ADC

セキュリティログによる HTML リクエストの追跡

注:

この機能はNetScalerリリース10.5.eで使用できます。

トラブルシューティングには、クライアントのリクエストで受け取ったデータを分析する必要があり、困難な場合があります。特に、アプライアンスを通過するトラフィックが多い場合。問題を診断すると機能に影響が出たり、アプリケーションのセキュリティに迅速な対応が必要な場合があります。

NetScalerはWeb App Firewallプロファイルのトラフィックを分離し、 nstrace HTMLリクエスト用に収集します。 nstrace appfwモードで収集される情報には、リクエストの詳細とログメッセージが含まれます。トレースで「Follow TCP stream」を使用すると、ヘッダー、ペイロード、対応するログメッセージなど、個々のトランザクションの詳細を同じ画面に表示できます。

これにより、トラフィックに関する包括的な概要がわかります。リクエスト、ペイロード、および関連するログレコードを詳細に把握しておくと、セキュリティチェック違反の分析に役立ちます。違反を引き起こしているパターンを簡単に特定できます。パターンを許可する必要がある場合は、構成を変更するか、緩和ルールを追加するかを決定できます。

長所

  1. 特定のプロファイルのトラフィックを分離:この機能拡張は、トラブルシューティングのために 1 つのプロファイルまたはプロファイルの特定のトランザクションのみのトラフィックを分離する場合に便利です。トレースで収集されたデータ全体をざっと調べたり、関心のあるリクエストを分離するために特別なフィルターを使用する必要はもうありません。トラフィックが多いと面倒です。お好みのデータを表示できます。
  2. 特定のリクエストのデータ収集:指定した期間のトレースを収集できます。必要に応じて特定のトランザクションを分離、分析、デバッグするために、2、3のリクエストのみのトレースを収集できます。
  3. リセットまたは中止を識別:予期せず接続が閉じられたことを簡単に確認することはできません。—appfw モードで収集されたトレースは、Web App Firewall によってトリガーされたリセットまたは中止をキャプチャします。これにより、セキュリティチェック違反メッセージが表示されない場合でも、問題をすばやく切り分けることができます。形式に誤りのあるリクエストや、Web App Firewall によって終了されたその他の RFC 準拠以外のリクエストを識別しやすくなりました。
  4. 復号化された SSL トラフィックを表示する: HTTPS トラフィックはプレーンテキストでキャプチャされるため、トラブルシューティングが容易になります。
  5. 包括的な表示:リクエスト全体をパケットレベルで確認したり、ペイロードを確認したり、ログを確認してどのセキュリティチェック違反がトリガーされているかを確認したり、ペイロード内のマッチパターンを特定したりできます。ペイロードに予期しないデータ、ジャンク文字列、または印刷できない文字 (NULL 文字、\ r、\ n など) が含まれている場合は、トレースで簡単に見つけることができます。
  6. 設定の変更:デバッグを行うと、観察された動作が正しい動作なのか、それとも構成を変更する必要があるのかを判断するのに役立つ情報が得られます。
  7. 応答時間の短縮:対象トラフィックのデバッグを高速化すると、応答時間が短縮され、NetScalerのエンジニアリングおよびサポートチームによる説明や根本原因分析が可能になります。

詳細については、「 コマンドラインインターフェイスを使用した手動設定 」を参照してください。

コマンドラインインターフェイスを使用してプロファイルのデバッグトレースを構成するには

手順1. ns トレースを有効にします。

show コマンドを使用して、設定した設定を確認できます。

  • set appfw profile <profile> -trace ON

手順2. トレースを収集します。 nstrace コマンドに適用可能なすべてのオプションを引き続き使用できます。

  • start nstrace -mode APPFW

手順3. トレースを停止します。

  • stop nstrace

トレースの場所:nstraceはタイムスタンプ付きのフォルダに保存されます。このフォルダは /var/nstrace ディレクトリに作成され、wiresharkを使用して表示できます。 /var/log/ns.log を末尾に移動すると、新しいトレースの場所に関する詳細が記載されたログメッセージが表示されます。

ヒント:

  • appfw モードオプションを使用すると、 nstrace は「nstrace」が有効になっている 1 つ以上のプロファイルのデータのみを収集します。

  • プロファイルでトレースを有効にしても、「start ns trace」コマンドを明示的に実行してトレースを収集するまで、トレースの収集は自動的に開始されません。
  • プロファイルでトレースを有効にしても Web App Firewall のパフォーマンスに悪影響はないかもしれませんが、データを収集する期間のみこの機能を有効にしたい場合があります。トレースを収集したら、—trace フラグをオフにすることをお勧めします。このオプションは、過去にこのフラグを有効にしていたプロファイルからデータを誤って取得するリスクを防ぎます。

  • nstraceに含まれるトランザクションレコードのセキュリティチェックを行うには、ブロックアクションまたはログアクションを有効にする必要があります。

  • プロファイルのトレースが「オン」の場合、リセットと中止はセキュリティチェックアクションとは別にログに記録されます。

  • この機能は、クライアントから受け取ったリクエストのトラブルシューティングにのみ適用されます。—appfw モードのトレースには、サーバーから受信した応答は含まれません。

  • nstrace コマンドに適用可能なすべてのオプションを引き続き使用できます。たとえば、次のようにします。

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • nstrace リクエストが複数の違反をトリガーした場合、そのレコードには対応するすべてのログメッセージが含まれます。

  • この機能では、CEF ログメッセージ形式がサポートされています。

  • リクエスト側チェックのブロックまたはログアクションをトリガーする署名違反もトレースに含まれます。

  • HTML (非 XML) 要求のみがトレースに収集されます。
セキュリティログによる HTML リクエストの追跡

この記事の概要