选择性SSL日志
在由数千个虚拟服务器组成的大型部署中,所有与SSL相关的信息都会被记录下来。早些时候,过滤一些关键虚拟服务器的客户端身份验证和SSL握手成功与失败并不容易。仔细阅读整个日志以获取这些信息是一项耗时而乏味的任务,因为基础设施没有提供过滤日志的控件。现在,您可以登录SSL相关信息ns.log.,用于特定的虚拟服务器或一组虚拟服务器。这个信息在调试失败时特别有用。要记录此信息,必须添加SSL日志配置文件。
有关成功的客户端身份验证,请参阅本页末尾的示例ns.log输出。
重要的:设置syslog日志级别为DEBUG。在命令提示下,键入:
set audit syslogParams -logLevel DEBUG
SSL日志配置文件
SSL日志配置文件提供了对记录虚拟服务器或一组虚拟服务器的以下事件的控制:
客户端身份验证成功和失败,或仅失败。
SSL握手成功和失败,或仅失败。
缺省情况下,禁用所有参数。
可以在SSL配置文件或SSL操作上设置SSL日志配置文件。如果设置为SSL配置文件,则可以记录客户端身份验证和SSL握手成功与失败信息。如果设置为SSL操作,则只能记录客户端身份验证成功和失败信息,因为在评估策略之前握手已完成。
即使没有配置SSL日志配置文件,也会记录客户端身份验证和SSL握手的成功和失败。但是,只有在使用SSL日志配置文件时,才有可能进行选择性日志记录。
注:
在高可用性和群集设置中支持SSL日志配置文件。
通过CLI方式添加SSL日志配置文件
在命令提示下,键入:
添加ssl logprofile [- ssllogclth (ENABLED | DISABLED)] [-ssllogClAuthFailures (ENABLED | DISABLED)] [- ssllogghs (ENABLED | DISABLED)] [- ssllogghsfailures (ENABLED | DISABLED)] 参数:
姓名:
SSL日志配置文件的名称。必须以ASCII字母数字或下划线(_)开头,且只能包含ASCII字母数字、下划线、散列(#)、句号(.)、空格、冒号(:)、at(@)、equals(=)和连字符(-)。不能在配置文件创建后更改。
名称是一个强制性的论点。最大长度:127
ssllogclauth.:
记录所有客户端身份验证事件。包括成功和失败事件。
可能的值:启用,禁用
默认值:禁用
ssllogClAuthFailures:
记录所有客户端身份验证失败事件。
可能的值:启用,禁用
默认值:禁用
sslLogHS:
记录所有SSL握手相关事件。包括成功和失败事件。
可能的值:启用,禁用
默认值:禁用
sslLogHSfailures:
记录所有与SSL握手相关的失败事件。
可能的值:启用,禁用
默认值:禁用
例子:
>添加SSL LogProfile SSLLOG10 -SSLLOGCLAUTH启用-sslloghs已启用dode sh ssllogprofile ssllog10 1)名称:SSLLOG10 SSL日志ClientAuth [成功/故障]:启用SSL日志ClientAuth [故障]:禁用SSL日志握手[成功/故障]:启用SSL日志握手[故障]:Disabled Done <! - 需要 - >使用GUI添加SSL日志配置文件
引导到系统>配置文件> SSL日志配置文件并添加一个配置文件。
该任务指导管理员通过CLI修改SSL日志配置文件
在命令提示符类型:
set ssl logprofile [- ssllogclth (ENABLED | DISABLED)][-ssllogClAuthFailures (ENABLED | DISABLED)][- ssllogghs (ENABLED | DISABLED)][- ssllogghsfailures (ENABLED | DISABLED)] 例子:
设置ssllogprofile ssllog10 -ssllogClAuth en -ssllogClAuthFailures en -ssllogHS en -ssllogHSfailures en做sh ssllogprofile ssllog10 1)名称:ssllog10 SSL日志ClientAuth(成功/失败):启用SSL日志ClientAuth(失败):日志启用SSL握手(成功/失败):启用日志启用SSL握手(失败):做< !——NeedCopy >使用GUI修改SSL日志配置文件
- 引导到系统>配置文件> SSL日志配置文件,选择配置文件,单击编辑.
- 进行更改并单击好的.
使用CLI查看所有SSL日志配置文件
在命令提示下,键入:
sh ssl日志配置文件<--需要复制-->例子:
sh ssllogprofile . sh ssl logprofile 1)名称:ssllogp1 ssl日志ClientAuth [Success/Failures]: ENABLED ssl日志ClientAuth [Failures]: ENABLED ssl日志Handshake [Success/Failures]: DISABLED ssl日志Handshake [Failures]: ENABLED 2)名称:ssllogp2 ssl日志ClientAuth [Success/Failures]: DISABLED ssl日志ClientAuth [Failures]:DISABLED SSL log Handshake [Success/Failures]: DISABLED SSL log Handshake [Failures]: DISABLED 3)名称:ssllogp3 SSL日志ClientAuth [Success/Failures]: DISABLED SSL日志Handshake [Success/Failures]: DISABLED 4)名称:ssllogp3 SSL日志ClientAuth [Success/Failures]: DISABLED SSL日志Handshake [Failures]: DISABLEDssllog10 SSL日志ClientAuth [Success/Failures]: ENABLED SSL日志ClientAuth [Failures]: ENABLED SSL日志Handshake [Success/Failures]: ENABLED SSL日志Handshake [Failures]: ENABLED Done 使用GUI查看所有SSL日志配置文件
引导到系统>配置文件> SSL日志配置文件.列出了所有配置文件。
将SSL日志配置文件附加到SSL配置文件
您可以在创建SSL配置文件时在SSL配置文件上附加(设置)SSL日志配置文件,或者稍后通过编辑SSL配置文件。您可以记录客户端认证和握手的成功和失败。
重要的:
在附加SSL日志配置文件之前,必须启用默认的SSL配置文件。
使用CLI在SSL配置文件上附加SSL日志配置文件
在命令提示下,键入:
set ssl profile [-ssllogProfile ] 例子:
将ssl配置文件设置为1-ssllogProfile ssllog10<--需要复制-->使用GUI将SSL日志配置文件附加到SSL配置文件
- 引导到系统>配置文件> SSL配置文件.
- 点击编辑和在SSL日志配置文件,指定一个配置文件。
将SSL日志配置文件附加到SSL操作
您只能在创建SSL操作时设置SSL日志配置文件。您无法修改SSL操作以设置日志配置文件。将行动与政策联系起来。您只能记录客户端身份验证成功和故障。
使用CLI将SSL日志配置文件附加到SSL操作
在命令提示下,键入:
add ssl action -clientAuth (DOCLIENTAUTH | NOCLIENTAUTH) -ssllogProfile 例子:
>添加ssl操作act1-客户端身份验证doclientuth-ssllogProfile ssllog10完成>sh ssl操作act1 1)名称:act1类型:客户端身份验证(doclientuth)命中数:0未定义命中数:0操作引用计数:0 ssllogProfile:ssllog10完成<--需要复制-->使用GUI将SSL日志配置文件附加到SSL操作
- 引导到流量管理>SSL>策略并点击SSL的行为.
- 点击添加.
- 在客户端身份验证中,选择启用.
- 在“SSL日志配置文件”列表中选择一个配置文件,或者单击“+”创建一个配置文件。
- 点击创建.
日志文件的示例输出
下面是来自的示例日志输出ns.log.用于成功的客户端身份验证。
Jan 24 16:24:25 10.102.57.80 011/24/2019:10:54:25 GMT 0- ppe -0: default SSLLOG SSL_HANDSHAKE_SUCCESS 0:SPCBId 671 - ClientIP 10.102.1.98 - ClientPort 49451 - VserverServiceIP 10.102.57.82 - VserverServicePort 443 - ClientVersion TLSv1.2——密码套件”aes - 256 - cbc -沙TLSv1.2 Non-Export 256位”-会话新CLIENT_AUTHENTICATED serialnumber“2 a”——SignatureAlgorithm“sha1WithRSAEncryption”——ValidFrom——ValidTo“格林尼治时间2008年9月22日09:15:20 2月8日09:15:20 2036 GMT”——HandshakeTime 10 ms 1月24 16:24:25 < local0.debug > 10.102.57.80 01/24/2019:10:54:25 0-PPE-0格林尼治时间:默认SSLLOG SSL_HANDSHAKE_ISSUERNAME 159 0: SPCBId 671 - IssuerName”C =,圣=凹地,O = Citrix研发Pvt Ltd, CN = Citrix”1月24 16:24:25 < local0.debug > 10.102.57.80 01/24/2019:10:54:25 0-PPE-0格林尼治时间:default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 160 0: SPCBId 671 - SubjectName " C=IN,ST=KAR,O=Citrix Pvt Ltd,OU=A,CN=B" Jan 24 16:24:25 10.102.57.80 01/24/2019:10:54:25 GMT 0- ppe0: default SSLLOG SSL_HANDSHAKE_SUCCESS 161 0:后端SPCBId 674 - ServerIP 10.102.57.85 - ServerPort 443 - ProtocolVersion TLSv1.2——密码套件”aes - 256 - cbc -沙TLSv1.2 Non-Export 256位”-会话重用SERVER_AUTHENTICATED serialnumber“3 e”——SignatureAlgorithm“sha1WithRSAEncryption”——ValidFrom“格林尼治时间2008年9月24日06:40:37”——ValidTo“格林尼治时间2036年2月10 06:40:37”——HandshakeTime 1简女士格林尼治时间24 16:24:25 < local0.debug > 10.102.57.80 01/24/2019:10:54:25 0-PPE-0:默认SSLLOG SSL_HANDSHAKE_ISSUERNAME 162 0: SPCBId 674 - IssuerName“C =,圣=凹地,O = Citrix Pvt Ltd”1月24 16:24:25 < local0.debug > 10.102.57.80 01/24/2019:10:54:25 0-PPE-0格林尼治时间:默认SSLLOG SSL_HANDSHAKE_SUBJECTNAME 163 0:SPCBId 674 - SubjectName " C=IN,ST=P,L=Q,O=R"