Citrix ADC

Hohe CPU

Im Folgenden finden Sie einige der Funktionen und Probleme mit hoher CPU im Zusammenhang mit dem Debuggen und die bewährten Methoden, die bei der Arbeit mit der Web App Firewall befolgt werden:

Überprüfen Sie Richtlinientreffer, Bindungen, Netzwerkkonfiguration, Konfiguration der Web App Firewall:

  • Fehlkonfiguration identifizieren
  • Identifizieren des vservers, der den betroffenen Datenverkehr bedient

Überprüfen Sie Protokolle in den folgenden Protokolldateien auf Sicherheitsverstöße und aktuelle Konfigurationsänderungen:

  • /var/log/ns.log
  • /var/nslog/import.log
  • /var/nslog/aslearn.log
  • tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH

Beispiel:

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked

Isolieren Sie den Datenverkehr, der ausgeführt wird:

  • Isolieren des Profils
  • Sicherheitsüberprüfung isolieren
  • Trennen Sie die URL-, vserver- und Verkehrsparameter

Die Ablaufverfolgung der bedingten Profilebene hilft bei der Identifizierung der Datenverkehrs- und Verletzungsdatensätze:

  • set appfw profile <profile> -trace ON
  • start nstrace -mode APPFW -size 0
  • stop nstrace

Hinweis: Stellen Sie sicher, dass die Ablaufverfolgung mit der Option -size 0 erfasst wird.

Überprüfen Sie Aktivitätszähler für appfw, dht, IP-Reputation:

  • nsconmsg -g as_ -g appfwreq_ -g iprep -d current

Monitorfenstergröße für Resets in Verbindung:

Appfw legt die Fenstergröße auf 9845 fest, wenn Citrix ADC die Verbindung aufgrund einer ungültigen HTTP-Nachricht zurücksetzt.

Beispiele:

  • Fehlgebildete Anfrage empfangen - Verbindung zurückgesetzt
  • Probleme mit hoher CPU
  • Datenblätter auf Systemgrenzen prüfen
  • Überprüfen Sie auf CPU-Auslastung, appfw, DHT und speicherbezogene Aktivität. Überwachen von AppFW-Sitzungen
  • nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g mem_AS_OBJ -g mem_AS_COMPONENT -d current

Überwachen Sie den Speicher, der während des Zielzeitraums von Komponenten und Objekten der Web App Firewall zugewiesen und freigegeben wurde. Es hilft, den Schutz zu isolieren, was zu einer hohen CPU-Auslastung führt.

  • Profiler-Ausgabe
  • Protokolle beobachten

Appfw-Prüfung isolieren, die zu einer hohen CPU führt:

  • startURLClosure
  • Formfiledconsistency
  • CSRF
  • Cookie-Schutz
  • Überweisungskopfprüfung

Stellen Sie sicher, dass das automatische Update von Signaturen nicht zu einer hohen CPU führt (Deaktivieren, um zu bestätigen).

Hohe CPU