Verfolgen von HTML-Anforderungen mit Sicherheitsprotokollen

Hinweis:

Diese Funktion ist在Citrix ADC版本10.5。e verfugbar。

死亡的Fehlerbehebung erfordert eine分析der Daten，死在Clientanforderung empfangen wurden，和kann eine Herausforderung darstellen。Vor allem, wenn starker Verkehr durch die Appliance fly ßt。死亡诊断问题Funktionalität auswirken, oder Die anwendungsicherheit kann eine schnelle Reaktion erfordern。

Der Citrix ADC isoliert den Datenverkehr für ein Web应用防火墙-概要文件和sammeltnstracefür die HTML-Anfragen。Der im app - modusnstracegesammelte Modus enthält详情zur Anfrage mit Protokollnachrichten。Sie können“TCP-Stream folgen”im Trace verwenden, um die Details der einzelnen Transaktion einschließlich Header, Payload und der entsprechenden Protokollnachricht auf demselben Bildschirm anzuzeigen。

所以erhalten Sie einen umfassenden Überblick über Ihren交通。Eine detaillierte Ansicht der Anfrage, der Payload und der zugehörigen Protokolldatensätze kann nützlich sein, um die Verstöße gegen die Sicherheitsprüfung zu analysieren。Sie können leicht das identifizieren, das die Verletzung auslöst。Wenn das Muster zulässig sein muss, können Sie eine Entscheidung treffen, die Konfiguration zu ändern oder eine Relaxationsregel hinzuzufügen。

Vorteile

1. Datenverkehr für ein bestimmtes profile isolieren: Diese Erweiterung ist nützlich, wenn Sie datenverkerhr für nur ein profile oder bestimmte Transaktionen eines profile zur Fehlerbehebung isieren。Sie müssen nicht mehr die gesamten Daten durchlaufen, die in der Trace gesammelt werden, oder benötigen spezielle Filter, um Anfragen zu isolieren, die Sie interessieren, was mit starkem Datenverkehr mühsam sein kann。Sie können die von Ihnen bevorzugten Daten anzeigen。
2. Sammeln von Daten für bestimmte Anforderungen: Der Trace kann für eine bestimmte Dauer gesammelt werden。Sie können Trace für nur einige Anforderungen sammeln, um bestimmte Transaktionen zu isolieren, zu analysieren und zu debuggen。
3. Identifizieren Sie重置命令Abbrüche: Unerwartetes Schließen von Verbindungen ist nicht leicht sichtbar。Die im -appfw-Modus gesammelte Ablaufverfolgung erfast einen Reset oder einen Abbruch, der von der Web App Firewall ausgelöst wid。死亡ermöglicht eine schnellere Isolierung eines问题，wenn Sie keine Meldung über eine Sicherheitsüberprüfung sehen。Fehlgebildete Anforderungen oder andere niht RFC-konforme Anforderungen, die von der Web应用防火墙beendet werden，信德jetzt leichter zu identifiieren。
4. Entschlüsselten SSL-Datenverkehr anzeigen: http - datenverkehr wid im Klartext erfast，嗯die Fehlerbehebung zu erleichtern。
5. Bietet umfassende Ansicht: Ermöglicht es Ihnen, die gesamte Anforderung auf Paketebene zu betrachten, die Nutzlast zu überprüfen, die Protokolle zu überprüfen, welche Sicherheitsüberprüfungsverletzung ausgelöst weird, und das Übereinstimmungsmuster in der Nutzlast zu identifizieren。Wenn die Nutzlast aus unerwarteten Daten, Junk-Strings oder nicht druckaren Zeichen (Nullzeichen，\ r oder\ n usw.) best, sinind sie im Trace leicht zu erkennen。
6. Konfiguration andern: Das Debugging konann nützliche信息生活，嗯zu entscheiden, ob beobachtete Verhalten Das richtige Verhalten ist命令模具配置geändert werden muss。
7. SchnellereReaktionszeit: Schnelleres Debuggen im zieldatenverkerhr kann die Reaktionszeit verbessern, um Erklärungen oder Ursachenanalysen durch das Citrix工程与支持团队zu liefen。

Weitere Informationen发现Sie unterManuelle配置mithilife des Themas der Befehlszeilenschnittstelle．

所以konfigurieren Sie die Debug-Ablaufverfolgung für ein profmit der Befehlszeilenschnittstelle

Schritt 1。NS-Ablaufverfolgung aktivieren。

Sie können den Befehl show verwenden，嗯die konfigurierte einstein zu überprüfen。

• set appfw profile -trace ON

Schritt 2。Sammeln Sie spren。Sie können weiterhin alle Optionen verwenden, die für dennstraceBefehl gelten。

• 启动nstrace -mode APPFW

Schritt 3。停止你的刺激。

• 停止nstrace

Speicherort des TraceDernstrace在einem Zeitstempelordner gespeichert, der im Verzeichnis /var/nstrace erstellt和mit angezeigt werden kann中wireshark．Sie können den in der/var/log/ns.logDatei anzeigen, um die原kollmeldungen anzuzeigen, die Details zum Speicherort der neuen Ablaufverfolgung enthalten。

tipp:

• Wenn die选项appfw模式verwendetnstrace奇怪，sammelt der nur die Daten für ein oder mehere Profile, für die der " nstrace " aktiviert wurde。

• Wenn Sie den Trace im proffil aktivieren, werden die Traces nicht automatisch gesammelt, bis Sie explizit den Befehl " start ns Trace " ausführen, um den Trace zu sammeln。

• Obwohl das Aktivieren von Trace für ein proffil möglicherweise keine negativen Auswirkungen auf die Leistung der Web App Firewall hat, möchten Sie diese Funktion möglicherweise nur für die Dauer Aktivieren, für die Sie die Daten erfassen möchten。这是奇怪的，那是你的旗帜，那是你的死亡。Die Option verhindert das Risiko, versehenentlich Daten aus Profilen zu erhalten, für Die Sie dieses Flag inder Vergangenheit aktiviert haben。

• 模块-订单Protokollaktion muss für Die Sicherheitsüberprüfung aktiviert sein, damit der Transaktionsdatensatz in den enthalten istnstrace．

• Rückgänge und Abbrüche werden unabhängig von Sicherheitsüberprüfungsaktionen protokolliert, wenn der Trace für die Profile“On”ist。

• Die Funktion gilt nur für Die Fehlerbehebung der vom Kunden eingegangenen Anfragen。Die Traces im -appfw-Modus enthalten nicht Die vom Server empfangenen Antworten。

• Sie können weiterhin alle Optionen verwenden, die für dennstraceBefehl gelten。例如:

  start nstrace -tcpdump enabled -size 0 -mode appFW .使用实例

• 温恩·安弗拉奇·梅尔Verstöße auslöst, enthält dernstracefür diesen Datensatz alle entsprechenden Protokollnachrichten。

• CEF-Protokollnachrichtenformat wid für diese Funktionalität unterstützt。

• 签名verletzungen, die Block- oder Protokollaktionen für Prüfungen auf der Anforderungsseite auslösen, werden ebenfalls in den Trace aufgenome men。

• Im Ablaufverfolgungsprotokoll werden nur HTML-Anforderungen (Nicht-XML) erfast。