收集 NetScaler 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google Security Operations 转发器收集 NetScaler 日志。
如需了解详情,请参阅 Google Security Operations 数据注入概览。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CITRIX_NETSCALER 注入标签的解析器。
配置 NetScaler VPX
如需将 NetScaler VPX 配置为将日志发送到 Google Security Operations 转发器,请执行以下操作:
验证主机名配置
- 使用管理员凭据登录 NetScaler 网页界面。
- 依次选择配置 > 设置。
- 点击主机名、DNS IP 地址和时区。
- 如果主机名字段为空,请输入主机名。不包含空格。 如果此字段已配置,则无需执行任何操作。
- 在 DNS IP 地址字段中,验证是否指定了本地 DNS IP 地址。
- 在时区字段中,输入您的时区。
创建审核服务器
- 在 NetScaler 网页界面中,依次选择配置 > 系统 > 审核 > Syslog > 服务器。
- 在以下字段中指定 syslog 详细信息:
- 名称
- 服务器类型
- IP 地址
- 端口
- 将日志级别选择为自定义。
- 在配置中,选中除 DEBUG 级别以外的所有复选框。
- 在日志功能列表中,选择 LOCAL0。
- 在日期格式列表中,选择 MMDDYYYY。
- 选择 Time zone(时区)作为 GMT。
- 清除以下复选框:
- TCP 日志记录
- ACL 日志记录
- 用户可配置的日志消息
- AppFlow 日志记录
- 大规模 NAT 日志记录
- ALG 消息日志记录
- 订阅方日志记录
- DNS
- SSL 拦截
- 网址过滤
- 内容检查日志记录
- 点击确定以创建审核服务器。
将创建的审核政策绑定到服务器
- 在 NetScaler 网页界面中,依次选择配置 > 系统 > 审核 > Syslog。
- 点击政策标签页。
- 在名称字段中,输入政策的名称。
- 在服务器列表中,选择上一部分中的政策。
- 点击创建。
- 右键点击创建的审核政策,然后依次选择操作 > 全局绑定。
- 点击添加绑定。
- 在政策绑定窗口中,执行以下操作:
- 在选择政策字段中,输入创建的审核政策。
- 在绑定详情窗格的优先级字段中,输入 120,因为这是默认优先级。
- 点击 Bind(绑定)。
配置 NetScaler SDX
如需将 NetScaler SDX 配置为将日志发送到 Google Security Operations 转发器,请执行以下操作:
验证 NetScaler SDX 的主机名配置
- 使用管理员凭据登录 NetScaler 网页界面。
- 在 NetScaler 网页界面中,依次选择系统 > 系统设置。
- 如果主机名字段为空,请输入主机名。不包含空格。 如果此字段已配置,则无需执行任何操作。
- 在时区字段中,选择 UTC 或 GMT。
配置 syslog 服务器
- 在 NetScaler 网页界面中,依次选择系统 > 通知 > Syslog 服务器。
- 在详细信息窗格中,点击添加。
- 在创建 Syslog 服务器窗口中,为以下 Syslog 服务器参数指定值:
- 在名称字段中,输入一个名称。
- 在 IP 地址字段中,输入 Google Security Operations 转发器的 IP 地址。
- 在端口字段中,输入端口号。
- 将日志级别选择为自定义。
- 选择除调试以外的所有日志级别。
- 点击创建。
配置 syslog 参数
- 在 NetScaler 网页界面中,依次选择系统 > 通知 > Syslog 服务器。
- 在详细信息窗格中,点击 Syslog 参数。
- 在配置 syslog 参数页面中,选择 Date format(日期格式)为 MMDDYYYY,并选择 Time zone(时区)为 GMT。
- 点击确定。
配置 Google Security Operations 转发器以注入 NetScaler 日志
- 依次选择 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,输入转发器的唯一名称。
- 点击提交,然后点击确认。转发器已添加,系统会显示添加收集器配置窗口。
- 在收集器名称字段中,为收集器输入一个唯一名称。
- 选择 Citrix NetScaler 作为日志类型。
- 在收集器类型字段中,选择 Syslog。
- 配置以下必需的输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的并监听 syslog 数据的目标端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅通过 Google Security Operations 界面管理转发器配置。
如果您在创建转发器时遇到问题,请与 Google Security Operations 支持团队联系。
字段映射参考
此解析器以键值对格式处理 Citrix Netscaler SYSLOG 日志,从 message 字段中提取 JSON 格式的数据,并在清理后使用 host.hostname 和 user_agent.original 等其他字段中的信息来扩充 UDM。它通过回退到原始日志消息来处理主消息为空的情况。
UDM 映射表
| 日志字段 | UDM 映射 |
|---|---|
aaa_info_flags |
additional.fields |
aaa_trans_id |
security_result.detection.fields |
aaad_flags |
additional.fields |
aaad_resp |
additional.fields |
aaaFlags |
additional.fields |
aaaFlags2 |
additional.fields |
act |
securtiy_result.action_details,security_result.action |
action |
security_result.action |
ADM_User |
additional.fields |
allowed_interface |
security_result.detection.fields |
applicationname |
target.application |
auth_type |
additional.fields |
authActionLen |
security_result.detection_fields |
AuthAgent |
additional.fields |
AuthDuration |
network.session_duration.seconds |
authnvs |
additional.fields |
authorizationStatus |
security_result.detection.fields |
AuthStage |
additional.fields |
Authtype |
additional.fields |
C |
principal.location.country_or_region |
caseId |
additional.fields |
cfg_limit |
additional.fields |
cgp_tag |
sec_result.detection_fields |
channel_id_X |
additional.fields |
channel_id_X_val |
additional.fields |
channel_update_begin |
additional.fields |
channel_update_end |
additional.fields |
cipher_suite |
network.tls.cipher |
client_fip |
target.ip target.asset.ip |
client_fport |
target.port |
client_ip |
principal.ip,principal.asset.ip |
client_port |
principal.port |
Client_security_expression |
additional.fields |
client_type |
additional.fields |
client_version |
network.tls.version |
client.nat.ip |
principal.nat_ip,principal.asset.nat_ip |
clientside_jitter |
additional.fields |
clientside_packet_retransmits |
additional.fields |
clientside_rtt |
additional.fields |
clientside_rxbytes |
network.sent_bytes |
clientside_txbytes |
network.received_bytes |
ClientVersion |
network.tls.version_protocol |
CN |
principal.resource.attribute.labels |
cn1 |
additional.fields |
cn2 |
additional.fields |
code |
additional.fields |
commandExecutionStatus |
security_result.action_details |
Compression_ratio_recv |
additional.fields |
Compression_ratio_send |
additional.fields |
configurationCmd |
security_result.detection.fields |
connectionId |
network.session_id |
copied_nsb |
sec_result.detection_fields |
core_id |
additional.fields |
core_refmask |
additional.fields |
cs1 |
additional.fields |
cs2 |
additional.fields |
cs4 |
additional.fields |
cs5 |
additional.fields |
cs6 |
additional.fields |
CSappid |
additional.fields |
CSAppname |
- |
csg_flags |
additional.fields |
ctx_flags |
additional.fields |
cur_attempts |
additional.fields |
CurfactorPolname |
additional.fields |
customername |
additional.fields |
days_for_pwd_exp |
additional.fields |
days_for_pwd_exp_STR |
additional.fields |
delinkTime |
additional.fields |
Denied_by_policy |
security_result.rule_name |
desc |
metadata.description |
destination.ip |
target.ip,target.asset.ip |
destination.port |
target.resource.attribute.labels |
device_event_class_id |
metadata.product_event_type |
device_version |
metadata.product_version |
Deviceid |
target.resource.product_object_id |
Devicetype |
additional.fields |
dht_delete_status |
additional.fields |
diagnostic_info |
additional.fields |
digestSignatureAlgorithm |
security_result.detection_fields |
dns_additional_count |
additional.fields |
dns_answer_count |
additional.fields |
dns_authority_count |
additional.fields |
dns_flags |
additional.fields |
dns_flags_raw |
network.dns.recursion_desired |
dns_flags_raw |
network.dns.recursion_available |
dns_id |
network.dns.id |
dns_question_count |
additional.fields |
dns_question_name |
network.dns.question.name |
domain |
security_result.detection.fields,additional.fields |
domain |
target.administrative_domain |
ecs_version |
additional.fields |
encrypt_status |
security_result.detection_fields |
end_time |
additional.fields |
End_time |
additional.fields |
entityName |
target.resource.name |
Error Code |
additional.fields |
event_id |
metadata.product_log_id |
event_name |
metadata.product_event_type |
event_type |
sec_result.summary |
expired_refmask |
additional.fields |
factor |
security_result.detection.fields |
flags |
additional.fields |
flags2 |
additional.fields |
flags3 |
additional.fields |
flags4 |
additional.fields |
func |
security_result.detection_fields |
geolocation |
location.country_region |
Group(s) |
target.user.group_identifiers |
Group(s) |
target.user.group.identifiers |
handshake_time |
network.session_duration.seconds |
HandshakeTime |
additional.fields |
host_hostname |
principal.hostname |
host_ip |
principal.ip principal.asset.ip |
host.name |
target.hostname,target.asset.hostname |
hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
hostname_1 |
target.hostname,target.asset.hostname |
http_method |
network.http.method |
Http_resources_accessed |
security_result.detection.fields |
http_uri |
target.url |
HTTPS |
network.application_protocol |
ica_conn_owner_refmask |
sec_result.detection_fields |
ica_rtt |
additional.fields |
ica_uuid |
network.session_id |
ICAUUID |
network.session_id |
id |
metadata.id |
init_icamode_homepage |
additional.fields |
inter_hostname |
intermediary.hostname |
interfaceKind |
security_result.detection.fields |
ip |
intermediary.asset.ip |
ip_x |
principal.ip principal.asset.ip |
ipaddress |
target.ip,target.asset.ip |
is_post |
additional.fields |
IssuerName |
network.tls.server.certificate.issuer |
L |
principal.location.city |
last_contact |
additional.fields |
loc |
target.url |
localdate |
additional.fields |
lock_duration |
additional.fields |
log_action |
sec_result.detection_fields |
log_action |
security_result.detection.fields |
log_category |
additional.fields |
log_data |
additional.fields |
log_format |
additional.fields |
log_timestamp |
additional.fields |
log_type |
additional.fields |
log.syslog.priority |
additional.fields |
login_count |
sec_result.detection_fields |
login_count |
security_result.detection_fields |
LogoutMethod |
additional.fields |
max_attempts |
additional.fields |
message_content |
security_result.summary |
message_id |
metadata.product_log_id |
message_status_code |
additional.fields |
method |
network.http.method |
monitored_resource |
additional.fields |
msg |
metadata.description |
msi_client_cookie |
additional.fields |
msticks |
additional.fields |
Nat_ip |
additional.fields、principal.nat_ip、principal.asset.nat_ip(如果 Nat_ip 不是 IP 地址,则为 additional.fields。) |
netscaler_principal_ip_context |
principal.resource.attribute.labels |
netscaler_tag |
intermediary.asset.product_object_id |
netscaler_target_ip_context |
target.resource.attribute.labels |
new_webview |
additional.fields |
newWebview |
additional.fields |
NonHttp_services_accessed |
security_result.detection.fields |
nsPartitionName |
additional.fields |
on_port |
additional.fields |
Organization |
principal.resource.attribute.labels |
OU |
principal.resource.attribute.labels |
owner_from |
additional.fields |
owner_id |
additional.fields |
pcb_devno |
additional.fields |
pcbdevno |
additional.fields |
Policyname |
security_result.rule_name |
port |
principal.port |
port_details |
principal.port |
prin_ip |
principal.ip principal.asset.ip |
prin_user |
principal.user.userid |
principal_ip |
principal.ip,principal.asset.ip |
principal_port |
principal.port |
prod_event_type |
metadata.product_event_type |
protocol |
network.ip_protocol |
protocol_feature |
security_result.detection.fields |
ProtocolVersion |
network.tls.protocol_version |
pwdlen |
additional.fields |
pwdlen2 |
additional.fields |
q_flags |
additional.fields |
reason_val |
security_result.description |
receiver_version |
additional.fields |
record_type |
network.dns.question.type |
refmask |
additional.fields |
remote_ip |
principal.ip principal.asset.ip |
remote_port |
principal.port |
request |
target.url |
ReqURL |
additional.fields |
resource_cmd |
target.resource.name |
resource_name |
principal.resource.name |
response |
additional.fields |
response_code |
additional.fields |
rule_id |
security_result.rule.id |
rule_name |
security_result.rule_name |
SerialNumber |
network.tls.server.certificate.serial |
server_authenticated |
additional.fields |
serverside_jitter |
additional.fields |
serverside_packet_retransmits |
additional.fields |
serverside_rtt |
additional.fields |
service_name |
principal.applications |
sess_flags2: |
additional.fields |
sess_seq |
network.session_id |
sessFlags2 |
additional.fields |
Session |
additional.fields |
session_cookie |
security_result.detection_fields |
session_guid |
network.session_id |
session_id_label |
network.session_id |
session_setup_time |
additional.fields |
session_type |
sec_result.description |
SessionId |
network.session_id |
skip_code |
additional.fields |
source_file |
additional.fields |
source_hostname |
principal.hostname,principal.asset.hostname |
source_line |
additional.fields |
source.ip |
principal.ip,principal.asset.ip |
source.port |
principal.resource.attribute.labels |
spcb_id |
security_result.detecrion.fields |
SPCBId |
sec_result.detection_fields |
spt |
principal.port |
src |
principal.ip principal.asset.ip |
src_hostname |
principal.hostname principal.asset.hostname |
src_ip |
principal.ip principal.asset.ip |
src_ip1 |
src.ip,src.asset.ip |
src_port |
principal.port |
ssid |
network.session_id |
SSLVPN_client_type |
additional.fields |
SSO |
additional.fields |
sso |
additional.fields |
sso_auth_type |
additional.fields |
sso_flags |
security_result.detection_fields |
sso_state |
additional.fields |
SSOduration |
additional.fields |
SSOurl |
additional.fields |
ssoUsername |
additional.fields |
ssoUsername2 |
additional.fields |
ST |
principal.location.state |
sta_port |
additional.fields |
sta_ticket |
additional.fields |
start_time |
additional.fields |
Start_time |
additional.fields |
State |
security_result.action_details |
state |
additional.fields |
state_value |
additional.fields |
StatusCode |
additional.fields |
SubjectName |
network.tls.client.certificate.subject |
summ |
security_result.summary |
summary |
security_result.summary |
sysCmdPolLen |
security_result.detection.fields |
syslog_priority |
additional.fields |
tags |
additional.fields |
tar_ip |
target.ip target.asset.ip |
tar_port |
target.port |
target_id |
target.resource.id |
target_port |
target.port |
TCP |
network.ip_protocol |
timeout_ms |
additional.fields |
timestamp |
metadata.event_timestamp |
Total_bytes_send |
network.sent_bytes |
Total_compressedbytes_recv |
additional.fields |
Total_compressedbytes_send |
additional.fields |
Total_policies_allowed |
security_result.detection.fields |
Total_policies_denied |
security_result.detection.fields |
Total_TCP_connections |
security_result.detection.fields |
Total_UDP_flows |
security_result.detection.fields |
track_flags |
additional.fields |
trans_id |
- |
tt |
metadata.event_timestamp |
User |
principal.user.userid |
user_agent.original |
network.http.user_agent |
user_email |
principal.user.email_addresses |
user_id |
principal.user.userid |
user.domain |
target.administrative_domain |
user.name |
principal.user.user_display_name |
userids |
target.user.userid |
ValidFrom |
network.tls.server.certificate.not_before |
ValidTo |
network.tls.server.certificate.not_after |
version |
additional.fields |
VPNexportState |
additional.fields |
Vport |
target.port |
Vserver Timestamp |
additional.fields |
vserver_id |
target.resource.product_object_id |
Vserver_ip |
target.ip,target.asset.ip |
vserver_port |
target.port |
Vserver_port |
target.port |
vserver_timestamp |
additional.fields |
vserver.ip |
target.ip,target.asset.ip |
wirep |
additional.fields |
wirep_name |
additional.fields |
wirep_ref_cnt |
additional.fields |
UDM 映射增量参考信息
2026 年 2 月 3 日,Google SecOps 发布了新版 NetScaler 解析器,其中包含对 NetScaler 日志字段到 UDM 字段的映射以及事件类型映射的重大更改。
日志字段映射增量
下表列出了 2026 年 2 月 3 日之前和之后公开的 NetScaler 日志到 UDM 字段的映射增量(分别列在“旧映射”列和“当前映射”列中):
| 日志字段 | 旧映射 | 当前映射 |
|---|---|---|
act |
securit_.result.detetction_fields |
securtiy_result.action_details,security_result.action |
client_ip |
additional.fields |
principal.ip,principal.asset.ip |
ClientVersion |
network.tls.version |
network.tls.version_protocol |
connectionId |
security_result.detection_fields |
network.session_id |
CSAppname |
- |
- |
domain |
target.user.administrative_domain |
security_result.detection.fields,additional.fields |
end_time |
security_result.detection.fields security_result.last_discovered_time |
additional.fields |
event_id |
additional.fields |
metadata.product_log_id |
geolocation |
location.city |
location.country_region |
Group(s) |
target.user.group_display_name |
target.user.group_identifiers |
HandshakeTime |
network.session_duration.seconds |
additional.fields |
host.name |
intermediary.hostname |
target.hostname,target.asset.hostname |
hostname |
target.hostname,target.asset.hostname |
intermediary.hostname,intermediary.asset.hostname |
hostname |
principal.hostname,principal.asset.hostname |
target.hostname,target.asset.hostname |
ipaddress |
principal.ip,principal.asset.ip |
target.ip,target.asset.ip |
Nat_ip |
principal.ip,principal.asset.ip |
principal.nat_ip、principal.nat_ip |
port_details |
principal.labels |
principal.port |
principal_ip |
target.ip,target.asset.ip |
principal.ip,principal.asset.ip |
request |
security_result.summary |
target.url |
sess_seq |
additional.fields |
network.session_id |
session_guid |
metadata.product_log_id |
network.session_id |
source_hostname |
target.hostname,target.asset.hostname |
principal.hostname,principal.asset.hostname |
spcb_id |
additional.fields |
security_result.detecrion.fields |
ssid |
additional.fields |
network.session_id |
start_time |
security_result.detection.fields security_result.first_discovered_time |
additional.fields |
SubjectName |
principal.resource.attribute.labels |
network.tls.client.certificate.subject |
summary |
metadata.descritption |
security_result.summary |
target_port |
principal.port |
target.port |
trans_id |
security_result.detection.fields |
- |
user_id |
target.user.userid |
principal.user.userid |
事件类型映射增量
下表列出了 2026 年 2 月 3 日之前和之后(分别列在旧 event_type 列和当前 event-type 列中)NetScaler 事件类型处理方式的差异:
| 旧 event_type | 当前 event_type | 原因 |
|---|---|---|
NETWORK_CONNECTION |
NETWORK_DNS |
如果 message_type 为 DNS_QUERY 或在 has_network_dns 为 true 时命名。 |
NETWORK_CONNECTION |
NETWORK_HTTP |
message_type 为 SSLVPN HTTPREQUEST 时。 |
STATUS_UPDATE |
NETWORK_CONNECTION |
映射到适当的特定事件类型。 |
STATUS_UPDATE |
USER_RESOURCE_UPDATE_CONTENT |
当 message_type 为 SNMP TRAP_SENT 且 has_target_resource 为 true 时,系统会将其映射到适当的特定事件类型。 |
STATUS_UPDATE |
USER_UNCATEGORIZED |
当存在正文 userid 时,映射到适当的特定事件类型。 |
USER_RESOURCE_ACCESS |
NETWORK_HTTP |
当 message_type 为 SSLVPN HTTPREQUEST 时 |
USER_STATS |
GENERIC_EVENT |
USER_STATS 已被废弃,因此会映射到适当的特定事件类型。 |
USER_STATS |
NETWORK_CONNECTION |
USER_STATS 已被废弃,因此会映射到适当的特定事件类型。 |
USER_STATS |
USER_LOGIN |
USER_STATS 已被废弃,因此会映射到适当的特定事件类型。 |
USER_STATS |
USER_LOGOUT |
USER_STATS 已被废弃,因此当 message_type 为 LOGOUT 时,此值会映射到适当的特定事件类型。 |
USER_UNCATEGORIZED |
GENERIC_EVENT |
日志中没有任何可供映射的正文机器字段。 |
USER_UNCATEGORIZED |
NETWORK_CONNECTION |
映射到适当的特定事件类型。 |
USER_UNCATEGORIZED |
USER_LOGIN |
映射到适当的特定事件类型。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。