NetScaler ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して NetScaler ログを収集する方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CITRIX_NETSCALER が付加されたパーサーに適用されます。

NetScaler VPX を構成する

Google Security Operations フォワーダーにログを送信するように NetScaler VPX を構成するには、次の操作を行います。

ホスト名の構成を確認する

  1. 管理者認証情報を使用して NetScaler ウェブ インターフェースにログインします。
  2. [Configuration> Settings] を選択します。
  3. [ホスト名、DNS IP アドレス、タイムゾーン] をクリックします。
  4. [ホスト名] フィールドが空の場合は、ホスト名を入力します。スペースを入れないでください。このフィールドがすでに構成されている場合は、対応は不要です。
  5. [DNS IP アドレス] フィールドで、ローカル DNS IP アドレスが指定されているかどうかを確認します。
  6. [タイムゾーン] フィールドにタイムゾーンを入力します。

監査サーバーを作成する

  1. NetScaler ウェブ インターフェースで、[Configuration] > [System] > [Auditing] > [Syslog] > [Servers] を選択します。
  2. 次のフィールドに syslog の詳細を指定します。
    • 名前
    • サーバーの種類
    • IP アドレス
    • ポート
  3. [ログレベル] で [カスタム] を選択します。
  4. 構成で DEBUG レベル以外のすべてのチェックボックスをオンにします。
  5. [ログ機能] リストで、[LOCAL0] を選択します。
  6. [Date format] リストで、[MMDDYYYY] を選択します。
  7. [タイムゾーン] で [GMT] を選択します。
  8. 次のチェックボックスをオフにします。
    • TCP ロギング
    • ACL ロギング
    • ユーザーが構成可能なログメッセージ
    • AppFlow ロギング
    • 大規模な NAT ロギング
    • ALG メッセージのロギング
    • サブスクライバーのロギング
    • DNS
    • SSL インターセプト
    • URL のフィルタリング
    • コンテンツ検査のロギング
  9. [OK] をクリックして、監査サーバーを作成します。

作成した監査ポリシーをサーバーにバインドする

  1. NetScaler ウェブ インターフェースで、[Configuration] > [System] > [Auditing] > [Syslog] を選択します。
  2. [ポリシー] タブをクリックします。
  3. [名前] フィールドに、ポリシーの名前を入力します。
  4. [サーバー] リストで、前のセクションのポリシーを選択します。
  5. [作成] をクリックします。
  6. 作成した監査ポリシーを右クリックし、[アクション] > [グローバル バインディング] を選択します。
  7. [ バインディングを追加] をクリックします。
  8. [ポリシー バインディング] ウィンドウで、次の操作を行います。
    1. [ポリシーを選択] フィールドに、作成した監査ポリシーを入力します。
    2. [バインディングの詳細] ペインの [優先度] フィールドに、デフォルトの優先度である「120」と入力します。
    3. [Bind] をクリックします。

NetScaler SDX を構成する

Google Security Operations フォワーダーにログを送信するように NetScaler SDX を構成するには、次の操作を行います。

NetScaler SDX のホスト名構成を確認する

  1. 管理者認証情報を使用して NetScaler ウェブ インターフェースにログインします。
  2. NetScaler ウェブ インターフェースで、[System] > [System settings] を選択します。
  3. [ホスト名] フィールドが空の場合は、ホスト名を入力します。スペースを入れないでください。このフィールドがすでに構成されている場合は、対応は不要です。
  4. [タイムゾーン] フィールドで、[UTC] または [GMT] を選択します。

syslog サーバーを構成する

  1. NetScaler ウェブ インターフェースで、[System] > [Notifications] > [Syslog servers] を選択します。
  2. [詳細] ペインで、[追加] をクリックします。
  3. [Create syslog server] ウィンドウで、次の syslog サーバー パラメータの値を指定します。
    1. [名前] フィールドに名前を入力します。
    2. [IP アドレス] フィールドに、Google Security Operations フォワーダーの IP アドレスを入力します。
    3. [ポート] フィールドにポート番号を入力します。
    4. [ログレベル] で [カスタム] を選択します。
    5. [デバッグ] 以外のすべてのログレベルを選択します。
  4. [作成] をクリックします。

syslog パラメータを構成する

  1. NetScaler ウェブ インターフェースで、[System] > [Notifications] > [Syslog servers] を選択します。
  2. [詳細] ペインで、[Syslog パラメータ] をクリックします。
  3. [Syslog パラメータを構成する] ページで、[日付形式] を [MMDDYYYY] に選択し、[タイムゾーン] を [GMT] に選択します。
  4. [OK] をクリックします。

NetScaler ログを取り込むように Google Security Operations フォワーダーを構成する

  1. [SIEM の設定] > [フォワーダー] を選択します。
  2. [新しいフォワーダーの追加] をクリックします。
  3. [Forwarder name] フィールドに、フォワーダーの一意の名前を入力します。
  4. [Submit]、[Confirm] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
  5. [Collector name] フィールドに、コレクタの一意の名前を入力します。
  6. [ログタイプ] として [Citrix NetScaler] を選択します。
  7. [Collector type] フィールドで [Syslog] を選択します。
  8. 次の必須入力パラメータを構成します。
    • Protocol: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
    • アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
    • ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
  9. [送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations UI を使用してフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールド マッピング リファレンス

このパーサーは、キーと値の形式の Citrix Netscaler SYSLOG ログを処理し、message フィールドから JSON 形式のデータを抽出し、host.hostnameuser_agent.original などの他のフィールドの情報をサニタイズしてから UDM に追加します。プライマリ メッセージが空の場合、元のログメッセージにフォールバックして処理します。

UDM マッピング テーブル

ログフィールド UDM マッピング
aaa_info_flags additional.fields
aaa_trans_id security_result.detection.fields
aaad_flags additional.fields
aaad_resp additional.fields
aaaFlags additional.fields
aaaFlags2 additional.fields
act securtiy_result.action_details
security_result.action
action security_result.action
ADM_User additional.fields
allowed_interface security_result.detection.fields
applicationname target.application
auth_type additional.fields
authActionLen security_result.detection_fields
AuthAgent additional.fields
AuthDuration network.session_duration.seconds
authnvs additional.fields
authorizationStatus security_result.detection.fields
AuthStage additional.fields
Authtype additional.fields
C principal.location.country_or_region
caseId additional.fields
cfg_limit additional.fields
cgp_tag sec_result.detection_fields
channel_id_X additional.fields
channel_id_X_val additional.fields
channel_update_begin additional.fields
channel_update_end additional.fields
cipher_suite network.tls.cipher
client_fip target.ip target.asset.ip
client_fport target.port
client_ip principal.ip
principal.asset.ip
client_port principal.port
Client_security_expression additional.fields
client_type additional.fields
client_version network.tls.version
client.nat.ip principal.nat_ip
principal.asset.nat_ip
clientside_jitter additional.fields
clientside_packet_retransmits additional.fields
clientside_rtt additional.fields
clientside_rxbytes network.sent_bytes
clientside_txbytes network.received_bytes
ClientVersion network.tls.version_protocol
CN principal.resource.attribute.labels
cn1 additional.fields
cn2 additional.fields
code additional.fields
commandExecutionStatus security_result.action_details
Compression_ratio_recv additional.fields
Compression_ratio_send additional.fields
configurationCmd security_result.detection.fields
connectionId network.session_id
copied_nsb sec_result.detection_fields
core_id additional.fields
core_refmask additional.fields
cs1 additional.fields
cs2 additional.fields
cs4 additional.fields
cs5 additional.fields
cs6 additional.fields
CSappid additional.fields
CSAppname -
csg_flags additional.fields
ctx_flags additional.fields
cur_attempts additional.fields
CurfactorPolname additional.fields
customername additional.fields
days_for_pwd_exp additional.fields
days_for_pwd_exp_STR additional.fields
delinkTime additional.fields
Denied_by_policy security_result.rule_name
desc metadata.description
destination.ip target.ip
target.asset.ip
destination.port target.resource.attribute.labels
device_event_class_id metadata.product_event_type
device_version metadata.product_version
Deviceid target.resource.product_object_id
Devicetype additional.fields
dht_delete_status additional.fields
diagnostic_info additional.fields
digestSignatureAlgorithm security_result.detection_fields
dns_additional_count additional.fields
dns_answer_count additional.fields
dns_authority_count additional.fields
dns_flags additional.fields
dns_flags_raw network.dns.recursion_desired
dns_flags_raw network.dns.recursion_available
dns_id network.dns.id
dns_question_count additional.fields
dns_question_name network.dns.question.name
domain security_result.detection.fields
additional.fields
domain target.administrative_domain
ecs_version additional.fields
encrypt_status security_result.detection_fields
end_time additional.fields
End_time additional.fields
entityName target.resource.name
Error Code additional.fields
event_id metadata.product_log_id
event_name metadata.product_event_type
event_type sec_result.summary
expired_refmask additional.fields
factor security_result.detection.fields
flags additional.fields
flags2 additional.fields
flags3 additional.fields
flags4 additional.fields
func security_result.detection_fields
geolocation location.country_region
Group(s) target.user.group_identifiers
Group(s) target.user.group.identifiers
handshake_time network.session_duration.seconds
HandshakeTime additional.fields
host_hostname principal.hostname
host_ip principal.ip principal.asset.ip
host.name target.hostname
target.asset.hostname
hostname intermediary.hostname
intermediary.asset.hostname
hostname target.hostname
target.asset.hostname
hostname_1 target.hostname
target.asset.hostname
http_method network.http.method
Http_resources_accessed security_result.detection.fields
http_uri target.url
HTTPS network.application_protocol
ica_conn_owner_refmask sec_result.detection_fields
ica_rtt additional.fields
ica_uuid network.session_id
ICAUUID network.session_id
id metadata.id
init_icamode_homepage additional.fields
inter_hostname intermediary.hostname
interfaceKind security_result.detection.fields
ip intermediary.asset.ip
ip_x principal.ip principal.asset.ip
ipaddress target.ip
target.asset.ip
is_post additional.fields
IssuerName network.tls.server.certificate.issuer
L principal.location.city
last_contact additional.fields
loc target.url
localdate additional.fields
lock_duration additional.fields
log_action sec_result.detection_fields
log_action security_result.detection.fields
log_category additional.fields
log_data additional.fields
log_format additional.fields
log_timestamp additional.fields
log_type additional.fields
log.syslog.priority additional.fields
login_count sec_result.detection_fields
login_count security_result.detection_fields
LogoutMethod additional.fields
max_attempts additional.fields
message_content security_result.summary
message_id metadata.product_log_id
message_status_code additional.fields
method network.http.method
monitored_resource additional.fields
msg metadata.description
msi_client_cookie additional.fields
msticks additional.fields
Nat_ip additional.fields
principal.nat_ip
principal.asset.nat_ip
Nat_ip が IP アドレスでない場合は additional.fields になります)。
netscaler_principal_ip_context principal.resource.attribute.labels
netscaler_tag intermediary.asset.product_object_id
netscaler_target_ip_context target.resource.attribute.labels
new_webview additional.fields
newWebview additional.fields
NonHttp_services_accessed security_result.detection.fields
nsPartitionName additional.fields
on_port additional.fields
Organization principal.resource.attribute.labels
OU principal.resource.attribute.labels
owner_from additional.fields
owner_id additional.fields
pcb_devno additional.fields
pcbdevno additional.fields
Policyname security_result.rule_name
port principal.port
port_details principal.port
prin_ip principal.ip principal.asset.ip
prin_user principal.user.userid
principal_ip principal.ip
principal.asset.ip
principal_port principal.port
prod_event_type metadata.product_event_type
protocol network.ip_protocol
protocol_feature security_result.detection.fields
ProtocolVersion network.tls.protocol_version
pwdlen additional.fields
pwdlen2 additional.fields
q_flags additional.fields
reason_val security_result.description
receiver_version additional.fields
record_type network.dns.question.type
refmask additional.fields
remote_ip principal.ip principal.asset.ip
remote_port principal.port
request target.url
ReqURL additional.fields
resource_cmd target.resource.name
resource_name principal.resource.name
response additional.fields
response_code additional.fields
rule_id security_result.rule.id
rule_name security_result.rule_name
SerialNumber network.tls.server.certificate.serial
server_authenticated additional.fields
serverside_jitter additional.fields
serverside_packet_retransmits additional.fields
serverside_rtt additional.fields
service_name principal.applications
sess_flags2: additional.fields
sess_seq network.session_id
sessFlags2 additional.fields
Session additional.fields
session_cookie security_result.detection_fields
session_guid network.session_id
session_id_label network.session_id
session_setup_time additional.fields
session_type sec_result.description
SessionId network.session_id
skip_code additional.fields
source_file additional.fields
source_hostname principal.hostname
principal.asset.hostname
source_line additional.fields
source.ip principal.ip
principal.asset.ip
source.port principal.resource.attribute.labels
spcb_id security_result.detecrion.fields
SPCBId sec_result.detection_fields
spt principal.port
src principal.ip principal.asset.ip
src_hostname principal.hostname principal.asset.hostname
src_ip principal.ip principal.asset.ip
src_ip1 src.ip
src.asset.ip
src_port principal.port
ssid network.session_id
SSLVPN_client_type additional.fields
SSO additional.fields
sso additional.fields
sso_auth_type additional.fields
sso_flags security_result.detection_fields
sso_state additional.fields
SSOduration additional.fields
SSOurl additional.fields
ssoUsername additional.fields
ssoUsername2 additional.fields
ST principal.location.state
sta_port additional.fields
sta_ticket additional.fields
start_time additional.fields
Start_time additional.fields
State security_result.action_details
state additional.fields
state_value additional.fields
StatusCode additional.fields
SubjectName network.tls.client.certificate.subject
summ security_result.summary
summary security_result.summary
sysCmdPolLen security_result.detection.fields
syslog_priority additional.fields
tags additional.fields
tar_ip target.ip target.asset.ip
tar_port target.port
target_id target.resource.id
target_port target.port
TCP network.ip_protocol
timeout_ms additional.fields
timestamp metadata.event_timestamp
Total_bytes_send network.sent_bytes
Total_compressedbytes_recv additional.fields
Total_compressedbytes_send additional.fields
Total_policies_allowed security_result.detection.fields
Total_policies_denied security_result.detection.fields
Total_TCP_connections security_result.detection.fields
Total_UDP_flows security_result.detection.fields
track_flags additional.fields
trans_id -
tt metadata.event_timestamp
User principal.user.userid
user_agent.original network.http.user_agent
user_email principal.user.email_addresses
user_id principal.user.userid
user.domain target.administrative_domain
user.name principal.user.user_display_name
userids target.user.userid
ValidFrom network.tls.server.certificate.not_before
ValidTo network.tls.server.certificate.not_after
version additional.fields
VPNexportState additional.fields
Vport target.port
Vserver Timestamp additional.fields
vserver_id target.resource.product_object_id
Vserver_ip target.ip
target.asset.ip
vserver_port target.port
Vserver_port target.port
vserver_timestamp additional.fields
vserver.ip target.ip
target.asset.ip
wirep additional.fields
wirep_name additional.fields
wirep_ref_cnt additional.fields

UDM マッピング デルタ リファレンス

2026 年 2 月 3 日、Google SecOps は NetScaler パーサーの新しいバージョンをリリースしました。このバージョンには、NetScaler ログフィールドから UDM フィールドへのマッピングの大きな変更と、イベントタイプのマッピングの変更が含まれています。

ログフィールド マッピングの差分

次の表に、2026 年 2 月 3 日より前に公開された NetScaler ログから UDM へのフィールドのマッピングの差分と、それ以降に公開されたフィールドのマッピングの差分を示します(それぞれ [以前のマッピング] 列と [現在のマッピング] 列に記載)。

ログフィールド 以前のマッピング 現在のマッピング
act securit_.result.detetction_fields securtiy_result.action_details
security_result.action
client_ip additional.fields principal.ip
principal.asset.ip
ClientVersion network.tls.version network.tls.version_protocol
connectionId security_result.detection_fields network.session_id
CSAppname - -
domain target.user.administrative_domain security_result.detection.fields
additional.fields
end_time security_result.detection.fields security_result.last_discovered_time additional.fields
event_id additional.fields metadata.product_log_id
geolocation location.city location.country_region
Group(s) target.user.group_display_name target.user.group_identifiers
HandshakeTime network.session_duration.seconds additional.fields
host.name intermediary.hostname target.hostname
target.asset.hostname
hostname target.hostname
target.asset.hostname		 intermediary.hostname
intermediary.asset.hostname
hostname principal.hostname
principal.asset.hostname		 target.hostname
target.asset.hostname
ipaddress principal.ip
principal.asset.ip		 target.ip
target.asset.ip
Nat_ip principal.ip
principal.asset.ip		 principal.nat_ip
principal.nat_ip
port_details principal.labels principal.port
principal_ip target.ip
target.asset.ip		 principal.ip
principal.asset.ip
request security_result.summary target.url
sess_seq additional.fields network.session_id
session_guid metadata.product_log_id network.session_id
source_hostname target.hostname
target.asset.hostname		 principal.hostname
principal.asset.hostname
spcb_id additional.fields security_result.detecrion.fields
ssid additional.fields network.session_id
start_time security_result.detection.fields security_result.first_discovered_time additional.fields
SubjectName principal.resource.attribute.labels network.tls.client.certificate.subject
summary metadata.descritption security_result.summary
target_port principal.port target.port
trans_id security_result.detection.fields -
user_id target.user.userid principal.user.userid

イベントタイプ マッピングの差分

次の表に、2026 年 2 月 3 日より前とそれ以降の NetScaler イベントタイプの処理の差分を示します(それぞれ [以前の event_type] 列と [現在のイベントタイプ] 列に記載)。

Old event_type 現在の event_type 理由
NETWORK_CONNECTION NETWORK_DNS message_typeDNS_QUERY の場合、または has_network_dnstrue の場合に名前が指定されている場合。
NETWORK_CONNECTION NETWORK_HTTP message_typeSSLVPN HTTPREQUEST の場合。
STATUS_UPDATE NETWORK_CONNECTION 適切な特定のイベントタイプにマッピングされます。
STATUS_UPDATE USER_RESOURCE_UPDATE_CONTENT message_type が SNMP TRAP_SENT で、has_target_resourcetrue の場合、これは適切な特定のイベントタイプにマッピングされます。
STATUS_UPDATE USER_UNCATEGORIZED プリンシパル userid が存在する場合、適切な特定のイベントタイプにマッピングされます。
USER_RESOURCE_ACCESS NETWORK_HTTP message_type が SSLVPN HTTPREQUEST の場合
USER_STATS GENERIC_EVENT USER_STATS は非推奨であるため、適切な特定のイベントタイプにマッピングされます。
USER_STATS NETWORK_CONNECTION USER_STATS は非推奨であるため、適切な特定のイベントタイプにマッピングされます。
USER_STATS USER_LOGIN USER_STATS は非推奨であるため、適切な特定のイベントタイプにマッピングされます。
USER_STATS USER_LOGOUT USER_STATS は非推奨であるため、message_typeLOGOUT の場合、これは適切な特定のイベントタイプにマッピングされます。
USER_UNCATEGORIZED GENERIC_EVENT ログにマッピングするプリンシパル マシン フィールドがありません。
USER_UNCATEGORIZED NETWORK_CONNECTION 適切な特定のイベントタイプにマッピングされます。
USER_UNCATEGORIZED USER_LOGIN 適切な特定のイベントタイプにマッピングされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。