penerusan Google Security Operations.
- Di kolom Port, masukkan nomor port.
- Pilih Tingkat log sebagai Kustom.
- Pilih semua tingkat log kecuali Debug.
- Klik Create.
Mengonfigurasi parameter syslog
- Di antarmuka web NetScaler, pilih System > Notifications > Syslog servers.
- Di panel Details, klik Syslog parameters.
- Di halaman Configure syslog parameters, pilih Date format sebagai MMDDYYYY dan pilih Time zone sebagai GMT.
- Klik Ok.
Mengonfigurasi penerusan Google Security Operations untuk memproses log NetScaler
- Pilih Setelan SIEM > Forwarder.
- Klik Tambahkan penerusan baru.
- Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
- Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Nama pengumpul, ketik nama unik untuk pengumpul.
- Pilih Citrix NetScaler sebagai Jenis log.
- Di kolom Collector type, pilih Syslog.
- Konfigurasi parameter input wajib diisi berikut:
- Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini memproses log SYSLOG Citrix Netscaler dalam format key-value, mengekstrak data berformat JSON dari kolom message, dan memperkaya UDM dengan informasi dari kolom lain seperti host.hostname dan user_agent.original setelah membersihkannya. Fungsi ini menangani kasus saat pesan utama kosong dengan kembali ke pesan log asli.
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM |
|---|---|
aaa_info_flags |
additional.fields |
aaa_trans_id |
security_result.detection.fields |
aaad_flags |
additional.fields |
aaad_resp |
additional.fields |
aaaFlags |
additional.fields |
aaaFlags2 |
additional.fields |
act |
securtiy_result.action_details,security_result.action |
action |
security_result.action |
ADM_User |
additional.fields |
allowed_interface |
security_result.detection.fields |
applicationname |
target.application |
auth_type |
additional.fields |
authActionLen |
security_result.detection_fields |
AuthAgent |
additional.fields |
AuthDuration |
network.session_duration.seconds |
authnvs |
additional.fields |
authorizationStatus |
security_result.detection.fields |
AuthStage |
additional.fields |
Authtype |
additional.fields |
C |
principal.location.country_or_region |
caseId |
additional.fields |
cfg_limit |
additional.fields |
cgp_tag |
sec_result.detection_fields |
channel_id_X |
additional.fields |
channel_id_X_val |
additional.fields |
channel_update_begin |
additional.fields |
channel_update_end |
additional.fields |
cipher_suite |
network.tls.cipher |
client_fip |
target.ip target.asset.ip |
client_fport |
target.port |
client_ip |
principal.ip,principal.asset.ip |
client_port |
principal.port |
Client_security_expression |
additional.fields |
client_type |
additional.fields |
client_version |
network.tls.version |
client.nat.ip |
principal.nat_ip,principal.asset.nat_ip |
clientside_jitter |
additional.fields |
clientside_packet_retransmits |
additional.fields |
clientside_rtt |
additional.fields |
clientside_rxbytes |
network.sent_bytes |
clientside_txbytes |
network.received_bytes |
ClientVersion |
network.tls.version_protocol |
CN |
principal.resource.attribute.labels |
cn1 |
additional.fields |
cn2 |
additional.fields |
code |
additional.fields |
commandExecutionStatus |
security_result.action_details |
Compression_ratio_recv |
additional.fields |
Compression_ratio_send |
additional.fields |
configurationCmd |
security_result.detection.fields |
connectionId |
network.session_id |
copied_nsb |
sec_result.detection_fields |
core_id |
additional.fields |
core_refmask |
additional.fields |
cs1 |
additional.fields |
cs2 |
additional.fields |
cs4 |
additional.fields |
cs5 |
additional.fields |
cs6 |
additional.fields |
CSappid |
additional.fields |
CSAppname |
- |
csg_flags |
additional.fields |
ctx_flags |
additional.fields |
cur_attempts |
additional.fields |
CurfactorPolname |
additional.fields |
customername |
additional.fields |
days_for_pwd_exp |
additional.fields |
days_for_pwd_exp_STR |
additional.fields |
delinkTime |
additional.fields |
Denied_by_policy |
security_result.rule_name |
desc |
metadata.description |
destination.ip |
target.ip,target.asset.ip |
destination.port |
target.resource.attribute.labels |
device_event_class_id |
metadata.product_event_type |
device_version |
metadata.product_version |
Deviceid |
target.resource.product_object_id |
Devicetype |
additional.fields |
dht_delete_status |
additional.fields |
diagnostic_info |
additional.fields |
digestSignatureAlgorithm |
security_result.detection_fields |
dns_additional_count |
additional.fields |
dns_answer_count |
additional.fields |
dns_authority_count |
additional.fields |
dns_flags |
additional.fields |
dns_flags_raw |
network.dns.recursion_desired |
dns_flags_raw |
network.dns.recursion_available |
dns_id |
network.dns.id |
dns_question_count |
additional.fields |
dns_question_name |
network.dns.question.name |
domain |
security_result.detection.fields,additional.fields |
domain |
target.administrative_domain |
ecs_version |
additional.fields |
encrypt_status |
security_result.detection_fields |
end_time |
additional.fields |
End_time |
additional.fields |
entityName |
target.resource.name |
Error Code |
additional.fields |
event_id |
metadata.product_log_id |
event_name |
metadata.product_event_type |
event_type |
sec_result.summary |
expired_refmask |
additional.fields |
factor |
security_result.detection.fields |
flags |
additional.fields |
flags2 |
additional.fields |
flags3 |
additional.fields |
flags4 |
additional.fields |
func |
security_result.detection_fields |
geolocation |
location.country_region |
Group(s) |
target.user.group_identifiers |
Group(s) |
target.user.group.identifiers |
handshake_time |
network.session_duration.seconds |
HandshakeTime |
additional.fields |
host_hostname |
principal.hostname |
host_ip |
principal.ip principal.asset.ip |
host.name |
target.hostname,target.asset.hostname |
hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
hostname_1 |
target.hostname,target.asset.hostname |
http_method |
network.http.method |
Http_resources_accessed |
security_result.detection.fields |
http_uri |
target.url |
HTTPS |
network.application_protocol |
ica_conn_owner_refmask |
sec_result.detection_fields |
ica_rtt |
additional.fields |
ica_uuid |
network.session_id |
ICAUUID |
network.session_id |
id |
metadata.id |
init_icamode_homepage |
additional.fields |
inter_hostname |
intermediary.hostname |
interfaceKind |
security_result.detection.fields |
ip |
intermediary.asset.ip |
ip_x |
principal.ip principal.asset.ip |
ipaddress |
target.ip,target.asset.ip |
is_post |
additional.fields |
IssuerName |
network.tls.server.certificate.issuer |
L |
principal.location.city |
last_contact |
additional.fields |
loc |
target.url |
localdate |
additional.fields |
lock_duration |
additional.fields |
log_action |
sec_result.detection_fields |
log_action |
security_result.detection.fields |
log_category |
additional.fields |
log_data |
additional.fields |
log_format |
additional.fields |
log_timestamp |
additional.fields |
log_type |
additional.fields |
log.syslog.priority |
additional.fields |
login_count |
sec_result.detection_fields |
login_count |
security_result.detection_fields |
LogoutMethod |
additional.fields |
max_attempts |
additional.fields |
message_content |
security_result.summary |
message_id |
metadata.product_log_id |
message_status_code |
additional.fields |
method |
network.http.method |
monitored_resource |
additional.fields |
msg |
metadata.description |
msi_client_cookie |
additional.fields |
msticks |
additional.fields |
Nat_ip |
additional.fields,principal.nat_ip,principal.asset.nat_ip(Jika Nat_ip bukan alamat IP, maka Nat_ip berada di additional.fields.) |
netscaler_principal_ip_context |
principal.resource.attribute.labels |
netscaler_tag |
intermediary.asset.product_object_id |
netscaler_target_ip_context |
target.resource.attribute.labels |
new_webview |
additional.fields |
newWebview |
additional.fields |
NonHttp_services_accessed |
security_result.detection.fields |
nsPartitionName |
additional.fields |
on_port |
additional.fields |
Organization |
principal.resource.attribute.labels |
OU |
principal.resource.attribute.labels |
owner_from |
additional.fields |
owner_id |
additional.fields |
pcb_devno |
additional.fields |
pcbdevno |
additional.fields |
Policyname |
security_result.rule_name |
port |
principal.port |
port_details |
principal.port |
prin_ip |
principal.ip principal.asset.ip |
prin_user |
principal.user.userid |
principal_ip |
principal.ip,principal.asset.ip |
principal_port |
principal.port |
prod_event_type |
metadata.product_event_type |
protocol |
network.ip_protocol |
protocol_feature |
security_result.detection.fields |
ProtocolVersion |
network.tls.protocol_version |
pwdlen |
additional.fields |
pwdlen2 |
additional.fields |
q_flags |
additional.fields |
reason_val |
security_result.description |
receiver_version |
additional.fields |
record_type |
network.dns.question.type |
refmask |
additional.fields |
remote_ip |
principal.ip principal.asset.ip |
remote_port |
principal.port |
request |
target.url |
ReqURL |
additional.fields |
resource_cmd |
target.resource.name |
resource_name |
principal.resource.name |
response |
additional.fields |
response_code |
additional.fields |
rule_id |
security_result.rule.id |
rule_name |
security_result.rule_name |
SerialNumber |
network.tls.server.certificate.serial |
server_authenticated |
additional.fields |
serverside_jitter |
additional.fields |
serverside_packet_retransmits |
additional.fields |
serverside_rtt |
additional.fields |
service_name |
principal.applications |
sess_flags2: |
additional.fields |
sess_seq |
network.session_id |
sessFlags2 |
additional.fields |
Session |
additional.fields |
session_cookie |
security_result.detection_fields |
session_guid |
network.session_id |
session_id_label |
network.session_id |
session_setup_time |
additional.fields |
session_type |
sec_result.description |
SessionId |
network.session_id |
skip_code |
additional.fields |
source_file |
additional.fields |
source_hostname |
principal.hostname,principal.asset.hostname |
source_line |
additional.fields |
source.ip |
principal.ip,principal.asset.ip |
source.port |
principal.resource.attribute.labels |
spcb_id |
security_result.detecrion.fields |
SPCBId |
sec_result.detection_fields |
spt |
principal.port |
src |
principal.ip principal.asset.ip |
src_hostname |
principal.hostname principal.asset.hostname |
src_ip |
principal.ip principal.asset.ip |
src_ip1 |
src.ip,src.asset.ip |
src_port |
principal.port |
ssid |
network.session_id |
SSLVPN_client_type |
additional.fields |
SSO |
additional.fields |
sso |
additional.fields |
sso_auth_type |
additional.fields |
sso_flags |
security_result.detection_fields |
sso_state |
additional.fields |
SSOduration |
additional.fields |
SSOurl |
additional.fields |
ssoUsername |
additional.fields |
ssoUsername2 |
additional.fields |
ST |
principal.location.state |
sta_port |
additional.fields |
sta_ticket |
additional.fields |
start_time |
additional.fields |
Start_time |
additional.fields |
State |
security_result.action_details |
state |
additional.fields |
state_value |
additional.fields |
StatusCode |
additional.fields |
SubjectName |
network.tls.client.certificate.subject |
summ |
security_result.summary |
summary |
security_result.summary |
sysCmdPolLen |
security_result.detection.fields |
syslog_priority |
additional.fields |
tags |
additional.fields |
tar_ip |
target.ip target.asset.ip |
tar_port |
target.port |
target_id |
target.resource.id |
target_port |
target.port |
TCP |
network.ip_protocol |
timeout_ms |
additional.fields |
timestamp |
metadata.event_timestamp |
Total_bytes_send |
network.sent_bytes |
Total_compressedbytes_recv |
additional.fields |
Total_compressedbytes_send |
additional.fields |
Total_policies_allowed |
security_result.detection.fields |
Total_policies_denied |
security_result.detection.fields |
Total_TCP_connections |
security_result.detection.fields |
Total_UDP_flows |
security_result.detection.fields |
track_flags |
additional.fields |
trans_id |
- |
tt |
metadata.event_timestamp |
User |
principal.user.userid |
user_agent.original |
network.http.user_agent |
user_email |
principal.user.email_addresses |
user_id |
principal.user.userid |
user.domain |
target.administrative_domain |
user.name |
principal.user.user_display_name |
userids |
target.user.userid |
ValidFrom |
network.tls.server.certificate.not_before |
ValidTo |
network.tls.server.certificate.not_after |
version |
additional.fields |
VPNexportState |
additional.fields |
Vport |
target.port |
Vserver Timestamp |
additional.fields |
vserver_id |
target.resource.product_object_id |
Vserver_ip |
target.ip,target.asset.ip |
vserver_port |
target.port |
Vserver_port |
target.port |
vserver_timestamp |
additional.fields |
vserver.ip |
target.ip,target.asset.ip |
wirep |
additional.fields |
wirep_name |
additional.fields |
wirep_ref_cnt |
additional.fields |
Referensi delta pemetaan UDM
Pada 3 Februari 2026, Google SecOps merilis versi baru parser NetScaler, yang mencakup perubahan signifikan pada pemetaan kolom log NetScaler ke kolom UDM dan perubahan pada pemetaan jenis peristiwa.
Delta pemetaan kolom log
Tabel berikut mencantumkan delta pemetaan untuk kolom log NetScaler ke UDM yang diekspos sebelum 3 Februari 2026 dan setelahnya (masing-masing tercantum dalam kolom Pemetaan lama dan Pemetaan saat ini):
| Kolom log | Pemetaan lama | Pemetaan saat ini |
|---|---|---|
act |
securit_.result.detetction_fields |
securtiy_result.action_details,security_result.action |
client_ip |
additional.fields |
principal.ip,principal.asset.ip |
ClientVersion |
network.tls.version |
network.tls.version_protocol |
connectionId |
security_result.detection_fields |
network.session_id |
CSAppname |
- |
- |
domain |
target.user.administrative_domain |
security_result.detection.fields,additional.fields |
end_time |
security_result.detection.fields security_result.last_discovered_time |
additional.fields |
event_id |
additional.fields |
metadata.product_log_id |
geolocation |
location.city |
location.country_region |
Group(s) |
target.user.group_display_name |
target.user.group_identifiers |
HandshakeTime |
network.session_duration.seconds |
additional.fields |
host.name |
intermediary.hostname |
target.hostname,target.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
principal.hostname,principal.asset.hostname |
target.hostname,target.asset.hostname |
ipaddress |
principal.ip,principal.asset.ip |
target.ip,target.asset.ip |
Nat_ip |
principal.ip,principal.asset.ip |
principal.nat_ip,principal.nat_ip |
port_details |
principal.labels |
principal.port |
principal_ip |
target.ip,target.asset.ip |
principal.ip,principal.asset.ip |
request |
security_result.summary |
target.url |
sess_seq |
additional.fields |
network.session_id |
session_guid |
metadata.product_log_id |
network.session_id |
source_hostname |
target.hostname,target.asset.hostname |
principal.hostname,principal.asset.hostname |
spcb_id |
additional.fields |
security_result.detecrion.fields |
ssid |
additional.fields |
network.session_id |
start_time |
security_result.detection.fields security_result.first_discovered_time |
additional.fields |
SubjectName |
principal.resource.attribute.labels |
network.tls.client.certificate.subject |
summary |
metadata.descritption |
security_result.summary |
target_port |
principal.port |
target.port |
trans_id |
security_result.detection.fields |
- |
user_id |
target.user.userid |
principal.user.userid |
Delta pemetaan jenis peristiwa
Tabel berikut mencantumkan perbedaan penanganan jenis peristiwa NetScaler sebelum 3 Februari 2026 dan setelahnya (masing-masing tercantum dalam kolom Old event_type dan Current event-type):
| event_type lama | event_type saat ini | Alasan |
|---|---|---|
NETWORK_CONNECTION |
NETWORK_DNS |
Jika message_type adalah DNS_QUERY atau diberi nama saat has_network_dns adalah true. |
NETWORK_CONNECTION |
NETWORK_HTTP |
Jika message_type adalah SSLVPN HTTPREQUEST. |
STATUS_UPDATE |
NETWORK_CONNECTION |
Dipetakan ke jenis peristiwa spesifik yang sesuai. |
STATUS_UPDATE |
USER_RESOURCE_UPDATE_CONTENT |
Jika message_type adalah SNMP TRAP_SENT dan has_target_resource adalah true, maka akan dipetakan ke jenis peristiwa spesifik yang sesuai. |
STATUS_UPDATE |
USER_UNCATEGORIZED |
Dipetakan ke jenis peristiwa spesifik yang sesuai saat pokok userid ada. |
USER_RESOURCE_ACCESS |
NETWORK_HTTP |
Jika message_type adalah SSLVPN HTTPREQUEST |
USER_STATS |
GENERIC_EVENT |
USER_STATS tidak digunakan lagi, jadi ini dipetakan ke jenis peristiwa spesifik yang sesuai. |
USER_STATS |
NETWORK_CONNECTION |
USER_STATS tidak digunakan lagi, jadi ini dipetakan ke jenis peristiwa spesifik yang sesuai. |
USER_STATS |
USER_LOGIN |
USER_STATS tidak digunakan lagi, jadi ini dipetakan ke jenis peristiwa spesifik yang sesuai. |
USER_STATS |
USER_LOGOUT |
USER_STATS tidak digunakan lagi, jadi ini dipetakan ke jenis peristiwa spesifik yang sesuai, saat message_type adalah LOGOUT. |
USER_UNCATEGORIZED |
GENERIC_EVENT |
Log tidak memiliki kolom mesin utama untuk dipetakan. |
USER_UNCATEGORIZED |
NETWORK_CONNECTION |
Dipetakan ke jenis peristiwa spesifik yang sesuai. |
USER_UNCATEGORIZED |
USER_LOGIN |
Dipetakan ke jenis peristiwa spesifik yang sesuai. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.