Tracer les requêtes HTML avec les journaux de sécurité

Remarque :

Cette fonctionnalité est disponible dans Citrix ADC version 10.5.e.

Le dépannage nécessite l’analyse des données reçues dans la demande du client et peut s’avérer difficile. Surtout s’il y a un trafic important qui circule à travers l’appareil. Les problèmes de diagnostic peuvent affecter la fonctionnalité ou la sécurité de l’application peut nécessiter une réponse rapide.

Citrix ADC dispose d’une option pour isoler le trafic d’un profil Web App Firewall et collecter nstrace pour les requêtes HTML. La nstrace collectée en mode —appfw inclut les détails de la demande entière, y compris les messages de journal générés par le Web App Firewall. Vous pouvez utiliser « Suivre le flux TCP » dans la trace pour afficher les détails de la transaction individuelle, y compris les en-têtes, la charge utile, ainsi que le message de journal correspondant, ensemble dans le même écran.

Cela vous donne un aperçu complet de votre trafic. Avoir une vue détaillée de la demande, de la charge utile et des enregistrements de journal associés peut être très utile pour analyser la violation de vérification de sécurité. Vous pouvez facilement identifier le motif qui déclenche la violation. Si le motif doit être autorisé, vous pouvez prendre la décision de modifier la configuration et/ou d’ajouter une règle de relaxation.

Avantages

  1. Isoler le trafic pour un profil spécifique : cette amélioration est utile lorsque vous isolez le trafic pour un seul profil ou des transactions spécifiques d’un profil pour le dépannage. Vous n’avez plus à parcourir l’ensemble des données collectées dans la trace ou besoin de filtres spéciaux pour isoler les demandes qui vous intéressent qui peuvent être fastidieux avec un trafic lourd. Vous avez maintenant la possibilité d’afficher uniquement les données qui vous intéressent.
  2. Collecter des données pour des demandes spécifiques : Le suivi peut être collecté pour une durée spécifiée. Vous ne pouvez collecter le suivi que pour quelques demandes pour isoler, analyser et déboguer des transactions spécifiques si nécessaire.
  3. Identifier les réinitialisations ou les abandons : les fermetures inattendues des connexions ne sont pas facilement visibles. La trace collectée en mode —appfw capture une réinitialisation ou un abandon, déclenchée par le Web App Firewall. Cela permet une isolation plus rapide du problème lorsque vous ne voyez pas de message de violation de vérification de sécurité. Les demandes mal formées ou d’autres demandes non conformes RFC arrêtées par le Web App Firewall seront désormais plus faciles à identifier.
  4. Afficher le trafic SSL déchiffré : le trafic HTTPS est capturé en texte brut pour faciliter le dépannage.
  5. Fournit une vue complète : Permet de regarder l’ensemble de la requête au niveau du paquet, de vérifier la charge utile, d’examiner les journaux pour vérifier quelle violation de vérification de sécurité est déclenchée et d’identifier le modèle de correspondance dans la charge utile. Si la charge utile est constituée de données inattendues, de chaînes de courrier indésirable ou de caractères non imprimables (caractère nul, \r ou \n etc), ils sont faciles à découvrir dans la trace.
  6. Modifier la configuration : Le débogage peut fournir des informations utiles pour décider si le comportement observé est le bon comportement ou si la configuration doit être modifiée.
  7. Accélérer le temps de réponse : un débogage plus rapide sur le trafic cible peut améliorer le temps de réponse pour fournir des explications et/ou une analyse des causes premières par l’équipe d’ingénierie et de support Citrix.

Consultez toute rubrique de tâche dans eDocs pour documenter les tâches. Configuration manuelle à l’aide de l’interface de ligne de commande

Pour configurer le suivi de débogage d’un profil à l’aide de l’interface de ligne de commande

Étape 1. Activer la trace ns.

Vous pouvez utiliser la commande show pour vérifier le paramètre configuré.

  • set appfw profile <profile> -trace ON

Étape 2. Recueillir des traces. Vous pouvez continuer à utiliser toutes les options applicables à la commande nstrace.

  • start nstrace -mode APPFW

Étape 3. Arrêtez la trace.

  • stop nstrace

Emplacement de la trace : Le nstrace est stocké dans un dossier horodaté qui est créé dans le répertoire /var/nstrace et peut être consulté à l’aide de wireshark. Vous pouvez suivre le /var/log/ns.log pour voir les messages de journal fournissant des détails sur l’emplacement de la nouvelle trace.

Conseils :

  • Lorsque l’option —appfw mode est utilisée, la nstrace recueillera uniquement les données du ou des profils pour lesquels « trace » a été activée.

  • L’activation de la trace sur le profil ne commencera pas automatiquement à collecter les traces tant que vous n’exécutez pas explicitement la commande « start nstrace » pour collecter la trace.
  • Bien que l’activation du suivi sur un profil n’ait pas d’effet négatif sur les performances du Web App Firewall, vous ne voudrez peut-être activer cette fonctionnalité que pour la durée pendant laquelle vous souhaitez collecter les données. Il est recommandé de désactiver l’indicateur —trace après avoir recueilli la trace. Cela évitera le risque d’obtenir par inadvertance des données des profils pour lesquels vous aviez activé cet indicateur dans le passé.

  • L’action de blocage ou de journal doit être activée pour que la vérification de sécurité de l’enregistrement de transaction soit incluse dans la nstrace.

  • Les réinitialisations et les abandons seront consignés indépendamment des actions de vérification de sécurité lorsque la trace est « On » pour le ou les profils.

  • Cette fonctionnalité est uniquement applicable pour le dépannage des demandes reçues du client. Les traces en mode —appfw n’incluent pas les réponses reçues du serveur.

  • Vous pouvez continuer à utiliser toutes les options applicables à la commande nstrace. Par exemple, les opérations suivantes peuvent être effectuées :

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Si une demande déclenche plusieurs violations, la nstrace de cet enregistrement inclut tous les messages de journal correspondants.

  • Le format de message de journal CEF est pris en charge pour cette fonctionnalité.

  • Les violations de signature déclenchant une action de blocage et/ou de journal pour les vérifications côté demande seront également incluses dans la trace.

  • Seules les requêtes HTML (non-XML) sont collectées dans la trace.

Exemple d’enregistrement de journal dans la trace :

image localisée

Tracer les requêtes HTML avec les journaux de sécurité