高CPU
以下是使用Web应用防火墙时遇到的一些功能和高CPU相关调试问题,以及要遵循的最佳实践:
检查策略命中、绑定、网络配置、Web应用程序防火墙配置:
- 识别错误配置
- 识别vserver为受影响的流量服务
检查以下日志文件中的日志是否存在安全违规和最近的配置更改:
/var/log/ns.log
/var/nslog/import.log
/var/nslog/aslearn.log
tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH .log日志示例
例子:
june 13 01:11:09 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=签名违规规则ID 807:web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked
隔离受影响的流量:
- 隔离档案
- 隔离安全检查
- 隔离URL、虚拟服务器和流量参数
条件配置文件级别跟踪帮助识别流量和违规记录:
设置appfw配置文件<配置文件> -trace ON
start nstrace -mode APPFW -size 0
停止nstrace
注意:确保使用-size 0选项收集跟踪。
检查appfw、dht、IP信誉活动计数器:
Nsconmsg -g as_ -g appfwreq_ -g iprep -d current
监视连接中重置的窗口大小:
当Citrix ADC由于无效的http消息重置连接时,Appfw将窗口大小设置为9845。
例子:
- 接收到错误的请求-连接重置
- 高CPU相关问题
- 检查数据表的系统限制
- 检查CPU使用率,AppFW,DHT和内存相关活动。监控AppFW会话
- nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g mem_AS_OBJ -g mem_AS_COMPONENT -d current
监控在目标时间段内从Web应用程序防火墙组件和对象中分配和释放的内存。它有助于隔离导致高CPU使用率的保护。
- 分析器输出
- 观察日志
隔离appfw检查导致CPU过高:
- startullclet
- Formfiledconsistency
- CSRF
- 饼干的保护
- 推荐人头检查
确定签名的自动更新不会导致高CPU(禁用确认)。
高CPU
在这篇文章中
复制!
失败了!