Coletar registros do NetScaler
Compatível com:
Google SecOps
SIEM
Neste documento, descrevemos como coletar os registros do NetScaler usando um encaminhador do Google Security Operations.
Para mais informações, consulte Visão geral da ingestão de dados no Google Security Operations.
Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão CITRIX_NETSCALER.
Configurar o NetScaler VPX
Para configurar o NetScaler VPX para enviar registros ao encaminhador do Google Security Operations, faça o seguinte:
- Verifique a configuração do nome do host.
- Crie um servidor de auditoria.
- Vincule a política de auditoria criada ao servidor.
Verificar a configuração do nome do host
- Faça login na interface da Web do NetScaler usando as credenciais de administrador.
- Selecione Configuração > Configurações.
- Clique em Nome do host, endereço IP do DNS e fuso horário.
- Se o campo Nome do host estiver vazio, insira o nome do host. Não inclua espaços. Se esse campo já estiver configurado, nenhuma ação será necessária.
- No campo Endereço IP do DNS, verifique se o endereço IP do DNS local está especificado.
- No campo Fuso horário, insira seu fuso horário.
Criar servidor de auditoria
- Na interface da Web do NetScaler, selecione Configuration > System > Auditing > Syslog > Servers.
- Especifique os detalhes do syslog nos seguintes campos:
- Nome
- Tipo de servidor
- Endereço IP
- Porta
- Selecione Níveis de registro como Personalizado.
- Selecione todas as caixas de seleção, exceto o nível DEBUG na configuração.
- Na lista Facilidade de registro, selecione LOCAL0.
- Na lista Formato da data, selecione MMDDYYYY.
- Selecione Fuso horário como GMT.
- Desmarque as seguintes caixas de seleção:
- Registro em log do TCP
- Registro em log da ACL
- Mensagens de registro configuráveis pelo usuário
- Registro do AppFlow
- Registro em grande escala do NAT
- Registro de mensagens do ALG
- Registro de assinantes
- DNS
- Interceptação de SSL
- Filtragem de URL
- Registro de inspeção de conteúdo
- Clique em OK para criar o servidor de auditoria.
Vincular a política de auditoria criada ao servidor
- Na interface da Web do NetScaler, selecione Configuration > System > Auditing > Syslog.
- Clique na guia Políticas.
- No campo Nome, digite um nome para a política.
- Na lista Servidor, selecione a política da seção anterior.
- Clique em Criar.
- Clique com o botão direito do mouse na política de auditoria criada e selecione Ação > Associações globais.
- Clique em Adicionar vinculação.
- Na janela Vinculação de política, faça o seguinte:
- No campo Selecionar política, insira a política de auditoria criada.
- No painel Detalhes da vinculação, no campo Prioridade, insira 120, que é a prioridade padrão.
- Clique em Bind.
Configurar o NetScaler SDX
Para configurar o NetScaler SDX para enviar registros ao encaminhador do Google Security Operations, faça o seguinte:
- Verifique a configuração do nome do host para o NetScaler SDX.
- Configure o servidor syslog.
- Configure os parâmetros do syslog.
Verificar a configuração do nome do host para o NetScaler SDX
- Faça login na interface da Web do NetScaler usando as credenciais de administrador.
- Na interface da Web do NetScaler, selecione System > configurações do sistema.
- Se o campo Nome do host estiver vazio, insira o nome do host. Não inclua espaços. Se esse campo já estiver configurado, nenhuma ação será necessária.
- No campo Fuso horário, selecione UTC ou GMT.
Configurar o servidor syslog
- Na interface da Web do NetScaler, selecione System > Notifications > Syslog servers.
- No painel Detalhes, clique em Adicionar.
- Na janela Criar servidor syslog, especifique valores para os seguintes parâmetros do servidor syslog:
- No campo Nome, digite um nome.
- No campo Endereço IP, insira o endereço IP do encaminhador do Google Security Operations.
- No campo Porta, o número da porta.
- Selecione Níveis de registro como Personalizado.
- Selecione todos os níveis de registro, exceto Debug.
- Clique em Criar.
Configurar os parâmetros do syslog
- Na interface da Web do NetScaler, selecione System > Notifications > Syslog servers.
- No painel Detalhes, clique em Parâmetros do Syslog.
- Na página Configurar parâmetros do syslog, selecione Formato da data como MMDDYYYY e Fuso horário como GMT.
- Clique em OK.
Configurar o encaminhador do Google Security Operations para ingerir registros do NetScaler
- Selecione Configurações do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, insira um nome exclusivo para ele.
- Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
- No campo Nome do coletor, digite um nome exclusivo para ele.
- Selecione Citrix NetScaler como o Tipo de registro.
- No campo Tipo de coletor, selecione Syslog.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
- Clique em Enviar.
Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations.
Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.
Referência de mapeamento de campos
Esse analisador processa registros SYSLOG do Citrix Netscaler no formato chave-valor, extraindo dados formatados em JSON do campo message e enriquecendo a UDM com informações de outros campos, como host.hostname e user_agent.original, depois de higienizá-los. Ele processa casos em que a mensagem principal está vazia, voltando à mensagem de registro original.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM |
|---|---|
aaa_info_flags |
additional.fields |
aaa_trans_id |
security_result.detection.fields |
aaad_flags |
additional.fields |
aaad_resp |
additional.fields |
aaaFlags |
additional.fields |
aaaFlags2 |
additional.fields |
act |
securtiy_result.action_details,security_result.action |
action |
security_result.action |
ADM_User |
additional.fields |
allowed_interface |
security_result.detection.fields |
applicationname |
target.application |
auth_type |
additional.fields |
authActionLen |
security_result.detection_fields |
AuthAgent |
additional.fields |
AuthDuration |
network.session_duration.seconds |
authnvs |
additional.fields |
authorizationStatus |
security_result.detection.fields |
AuthStage |
additional.fields |
Authtype |
additional.fields |
C |
principal.location.country_or_region |
caseId |
additional.fields |
cfg_limit |
additional.fields |
cgp_tag |
sec_result.detection_fields |
channel_id_X |
additional.fields |
channel_id_X_val |
additional.fields |
channel_update_begin |
additional.fields |
channel_update_end |
additional.fields |
cipher_suite |
network.tls.cipher |
client_fip |
target.ip target.asset.ip |
client_fport |
target.port |
client_ip |
principal.ip,principal.asset.ip |
client_port |
principal.port |
Client_security_expression |
additional.fields |
client_type |
additional.fields |
client_version |
network.tls.version |
client.nat.ip |
principal.nat_ip,principal.asset.nat_ip |
clientside_jitter |
additional.fields |
clientside_packet_retransmits |
additional.fields |
clientside_rtt |
additional.fields |
clientside_rxbytes |
network.sent_bytes |
clientside_txbytes |
network.received_bytes |
ClientVersion |
network.tls.version_protocol |
CN |
principal.resource.attribute.labels |
cn1 |
additional.fields |
cn2 |
additional.fields |
code |
additional.fields |
commandExecutionStatus |
security_result.action_details |
Compression_ratio_recv |
additional.fields |
Compression_ratio_send |
additional.fields |
configurationCmd |
security_result.detection.fields |
connectionId |
network.session_id |
copied_nsb |
sec_result.detection_fields |
core_id |
additional.fields |
core_refmask |
additional.fields |
cs1 |
additional.fields |
cs2 |
additional.fields |
cs4 |
additional.fields |
cs5 |
additional.fields |
cs6 |
additional.fields |
CSappid |
additional.fields |
CSAppname |
- |
csg_flags |
additional.fields |
ctx_flags |
additional.fields |
cur_attempts |
additional.fields |
CurfactorPolname |
additional.fields |
customername |
additional.fields |
days_for_pwd_exp |
additional.fields |
days_for_pwd_exp_STR |
additional.fields |
delinkTime |
additional.fields |
Denied_by_policy |
security_result.rule_name |
desc |
metadata.description |
destination.ip |
target.ip,target.asset.ip |
destination.port |
target.resource.attribute.labels |
device_event_class_id |
metadata.product_event_type |
device_version |
metadata.product_version |
Deviceid |
target.resource.product_object_id |
Devicetype |
additional.fields |
dht_delete_status |
additional.fields |
diagnostic_info |
additional.fields |
digestSignatureAlgorithm |
security_result.detection_fields |
dns_additional_count |
additional.fields |
dns_answer_count |
additional.fields |
dns_authority_count |
additional.fields |
dns_flags |
additional.fields |
dns_flags_raw |
network.dns.recursion_desired |
dns_flags_raw |
network.dns.recursion_available |
dns_id |
network.dns.id |
dns_question_count |
additional.fields |
dns_question_name |
network.dns.question.name |
domain |
security_result.detection.fields,additional.fields |
domain |
target.administrative_domain |
ecs_version |
additional.fields |
encrypt_status |
security_result.detection_fields |
end_time |
additional.fields |
End_time |
additional.fields |
entityName |
target.resource.name |
Error Code |
additional.fields |
event_id |
metadata.product_log_id |
event_name |
metadata.product_event_type |
event_type |
sec_result.summary |
expired_refmask |
additional.fields |
factor |
security_result.detection.fields |
flags |
additional.fields |
flags2 |
additional.fields |
flags3 |
additional.fields |
flags4 |
additional.fields |
func |
security_result.detection_fields |
geolocation |
location.country_region |
Group(s) |
target.user.group_identifiers |
Group(s) |
target.user.group.identifiers |
handshake_time |
network.session_duration.seconds |
HandshakeTime |
additional.fields |
host_hostname |
principal.hostname |
host_ip |
principal.ip principal.asset.ip |
host.name |
target.hostname,target.asset.hostname |
hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
hostname_1 |
target.hostname,target.asset.hostname |
http_method |
network.http.method |
Http_resources_accessed |
security_result.detection.fields |
http_uri |
target.url |
HTTPS |
network.application_protocol |
ica_conn_owner_refmask |
sec_result.detection_fields |
ica_rtt |
additional.fields |
ica_uuid |
network.session_id |
ICAUUID |
network.session_id |
id |
metadata.id |
init_icamode_homepage |
additional.fields |
inter_hostname |
intermediary.hostname |
interfaceKind |
security_result.detection.fields |
ip |
intermediary.asset.ip |
ip_x |
principal.ip principal.asset.ip |
ipaddress |
target.ip,target.asset.ip |
is_post |
additional.fields |
IssuerName |
network.tls.server.certificate.issuer |
L |
principal.location.city |
last_contact |
additional.fields |
loc |
target.url |
localdate |
additional.fields |
lock_duration |
additional.fields |
log_action |
sec_result.detection_fields |
log_action |
security_result.detection.fields |
log_category |
additional.fields |
log_data |
additional.fields |
log_format |
additional.fields |
log_timestamp |
additional.fields |
log_type |
additional.fields |
log.syslog.priority |
additional.fields |
login_count |
sec_result.detection_fields |
login_count |
security_result.detection_fields |
LogoutMethod |
additional.fields |
max_attempts |
additional.fields |
message_content |
security_result.summary |
message_id |
metadata.product_log_id |
message_status_code |
additional.fields |
method |
network.http.method |
monitored_resource |
additional.fields |
msg |
metadata.description |
msi_client_cookie |
additional.fields |
msticks |
additional.fields |
Nat_ip |
additional.fields,principal.nat_ip,principal.asset.nat_ip. Se o Nat_ip não for um endereço IP, ele estará em additional.fields. |
netscaler_principal_ip_context |
principal.resource.attribute.labels |
netscaler_tag |
intermediary.asset.product_object_id |
netscaler_target_ip_context |
target.resource.attribute.labels |
new_webview |
additional.fields |
newWebview |
additional.fields |
NonHttp_services_accessed |
security_result.detection.fields |
nsPartitionName |
additional.fields |
on_port |
additional.fields |
Organization |
principal.resource.attribute.labels |
OU |
principal.resource.attribute.labels |
owner_from |
additional.fields |
owner_id |
additional.fields |
pcb_devno |
additional.fields |
pcbdevno |
additional.fields |
Policyname |
security_result.rule_name |
port |
principal.port |
port_details |
principal.port |
prin_ip |
principal.ip principal.asset.ip |
prin_user |
principal.user.userid |
principal_ip |
principal.ip,principal.asset.ip |
principal_port |
principal.port |
prod_event_type |
metadata.product_event_type |
protocol |
network.ip_protocol |
protocol_feature |
security_result.detection.fields |
ProtocolVersion |
network.tls.protocol_version |
pwdlen |
additional.fields |
pwdlen2 |
additional.fields |
q_flags |
additional.fields |
reason_val |
security_result.description |
receiver_version |
additional.fields |
record_type |
network.dns.question.type |
refmask |
additional.fields |
remote_ip |
principal.ip principal.asset.ip |
remote_port |
principal.port |
request |
target.url |
ReqURL |
additional.fields |
resource_cmd |
target.resource.name |
resource_name |
principal.resource.name |
response |
additional.fields |
response_code |
additional.fields |
rule_id |
security_result.rule.id |
rule_name |
security_result.rule_name |
SerialNumber |
network.tls.server.certificate.serial |
server_authenticated |
additional.fields |
serverside_jitter |
additional.fields |
serverside_packet_retransmits |
additional.fields |
serverside_rtt |
additional.fields |
service_name |
principal.applications |
sess_flags2: |
additional.fields |
sess_seq |
network.session_id |
sessFlags2 |
additional.fields |
Session |
additional.fields |
session_cookie |
security_result.detection_fields |
session_guid |
network.session_id |
session_id_label |
network.session_id |
session_setup_time |
additional.fields |
session_type |
sec_result.description |
SessionId |
network.session_id |
skip_code |
additional.fields |
source_file |
additional.fields |
source_hostname |
principal.hostname,principal.asset.hostname |
source_line |
additional.fields |
source.ip |
principal.ip,principal.asset.ip |
source.port |
principal.resource.attribute.labels |
spcb_id |
security_result.detecrion.fields |
SPCBId |
sec_result.detection_fields |
spt |
principal.port |
src |
principal.ip principal.asset.ip |
src_hostname |
principal.hostname principal.asset.hostname |
src_ip |
principal.ip principal.asset.ip |
src_ip1 |
src.ip,src.asset.ip |
src_port |
principal.port |
ssid |
network.session_id |
SSLVPN_client_type |
additional.fields |
SSO |
additional.fields |
sso |
additional.fields |
sso_auth_type |
additional.fields |
sso_flags |
security_result.detection_fields |
sso_state |
additional.fields |
SSOduration |
additional.fields |
SSOurl |
additional.fields |
ssoUsername |
additional.fields |
ssoUsername2 |
additional.fields |
ST |
principal.location.state |
sta_port |
additional.fields |
sta_ticket |
additional.fields |
start_time |
additional.fields |
Start_time |
additional.fields |
State |
security_result.action_details |
state |
additional.fields |
state_value |
additional.fields |
StatusCode |
additional.fields |
SubjectName |
network.tls.client.certificate.subject |
summ |
security_result.summary |
summary |
security_result.summary |
sysCmdPolLen |
security_result.detection.fields |
syslog_priority |
additional.fields |
tags |
additional.fields |
tar_ip |
target.ip target.asset.ip |
tar_port |
target.port |
target_id |
target.resource.id |
target_port |
target.port |
TCP |
network.ip_protocol |
timeout_ms |
additional.fields |
timestamp |
metadata.event_timestamp |
Total_bytes_send |
network.sent_bytes |
Total_compressedbytes_recv |
additional.fields |
Total_compressedbytes_send |
additional.fields |
Total_policies_allowed |
security_result.detection.fields |
Total_policies_denied |
security_result.detection.fields |
Total_TCP_connections |
security_result.detection.fields |
Total_UDP_flows |
security_result.detection.fields |
track_flags |
additional.fields |
trans_id |
- |
tt |
metadata.event_timestamp |
User |
principal.user.userid |
user_agent.original |
network.http.user_agent |
user_email |
principal.user.email_addresses |
user_id |
principal.user.userid |
user.domain |
target.administrative_domain |
user.name |
principal.user.user_display_name |
userids |
target.user.userid |
ValidFrom |
network.tls.server.certificate.not_before |
ValidTo |
network.tls.server.certificate.not_after |
version |
additional.fields |
VPNexportState |
additional.fields |
Vport |
target.port |
Vserver Timestamp |
additional.fields |
vserver_id |
target.resource.product_object_id |
Vserver_ip |
target.ip,target.asset.ip |
vserver_port |
target.port |
Vserver_port |
target.port |
vserver_timestamp |
additional.fields |
vserver.ip |
target.ip,target.asset.ip |
wirep |
additional.fields |
wirep_name |
additional.fields |
wirep_ref_cnt |
additional.fields |
Referência delta do mapeamento da UDM
Em 3 de fevereiro de 2026, o Google SecOps lançou uma nova versão do analisador NetScaler, que inclui mudanças significativas no mapeamento de campos de registro do NetScaler para campos do UDM e no mapeamento de tipos de eventos.
Delta de mapeamento de campo de registro
A tabela a seguir lista o delta de mapeamento para campos de registro do NetScaler para UDM expostos antes de 3 de fevereiro de 2026 e posteriormente (listados nas colunas Mapeamento antigo e Mapeamento atual, respectivamente):
| Campo de registro | Mapeamento antigo | Mapeamento atual |
|---|---|---|
act |
securit_.result.detetction_fields |
securtiy_result.action_details,security_result.action |
client_ip |
additional.fields |
principal.ip,principal.asset.ip |
ClientVersion |
network.tls.version |
network.tls.version_protocol |
connectionId |
security_result.detection_fields |
network.session_id |
CSAppname |
- |
- |
domain |
target.user.administrative_domain |
security_result.detection.fields,additional.fields |
end_time |
security_result.detection.fields security_result.last_discovered_time |
additional.fields |
event_id |
additional.fields |
metadata.product_log_id |
geolocation |
location.city |
location.country_region |
Group(s) |
target.user.group_display_name |
target.user.group_identifiers |
HandshakeTime |
network.session_duration.seconds |
additional.fields |
host.name |
intermediary.hostname |
target.hostname,target.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
principal.hostname,principal.asset.hostname |
target.hostname,target.asset.hostname |
ipaddress |
principal.ip,principal.asset.ip |
target.ip,target.asset.ip |
Nat_ip |
principal.ip,principal.asset.ip |
principal.nat_ip,principal.nat_ip |
port_details |
principal.labels |
principal.port |
principal_ip |
target.ip,target.asset.ip |
principal.ip,principal.asset.ip |
request |
security_result.summary |
target.url |
sess_seq |
additional.fields |
network.session_id |
session_guid |
metadata.product_log_id |
network.session_id |
source_hostname |
target.hostname,target.asset.hostname |
principal.hostname,principal.asset.hostname |
spcb_id |
additional.fields |
security_result.detecrion.fields |
ssid |
additional.fields |
network.session_id |
start_time |
security_result.detection.fields security_result.first_discovered_time |
additional.fields |
SubjectName |
principal.resource.attribute.labels |
network.tls.client.certificate.subject |
summary |
metadata.descritption |
security_result.summary |
target_port |
principal.port |
target.port |
trans_id |
security_result.detection.fields |
- |
user_id |
target.user.userid |
principal.user.userid |
Delta de mapeamento de tipo de evento
A tabela a seguir lista o delta para o processamento de tipos de eventos do NetScaler antes de 3 de fevereiro de 2026 e depois (listados nas colunas Old event_type e Current event-type, respectivamente):
| Old event_type | event_type atual | Motivo |
|---|---|---|
NETWORK_CONNECTION |
NETWORK_DNS |
Se message_type for DNS_QUERY ou nomeado quando has_network_dns for true. |
NETWORK_CONNECTION |
NETWORK_HTTP |
Quando message_type é SSLVPN HTTPREQUEST. |
STATUS_UPDATE |
NETWORK_CONNECTION |
Mapeado para um tipo de evento específico e adequado. |
STATUS_UPDATE |
USER_RESOURCE_UPDATE_CONTENT |
Quando message_type é SNMP TRAP_SENT e has_target_resource é true, isso é mapeado para um tipo de evento específico e adequado. |
STATUS_UPDATE |
USER_UNCATEGORIZED |
Mapeado para um tipo de evento específico e adequado quando o principal userid está presente. |
USER_RESOURCE_ACCESS |
NETWORK_HTTP |
Quando message_type é SSLVPN HTTPREQUEST |
USER_STATS |
GENERIC_EVENT |
USER_STATS está descontinuado, então isso é mapeado para um tipo de evento específico e adequado. |
USER_STATS |
NETWORK_CONNECTION |
USER_STATS está descontinuado, então isso é mapeado para um tipo de evento específico e adequado. |
USER_STATS |
USER_LOGIN |
USER_STATS está descontinuado, então isso é mapeado para um tipo de evento específico e adequado. |
USER_STATS |
USER_LOGOUT |
USER_STATS está descontinuado. Portanto, ele é mapeado para um tipo de evento específico e adequado quando message_type é LOGOUT. |
USER_UNCATEGORIZED |
GENERIC_EVENT |
O registro não tem um campo de máquina principal para mapear. |
USER_UNCATEGORIZED |
NETWORK_CONNECTION |
Mapeado para um tipo de evento específico e adequado. |
USER_UNCATEGORIZED |
USER_LOGIN |
Mapeado para um tipo de evento específico e adequado. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.