Recopila registros de NetScaler
Se admite en los siguientes sistemas operativos:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar los registros de NetScaler con un retransmisor de Google Security Operations.
Para obtener más información, consulta Descripción general de la transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia CITRIX_NETSCALER.
Configura NetScaler VPX
Para configurar el NetScaler VPX de modo que envíe registros al reenviador de Google Security Operations, haz lo siguiente:
- Verifica la configuración del nombre de host.
- Crea un servidor de auditoría.
- Vincula la política de auditoría creada al servidor.
Verifica la configuración del nombre de host
- Accede a la interfaz web de NetScaler con las credenciales de administrador.
- Selecciona Configuración > Configuración.
- Haz clic en Nombre de host, dirección IP de DNS y zona horaria.
- Si el campo Nombre de host está vacío, ingresa el nombre de host. No incluyas espacios. Si este campo ya está configurado, no es necesario que realices ninguna acción.
- En el campo Dirección IP del DNS, verifica si se especificó la dirección IP del DNS local.
- En el campo Zona horaria, ingresa tu zona horaria.
Crea un servidor de auditoría
- En la interfaz web de NetScaler, selecciona Configuration > System > Auditing > Syslog > Servers.
- Especifica los detalles de Syslog en los siguientes campos:
- Nombre
- Tipo de servidor
- Dirección IP
- Puerto
- Selecciona Niveles de registro como Personalizado.
- Selecciona todas las casillas de verificación, excepto el nivel DEBUG en la configuración.
- En la lista Log facility, selecciona LOCAL0.
- En la lista Formato de fecha, selecciona MMDDYYYY.
- Selecciona Zona horaria como GMT.
- Desmarca las siguientes casillas de verificación:
- Registro de TCP
- Registro de LCA
- Mensajes de registro configurables por el usuario
- Registro de AppFlow
- Registro de NAT a gran escala
- Registro de mensajes de ALG
- Registro de suscriptores
- DNS
- Interceptación de SSL
- Filtro de URLs
- Registro de inspección de contenido
- Haz clic en Aceptar para crear el servidor de auditoría.
Vincula la política de auditoría creada al servidor
- En la interfaz web de NetScaler, selecciona Configuration > System > Auditing > Syslog.
- Haz clic en la pestaña Políticas.
- En el campo Nombre, ingresa un nombre para la política.
- En la lista Servidor, selecciona la política de la sección anterior.
- Haz clic en Crear.
- Haz clic con el botón derecho en la política de auditoría creada y selecciona Acción > Enlaces globales.
- Haz clic en Agregar vinculación.
- En la ventana Vinculación de políticas, haz lo siguiente:
- En el campo Seleccionar política, ingresa la política de auditoría creada.
- En el panel Detalles de vinculación, en el campo Prioridad, ingresa 120, ya que es la prioridad predeterminada.
- Haz clic en Bind.
Configura NetScaler SDX
Para configurar el NetScaler SDX de modo que envíe registros al reenviador de Google Security Operations, haz lo siguiente:
- Verifica la configuración del nombre de host para NetScaler SDX.
- Configura el servidor syslog.
- Configura los parámetros de syslog.
Verifica la configuración del nombre de host para NetScaler SDX
- Accede a la interfaz web de NetScaler con las credenciales de administrador.
- En la interfaz web de NetScaler, selecciona System > System settings.
- Si el campo Nombre de host está vacío, ingresa el nombre de host. No incluyas espacios. Si este campo ya está configurado, no es necesario que realices ninguna acción.
- En el campo Zona horaria, selecciona UTC o GMT.
Configura el servidor syslog
- En la interfaz web de NetScaler, selecciona System > Notifications > Syslog servers.
- En el panel Detalles, haz clic en Agregar.
- En la ventana Crear servidor syslog, especifica valores para los siguientes parámetros del servidor syslog:
- En el campo Nombre, ingresa un nombre.
- En el campo Dirección IP, ingresa la dirección IP del reenviador de Google Security Operations.
- En el campo Puerto, número de puerto.
- Selecciona Niveles de registro como Personalizado.
- Selecciona todos los niveles de registro, excepto Debug.
- Haz clic en Crear.
Configura los parámetros de syslog
- En la interfaz web de NetScaler, selecciona System > Notifications > Syslog servers.
- En el panel Detalles, haz clic en Parámetros de Syslog.
- En la página Configurar parámetros de syslog, selecciona Formato de fecha como MMDDYYYY y selecciona Zona horaria como GMT.
- Haz clic en Aceptar.
Configura el reenvío de Google Security Operations para transferir registros de NetScaler
- Selecciona Configuración de SIEM > Reenviadores.
- Haz clic en Agregar un nuevo reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar y, luego, en Confirmar. Se agregará el retransmisor y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
- Selecciona Citrix NetScaler como el Tipo de registro.
- En el campo Tipo de recopilador, selecciona Syslog.
- Configura los siguientes parámetros de entrada obligatorios:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de Syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los retransmisores de Google Security Operations, consulta Administra la configuración de los retransmisores a través de la IU de Google Security Operations.
Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Google Security Operations.
Referencia de la asignación de campos
Este analizador procesa los registros de SYSLOG de Citrix Netscaler en formato de clave-valor, extrae datos con formato JSON del campo message y enriquece el UDM con información de otros campos, como host.hostname y user_agent.original, después de limpiarlos. Maneja los casos en los que el mensaje principal está vacío recurriendo al mensaje de registro original.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM |
|---|---|
aaa_info_flags |
additional.fields |
aaa_trans_id |
security_result.detection.fields |
aaad_flags |
additional.fields |
aaad_resp |
additional.fields |
aaaFlags |
additional.fields |
aaaFlags2 |
additional.fields |
act |
securtiy_result.action_details,security_result.action |
action |
security_result.action |
ADM_User |
additional.fields |
allowed_interface |
security_result.detection.fields |
applicationname |
target.application |
auth_type |
additional.fields |
authActionLen |
security_result.detection_fields |
AuthAgent |
additional.fields |
AuthDuration |
network.session_duration.seconds |
authnvs |
additional.fields |
authorizationStatus |
security_result.detection.fields |
AuthStage |
additional.fields |
Authtype |
additional.fields |
C |
principal.location.country_or_region |
caseId |
additional.fields |
cfg_limit |
additional.fields |
cgp_tag |
sec_result.detection_fields |
channel_id_X |
additional.fields |
channel_id_X_val |
additional.fields |
channel_update_begin |
additional.fields |
channel_update_end |
additional.fields |
cipher_suite |
network.tls.cipher |
client_fip |
target.ip target.asset.ip |
client_fport |
target.port |
client_ip |
principal.ip,principal.asset.ip |
client_port |
principal.port |
Client_security_expression |
additional.fields |
client_type |
additional.fields |
client_version |
network.tls.version |
client.nat.ip |
principal.nat_ip,principal.asset.nat_ip |
clientside_jitter |
additional.fields |
clientside_packet_retransmits |
additional.fields |
clientside_rtt |
additional.fields |
clientside_rxbytes |
network.sent_bytes |
clientside_txbytes |
network.received_bytes |
ClientVersion |
network.tls.version_protocol |
CN |
principal.resource.attribute.labels |
cn1 |
additional.fields |
cn2 |
additional.fields |
code |
additional.fields |
commandExecutionStatus |
security_result.action_details |
Compression_ratio_recv |
additional.fields |
Compression_ratio_send |
additional.fields |
configurationCmd |
security_result.detection.fields |
connectionId |
network.session_id |
copied_nsb |
sec_result.detection_fields |
core_id |
additional.fields |
core_refmask |
additional.fields |
cs1 |
additional.fields |
cs2 |
additional.fields |
cs4 |
additional.fields |
cs5 |
additional.fields |
cs6 |
additional.fields |
CSappid |
additional.fields |
CSAppname |
- |
csg_flags |
additional.fields |
ctx_flags |
additional.fields |
cur_attempts |
additional.fields |
CurfactorPolname |
additional.fields |
customername |
additional.fields |
days_for_pwd_exp |
additional.fields |
days_for_pwd_exp_STR |
additional.fields |
delinkTime |
additional.fields |
Denied_by_policy |
security_result.rule_name |
desc |
metadata.description |
destination.ip |
target.ip,target.asset.ip |
destination.port |
target.resource.attribute.labels |
device_event_class_id |
metadata.product_event_type |
device_version |
metadata.product_version |
Deviceid |
target.resource.product_object_id |
Devicetype |
additional.fields |
dht_delete_status |
additional.fields |
diagnostic_info |
additional.fields |
digestSignatureAlgorithm |
security_result.detection_fields |
dns_additional_count |
additional.fields |
dns_answer_count |
additional.fields |
dns_authority_count |
additional.fields |
dns_flags |
additional.fields |
dns_flags_raw |
network.dns.recursion_desired |
dns_flags_raw |
network.dns.recursion_available |
dns_id |
network.dns.id |
dns_question_count |
additional.fields |
dns_question_name |
network.dns.question.name |
domain |
security_result.detection.fields,additional.fields |
domain |
target.administrative_domain |
ecs_version |
additional.fields |
encrypt_status |
security_result.detection_fields |
end_time |
additional.fields |
End_time |
additional.fields |
entityName |
target.resource.name |
Error Code |
additional.fields |
event_id |
metadata.product_log_id |
event_name |
metadata.product_event_type |
event_type |
sec_result.summary |
expired_refmask |
additional.fields |
factor |
security_result.detection.fields |
flags |
additional.fields |
flags2 |
additional.fields |
flags3 |
additional.fields |
flags4 |
additional.fields |
func |
security_result.detection_fields |
geolocation |
location.country_region |
Group(s) |
target.user.group_identifiers |
Group(s) |
target.user.group.identifiers |
handshake_time |
network.session_duration.seconds |
HandshakeTime |
additional.fields |
host_hostname |
principal.hostname |
host_ip |
principal.ip principal.asset.ip |
host.name |
target.hostname,target.asset.hostname |
hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
hostname_1 |
target.hostname,target.asset.hostname |
http_method |
network.http.method |
Http_resources_accessed |
security_result.detection.fields |
http_uri |
target.url |
HTTPS |
network.application_protocol |
ica_conn_owner_refmask |
sec_result.detection_fields |
ica_rtt |
additional.fields |
ica_uuid |
network.session_id |
ICAUUID |
network.session_id |
id |
metadata.id |
init_icamode_homepage |
additional.fields |
inter_hostname |
intermediary.hostname |
interfaceKind |
security_result.detection.fields |
ip |
intermediary.asset.ip |
ip_x |
principal.ip principal.asset.ip |
ipaddress |
target.ip,target.asset.ip |
is_post |
additional.fields |
IssuerName |
network.tls.server.certificate.issuer |
L |
principal.location.city |
last_contact |
additional.fields |
loc |
target.url |
localdate |
additional.fields |
lock_duration |
additional.fields |
log_action |
sec_result.detection_fields |
log_action |
security_result.detection.fields |
log_category |
additional.fields |
log_data |
additional.fields |
log_format |
additional.fields |
log_timestamp |
additional.fields |
log_type |
additional.fields |
log.syslog.priority |
additional.fields |
login_count |
sec_result.detection_fields |
login_count |
security_result.detection_fields |
LogoutMethod |
additional.fields |
max_attempts |
additional.fields |
message_content |
security_result.summary |
message_id |
metadata.product_log_id |
message_status_code |
additional.fields |
method |
network.http.method |
monitored_resource |
additional.fields |
msg |
metadata.description |
msi_client_cookie |
additional.fields |
msticks |
additional.fields |
Nat_ip |
additional.fields,principal.nat_ip,principal.asset.nat_ip(si Nat_ip no es una dirección IP, se encuentra en additional.fields). |
netscaler_principal_ip_context |
principal.resource.attribute.labels |
netscaler_tag |
intermediary.asset.product_object_id |
netscaler_target_ip_context |
target.resource.attribute.labels |
new_webview |
additional.fields |
newWebview |
additional.fields |
NonHttp_services_accessed |
security_result.detection.fields |
nsPartitionName |
additional.fields |
on_port |
additional.fields |
Organization |
principal.resource.attribute.labels |
OU |
principal.resource.attribute.labels |
owner_from |
additional.fields |
owner_id |
additional.fields |
pcb_devno |
additional.fields |
pcbdevno |
additional.fields |
Policyname |
security_result.rule_name |
port |
principal.port |
port_details |
principal.port |
prin_ip |
principal.ip principal.asset.ip |
prin_user |
principal.user.userid |
principal_ip |
principal.ip,principal.asset.ip |
principal_port |
principal.port |
prod_event_type |
metadata.product_event_type |
protocol |
network.ip_protocol |
protocol_feature |
security_result.detection.fields |
ProtocolVersion |
network.tls.protocol_version |
pwdlen |
additional.fields |
pwdlen2 |
additional.fields |
q_flags |
additional.fields |
reason_val |
security_result.description |
receiver_version |
additional.fields |
record_type |
network.dns.question.type |
refmask |
additional.fields |
remote_ip |
principal.ip principal.asset.ip |
remote_port |
principal.port |
request |
target.url |
ReqURL |
additional.fields |
resource_cmd |
target.resource.name |
resource_name |
principal.resource.name |
response |
additional.fields |
response_code |
additional.fields |
rule_id |
security_result.rule.id |
rule_name |
security_result.rule_name |
SerialNumber |
network.tls.server.certificate.serial |
server_authenticated |
additional.fields |
serverside_jitter |
additional.fields |
serverside_packet_retransmits |
additional.fields |
serverside_rtt |
additional.fields |
service_name |
principal.applications |
sess_flags2: |
additional.fields |
sess_seq |
network.session_id |
sessFlags2 |
additional.fields |
Session |
additional.fields |
session_cookie |
security_result.detection_fields |
session_guid |
network.session_id |
session_id_label |
network.session_id |
session_setup_time |
additional.fields |
session_type |
sec_result.description |
SessionId |
network.session_id |
skip_code |
additional.fields |
source_file |
additional.fields |
source_hostname |
principal.hostname,principal.asset.hostname |
source_line |
additional.fields |
source.ip |
principal.ip,principal.asset.ip |
source.port |
principal.resource.attribute.labels |
spcb_id |
security_result.detecrion.fields |
SPCBId |
sec_result.detection_fields |
spt |
principal.port |
src |
principal.ip principal.asset.ip |
src_hostname |
principal.hostname principal.asset.hostname |
src_ip |
principal.ip principal.asset.ip |
src_ip1 |
src.ip,src.asset.ip |
src_port |
principal.port |
ssid |
network.session_id |
SSLVPN_client_type |
additional.fields |
SSO |
additional.fields |
sso |
additional.fields |
sso_auth_type |
additional.fields |
sso_flags |
security_result.detection_fields |
sso_state |
additional.fields |
SSOduration |
additional.fields |
SSOurl |
additional.fields |
ssoUsername |
additional.fields |
ssoUsername2 |
additional.fields |
ST |
principal.location.state |
sta_port |
additional.fields |
sta_ticket |
additional.fields |
start_time |
additional.fields |
Start_time |
additional.fields |
State |
security_result.action_details |
state |
additional.fields |
state_value |
additional.fields |
StatusCode |
additional.fields |
SubjectName |
network.tls.client.certificate.subject |
summ |
security_result.summary |
summary |
security_result.summary |
sysCmdPolLen |
security_result.detection.fields |
syslog_priority |
additional.fields |
tags |
additional.fields |
tar_ip |
target.ip target.asset.ip |
tar_port |
target.port |
target_id |
target.resource.id |
target_port |
target.port |
TCP |
network.ip_protocol |
timeout_ms |
additional.fields |
timestamp |
metadata.event_timestamp |
Total_bytes_send |
network.sent_bytes |
Total_compressedbytes_recv |
additional.fields |
Total_compressedbytes_send |
additional.fields |
Total_policies_allowed |
security_result.detection.fields |
Total_policies_denied |
security_result.detection.fields |
Total_TCP_connections |
security_result.detection.fields |
Total_UDP_flows |
security_result.detection.fields |
track_flags |
additional.fields |
trans_id |
- |
tt |
metadata.event_timestamp |
User |
principal.user.userid |
user_agent.original |
network.http.user_agent |
user_email |
principal.user.email_addresses |
user_id |
principal.user.userid |
user.domain |
target.administrative_domain |
user.name |
principal.user.user_display_name |
userids |
target.user.userid |
ValidFrom |
network.tls.server.certificate.not_before |
ValidTo |
network.tls.server.certificate.not_after |
version |
additional.fields |
VPNexportState |
additional.fields |
Vport |
target.port |
Vserver Timestamp |
additional.fields |
vserver_id |
target.resource.product_object_id |
Vserver_ip |
target.ip,target.asset.ip |
vserver_port |
target.port |
Vserver_port |
target.port |
vserver_timestamp |
additional.fields |
vserver.ip |
target.ip,target.asset.ip |
wirep |
additional.fields |
wirep_name |
additional.fields |
wirep_ref_cnt |
additional.fields |
Referencia del delta de asignación del UDM
El 3 de febrero de 2026, Google SecOps lanzó una nueva versión del analizador de NetScaler, que incluye cambios significativos en la asignación de campos de registro de NetScaler a campos del UDM y cambios en la asignación de tipos de eventos.
Delta de la asignación de campos de registro
En la siguiente tabla, se muestra el delta de asignación para los campos de registro de NetScaler a UDM expuestos antes del 3 de febrero de 2026 y posteriormente (se enumeran en las columnas Asignación anterior y Asignación actual, respectivamente):
| Campo de registro | Asignación anterior | Asignación actual |
|---|---|---|
act |
securit_.result.detetction_fields |
securtiy_result.action_details,security_result.action |
client_ip |
additional.fields |
principal.ip,principal.asset.ip |
ClientVersion |
network.tls.version |
network.tls.version_protocol |
connectionId |
security_result.detection_fields |
network.session_id |
CSAppname |
- |
- |
domain |
target.user.administrative_domain |
security_result.detection.fields,additional.fields |
end_time |
security_result.detection.fields security_result.last_discovered_time |
additional.fields |
event_id |
additional.fields |
metadata.product_log_id |
geolocation |
location.city |
location.country_region |
Group(s) |
target.user.group_display_name |
target.user.group_identifiers |
HandshakeTime |
network.session_duration.seconds |
additional.fields |
host.name |
intermediary.hostname |
target.hostname,target.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
principal.hostname,principal.asset.hostname |
target.hostname,target.asset.hostname |
ipaddress |
principal.ip,principal.asset.ip |
target.ip,target.asset.ip |
Nat_ip |
principal.ip,principal.asset.ip |
principal.nat_ip,principal.nat_ip |
port_details |
principal.labels |
principal.port |
principal_ip |
target.ip,target.asset.ip |
principal.ip,principal.asset.ip |
request |
security_result.summary |
target.url |
sess_seq |
additional.fields |
network.session_id |
session_guid |
metadata.product_log_id |
network.session_id |
source_hostname |
target.hostname,target.asset.hostname |
principal.hostname,principal.asset.hostname |
spcb_id |
additional.fields |
security_result.detecrion.fields |
ssid |
additional.fields |
network.session_id |
start_time |
security_result.detection.fields security_result.first_discovered_time |
additional.fields |
SubjectName |
principal.resource.attribute.labels |
network.tls.client.certificate.subject |
summary |
metadata.descritption |
security_result.summary |
target_port |
principal.port |
target.port |
trans_id |
security_result.detection.fields |
- |
user_id |
target.user.userid |
principal.user.userid |
Delta de la asignación de tipos de eventos
En la siguiente tabla, se muestra el delta para el control de los tipos de eventos de NetScaler antes del 3 de febrero de 2026 y después (se enumeran en las columnas Old event_type y Current event-type, respectivamente):
| event_type anterior | event_type actual | Motivo |
|---|---|---|
NETWORK_CONNECTION |
NETWORK_DNS |
Si message_type es DNS_QUERY o tiene nombre cuando has_network_dns es true. |
NETWORK_CONNECTION |
NETWORK_HTTP |
Cuando message_type es SSLVPN HTTPREQUEST |
STATUS_UPDATE |
NETWORK_CONNECTION |
Se asigna a un tipo de evento específico y apropiado. |
STATUS_UPDATE |
USER_RESOURCE_UPDATE_CONTENT |
Cuando message_type es SNMP TRAP_SENT y has_target_resource es true, se asigna a un tipo de evento específico y adecuado. |
STATUS_UPDATE |
USER_UNCATEGORIZED |
Se asigna a un tipo de evento específico y adecuado cuando está presente el principal userid. |
USER_RESOURCE_ACCESS |
NETWORK_HTTP |
Cuando message_type es SSLVPN HTTPREQUEST |
USER_STATS |
GENERIC_EVENT |
USER_STATS dejó de estar disponible, por lo que se asigna a un tipo de evento específico y adecuado. |
USER_STATS |
NETWORK_CONNECTION |
USER_STATS dejó de estar disponible, por lo que se asigna a un tipo de evento específico y adecuado. |
USER_STATS |
USER_LOGIN |
USER_STATS dejó de estar disponible, por lo que se asigna a un tipo de evento específico y adecuado. |
USER_STATS |
USER_LOGOUT |
USER_STATS dejó de estar disponible, por lo que se asigna a un tipo de evento específico y adecuado cuando message_type es LOGOUT. |
USER_UNCATEGORIZED |
GENERIC_EVENT |
El registro no tiene ningún campo de máquina principal para asignar. |
USER_UNCATEGORIZED |
NETWORK_CONNECTION |
Se asigna a un tipo de evento específico y apropiado. |
USER_UNCATEGORIZED |
USER_LOGIN |
Se asigna a un tipo de evento específico y apropiado. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.