Einfache Fehlerbehebung mit Web Application Firewall-Protokollen

Bei einem Sicherheitsangriff ist es wichtig, eine detaillierte WAF-Protokollierung auf der Appliance zu erfassen. Dazu können Sie den Parameter VerboseLogLevel in einem Anwendungsfirewall Profil konfigurieren.

Betrachten Sie einen Web-Traffic, der einen Sicherheitsangriff hat. Wenn die Appliance den Datenverkehr empfängt, werden Verletzungsdetails wie HTTP-Header-Details, Protokollmuster und Musternutzlastinformationen protokolliert und an den ADM-Server gesendet. Der ADM-Server überwacht die detaillierten Protokolle und zeigt sie zur Überwachung und Nachverfolgung auf der Seite Security Insight an.

Ausführliche Protokollierungsstufe mit der Befehlsschnittstelle konfigurieren

Um detaillierte WAF-Protokolle zu erfassen, konfigurieren Sie den folgenden Befehl.Geben Sie an der Befehlsschnittstelle Folgendes ein:

set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHeader)

Beispiel

set appfw profile profile1 –VerboseLogLevel patternPayloadHeader

Die verfügbaren Protokollebenen sind:

  1. Muster. Protokolliert nur das Verstoßmuster.
  2. Muster Nutzlast. Protokolliert das Verstoßmuster und 150 Bytes zusätzlicher Feldelementnutzlast.
  3. Muster-Nutzlast-Header. Protokolliert Verletzungen Patter, 150 Bytes zusätzlicher Feldelementnutzlast und HTTP-Header-Informationen.

Konfigurieren ausführlicher Log-Level mit der Citrix ADC GUI

Gehen Sie folgendermaßen vor, um die ausführliche Protokollstufe im WAF-Profil zu konfigurieren.

  1. Navigieren Sie im Navigationsbereich zu Sicherheit > Profile.
  2. Klicken Sie auf der Seite Profile auf Hinzufügen.
  3. Klicken Sie auf der Seite Citrix Web App Firewall Profilunter Erweiterte Einstellungenauf Profileinstellungen.
  4. Wählen Sie im Abschnitt Profileinstellungen die detaillierte WAF-Protokollebene im Feld Ausführliche Protokollebene aus.
  5. Klicken Sie auf OK und Fertig .

    Ausführliche Konfiguration auf Protokollebene