Citrix ADC

セキュリティログを使用して HTML 要求をトレースする

注:

この機能は、Citrix ADCリリース10.5.eで使用できます。

トラブルシューティングには、クライアント要求で受信したデータの分析が必要であり、困難な場合があります。特に、アプライアンスを通過するトラフィックが多い場合。問題を診断すると機能に影響したり、アプリケーションのセキュリティに迅速な対応が必要な場合があります。

Citrix ADCには、Web App Firewall プロファイルのトラフィックを分離し、HTMLリクエストのnstraceを収集するオプションがあります。—appfwモードで収集されたnstraceには、Web App Firewall が生成したログメッセージを含むリクエスト全体の詳細が含まれます。トレースで「Follow TCP stream」を使用すると、ヘッダー、ペイロード、対応するログメッセージを含む個々のトランザクションの詳細を同じ画面に表示できます。

これは、あなたのトラフィックに関する包括的な概要を提供します。要求、ペイロード、および関連するログレコードの詳細なビューを持つことは、セキュリティチェック違反を分析するのに非常に役立ちます。違反を引き起こしているパターンを簡単に特定できます。パターンが許可される必要がある場合は、構成を変更するか、緩和規則を追加するか決定できます。

長所

  1. 特定のプロファイルに対するトラフィックの分離:この拡張機能は、トラブルシューティングのために 1 つのプロファイルまたはプロファイルの特定のトランザクションのトラフィックを分離する場合に役立ちます。あなたは、もはやトレースで収集されたデータ全体をスキムしたり、大量のトラフィックで退屈することができ、要求の関心を分離するための特別なフィルタを必要とする必要はありません。これで、関心のあるデータのみを表示するオプションが追加されました。
  2. 特定の要求のデータを収集する:トレースは、指定した期間だけ収集できます。必要に応じて、特定のトランザクションを分離、分析、デバッグするために、2 つのリクエストに対してのみトレースを収集できます。
  3. リセットまたは中止を特定する: 接続の予期せぬ終了が簡単には見えません。—appfw モードで収集されたトレースは、Web App Firewall によってトリガーされたリセットまたは中止をキャプチャします。これにより、セキュリティチェック違反のメッセージが表示されない場合に、問題を迅速に切り離すことができます。不正な要求や、Web App Firewall によって終了された RFC 準拠以外の要求が、識別しやすくなりました。
  4. 復号化された SSL トラフィックを表示する: HTTPS トラフィックはプレーンテキストでキャプチャされるため、トラブルシューティングが容易になります。
  5. 包括的なビューを提供します: 要求全体をパケットレベルで確認したり、ペイロードをチェックしたり、ログを調べて、どのセキュリティチェック違反がトリガーされているかを確認したり、ペイロード内の一致パターンを特定したりできます。ペイロードが予期しないデータ、ジャンク文字列、または印刷不可能な文字(ヌル文字、rまたはnなど)で構成されている場合、トレース内で簡単に検出できます。
  6. 設定の変更:デバッグは、観察された動作が正しい動作であるか、または設定を変更する必要があるかを決定するための有用な情報を提供します。
  7. 迅速な応答時間:ターゲットトラフィックのデバッグを高速化すると、応答時間が短縮され、Citrix のエンジニアリングとサポートチームによる説明や根本原因の分析が提供されます。

タスクの文書化については、eDocs のタスクトピックを参照してください。 コマンドラインインターフェイスを使用した手動構成

コマンドラインインターフェイスを使用してプロファイルのデバッグトレースを構成するには

手順1. ns トレースを有効にします。

show コマンドを使用して、設定された設定を確認できます。

  • set appfw profile <profile> -trace ON

手順2. トレースを収集します。nstrace コマンドに適用可能なすべてのオプションを引き続き使用できます。

  • start nstrace -mode APPFW

手順3. トレースを停止します。

  • stop nstrace

トレースの場所: nstrace は、/var/nstrace ディレクトリに作成されたタイムスタンプ付きのフォルダーに格納され、wireshark を使用して表示できます。/var/log/ns.logを末尾に付けて、新しいトレースの場所に関する詳細を提供するログメッセージを表示できます。

ヒント:

  • —appfw mode オプションを使用すると、nstrace は「トレース」が有効になっているプロファイルのデータのみを収集します。

  • プロファイルでトレースを有効にしても、「start nstrace」コマンドを実行してトレースを収集するまで、トレースの収集は自動的に開始されません。
  • ただし、プロファイルでトレースを有効にしても、Web App Firewall のパフォーマンスに悪影響を及ぼすことはありませんが、データを収集する期間だけこの機能を有効にしたい場合があります。トレースを収集した後、—trace フラグをオフにすることをお勧めします。これにより、過去にこのフラグを有効にしたプロファイルからデータを誤って取得するリスクを回避できます。

  • トランザクションレコードを nstrace に含めるには、セキュリティチェックに対してブロックアクションまたはログアクションを有効にする必要があります。

  • プロファイルのトレースが「オン」の場合、セキュリティチェック操作とは関係なく、リセットと中止がログに記録されます。

  • この機能は、クライアントから受信した要求のトラブルシューティングにのみ適用できます。—appfw モードのトレースには、サーバから受信した応答は含まれません。

  • nstrace コマンドに適用可能なすべてのオプションを引き続き使用できます。例:

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • 要求が複数の違反をトリガーした場合、そのレコードの nstrace には、対応するログメッセージがすべて含まれます。

  • この機能では、CEF ログメッセージ形式がサポートされています。

  • 要求側チェックのブロックやログアクションをトリガーする署名違反もトレースに含まれます。

  • HTML (非 XML) 要求のみがトレースに収集されます。

トレース内のログレコードの例:

トレース内のログレコード

セキュリティログを使用して HTML 要求をトレースする