Citrix ADC

CPU alta

A continuación se presentan algunos de los problemas de depuración relacionados con la funcionalidad y la alta CPU y las prácticas recomendadas a seguir cuando se trabaja con Web App Firewall:

Compruebe las visitas a directivas, los enlaces, la configuración de red, la configuración de Web App Firewall:

  • Identificar errores de configuración
  • Identificar el servidor virtual que está sirviendo el tráfico afectado

Inspeccione los registros de los siguientes archivos de registro en busca de infracciones de seguridad y cambios recientes de configuración:

  • /var/log/ns.log
  • /var/nslog/import.log
  • /var/nslog/aslearn.log
  • tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH

Ejemplo:

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked

Aísle el tráfico que se efectúa:

  • Aislar el perfil
  • Aislar la comprobación de seguridad
  • Aislar los parámetros de URL, vserver y tráfico

El seguimiento de nivel de perfil condicional ayuda a identificar los registros de tráfico e infracciones:

  • set appfw profile <profile> -trace ON
  • start nstrace -mode APPFW -size 0
  • stop nstrace

Nota: Asegúrese de que la traza se recopila con la opción -size 0.

Compruebe appfw, dht, contadores de actividad de reputación IP:

  • nsconmsg -g as_ -g appfwreq_ -g iprep -d current

Tamaño de la ventana del monitor para los reajustes en la conexión:

Appfw establece el tamaño de la ventana en 9845 cuando Citrix ADC restablece la conexión debido a un mensaje http no válido.

Ejemplos:

  • Solicitud mal formada recibida: Restablecimiento de la conexión
  • Problemas relacionados con la CPU alta
  • Comprobar las hojas de datos para los límites del sistema
  • Inspeccione el uso de la CPU, appfw, DHT y la actividad relacionada con la memoria. Supervisar sesiones de appfw
  • nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g mem_as_obj -g mem_as_component -d current

Supervisar la memoria asignada y liberada de los componentes y objetos de Web App Firewall durante el período de tiempo de destino. Ayuda a aislar la protección que conduce a un alto uso de CPU.

  • Salida del generador de perfiles
  • Observar registros

Aislar la comprobación de appfw que conduce a una CPU alta:

  • startURLClosure
  • Formfiledconsistency
  • CSRF
  • Protecciones de cookies
  • Comprobación del encabezado del referer

Compruebe que la actualización automática de firmas no conduce a una CPU alta (Inhabilitar para confirmar).

CPU alta