Citrix ADC

高いCPU

次に、機能と CPU 使用率が高い CPU 関連のデバッグに関する問題のいくつかと、Web App Firewall を使用する際に従うべきベストプラクティスを示します。

ポリシーヒット、バインディング、ネットワーク設定、Web App Firewall 設定を確認します。

  • 構成ミスの特定
  • 影響を受けるトラフィックを処理している vserver の特定

次のログファイルのログで、セキュリティ違反と最近の設定変更がないか調べます。

  • /var/log/ns.log
  • /var/nslog/import.log
  • /var/nslog/aslearn.log
  • tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH

例:

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked

影響を受けるトラフィックを分離します。

  • プロファイルを分離する
  • セキュリティチェックを分離する
  • URL、仮想サーバー、およびトラフィックのパラメータを分離する

条件付きプロファイルレベルのトレースは、トラフィックおよび違反レコードを識別するのに役立ちます。

  • set appfw profile <profile> -trace ON
  • start nstrace -mode APPFW -size 0
  • stop nstrace

注:トレースは、-size 0 オプションを使用して収集されることを確認してください。

appfw、dht、IP レピュテーションアクティビティカウンタを確認します。

  • nsconmsg -g as_ -g appfwreq_ -g iprep -d current

接続中のリセットのモニタ・ウィンドウ・サイズ:

httpメッセージが無効なためにCitrix ADCが接続をリセットすると、Appfwはウィンドウサイズを9845に設定します。

例:

  • 不正な形式の要求を受信しました-接続のリセット
  • 高い CPU 関連の問題
  • システムの制限については、データシートを確認してください。
  • CPU の使用状況、appfw、DHT、およびメモリ関連のアクティビティを検査します。appfw セッションの監視
  • nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g mem_AS_OBJ -g mem_AS_COMPONENT -d current

**ターゲット期間中に割り当てられ、Web App Firewall コンポーネントおよびオブジェクトから解放されたメモリを監視します。 **これは、高いCPU使用率につながる保護を分離するのに役立ちます。

  • プロファイラの出力
  • ログの観察

高CPUにつながるappfwチェックを分離する:

  • startURLClosure
  • Formfiledconsistency
  • CSRF
  • Cookie protections
  • Referer header check

シグニチャの自動更新によって CPU が高くならないことをご確認ください(確認するには無効にしてください)。

高いCPU