Raccogliere i log di NetScaler
Supportato in:
Google secops
SIEM
Questo documento descrive come raccogliere i log NetScaler utilizzando un forwarder Google Security Operations.
Per saperne di più, consulta Panoramica sull'importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CITRIX_NETSCALER.
Configura NetScaler VPX
Per configurare NetScaler VPX in modo che invii i log al forwarder Google Security Operations, fai quanto segue:
- Verifica la configurazione del nome host.
- Crea il server di controllo.
- Collega la policy di audit creata al server.
Verifica la configurazione del nome host
- Accedi all'interfaccia web di NetScaler utilizzando le credenziali di amministratore.
- Seleziona Configurazione > Impostazioni.
- Fai clic su Nome host, indirizzo IP DNS e fuso orario.
- Se il campo Nome host è vuoto, inserisci il nome host. Non includere spazi. Se questo campo è già configurato, non è richiesta alcuna azione.
- Nel campo Indirizzo IP DNS, verifica se è specificato l'indirizzo IP DNS locale.
- Nel campo Fuso orario, inserisci il tuo fuso orario.
Crea server di controllo
- Nell'interfaccia web di NetScaler, seleziona Configuration > System > Auditing > Syslog > Servers.
- Specifica i dettagli di Syslog nei seguenti campi:
- Nome
- Tipo di server
- Indirizzo IP
- Port (Porta)
- Seleziona Livelli di log come Personalizzato.
- Seleziona tutte le caselle di controllo tranne il livello DEBUG nella configurazione.
- Nell'elenco Strumento di logging, seleziona LOCAL0.
- Nell'elenco Formato data, seleziona MMGGAAAA.
- Seleziona Fuso orario come GMT.
- Deseleziona le seguenti caselle di controllo:
- Logging TCP
- Logging ACL
- Messaggi di log configurabili dall'utente
- Registrazione di log di AppFlow
- Logging NAT su larga scala
- Registrazione dei messaggi ALG
- Registrazione degli iscritti
- DNS
- Intercettazione SSL
- Filtro degli URL
- Registrazione dell'ispezione dei contenuti
- Fai clic su Ok per creare il server di controllo.
Collega la policy di audit creata al server
- Nell'interfaccia web di NetScaler, seleziona Configuration > System > Auditing > Syslog.
- Fai clic sulla scheda Norme.
- Nel campo Nome, inserisci un nome per la policy.
- Nell'elenco Server, seleziona la policy della sezione precedente.
- Fai clic su Crea.
- Fai clic con il tasto destro del mouse sul criterio di controllo creato e seleziona Azione > Binding globali.
- Fai clic su Aggiungi associazione.
- Nella finestra Policy binding (Associazione policy):
- Nel campo Seleziona policy, inserisci la policy di controllo creata.
- Nel riquadro Dettagli binding, nel campo Priorità, inserisci 120, in quanto è la priorità predefinita.
- Fai clic su Associa.
Configura NetScaler SDX
Per configurare NetScaler SDX in modo che invii i log al forwarder Google Security Operations, svolgi le seguenti operazioni:
- Verifica la configurazione del nome host per NetScaler SDX.
- Configura il server syslog.
- Configura i parametri syslog.
Verifica la configurazione del nome host per NetScaler SDX
- Accedi all'interfaccia web di NetScaler utilizzando le credenziali di amministratore.
- Nell'interfaccia web NetScaler, seleziona System > System settings (Sistema > Impostazioni di sistema).
- Se il campo Nome host è vuoto, inserisci il nome host. Non includere spazi. Se questo campo è già configurato, non è richiesta alcuna azione.
- Nel campo Fuso orario, seleziona UTC o GMT.
Configurare il server syslog
- Nell'interfaccia web NetScaler, seleziona System > Notifications > Syslog servers.
- Nel riquadro Dettagli, fai clic su Aggiungi.
- Nella finestra Crea server syslog, specifica i valori per i seguenti parametri del server syslog:
- Nel campo Nome, inserisci un nome.
- Nel campo Indirizzo IP, inserisci l'indirizzo IP del forwarder di Google Security Operations.
- Nel campo Porta, il numero di porta.
- Seleziona Livelli di log come Personalizzato.
- Seleziona tutti i livelli di log tranne Debug.
- Fai clic su Crea.
Configurare i parametri syslog
- Nell'interfaccia web NetScaler, seleziona System > Notifications > Syslog servers.
- Nel riquadro Dettagli, fai clic su Parametri Syslog.
- Nella pagina Configura parametri syslog, seleziona Formato data come MMGGAAAA e seleziona Fuso orario come GMT.
- Fai clic su Ok.
Configura il programma di inoltro di Google Security Operations per l'importazione dei log NetScaler
- Seleziona Impostazioni SIEM > Forwarder.
- Fai clic su Aggiungi nuovo inoltro.
- Nel campo Nome forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, digita un nome univoco per il raccoglitore.
- Seleziona Citrix NetScaler come Tipo di log.
- Nel campo Tipo di raccoglitore, seleziona Syslog.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione utilizzato dal collettore per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per saperne di più sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite la UI di Google Security Operations.
Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser elabora i log SYSLOG di Citrix Netscaler in formato chiave-valore, estraendo i dati in formato JSON dal campo message e arricchendo UDM con informazioni provenienti da altri campi come host.hostname e user_agent.original dopo averli sanificati. Gestisce i casi in cui il messaggio principale è vuoto tornando al messaggio di log originale.
Tabella di mappatura UDM
| Campo log | Mappatura UDM |
|---|---|
aaa_info_flags |
additional.fields |
aaa_trans_id |
security_result.detection.fields |
aaad_flags |
additional.fields |
aaad_resp |
additional.fields |
aaaFlags |
additional.fields |
aaaFlags2 |
additional.fields |
act |
securtiy_result.action_details,security_result.action |
action |
security_result.action |
ADM_User |
additional.fields |
allowed_interface |
security_result.detection.fields |
applicationname |
target.application |
auth_type |
additional.fields |
authActionLen |
security_result.detection_fields |
AuthAgent |
additional.fields |
AuthDuration |
network.session_duration.seconds |
authnvs |
additional.fields |
authorizationStatus |
security_result.detection.fields |
AuthStage |
additional.fields |
Authtype |
additional.fields |
C |
principal.location.country_or_region |
caseId |
additional.fields |
cfg_limit |
additional.fields |
cgp_tag |
sec_result.detection_fields |
channel_id_X |
additional.fields |
channel_id_X_val |
additional.fields |
channel_update_begin |
additional.fields |
channel_update_end |
additional.fields |
cipher_suite |
network.tls.cipher |
client_fip |
target.ip target.asset.ip |
client_fport |
target.port |
client_ip |
principal.ip,principal.asset.ip |
client_port |
principal.port |
Client_security_expression |
additional.fields |
client_type |
additional.fields |
client_version |
network.tls.version |
client.nat.ip |
principal.nat_ip,principal.asset.nat_ip |
clientside_jitter |
additional.fields |
clientside_packet_retransmits |
additional.fields |
clientside_rtt |
additional.fields |
clientside_rxbytes |
network.sent_bytes |
clientside_txbytes |
network.received_bytes |
ClientVersion |
network.tls.version_protocol |
CN |
principal.resource.attribute.labels |
cn1 |
additional.fields |
cn2 |
additional.fields |
code |
additional.fields |
commandExecutionStatus |
security_result.action_details |
Compression_ratio_recv |
additional.fields |
Compression_ratio_send |
additional.fields |
configurationCmd |
security_result.detection.fields |
connectionId |
network.session_id |
copied_nsb |
sec_result.detection_fields |
core_id |
additional.fields |
core_refmask |
additional.fields |
cs1 |
additional.fields |
cs2 |
additional.fields |
cs4 |
additional.fields |
cs5 |
additional.fields |
cs6 |
additional.fields |
CSappid |
additional.fields |
CSAppname |
- |
csg_flags |
additional.fields |
ctx_flags |
additional.fields |
cur_attempts |
additional.fields |
CurfactorPolname |
additional.fields |
customername |
additional.fields |
days_for_pwd_exp |
additional.fields |
days_for_pwd_exp_STR |
additional.fields |
delinkTime |
additional.fields |
Denied_by_policy |
security_result.rule_name |
desc |
metadata.description |
destination.ip |
target.ip,target.asset.ip |
destination.port |
target.resource.attribute.labels |
device_event_class_id |
metadata.product_event_type |
device_version |
metadata.product_version |
Deviceid |
target.resource.product_object_id |
Devicetype |
additional.fields |
dht_delete_status |
additional.fields |
diagnostic_info |
additional.fields |
digestSignatureAlgorithm |
security_result.detection_fields |
dns_additional_count |
additional.fields |
dns_answer_count |
additional.fields |
dns_authority_count |
additional.fields |
dns_flags |
additional.fields |
dns_flags_raw |
network.dns.recursion_desired |
dns_flags_raw |
network.dns.recursion_available |
dns_id |
network.dns.id |
dns_question_count |
additional.fields |
dns_question_name |
network.dns.question.name |
domain |
security_result.detection.fields,additional.fields |
domain |
target.administrative_domain |
ecs_version |
additional.fields |
encrypt_status |
security_result.detection_fields |
end_time |
additional.fields |
End_time |
additional.fields |
entityName |
target.resource.name |
Error Code |
additional.fields |
event_id |
metadata.product_log_id |
event_name |
metadata.product_event_type |
event_type |
sec_result.summary |
expired_refmask |
additional.fields |
factor |
security_result.detection.fields |
flags |
additional.fields |
flags2 |
additional.fields |
flags3 |
additional.fields |
flags4 |
additional.fields |
func |
security_result.detection_fields |
geolocation |
location.country_region |
Group(s) |
target.user.group_identifiers |
Group(s) |
target.user.group.identifiers |
handshake_time |
network.session_duration.seconds |
HandshakeTime |
additional.fields |
host_hostname |
principal.hostname |
host_ip |
principal.ip principal.asset.ip |
host.name |
target.hostname,target.asset.hostname |
hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
hostname_1 |
target.hostname,target.asset.hostname |
http_method |
network.http.method |
Http_resources_accessed |
security_result.detection.fields |
http_uri |
target.url |
HTTPS |
network.application_protocol |
ica_conn_owner_refmask |
sec_result.detection_fields |
ica_rtt |
additional.fields |
ica_uuid |
network.session_id |
ICAUUID |
network.session_id |
id |
metadata.id |
init_icamode_homepage |
additional.fields |
inter_hostname |
intermediary.hostname |
interfaceKind |
security_result.detection.fields |
ip |
intermediary.asset.ip |
ip_x |
principal.ip principal.asset.ip |
ipaddress |
target.ip,target.asset.ip |
is_post |
additional.fields |
IssuerName |
network.tls.server.certificate.issuer |
L |
principal.location.city |
last_contact |
additional.fields |
loc |
target.url |
localdate |
additional.fields |
lock_duration |
additional.fields |
log_action |
sec_result.detection_fields |
log_action |
security_result.detection.fields |
log_category |
additional.fields |
log_data |
additional.fields |
log_format |
additional.fields |
log_timestamp |
additional.fields |
log_type |
additional.fields |
log.syslog.priority |
additional.fields |
login_count |
sec_result.detection_fields |
login_count |
security_result.detection_fields |
LogoutMethod |
additional.fields |
max_attempts |
additional.fields |
message_content |
security_result.summary |
message_id |
metadata.product_log_id |
message_status_code |
additional.fields |
method |
network.http.method |
monitored_resource |
additional.fields |
msg |
metadata.description |
msi_client_cookie |
additional.fields |
msticks |
additional.fields |
Nat_ip |
additional.fields,principal.nat_ip,principal.asset.nat_ip(se Nat_ip non è un indirizzo IP, si trova in additional.fields). |
netscaler_principal_ip_context |
principal.resource.attribute.labels |
netscaler_tag |
intermediary.asset.product_object_id |
netscaler_target_ip_context |
target.resource.attribute.labels |
new_webview |
additional.fields |
newWebview |
additional.fields |
NonHttp_services_accessed |
security_result.detection.fields |
nsPartitionName |
additional.fields |
on_port |
additional.fields |
Organization |
principal.resource.attribute.labels |
OU |
principal.resource.attribute.labels |
owner_from |
additional.fields |
owner_id |
additional.fields |
pcb_devno |
additional.fields |
pcbdevno |
additional.fields |
Policyname |
security_result.rule_name |
port |
principal.port |
port_details |
principal.port |
prin_ip |
principal.ip principal.asset.ip |
prin_user |
principal.user.userid |
principal_ip |
principal.ip,principal.asset.ip |
principal_port |
principal.port |
prod_event_type |
metadata.product_event_type |
protocol |
network.ip_protocol |
protocol_feature |
security_result.detection.fields |
ProtocolVersion |
network.tls.protocol_version |
pwdlen |
additional.fields |
pwdlen2 |
additional.fields |
q_flags |
additional.fields |
reason_val |
security_result.description |
receiver_version |
additional.fields |
record_type |
network.dns.question.type |
refmask |
additional.fields |
remote_ip |
principal.ip principal.asset.ip |
remote_port |
principal.port |
request |
target.url |
ReqURL |
additional.fields |
resource_cmd |
target.resource.name |
resource_name |
principal.resource.name |
response |
additional.fields |
response_code |
additional.fields |
rule_id |
security_result.rule.id |
rule_name |
security_result.rule_name |
SerialNumber |
network.tls.server.certificate.serial |
server_authenticated |
additional.fields |
serverside_jitter |
additional.fields |
serverside_packet_retransmits |
additional.fields |
serverside_rtt |
additional.fields |
service_name |
principal.applications |
sess_flags2: |
additional.fields |
sess_seq |
network.session_id |
sessFlags2 |
additional.fields |
Session |
additional.fields |
session_cookie |
security_result.detection_fields |
session_guid |
network.session_id |
session_id_label |
network.session_id |
session_setup_time |
additional.fields |
session_type |
sec_result.description |
SessionId |
network.session_id |
skip_code |
additional.fields |
source_file |
additional.fields |
source_hostname |
principal.hostname,principal.asset.hostname |
source_line |
additional.fields |
source.ip |
principal.ip,principal.asset.ip |
source.port |
principal.resource.attribute.labels |
spcb_id |
security_result.detecrion.fields |
SPCBId |
sec_result.detection_fields |
spt |
principal.port |
src |
principal.ip principal.asset.ip |
src_hostname |
principal.hostname principal.asset.hostname |
src_ip |
principal.ip principal.asset.ip |
src_ip1 |
src.ip,src.asset.ip |
src_port |
principal.port |
ssid |
network.session_id |
SSLVPN_client_type |
additional.fields |
SSO |
additional.fields |
sso |
additional.fields |
sso_auth_type |
additional.fields |
sso_flags |
security_result.detection_fields |
sso_state |
additional.fields |
SSOduration |
additional.fields |
SSOurl |
additional.fields |
ssoUsername |
additional.fields |
ssoUsername2 |
additional.fields |
ST |
principal.location.state |
sta_port |
additional.fields |
sta_ticket |
additional.fields |
start_time |
additional.fields |
Start_time |
additional.fields |
State |
security_result.action_details |
state |
additional.fields |
state_value |
additional.fields |
StatusCode |
additional.fields |
SubjectName |
network.tls.client.certificate.subject |
summ |
security_result.summary |
summary |
security_result.summary |
sysCmdPolLen |
security_result.detection.fields |
syslog_priority |
additional.fields |
tags |
additional.fields |
tar_ip |
target.ip target.asset.ip |
tar_port |
target.port |
target_id |
target.resource.id |
target_port |
target.port |
TCP |
network.ip_protocol |
timeout_ms |
additional.fields |
timestamp |
metadata.event_timestamp |
Total_bytes_send |
network.sent_bytes |
Total_compressedbytes_recv |
additional.fields |
Total_compressedbytes_send |
additional.fields |
Total_policies_allowed |
security_result.detection.fields |
Total_policies_denied |
security_result.detection.fields |
Total_TCP_connections |
security_result.detection.fields |
Total_UDP_flows |
security_result.detection.fields |
track_flags |
additional.fields |
trans_id |
- |
tt |
metadata.event_timestamp |
User |
principal.user.userid |
user_agent.original |
network.http.user_agent |
user_email |
principal.user.email_addresses |
user_id |
principal.user.userid |
user.domain |
target.administrative_domain |
user.name |
principal.user.user_display_name |
userids |
target.user.userid |
ValidFrom |
network.tls.server.certificate.not_before |
ValidTo |
network.tls.server.certificate.not_after |
version |
additional.fields |
VPNexportState |
additional.fields |
Vport |
target.port |
Vserver Timestamp |
additional.fields |
vserver_id |
target.resource.product_object_id |
Vserver_ip |
target.ip,target.asset.ip |
vserver_port |
target.port |
Vserver_port |
target.port |
vserver_timestamp |
additional.fields |
vserver.ip |
target.ip,target.asset.ip |
wirep |
additional.fields |
wirep_name |
additional.fields |
wirep_ref_cnt |
additional.fields |
Riferimento del delta di mappatura UDM
Il 3 febbraio 2026, Google SecOps ha rilasciato una nuova versione del parser NetScaler, che include modifiche significative al mapping dei campi di log NetScaler ai campi UDM e modifiche al mapping dei tipi di eventi.
Delta della mappatura dei campi di log
La tabella seguente elenca il delta di mappatura per i campi di log-to-UDM di NetScaler esposti prima del 3 febbraio 2026 e successivamente (elencati rispettivamente nelle colonne Mappatura precedente e Mappatura attuale):
| Campo log | Mappatura precedente | Mappatura attuale |
|---|---|---|
act |
securit_.result.detetction_fields |
securtiy_result.action_details,security_result.action |
client_ip |
additional.fields |
principal.ip,principal.asset.ip |
ClientVersion |
network.tls.version |
network.tls.version_protocol |
connectionId |
security_result.detection_fields |
network.session_id |
CSAppname |
- |
- |
domain |
target.user.administrative_domain |
security_result.detection.fields,additional.fields |
end_time |
security_result.detection.fields security_result.last_discovered_time |
additional.fields |
event_id |
additional.fields |
metadata.product_log_id |
geolocation |
location.city |
location.country_region |
Group(s) |
target.user.group_display_name |
target.user.group_identifiers |
HandshakeTime |
network.session_duration.seconds |
additional.fields |
host.name |
intermediary.hostname |
target.hostname,target.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
principal.hostname,principal.asset.hostname |
target.hostname,target.asset.hostname |
ipaddress |
principal.ip,principal.asset.ip |
target.ip,target.asset.ip |
Nat_ip |
principal.ip,principal.asset.ip |
principal.nat_ip,principal.nat_ip |
port_details |
principal.labels |
principal.port |
principal_ip |
target.ip,target.asset.ip |
principal.ip,principal.asset.ip |
request |
security_result.summary |
target.url |
sess_seq |
additional.fields |
network.session_id |
session_guid |
metadata.product_log_id |
network.session_id |
source_hostname |
target.hostname,target.asset.hostname |
principal.hostname,principal.asset.hostname |
spcb_id |
additional.fields |
security_result.detecrion.fields |
ssid |
additional.fields |
network.session_id |
start_time |
security_result.detection.fields security_result.first_discovered_time |
additional.fields |
SubjectName |
principal.resource.attribute.labels |
network.tls.client.certificate.subject |
summary |
metadata.descritption |
security_result.summary |
target_port |
principal.port |
target.port |
trans_id |
security_result.detection.fields |
- |
user_id |
target.user.userid |
principal.user.userid |
Delta della mappatura dei tipi di eventi
La tabella seguente elenca la differenza per la gestione dei tipi di eventi NetScaler prima del 3 febbraio 2026 e successivamente (elencati rispettivamente nelle colonne Old event_type e Current event-type):
| Old event_type | Current event_type | Motivo |
|---|---|---|
NETWORK_CONNECTION |
NETWORK_DNS |
Se message_type è DNS_QUERY o denominato quando has_network_dns è true. |
NETWORK_CONNECTION |
NETWORK_HTTP |
Quando il campo message_type è SSLVPN HTTPREQUEST. |
STATUS_UPDATE |
NETWORK_CONNECTION |
Mappato a un tipo di evento specifico e appropriato. |
STATUS_UPDATE |
USER_RESOURCE_UPDATE_CONTENT |
Quando message_type è SNMP TRAP_SENT e has_target_resource è true, questo viene mappato a un tipo di evento specifico appropriato. |
STATUS_UPDATE |
USER_UNCATEGORIZED |
Mappato a un tipo di evento specifico e appropriato quando è presente il principal userid. |
USER_RESOURCE_ACCESS |
NETWORK_HTTP |
Quando message_type è SSLVPN HTTPREQUEST |
USER_STATS |
GENERIC_EVENT |
USER_STATS è deprecato, pertanto viene mappato a un tipo di evento specifico e appropriato. |
USER_STATS |
NETWORK_CONNECTION |
USER_STATS è deprecato, pertanto viene mappato a un tipo di evento specifico e appropriato. |
USER_STATS |
USER_LOGIN |
USER_STATS è deprecato, pertanto viene mappato a un tipo di evento specifico e appropriato. |
USER_STATS |
USER_LOGOUT |
USER_STATS è deprecato, pertanto viene mappato a un tipo di evento specifico e appropriato quando message_type è LOGOUT. |
USER_UNCATEGORIZED |
GENERIC_EVENT |
Il log non contiene alcun campo macchina principale da mappare. |
USER_UNCATEGORIZED |
NETWORK_CONNECTION |
Mappato a un tipo di evento specifico e appropriato. |
USER_UNCATEGORIZED |
USER_LOGIN |
Mappato a un tipo di evento specifico e appropriato. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.