使用安全日志跟踪HTML请求
注意:
该特性在Citrix ADC release 10.5.e中可用。
故障排除需要对客户端请求中接收到的数据进行分析,这可能具有挑战性。特别是在设备流量很大的情况下。诊断问题可能会影响功能或应用程序安全性,可能需要快速响应。
Citrix ADC为Web应用防火墙配置文件隔离流量并进行收集nstrace查看HTML请求。的nstrace在appfw模式下收集的信息包括带有日志消息的请求详细信息。您可以在跟踪中使用“Follow TCP stream”来查看单个事务的详细信息,包括同一屏幕中的标头、有效负载和相应的日志消息。
这将为您提供有关您的流量的全面概述。拥有请求、有效负载和相关日志记录的详细视图对于分析安全检查违规非常有用。您可以很容易地识别触发冲突的模式。如果必须允许这种模式,您可以决定修改配置或添加松弛规则。
好处
- 隔离特定配置文件的流量:当您仅为一个配置文件或配置文件的特定事务隔离流量以进行故障排除时,此增强非常有用。您不再需要浏览跟踪中收集的全部数据,也不再需要特殊的过滤器来隔离您感兴趣的请求,这在繁忙的流量中可能是乏味的。您可以查看您喜欢的数据。
- 收集特定请求的数据:跟踪可以在指定的持续时间内收集。如果需要,您可以仅收集几个请求的跟踪,以隔离、分析和调试特定的事务。
- 识别重置或中止:意外关闭的连接不容易被看到。在-appfw模式下收集的跟踪捕获由Web应用程序防火墙触发的重置或中止。这允许在未看到安全检查违规消息时更快地隔离问题。由Web应用程序防火墙终止的格式错误的请求或其他不符合rfc的请求现在将更容易识别。
- 查看解密SSL流量:以纯文本形式捕获HTTPS流量,以便更容易进行故障排除。
- 提供全面的视图允许您在包级别查看整个请求,检查有效负载,查看日志以检查正在触发的安全检查违规,并识别有效负载中的匹配模式。如果有效负载包含任何意外数据、垃圾字符串或不可打印字符(空字符、\r或\n等),则很容易在跟踪中发现它们。
- 修改配置:调试可以提供有用的信息,以确定观察到的行为是正确的行为还是必须修改配置。
- 加快响应时间更快地调试目标流量可以缩短响应时间,以便由Citrix工程和支持团队提供解释或根本原因分析。
有关更多信息,请参见通过命令行界面手工配置的话题。
通过使用命令行界面为概要文件配置调试跟踪
步骤1。启用ns trace。
可以使用show命令验证设置的正确性。
设置appfw profile-trace ON
步骤2。收集跟踪。您可以继续使用适用于的所有选项nstrace命令。
start nstrace -mode APPFW
步骤3。停止跟踪。
停止nstrace
跟踪的位置:的nstrace存储在/var/nstrace目录下创建的带时间戳的文件夹中,可以使用wireshark.你可以跟踪/var/log/ns.log查看提供有关新跟踪位置的详细信息的日志消息。
小贴士:
当使用appfw模式选项时,
nstrace将只收集启用了“nstrace”的一个或多个概要文件的数据。- 在配置文件上启用跟踪不会自动开始收集跟踪,直到您显式地运行" start ns trace "命令来收集跟踪。
虽然在概要文件上启用跟踪可能不会对Web App Firewall的性能产生任何不利影响,但您可能希望仅在希望收集数据的持续时间内启用此特性。建议您在收集跟踪之后关闭-trace标志。该选项可防止意外地从过去启用此标志的配置文件中获取数据的风险。
事务记录的安全检查必须启用块或日志操作
nstrace.当概要文件的跟踪为“On”时,重置和中止将独立于安全检查操作进行记录。
该特性仅适用于对从客户端收到的请求进行故障排除。-appfw模式下的跟踪不包括从服务器接收到的响应。
您可以继续使用适用于的所有选项
nstrace命令。例如,start nstrace -tcpdump enabled -size 0 -mode appFW如果一个请求触发多个违规,则
nstrace因为该记录包括所有相应的日志消息。此功能支持CEF日志消息格式。
签名违反触发请求侧检查的块或日志操作也将包含在跟踪中。
- 跟踪中只收集HTML(非xml)请求。