Web应用防火墙
Citrix ADC 13.1
在Citrix ADC中
在所有的产品
产品文档
Web应用防火墙
Citrix ADC 13.1
在Citrix ADC中
在所有的产品
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF.

高CPU

2020年12月4日,
由:
C

以下是使用Web应用防火墙时遇到的一些功能和高CPU相关调试问题,以及要遵循的最佳实践:

检查策略命中、绑定、网络配置、Web应用程序防火墙配置:

  • 识别错误配置
  • 识别vserver为受影响的流量服务

检查以下日志文件中的日志是否存在安全违规和最近的配置更改:

  • /var/log/ns.log
  • /var/nslog/import.log
  • /var/nslog/aslearn.log
  • tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH .log日志示例

例子:

june 13 01:11:09  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=签名违规规则ID 807:web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked

隔离受影响的流量:

  • 隔离档案
  • 隔离安全检查
  • 隔离URL、虚拟服务器和流量参数

条件配置文件级别跟踪帮助识别流量和违规记录:

  • 设置appfw配置文件<配置文件> -trace ON
  • start nstrace -mode APPFW -size 0
  • 停止nstrace

注意:确保使用-size 0选项收集跟踪。

检查appfw、dht、IP信誉活动计数器:

  • Nsconmsg -g as_ -g appfwreq_ -g iprep -d current

监视连接中重置的窗口大小:

当Citrix ADC由于无效的http消息重置连接时,Appfw将窗口大小设置为9845。

例子:

  • 接收到错误的请求-连接重置
  • 高CPU相关问题
  • 检查数据表的系统限制
  • 检查CPU使用率,A​​ppFW,DHT和内存相关活动。监控AppFW会话
  • nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g mem_AS_OBJ -g mem_AS_COMPONENT -d current

监控在目标时间段内从Web应用程序防火墙组件和对象中分配和释放的内存。它有助于隔离导致高CPU使用率的保护。

  • 分析器输出
  • 观察日志

隔离appfw检查导致CPU过高:

  • startullclet
  • Formfiledconsistency
  • CSRF
  • 饼干的保护
  • 推荐人头检查

确定签名的自动更新不会导致高CPU(禁用确认)。

高CPU
2020年12月4日,
由:
C
2020年12月4日,
由:
C

在这篇文章中

    网站反馈 | 隐私和法律术语 | 饼干的偏好 | 同意设置
    ©1999 -Citrix Systems,Inc。保留所有权利。