使用安全日志跟踪HTML请求
注意:
该特性在Citrix ADC release 10.5.e中可用。
排除故障需要分析客户端请求中接收到的数据,并且可能具有挑战性。特别是当有大量流量通过设备时。诊断问题可能会影响功能或应用程序安全性,可能需要快速响应。
Citrix ADC为Web应用防火墙配置文件隔离流量并收集nstrace
的HTML请求。的nstrace
在appfw模式中收集的包括带有日志消息的请求详细信息。您可以在跟踪中使用“跟踪TCP流”来查看单个事务的详细信息,包括标题、有效负载和相同屏幕中的相应日志消息。
这让你对你的流量有一个全面的概述。拥有请求、有效负载和相关日志记录的详细视图对于分析安全检查违规情况非常有用。您可以很容易地识别触发违规的模式。如果必须允许该模式,则可以决定修改配置或添加松弛规则。
好处
- 隔离特定配置文件的流量:当您仅隔离一个概要文件的流量或某个概要文件的特定事务以进行故障排除时,此增强非常有用。您不再需要浏览跟踪中收集的整个数据,也不需要特殊的过滤器来隔离您感兴趣的请求,这对于大流量来说可能很乏味。您可以查看您喜欢的数据。
- 收集特定请求的数据:可以在指定的时间内收集跟踪信息。如果需要,您可以仅收集几个请求的跟踪,以隔离、分析和调试特定的事务。
- 识别重置或中止:不容易看到连接意外关闭。在-appfw模式下收集的跟踪捕获由Web应用程序防火墙触发的重置或中止。这允许在没有看到安全检查违规消息时更快地隔离问题。由Web应用防火墙终止的畸形请求或其他不符合rfc的请求现在将更容易识别。
- 查看SSL解密流量:以明文形式捕获HTTPS流量,便于故障排除。
- 提供全面视图:允许您在包级别上查看整个请求,检查有效负载,查看日志以检查触发了哪些安全检查违规,并确定有效负载中的匹配模式。如果有效负载由任何意外数据、垃圾字符串或不可打印字符(空字符、\r或\n等等)组成,则很容易在跟踪中发现它们。
- 修改配置:调试可以提供有用的信息来决定观察到的行为是正确的行为还是必须修改配置。
- 加快响应时间:更快地调试目标流量可以缩短由Citrix工程和支持团队提供解释或根本原因分析的响应时间。
有关更多信息,请参见手动通过命令行方式进行配置的话题。
使用命令行接口为概要配置调试跟踪
步骤1。启用ns trace。
可以使用show命令验证设置的结果。
set appfw profile
-trace ON
步骤2。收集跟踪。选项适用的所有选项都可以继续使用nstrace
命令。
启动nstrace -mode APPFW
步骤3。停止跟踪。
停止nstrace
痕迹位置:的nstrace
存储在/var/nstrace目录下创建的带时间戳的文件夹中,可以使用wireshark
.你可以跟踪/var/log/ns.log
查看提供关于新跟踪位置的详细信息的日志消息。
小贴士:
当使用appfw模式选项时
nstrace
将只收集启用了“nstrace”的一个或多个配置文件的数据。- 在概要文件上启用跟踪将不会自动开始收集跟踪,直到您显式地运行“start ns trace”命令来收集跟踪。
虽然在配置文件上启用跟踪可能不会对Web应用防火墙的性能产生任何不利影响,但您可能希望仅在希望收集数据的持续时间内启用此功能。建议您在收集跟踪后关闭-trace标志。该选项可以防止无意中从您过去已启用此标志的配置文件获取数据的风险。
控件中包含的事务记录的安全检查必须启用阻止或日志操作
nstrace
.当概要文件的跟踪为“开启”时,重置和中止的记录独立于安全检查操作。
该特性仅适用于对从客户端接收的请求进行故障排除。-appfw模式下的跟踪不包括从服务器接收到的响应。
选项适用的所有选项都可以继续使用
nstrace
命令。例如,start nstrace -tcpdump enabled -size 0 -mode appFW .使用实例
如果一个请求触发多个违规,则
nstrace
因为该记录包括所有相应的日志消息。此功能支持CEF日志消息格式。
签名违反触发请求方检查的阻塞或日志操作也将包含在跟踪中。
- 跟踪中只收集HTML(非xml)请求。