Citrix ADC

Utilisation élevée du processeur

Voici quelques-unes des fonctionnalités et des problèmes de débogage liés à l’UC élevés rencontrés et les meilleures pratiques à suivre lorsque vous travaillez avec le Web App Firewall :

Vérifiez les accès aux stratégies, les liaisons, la configuration réseau, la configuration du Web App Firewall :

  • Identifier les erreurs de configuration
  • Identifier vserver qui dessert le trafic affecté

Inspectez les journaux des fichiers journaux suivants à la recherche de violations de sécurité et de modifications récentes de configuration :

  • /var/log/ns.log
  • /var/nslog/import.log
  • /var/nslog/aslearn.log
  • tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH

Exemple :

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked

Isolez le trafic effectué :

  • Isoler le profil
  • Isoler le contrôle de sécurité
  • Isoler l’URL, vserver et les paramètres de trafic

Le suivi conditionnel au niveau du profil permet d’identifier les enregistrements de trafic et de violation :

  • set appfw profile <profile> -trace ON
  • start nstrace -mode APPFW -size 0
  • stop nstrace

Remarque : Assurez-vous que la trace est collectée avec l’option -size 0.

Vérifiez les compteurs d’activité appfw, dht, IP réputation :

  • nsconmsg -g as_ -g appfwreq_ -g iprep -d current

Surveiller la taille de la fenêtre pour les réinitialisations en connexion :

Appfw définit la taille de la fenêtre sur 9845 lorsque Citrix ADC réinitialise la connexion en raison d’un message http non valide.

Exemples :

  • Demande mal formée reçue - réinitialisation de la connexion
  • Problèmes liés au processeur élevé
  • Vérifier les limites du système dans les fiches techniques
  • Inspectez l’utilisation du processeur, appfw, DHT et l’activité liée à la mémoire. Surveiller les sessions appfw
  • nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g mem_AS_OBJ -g mem_AS_COMPONENT -d current

Surveillez la mémoire allouée et libérée des composants et objets du Web App Firewall pendant la période cible. Il aide à isoler la protection conduisant à une utilisation élevée du processeur.

  • Sortie du profileur
  • Observer les journaux

Isoler la vérification appfw conduisant à un processeur élevé :

  • startURLClosure
  • Cohérence des fichiers formels
  • CSRF
  • Protection contre les cookies
  • Vérification de l’en-tête du référent

Vérifiez que la mise à jour automatique des signatures ne conduit pas à une CPU élevée (Désactiver pour confirmer).

Utilisation élevée du processeur