收集 NetScaler 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 NetScaler 記錄。
詳情請參閱「將資料擷取至 Google Security Operations 總覽」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 CITRIX_NETSCALER 攝入標籤的剖析器。
設定 NetScaler VPX
如要設定 NetScaler VPX 將記錄傳送至 Google Security Operations 轉送器,請按照下列步驟操作:
驗證主機名稱設定
- 使用管理員憑證登入 NetScaler 網頁介面。
- 依序選取「Configuration」>「Settings」。
- 按一下「主機名稱、DNS IP 位址和時區」。
- 如果「主機名稱」欄位為空白,請輸入主機名稱。請勿包含空格。 如果已設定這個欄位,則無須採取任何行動。
- 在「DNS IP address」(DNS IP 位址) 欄位中,確認是否已指定本機 DNS IP 位址。
- 在「時區」欄位中輸入時區。
建立稽核伺服器
- 在 NetScaler 網頁介面中,依序選取「Configuration」>「System」>「Auditing」>「Syslog」>「Servers」。
- 在下列欄位中指定系統記錄詳細資料:
- 名稱
- 伺服器類型
- IP 位址
- 通訊埠
- 將「記錄層級」選取為「自訂」。
- 在設定中,選取「DEBUG」層級以外的所有核取方塊。
- 在「記錄設施」清單中選取「LOCAL0」。
- 在「日期格式」清單中,選取「MMDDYYYY」。
- 將「時區」選為「格林威治標準時間」。
- 取消勾選下列核取方塊:
- TCP 記錄
- ACL 記錄
- 使用者可設定的記錄訊息
- AppFlow 記錄
- 大規模 NAT 記錄
- 記錄 ALG 訊息
- 訂閱者記錄
- DNS
- SSL 攔截
- 網址篩選
- 內容檢查記錄
- 按一下「確定」,建立稽核伺服器。
將建立的稽核政策繫結至伺服器
- 在 NetScaler 網頁介面中,依序選取「Configuration」>「System」>「Auditing」>「Syslog」。
- 按一下「政策」分頁標籤。
- 在「Name」(名稱) 欄位中,輸入政策名稱。
- 在「伺服器」清單中,選取上一節的政策。
- 點選「建立」。
- 在建立的稽核政策上按一下滑鼠右鍵,然後依序選取「動作」>「全域繫結」。
- 按一下「新增繫結」。
- 在「Policy binding」(政策繫結) 視窗中,執行下列操作:
- 在「選取政策」欄位中,輸入建立的稽核政策。
- 在「繫結詳細資料」窗格的「優先順序」欄位中,輸入「120」,這是預設優先順序。
- 按一下「繫結」。
設定 NetScaler SDX
如要將 NetScaler SDX 設定為將記錄傳送至 Google Security Operations 轉送器,請按照下列步驟操作:
驗證 NetScaler SDX 的主機名稱設定
- 使用管理員憑證登入 NetScaler 網頁介面。
- 在 NetScaler 網頁介面中,選取「System」>「System settings」。
- 如果「主機名稱」欄位為空白,請輸入主機名稱。請勿包含空格。 如果已設定這個欄位,則無須採取任何行動。
- 在「時區」欄位中,選取「UTC」或「GMT」。
設定系統記錄伺服器
- 在 NetScaler 網頁介面中,依序選取「System」>「Notifications」>「Syslog servers」。
- 在「詳細資料」窗格中,按一下「新增」。
- 在「建立系統記錄伺服器」視窗中,指定下列系統記錄伺服器參數的值:
- 在「名稱」欄位中輸入名稱。
- 在「IP 位址」欄位中,輸入 Google Security Operations 轉送器 IP 位址。
- 在「Port」(通訊埠) 欄位中輸入通訊埠號碼。
- 將「記錄層級」選取為「自訂」。
- 選取「Debug」(偵錯) 以外的所有記錄層級。
- 點選「建立」。
設定系統記錄參數
- 在 NetScaler 網頁介面中,依序選取「System」>「Notifications」>「Syslog servers」。
- 在「詳細資料」窗格中,按一下「系統記錄參數」。
- 在「設定系統記錄參數」頁面中,將「日期格式」選為「MMDDYYYY」,並將「時區」選為「GMT」。
- 按一下 [確定]。
設定 Google Security Operations 轉送器,以便擷取 NetScaler 記錄
- 依序選取「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
- 依序點選「提交」和「確認」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
- 選取「Citrix NetScaler」做為「記錄類型」。
- 在「收集器類型」欄位中,選取「系統記錄」。
- 設定下列必要輸入參數:
- 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄資料。
- 按一下「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。
如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會處理鍵/值格式的 Citrix Netscaler SYSLOG 記錄,從 message 欄位擷取 JSON 格式的資料,並在清除其他欄位 (例如 host.hostname 和 user_agent.original) 後,使用這些欄位的資訊擴充 UDM。如果主要訊息為空白,系統會改用原始記錄訊息。
UDM 對應表
| 記錄欄位 | UDM 對應 |
|---|---|
aaa_info_flags |
additional.fields |
aaa_trans_id |
security_result.detection.fields |
aaad_flags |
additional.fields |
aaad_resp |
additional.fields |
aaaFlags |
additional.fields |
aaaFlags2 |
additional.fields |
act |
securtiy_result.action_details、security_result.action |
action |
security_result.action |
ADM_User |
additional.fields |
allowed_interface |
security_result.detection.fields |
applicationname |
target.application |
auth_type |
additional.fields |
authActionLen |
security_result.detection_fields |
AuthAgent |
additional.fields |
AuthDuration |
network.session_duration.seconds |
authnvs |
additional.fields |
authorizationStatus |
security_result.detection.fields |
AuthStage |
additional.fields |
Authtype |
additional.fields |
C |
principal.location.country_or_region |
caseId |
additional.fields |
cfg_limit |
additional.fields |
cgp_tag |
sec_result.detection_fields |
channel_id_X |
additional.fields |
channel_id_X_val |
additional.fields |
channel_update_begin |
additional.fields |
channel_update_end |
additional.fields |
cipher_suite |
network.tls.cipher |
client_fip |
target.ip target.asset.ip |
client_fport |
target.port |
client_ip |
principal.ip、principal.asset.ip |
client_port |
principal.port |
Client_security_expression |
additional.fields |
client_type |
additional.fields |
client_version |
network.tls.version |
client.nat.ip |
principal.nat_ip、principal.asset.nat_ip |
clientside_jitter |
additional.fields |
clientside_packet_retransmits |
additional.fields |
clientside_rtt |
additional.fields |
clientside_rxbytes |
network.sent_bytes |
clientside_txbytes |
network.received_bytes |
ClientVersion |
network.tls.version_protocol |
CN |
principal.resource.attribute.labels |
cn1 |
additional.fields |
cn2 |
additional.fields |
code |
additional.fields |
commandExecutionStatus |
security_result.action_details |
Compression_ratio_recv |
additional.fields |
Compression_ratio_send |
additional.fields |
configurationCmd |
security_result.detection.fields |
connectionId |
network.session_id |
copied_nsb |
sec_result.detection_fields |
core_id |
additional.fields |
core_refmask |
additional.fields |
cs1 |
additional.fields |
cs2 |
additional.fields |
cs4 |
additional.fields |
cs5 |
additional.fields |
cs6 |
additional.fields |
CSappid |
additional.fields |
CSAppname |
- |
csg_flags |
additional.fields |
ctx_flags |
additional.fields |
cur_attempts |
additional.fields |
CurfactorPolname |
additional.fields |
customername |
additional.fields |
days_for_pwd_exp |
additional.fields |
days_for_pwd_exp_STR |
additional.fields |
delinkTime |
additional.fields |
Denied_by_policy |
security_result.rule_name |
desc |
metadata.description |
destination.ip |
target.ip、target.asset.ip |
destination.port |
target.resource.attribute.labels |
device_event_class_id |
metadata.product_event_type |
device_version |
metadata.product_version |
Deviceid |
target.resource.product_object_id |
Devicetype |
additional.fields |
dht_delete_status |
additional.fields |
diagnostic_info |
additional.fields |
digestSignatureAlgorithm |
security_result.detection_fields |
dns_additional_count |
additional.fields |
dns_answer_count |
additional.fields |
dns_authority_count |
additional.fields |
dns_flags |
additional.fields |
dns_flags_raw |
network.dns.recursion_desired |
dns_flags_raw |
network.dns.recursion_available |
dns_id |
network.dns.id |
dns_question_count |
additional.fields |
dns_question_name |
network.dns.question.name |
domain |
security_result.detection.fields、additional.fields |
domain |
target.administrative_domain |
ecs_version |
additional.fields |
encrypt_status |
security_result.detection_fields |
end_time |
additional.fields |
End_time |
additional.fields |
entityName |
target.resource.name |
Error Code |
additional.fields |
event_id |
metadata.product_log_id |
event_name |
metadata.product_event_type |
event_type |
sec_result.summary |
expired_refmask |
additional.fields |
factor |
security_result.detection.fields |
flags |
additional.fields |
flags2 |
additional.fields |
flags3 |
additional.fields |
flags4 |
additional.fields |
func |
security_result.detection_fields |
geolocation |
location.country_region |
Group(s) |
target.user.group_identifiers |
Group(s) |
target.user.group.identifiers |
handshake_time |
network.session_duration.seconds |
HandshakeTime |
additional.fields |
host_hostname |
principal.hostname |
host_ip |
principal.ip principal.asset.ip |
host.name |
target.hostname、target.asset.hostname |
hostname |
intermediary.hostname、intermediary.asset.hostname |
hostname |
target.hostname、target.asset.hostname |
hostname_1 |
target.hostname、target.asset.hostname |
http_method |
network.http.method |
Http_resources_accessed |
security_result.detection.fields |
http_uri |
target.url |
HTTPS |
network.application_protocol |
ica_conn_owner_refmask |
sec_result.detection_fields |
ica_rtt |
additional.fields |
ica_uuid |
network.session_id |
ICAUUID |
network.session_id |
id |
metadata.id |
init_icamode_homepage |
additional.fields |
inter_hostname |
intermediary.hostname |
interfaceKind |
security_result.detection.fields |
ip |
intermediary.asset.ip |
ip_x |
principal.ip principal.asset.ip |
ipaddress |
target.ip、target.asset.ip |
is_post |
additional.fields |
IssuerName |
network.tls.server.certificate.issuer |
L |
principal.location.city |
last_contact |
additional.fields |
loc |
target.url |
localdate |
additional.fields |
lock_duration |
additional.fields |
log_action |
sec_result.detection_fields |
log_action |
security_result.detection.fields |
log_category |
additional.fields |
log_data |
additional.fields |
log_format |
additional.fields |
log_timestamp |
additional.fields |
log_type |
additional.fields |
log.syslog.priority |
additional.fields |
login_count |
sec_result.detection_fields |
login_count |
security_result.detection_fields |
LogoutMethod |
additional.fields |
max_attempts |
additional.fields |
message_content |
security_result.summary |
message_id |
metadata.product_log_id |
message_status_code |
additional.fields |
method |
network.http.method |
monitored_resource |
additional.fields |
msg |
metadata.description |
msi_client_cookie |
additional.fields |
msticks |
additional.fields |
Nat_ip |
additional.fields、principal.nat_ip、principal.asset.nat_ip(如果 Nat_ip 不是 IP 位址,則位於 additional.fields 中)。 |
netscaler_principal_ip_context |
principal.resource.attribute.labels |
netscaler_tag |
intermediary.asset.product_object_id |
netscaler_target_ip_context |
target.resource.attribute.labels |
new_webview |
additional.fields |
newWebview |
additional.fields |
NonHttp_services_accessed |
security_result.detection.fields |
nsPartitionName |
additional.fields |
on_port |
additional.fields |
Organization |
principal.resource.attribute.labels |
OU |
principal.resource.attribute.labels |
owner_from |
additional.fields |
owner_id |
additional.fields |
pcb_devno |
additional.fields |
pcbdevno |
additional.fields |
Policyname |
security_result.rule_name |
port |
principal.port |
port_details |
principal.port |
prin_ip |
principal.ip principal.asset.ip |
prin_user |
principal.user.userid |
principal_ip |
principal.ip、principal.asset.ip |
principal_port |
principal.port |
prod_event_type |
metadata.product_event_type |
protocol |
network.ip_protocol |
protocol_feature |
security_result.detection.fields |
ProtocolVersion |
network.tls.protocol_version |
pwdlen |
additional.fields |
pwdlen2 |
additional.fields |
q_flags |
additional.fields |
reason_val |
security_result.description |
receiver_version |
additional.fields |
record_type |
network.dns.question.type |
refmask |
additional.fields |
remote_ip |
principal.ip principal.asset.ip |
remote_port |
principal.port |
request |
target.url |
ReqURL |
additional.fields |
resource_cmd |
target.resource.name |
resource_name |
principal.resource.name |
response |
additional.fields |
response_code |
additional.fields |
rule_id |
security_result.rule.id |
rule_name |
security_result.rule_name |
SerialNumber |
network.tls.server.certificate.serial |
server_authenticated |
additional.fields |
serverside_jitter |
additional.fields |
serverside_packet_retransmits |
additional.fields |
serverside_rtt |
additional.fields |
service_name |
principal.applications |
sess_flags2: |
additional.fields |
sess_seq |
network.session_id |
sessFlags2 |
additional.fields |
Session |
additional.fields |
session_cookie |
security_result.detection_fields |
session_guid |
network.session_id |
session_id_label |
network.session_id |
session_setup_time |
additional.fields |
session_type |
sec_result.description |
SessionId |
network.session_id |
skip_code |
additional.fields |
source_file |
additional.fields |
source_hostname |
principal.hostname、principal.asset.hostname |
source_line |
additional.fields |
source.ip |
principal.ip、principal.asset.ip |
source.port |
principal.resource.attribute.labels |
spcb_id |
security_result.detecrion.fields |
SPCBId |
sec_result.detection_fields |
spt |
principal.port |
src |
principal.ip principal.asset.ip |
src_hostname |
principal.hostname principal.asset.hostname |
src_ip |
principal.ip principal.asset.ip |
src_ip1 |
src.ip、src.asset.ip |
src_port |
principal.port |
ssid |
network.session_id |
SSLVPN_client_type |
additional.fields |
SSO |
additional.fields |
sso |
additional.fields |
sso_auth_type |
additional.fields |
sso_flags |
security_result.detection_fields |
sso_state |
additional.fields |
SSOduration |
additional.fields |
SSOurl |
additional.fields |
ssoUsername |
additional.fields |
ssoUsername2 |
additional.fields |
ST |
principal.location.state |
sta_port |
additional.fields |
sta_ticket |
additional.fields |
start_time |
additional.fields |
Start_time |
additional.fields |
State |
security_result.action_details |
state |
additional.fields |
state_value |
additional.fields |
StatusCode |
additional.fields |
SubjectName |
network.tls.client.certificate.subject |
summ |
security_result.summary |
summary |
security_result.summary |
sysCmdPolLen |
security_result.detection.fields |
syslog_priority |
additional.fields |
tags |
additional.fields |
tar_ip |
target.ip target.asset.ip |
tar_port |
target.port |
target_id |
target.resource.id |
target_port |
target.port |
TCP |
network.ip_protocol |
timeout_ms |
additional.fields |
timestamp |
metadata.event_timestamp |
Total_bytes_send |
network.sent_bytes |
Total_compressedbytes_recv |
additional.fields |
Total_compressedbytes_send |
additional.fields |
Total_policies_allowed |
security_result.detection.fields |
Total_policies_denied |
security_result.detection.fields |
Total_TCP_connections |
security_result.detection.fields |
Total_UDP_flows |
security_result.detection.fields |
track_flags |
additional.fields |
trans_id |
- |
tt |
metadata.event_timestamp |
User |
principal.user.userid |
user_agent.original |
network.http.user_agent |
user_email |
principal.user.email_addresses |
user_id |
principal.user.userid |
user.domain |
target.administrative_domain |
user.name |
principal.user.user_display_name |
userids |
target.user.userid |
ValidFrom |
network.tls.server.certificate.not_before |
ValidTo |
network.tls.server.certificate.not_after |
version |
additional.fields |
VPNexportState |
additional.fields |
Vport |
target.port |
Vserver Timestamp |
additional.fields |
vserver_id |
target.resource.product_object_id |
Vserver_ip |
target.ip、target.asset.ip |
vserver_port |
target.port |
Vserver_port |
target.port |
vserver_timestamp |
additional.fields |
vserver.ip |
target.ip、target.asset.ip |
wirep |
additional.fields |
wirep_name |
additional.fields |
wirep_ref_cnt |
additional.fields |
UDM 對應差異參考資料
Google SecOps 在 2026 年 2 月 3 日發布新版 NetScaler 剖析器,其中包含 NetScaler 記錄欄位對應至 UDM 欄位的重大變更,以及事件類型對應的變更。
記錄欄位對應差異
下表列出 2026 年 2 月 3 日前後公開的 NetScaler 記錄檔到 UDM 欄位對應差異 (分別列於「舊版對應」和「目前對應」欄中):
| 記錄欄位 | 舊對應 | 目前對應 |
|---|---|---|
act |
securit_.result.detetction_fields |
securtiy_result.action_details、security_result.action |
client_ip |
additional.fields |
principal.ip、principal.asset.ip |
ClientVersion |
network.tls.version |
network.tls.version_protocol |
connectionId |
security_result.detection_fields |
network.session_id |
CSAppname |
- |
- |
domain |
target.user.administrative_domain |
security_result.detection.fields、additional.fields |
end_time |
security_result.detection.fields security_result.last_discovered_time |
additional.fields |
event_id |
additional.fields |
metadata.product_log_id |
geolocation |
location.city |
location.country_region |
Group(s) |
target.user.group_display_name |
target.user.group_identifiers |
HandshakeTime |
network.session_duration.seconds |
additional.fields |
host.name |
intermediary.hostname |
target.hostname、target.asset.hostname |
hostname |
target.hostname、target.asset.hostname |
intermediary.hostname、intermediary.asset.hostname |
hostname |
principal.hostname、principal.asset.hostname |
target.hostname、target.asset.hostname |
ipaddress |
principal.ip、principal.asset.ip |
target.ip、target.asset.ip |
Nat_ip |
principal.ip、principal.asset.ip |
principal.nat_ip、principal.nat_ip |
port_details |
principal.labels |
principal.port |
principal_ip |
target.ip、target.asset.ip |
principal.ip、principal.asset.ip |
request |
security_result.summary |
target.url |
sess_seq |
additional.fields |
network.session_id |
session_guid |
metadata.product_log_id |
network.session_id |
source_hostname |
target.hostname、target.asset.hostname |
principal.hostname、principal.asset.hostname |
spcb_id |
additional.fields |
security_result.detecrion.fields |
ssid |
additional.fields |
network.session_id |
start_time |
security_result.detection.fields security_result.first_discovered_time |
additional.fields |
SubjectName |
principal.resource.attribute.labels |
network.tls.client.certificate.subject |
summary |
metadata.descritption |
security_result.summary |
target_port |
principal.port |
target.port |
trans_id |
security_result.detection.fields |
- |
user_id |
target.user.userid |
principal.user.userid |
事件類型對應差異
下表列出 2026 年 2 月 3 日前後處理 NetScaler 事件類型時的差異 (分別列於「舊版 event_type」和「目前 event_type」欄中):
| 舊 event_type | 目前 event_type | 原因 |
|---|---|---|
NETWORK_CONNECTION |
NETWORK_DNS |
如果 message_type 為 DNS_QUERY 或在 has_network_dns 為 true 時命名。 |
NETWORK_CONNECTION |
NETWORK_HTTP |
message_type為 SSLVPN HTTPREQUEST 時。 |
STATUS_UPDATE |
NETWORK_CONNECTION |
對應至適當的特定事件類型。 |
STATUS_UPDATE |
USER_RESOURCE_UPDATE_CONTENT |
當 message_type 為 SNMP TRAP_SENT 且 has_target_resource 為 true 時,系統會將其對應至適當的特定事件類型。 |
STATUS_UPDATE |
USER_UNCATEGORIZED |
如果存在主體 userid,則會對應至適當的特定事件類型。 |
USER_RESOURCE_ACCESS |
NETWORK_HTTP |
當 message_type 為 SSLVPN HTTPREQUEST 時 |
USER_STATS |
GENERIC_EVENT |
USER_STATS 已淘汰,因此會對應至適當的特定事件類型。 |
USER_STATS |
NETWORK_CONNECTION |
USER_STATS 已淘汰,因此會對應至適當的特定事件類型。 |
USER_STATS |
USER_LOGIN |
USER_STATS 已淘汰,因此會對應至適當的特定事件類型。 |
USER_STATS |
USER_LOGOUT |
USER_STATS 已淘汰,因此當 message_type 為 LOGOUT 時,系統會將其對應至適當的特定事件類型。 |
USER_UNCATEGORIZED |
GENERIC_EVENT |
記錄中沒有任何主體機器欄位可供對應。 |
USER_UNCATEGORIZED |
NETWORK_CONNECTION |
對應至適當的特定事件類型。 |
USER_UNCATEGORIZED |
USER_LOGIN |
對應至適當的特定事件類型。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。