Citrix ADC

Tracer les requêtes HTML avec les journaux de sécurité

Remarque :

Cette fonctionnalité est disponible dans Citrix ADC version 10.5.e.

Le dépannage nécessite l’analyse des données reçues dans la demande du client et peut s’avérer difficile. Surtout s’il y a un trafic important qui circule à travers l’appareil. Les problèmes de diagnostic peuvent affecter la fonctionnalité ou la sécurité de l’application peut nécessiter une réponse rapide.

Citrix ADC isole le trafic pour un profil de Web App Firewall et recueille nstrace pour les demandes HTML. Le nstrace collecté en mode appfw inclut les détails de la demande avec les messages de journal. Vous pouvez utiliser « Suivre le flux TCP » dans la trace pour afficher les détails de la transaction individuelle, y compris les en-têtes, la charge utile et le message de journal correspondant dans le même écran.

Cela vous donne un aperçu complet de votre trafic. Avoir une vue détaillée de la demande, de la charge utile et des enregistrements de journaux associés peut être utile pour analyser la violation des contrôles de sécurité. Vous pouvez facilement identifier le motif qui déclenche la violation. Si le modèle doit être autorisé, vous pouvez prendre la décision de modifier la configuration ou d’ajouter une règle de relaxation.

Avantages

  1. Isoler le trafic pour un profil spécifique : cette amélioration est utile lorsque vous isolez le trafic pour un seul profil ou des transactions spécifiques d’un profil pour le dépannage. Vous n’avez plus à parcourir l’ensemble des données collectées dans la trace ou besoin de filtres spéciaux pour isoler les demandes qui vous intéressent qui peuvent être fastidieux avec un trafic lourd. Vous pouvez afficher les données que vous préférez.
  2. Collecter des données pour des demandes spécifiques : Le suivi peut être collecté pour une durée spécifiée. Vous ne pouvez collecter le suivi que pour quelques demandes pour isoler, analyser et déboguer des transactions spécifiques si nécessaire.
  3. Identifier les réinitialisations ou les abandons : La fermeture inattendue des connexions n’est pas facilement visible. La trace collectée en mode —appfw capture une réinitialisation ou un abandon, déclenchée par le Web App Firewall. Cela permet d’isoler plus rapidement un problème lorsque vous ne voyez pas de message de violation de vérification de sécurité. Les demandes mal formées ou d’autres demandes non conformes RFC arrêtées par le Web App Firewall seront désormais plus faciles à identifier.
  4. Afficher le trafic SSL déchiffré : le trafic HTTPS est capturé en texte brut pour faciliter le dépannage.
  5. Fournit une vue complète : Permet de regarder l’ensemble de la requête au niveau du paquet, de vérifier la charge utile, d’examiner les journaux pour vérifier quelle violation de vérification de sécurité est déclenchée et d’identifier le modèle de correspondance dans la charge utile. Si la charge utile est constituée de données inattendues, de chaînes indésirables ou de caractères non imprimables (caractère nul, \ r ou \ n et ainsi de suite), ils sont faciles à découvrir dans la trace.
  6. Modifier la configuration : le débogage peut fournir des informations utiles pour décider si le comportement observé est le comportement correct ou si la configuration doit être modifiée.
  7. Accélérer le temps de réponse : un débogage plus rapide du trafic cible peut améliorer le temps de réponse pour fournir des explications ou une analyse des causes premières par l’équipe d’ingénierie et de support Citrix.

Pour plus d’informations, reportez-vous à la rubrique Configuration manuelle à l’aide de l’interface de ligne de commande.

Pour configurer le suivi de débogage d’un profil à l’aide de l’interface de ligne de commande

Étape 1. Activer la trace ns.

Vous pouvez utiliser la commande show pour vérifier le paramètre configuré.

  • set appfw profile <profile> -trace ON

Étape 2. Recueillir des traces. Vous pouvez continuer à utiliser toutes les options applicables à la nstrace commande.

  • start nstrace -mode APPFW

Étape 3. Arrêtez la trace.

  • stop nstrace

Emplacement de la trace : Le nstrace est stocké dans un dossier horodaté qui est créé dans le répertoire /var/nstrace et peut être consulté à l’aide de wireshark. Vous pouvez suivre le /var/log/ns.log pour voir les messages de journal fournissant des détails sur l’emplacement de la nouvelle trace.

Conseils :

  • Lorsque l’option de mode appfw est utilisée, le nstrace collectera uniquement les données pour un ou plusieurs profils pour lesquels le « nstrace » a été activé.

  • L’activation de la trace sur le profil ne démarre pas automatiquement la collecte des traces tant que vous n’exécutez explicitement la commande « start ns trace » pour collecter la trace.
  • Bien que l’activation du suivi sur un profil n’ait pas d’effet négatif sur les performances du Web App Firewall, vous pouvez activer cette fonctionnalité uniquement pour la durée pendant laquelle vous souhaitez collecter les données. Il est recommandé de désactiver l’indicateur —trace après avoir recueilli la trace. Cette option empêche le risque d’obtenir par inadvertance des données à partir de profils pour lesquels vous aviez activé cet indicateur dans le passé.

  • L’action de bloc ou de journal doit être activée pour que la vérification de sécurité de l’enregistrement de transaction soit incluse dans le nstrace.

  • Les réinitialisations et les annulations sont enregistrées indépendamment des actions de vérification de sécurité lorsque le suivi est « On » pour les profils.

  • Cette fonctionnalité est uniquement applicable pour le dépannage des demandes reçues du client. Les traces en mode —appfw n’incluent pas les réponses reçues du serveur.

  • Vous pouvez continuer à utiliser toutes les options applicables à la nstrace commande. Par exemple,

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Si une demande déclenche plusieurs violations, l’enregistrement nstrace pour cet enregistrement inclut tous les messages de journal correspondants.

  • Le format de message de journal CEF est pris en charge pour cette fonctionnalité.

  • Les violations de signature déclenchant une action de blocage ou de journal pour les vérifications côté requête seront également incluses dans la trace.

  • Seules les requêtes HTML (non-XML) sont collectées dans la trace.
Tracer les requêtes HTML avec les journaux de sécurité