ADC

Verfolgen Sie HTML-Anfragen mit Sicherheitsprotokollen

Hinweis:

Diese Funktion ist in NetScaler Version 10.5.e verfügbar.

Die Fehlerbehebung erfordert die Analyse der in der Kundenanfrage erhaltenen Daten und kann eine Herausforderung sein. Vor allem, wenn viel Verkehr durch das Gerät fließt. Die Diagnose von Problemen kann die Funktionalität beeinträchtigen oder die Anwendungssicherheit erfordert möglicherweise eine schnelle Reaktion.

Der NetScaler isoliert den Datenverkehr für ein Web App Firewall-Profil und sammelt nstrace für die HTML-Anfragen. Die im Appfw-Modus nstrace gesammelten Informationen enthalten Anforderungsdetails mit Protokollnachrichten. Sie können im Trace „TCP-Stream folgen“ verwenden, um die Details der einzelnen Transaktion, einschließlich Header, Payload und der entsprechenden Lognachricht, auf demselben Bildschirm einzusehen.

So erhalten Sie einen umfassenden Überblick über Ihren Traffic. Eine detaillierte Ansicht der Anfrage, der Payload und der zugehörigen Protokolldatensätze kann hilfreich sein, um Verstöße gegen die Sicherheitsüberprüfung zu analysieren. Sie können das Muster, das den Verstoß auslöst, leicht identifizieren. Wenn das Muster zugelassen werden muss, können Sie entscheiden, ob Sie die Konfiguration ändern oder eine Relaxationsregel hinzufügen möchten.

Vorteile

  1. Datenverkehr für ein bestimmtes Profil isolieren: Diese Erweiterung ist nützlich, wenn Sie den Datenverkehr nur für ein Profil oder für bestimmte Transaktionen eines Profils zur Problembehandlung isolieren. Sie müssen nicht mehr die gesamten im Trace gesammelten Daten durchsuchen oder spezielle Filter benötigen, um Anfragen, die Sie interessieren, zu isolieren, was bei hohem Datenverkehr mühsam sein kann. Sie können die Daten einsehen, die Sie bevorzugen.
  2. Daten für bestimmte Anfragen sammeln: Der Trace kann für eine bestimmte Dauer gesammelt werden. Sie können die Nachverfolgung nur für einige Anfragen erfassen, um bei Bedarf bestimmte Transaktionen zu isolieren, zu analysieren und zu debuggen.
  3. Identifizieren Sie Resets oder Abbrüche: Unerwartetes Schließen von Verbindungen ist nicht leicht sichtbar. Der im Modus —appfw gesammelte Trace erfasst einen Reset oder einen Abbruch, ausgelöst durch die Web App Firewall. Auf diese Weise können Sie ein Problem schneller isolieren, wenn Sie keine Meldung über einen Verstoß gegen die Sicherheitsüberprüfung sehen. Fehlerhafte Anfragen oder andere nicht RFC-konforme Anfragen, die von der Web App Firewall beendet wurden, sind jetzt einfacher zu identifizieren.
  4. Entschlüsselten SSL-Verkehr anzeigen: DerHTTPS-Verkehr wird im Klartext erfasst, um die Fehlerbehebung zu erleichtern.
  5. Bietet einen umfassenden Überblick: Ermöglicht es Ihnen, die gesamte Anfrage auf Paketebene, die Payload und die Protokolle zu überprüfen, um zu überprüfen, welche Sicherheitsüberprüfung ausgelöst wurde, und das Übereinstimmungsmuster in der Payload zu ermitteln. Wenn die Payload aus unerwarteten Daten, Junk-Strings oder nicht druckbaren Zeichen (Nullzeichen,\ r oder\ n usw.) besteht, sind diese im Trace leicht zu erkennen.
  6. Konfiguration ändern: Das Debugging kann nützliche Informationen liefern, um zu entscheiden, ob das beobachtete Verhalten das richtige Verhalten ist oder ob die Konfiguration geändert werden muss.
  7. Verkürzte Reaktionszeit: Durch ein schnelleres Debuggen des Zieldatenverkehrs kann die Reaktionszeit verbessert werden, sodass das NetScaler Engineering- und Support-Team Erklärungen oder Ursachenanalysen bereitstellen kann.

Weitere Informationen finden Sie unter Manuelle Konfiguration mithilfe des Themas der Befehlszeilenschnittstelle .

So konfigurieren Sie die Debug-Ablaufverfolgung für ein Profil mit der Befehlszeilenschnittstelle

Schritt 1. Aktiviere ns-Trace.

Sie können den Befehl show verwenden, um die konfigurierte Einstellung zu überprüfen.

  • set appfw profile <profile> -trace ON

Schritt 2. Sammle Spuren. Sie können weiterhin alle Optionen verwenden, die für den nstrace Befehl gelten.

  • start nstrace -mode APPFW

Schritt 3. Stoppen Sie die Spur.

  • stop nstrace

Ort des Traces: Dernstrace wird in einem Ordner mit Zeitstempel gespeichert, der im Verzeichnis /var/nstrace erstellt wird und mit dem Befehl eingesehen werden kann. wireshark Sie können das nachverfolgen /var/log/ns.log, um die Protokollmeldungen mit Details zum Standort des neuen Trace zu sehen.

Tipps:

  • Wenn die appfw-Modusoption verwendet wird, sammelt nstrace nur die Daten für ein oder mehrere Profile, für die das “nstrace” aktiviert wurde.

  • Wenn Sie den Trace im Profil aktivieren, werden die Traces nicht automatisch erfasst, bis Sie explizit den Befehl „start ns trace“ ausführen, um den Trace zu sammeln.
  • Die Aktivierung von Trace für ein Profil hat zwar möglicherweise keine negativen Auswirkungen auf die Leistung der Web App Firewall, aber Sie sollten diese Funktion möglicherweise nur für die Dauer aktivieren, für die Sie die Daten sammeln möchten. Es wird empfohlen, das —trace-Flag zu deaktivieren, nachdem Sie den Trace erfasst haben. Die Option verhindert das Risiko, versehentlich Daten aus Profilen abzurufen, für die Sie dieses Kennzeichen in der Vergangenheit aktiviert hatten.

  • Die Block- oder Log-Aktion muss aktiviert sein, damit die Sicherheitsüberprüfung für den Transaktionsdatensatz in die aufgenommen werden kann nstrace.

  • Resets und Abbrüche werden unabhängig von den Aktionen der Sicherheitsüberprüfungen protokolliert, wenn Trace für die Profile auf „On“ steht.

  • Die Funktion ist nur für die Behebung der vom Client eingegangenen Anfragen geeignet. Die Traces im Modus —appfw beinhalten nicht die vom Server empfangenen Antworten.

  • Sie können weiterhin alle Optionen verwenden, die für den nstrace Befehl gelten. Zum Beispiel

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Wenn eine Anfrage mehrere Verstöße auslöst, enthält der Datensatz nstrace für diesen Datensatz alle entsprechenden Logmeldungen.

  • Das CEF-Protokollnachrichtenformat wird für diese Funktion unterstützt.

  • Signaturverstöße, die Block- oder Log-Aktionen für anforderungsseitige Überprüfungen auslösen, werden ebenfalls in die Protokollierung aufgenommen.

  • Im Ablaufverfolgungsprotokoll werden nur HTML-Anforderungen (Nicht-XML) erfasst.
Verfolgen Sie HTML-Anfragen mit Sicherheitsprotokollen

In diesem Artikel