Citrix ADC

Web App Firewall ログ

Web App Firewall が生成したログメッセージは、設定変更、Web App Firewall ポリシーの呼び出し、セキュリティチェック違反を追跡するのに非常に役立ちます。

ログアクションがセキュリティチェックまたは署名に対して有効になっている場合、生成されるログメッセージには、Web App Firewall が監視した要求と応答に関する情報が Web サイトとアプリケーションを保護するときに提供されます。最も重要な情報は、署名またはセキュリティチェック違反が観察されたときに Web App Firewall が実行するアクションです。一部のセキュリティチェックでは、ログメッセージによって、違反の原因となった場所や検出されたパターンなど、有用な情報が提供されます。非ブロックモードでセキュリティチェックを展開し、ログを監視して、セキュリティ違反をトリガーしているトランザクションが有効なトランザクション (誤検出) であるかどうかを判断できます。そうであれば、シグニチャまたはセキュリティチェックのブロックを有効にする前に、シグニチャまたはセキュリティチェックの削除、再設定、緩和の展開、またはその他の適切な対策を講じることができます。ログ内の違反メッセージの数が過度に増加すると、悪意のある要求が急増する可能性があります。これにより、Web App Firewall 保護によって検出および阻止された特定の脆弱性を悪用するアプリケーションが攻撃を受けている可能性があることを警告できます。

Citrix ADC(ネイティブ)形式のログ

Web App Firewall は、デフォルトでCitrix ADC形式のログ(ネイティブ形式のログとも呼ばれます)を使用します。これらのログは、ほかのCitrix ADC機能によって生成されるものと同じ形式です。各ログには、次のフィールドが含まれます。

  • タイムスタンプ。接続が発生した日時。
  • 重大度。ログの重大度レベル。
  • モジュール。ログエントリを生成したCitrix ADCモジュール。
  • イベント・タイプ。署名違反やセキュリティチェック違反など、イベントのタイプ。
  • イベント ID。イベントに割り当てられた ID。
  • クライアント IP。接続がログに記録されたユーザの IP アドレス。
  • トランザクション ID。ログの原因となったトランザクションに割り当てられた ID。
  • セッション ID。ログの原因となったユーザーセッションに割り当てられた ID。
  • メッセージ。ログメッセージ。ログエントリをトリガーしたシグニチャまたはセキュリティチェックを識別する情報が含まれます。

これらのフィールドのいずれか、または異なるフィールドの情報を組み合わせて検索できます。選択は、ログの表示に使用するツールの機能によってのみ制限されます。Citrix ADC SyslogビューアにアクセスしてWeb App Firewall ログメッセージをGUIで確認するか、Citrix ADCアプライアンスに手動で接続してコマンドラインインターフェイスからログにアクセスするか、シェルにドロップして/var/log/folderから直接ログを末尾にすることもできます。

ネイティブ・フォーマット・ログ・メッセージの例

Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_XSS 60 0 :  10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>

共通イベント形式(CEF)ログ

Web App Firewall は、CEF ログもサポートしています。CEF は、さまざまなセキュリティデバイスおよびネットワークデバイスおよびアプリケーションからのセキュリティ関連情報の相互運用性を向上するオープンログ管理標準です。CEF を使用すると、共通のイベントログ形式を使用できるため、エンタープライズ管理システムによる分析のためにデータを容易に収集および集約できます。ログメッセージはさまざまなフィールドに分かれており、メッセージを簡単に解析し、重要な情報を識別するためのスクリプトを記述できます。

CEF ログメッセージの分析

Web App Firewall CEF ログメッセージには、日付、タイムスタンプ、クライアント IP、ログ形式、アプライアンス、会社、ビルドバージョン、モジュール、およびセキュリティチェック情報に加えて、次の詳細情報が含まれます。

  • src:送信元 IP アドレス
  • spt:送信元ポート番号
  • リクエスト — リクエスト URL
  • act — アクション(ブロック、変換など)
  • msg — メッセージ (監視されたセキュリティー検査違反に関するメッセージ)
  • cn1 — イベント ID
  • cn2 — HTTP トランザクション ID
  • cs1 — プロファイル名
  • cs2 — PPE ID (例:PPE1)
  • cs3-セッションID
  • cs4:重大度(情報、アラートなど)
  • cs5 — イベント年
  • cs6-署名違反カテゴリ
  • メソッド — メソッド(例:GET/POST)

たとえば、開始 URL 違反がトリガーされたときに生成された、次の CEF 形式のログメッセージを考えます。

Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked

上記のメッセージは、異なるコンポーネントに分解することができます。CEP ログコンポーネント表を参照してください。

CEF ログ形式の要求チェック違反の例:要求がブロックされない

Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked

CEF 形式の応答チェック違反の例:応答の変換

Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed

CEF 形式の要求側の署名違反の例:要求がブロックされている

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access  cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked

Web App Firewall 違反メッセージでのジオロケーションのロギング

地理位置は、リクエストの発信元の地理的位置を識別し、最適なレベルのセキュリティを実現するために Web App Firewall を構成するのに役立ちます。クライアントの IP アドレスに依存するレート制限などのセキュリティ実装をバイパスするために、マルウェアや不正なコンピュータは、要求の送信元 IP アドレスを変更し続ける可能性があります。リクエストが来ている特定のリージョンを特定することで、リクエストが有効なユーザーからのものか、サイバー攻撃を起動しようとしているデバイスからのものかを判断できます。たとえば、特定の領域から過度に多数の要求を受信した場合、それらの要求がユーザーまたは不正マシンによって送信されているかどうかを判断するのは簡単です。受信トラフィックのジオロケーション分析は、サービス拒否(DoS)攻撃などの攻撃を偏向するのに非常に役立ちます。

Web App Firewall では、組み込みの Citrix ADC データベースを使用して、悪意のある要求の発信元の IP アドレスに対応する場所を特定できます。その後、これらの場所からの要求に対して、より高いレベルのセキュリティを適用できます。Citrix のデフォルトの構文(PI)式を使用すると、ロケーションベースのポリシーを柔軟に設定できます。このポリシーを組み込みのロケーションデータベースと組み合わせて使用することで、ファイアウォールの保護をカスタマイズできます。これにより、特定の地域の不正クライアントから起動された調整された攻撃に対する防御を強化できます。

Citrix ADC組み込みデータベースを使用することも、他のデータベースを使用することもできます。データベースに特定のクライアント IP アドレスのロケーション情報がない場合、CEF ログには、不明なジオロケーションとしてジオロケーションが表示されます。

: 地理位置情報ログでは、共通イベント形式 (CEF) が使用されます。デフォルトでは、CEF ロギングとジオロケーションロギングはオフです。両方のパラメータを明示的に有効にする必要があります。

地理位置情報を示す CEF ログメッセージの例

June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked

ジオロケーション=不明を示すログメッセージの例

June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked

コマンド・ラインを使用したログ・アクションおよびその他のログ・パラメータの構成

コマンドラインを使用してプロファイルのセキュリティチェックのログアクションを構成するには

コマンドプロンプトで、次のコマンドのいずれかを入力します。

  • set appfw profile <name> SecurityCheckAction ([log] | [none])
  • unset appfw profile <name> SecurityCheckAction

set appfw profile pr_ffc StartURLAction log

unset appfw profile pr_ffc StartURLAction

コマンドラインを使用して CEF ロギングを設定するには

CEF ロギングはデフォルトで無効になっています。コマンドプロンプトで、次のいずれかのコマンドを入力して、現在の設定を変更または表示します。

  • set appfw settings CEFLogging on
  • unset appfw settings CEFLogging
  • sh appfw settings | grep CEFLogging

コマンドラインを使用してクレジットカード番号のログを構成するには

コマンドプロンプトで、次のコマンドのいずれかを入力します。

  • set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
  • unset appfw profile <name> -doSecureCreditCardLogging

コマンドラインを使用してジオロケーションのログを構成するには

  1. 位置情報ログを有効にするには、set コマンドを使用します。CEF ロギングは同時に有効にできます。位置情報ロギングを無効にするには、unset コマンドを使用します。show コマンドは、すべての Web App Firewall パラメータの現在の設定を表示します。ただし、grep コマンドを使用して特定のパラメータの設定を表示する場合を除きます。

    • set appfw settings GeoLocationLogging ON [CEFLogging ON]
    • unset appfw settings GeoLocationLogging
    • sh appfw settings | grep GeoLocationLogging
  2. データベースの指定

    add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv

    または

    add locationfile <path to database file>

Web App Firewall ログのカスタマイズ

既定の形式 (PI) 式を使用すると、ログに含まれる情報を柔軟にカスタマイズできます。Web App Firewall で生成されたログメッセージに、キャプチャする特定のデータを含めることもできます。たとえば、Web App Firewall のセキュリティチェックとともに AAA-TM 認証を使用し、セキュリティチェック違反を引き起こしたアクセス URL、URL を要求したユーザーの名前、送信元 IP アドレス、およびユーザーが要求を送信した送信元ポートを知りたい場合は、は、次のコマンドを使用して、すべてのデータを含むカスタマイズされたログメッセージを指定できます。

> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08   (64-bit)
 Done
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
 Done
> add appfw profile test_profile
 Done
> add appfw policy appfw_pol true test_profile -logAction custom1
 Done

Web App Firewall ログを分離するための Syslog ポリシーの設定

Web App Firewall には、Web App Firewall のセキュリティログメッセージを分離して別のログファイルにリダイレクトするオプションがあります。これは、Web App Firewall で多数のログが生成され、ほかのCitrix ADCログメッセージの表示が困難になる場合に望ましい場合があります。このオプションは、Web App Firewall のログメッセージの表示のみが必要で、他のログメッセージを表示したくない場合にも使用できます。

Web App Firewall のログを別のログファイルにリダイレクトするには、Web App Firewall のログを別のログファシリティに送信するように syslog アクションを設定します。syslog ポリシーを設定するときにこのアクションを使用し、Web App Firewall で使用するためにグローバルにバインドできます。

:

  1. シェルに切り替え、vi などのエディタを使用して /etc/syslog.conf ファイルを編集します。次の例に示すように、新しいエントリを追加して local2.* を使用してログを別のファイルに送信します。

    local2.\* /var/log/ns.log.appfw

  2. syslog プロセスを再起動します。grep コマンドを使用して、次の例に示すように syslog プロセス ID(PID)を識別できます。

    root@ns\# **ps -A | grep syslog**

    1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

    root@ns# **kill -HUP** 1063

  3. コマンドラインインターフェイスから、syslog アクションとポリシーを設定します。グローバル Web App Firewall ポリシーとしてバインドします。

> add audit syslogAction sysact 1.1.1.1 -logLevel ALL -logFacility LOCAL2

> add audit syslogPolicy syspol1 ns_true sysact1

> bind appfw global syspol1 100

  1. すべての Web App Firewall セキュリティチェック違反が /var/log/ns.log.appfw ファイルにリダイレクトされるようになりました。このファイルを末尾に追加して、進行中のトラフィックの処理中にトリガーされた Web App Firewall 違反を表示できます。

    root@ns# tail -f ns.log.appfw

警告:ログを別のログ機能にリダイレクトするように syslog ポリシーを設定した場合、Web App Firewall のログメッセージは /var/log/ns.log ファイルに表示されなくなります。

Web App Firewall ログの表示

ログを表示するには、syslogビューアを使用するか、Citrix ADCアプライアンスにログオンし、UNIXシェルを開き、任意のUNIXテキストエディタを使用します。

コマンドラインを使用してログメッセージにアクセスするには

シェルに切り替えて、/var/log/ フォルダ内の ns.logs を末尾に付けて、Web App Firewall のセキュリティー検査違反に関するログメッセージにアクセスします。

  • Shell
  • tail -f /var/log/ns.log

viエディタ、または任意のUnixテキストエディタまたはテキスト検索ツールを使用して、特定のエントリのログを表示およびフィルタリングできます。たとえば、grepコマンドを使用して、クレジット・カード違反に関するログ・メッセージにアクセスできます。

  • tail -f /var/log/ns.log | grep SAFECOMMERCE

GUI を使用してログメッセージにアクセスするには

Citrix GUIには、ログメッセージを分析するための非常に便利なツール(Syslogビューア)が含まれています。Syslog ビューアには、次の複数のオプションがあります。

  • プロファイルの特定のセキュリティーチェックに関するログメッセージを表示するには、「 Web App Firewall 」>「 プロファイル 」の順に選択し、ターゲットプロファイルを選択して「セキュリティーチェック」をクリックします。ターゲットセキュリティチェックの行を強調表示し、[Logs] をクリックします。プロファイルの選択したセキュリティチェックから直接ログにアクセスすると、ログメッセージが除外され、選択したセキュリティチェックの違反に関連するログのみが表示されます。Syslog ビューアでは、Web App Firewall ログをネイティブフォーマットおよび CEF フォーマットで表示できます。ただし、syslog ビューアでターゲットプロファイル固有のログメッセージをフィルタリングするには、プロファイルからアクセスするときに、ログを CEF ログ形式にする必要があります。
  • Citrix ADC 」>「 システム 」>「 監査 」の順に選択して、Syslogビューアにアクセスすることもできます。[監査メッセージ] セクションで、[Syslog メッセージ] リンクをクリックして Syslog Viewer を表示します。このビューには、すべてのプロファイルのすべての Web App Firewall セキュリティチェック違反ログを含む、すべてのログメッセージが表示されます。これは、要求処理中に複数のセキュリティー検査違反がトリガーされる可能性がある場合のデバッグに役立ちます。
  • [Web App Firewall] > [ポリシー] > [監査] に移動します。[監査メッセージ] セクションで、[Syslog メッセージ] リンクをクリックして Syslog Viewer を表示します。このビューには、すべてのプロファイルのすべてのセキュリティチェック違反ログを含む、すべてのログメッセージが表示されます。

HTML ベースの Syslog ビューアには、関心のあるログメッセージのみを選択するための次のフィルタオプションがあります。

  • [File]:現在の /var/log/ns.log ファイルがデフォルトで選択され、対応するメッセージが Syslog ビューアに表示されます。/var/log ディレクトリにある他のログファイルのリストは、圧縮された.gz 形式で使用できます。アーカイブされたログ・ファイルをダウンロードおよび圧縮解除するには、ドロップダウン・オプションからログ・ファイルを選択します。選択したファイルに関連するログメッセージが syslog ビューアに表示されます。表示を更新するには、[更新] アイコン (2 つの矢印の円) をクリックします。

  • モジュール]リストボックス:ログを表示するCitrix ADCモジュールを選択できます。Web App Firewall ログの APPFW に設定できます。

  • [Event Type] リストボックス:このボックスには、目的のイベントタイプを選択するための一連のチェックボックスがあります。たとえば、署名違反に関するログ・メッセージを表示するには、「 APPFW_SIGNATURE_MATCH 」チェック・ボックスを選択します。同様に、チェックボックスをオンにして、関心のある特定のセキュリティチェックを有効にすることもできます。複数のオプションを選択できます。

  • [Severity]:特定の重大度レベルを選択して、その重大度レベルのログだけを表示できます。すべてのログを表示するには、すべてのチェックボックスを空白のままにします。

    特定のセキュリティチェックの Web App Firewall セキュリティチェック違反ログメッセージにアクセスするには、[Module] のドロップダウンオプションで [APPFW] を選択してフィルタリングします。[イベントタイプ] には、選択内容をさらに絞り込むための豊富なオプションが表示されます。たとえば、[APPFW_FIELDFORMAT] チェックボックスをオンにして [適用] ボタンをクリックすると、フィールド形式のセキュリティチェック違反に関するログメッセージだけが Syslog Viewer に表示されます。同様に、[APPFW_SQL] および [APPFW_STARTURL] チェックボックスをオンにして [Apply] ボタンをクリックすると、これら 2 つのセキュリティチェック違反に関連するログメッセージだけが syslog ビューアに表示されます。

特定のログメッセージの行にカーソルを置くと、[モジュール]、[イベントタイプ]、[イベント ID]、[クライアント IP]、[トランザクション ID] などの複数のオプションがログメッセージの下に表示されます。これらのオプションのいずれかを選択して、ログ内の対応する情報を強調表示することができます。

クリックして展開: この機能はGUIでのみ使用できます。Syslog Viewer を使用すると、ログを表示するだけでなく、Web App Firewall のセキュリティチェック違反のログメッセージに基づいて緩和ルールを展開することもできます。この操作では、ログメッセージは CEF ログ形式である必要があります。ログメッセージに対して緩和規則を展開できる場合は、行の [Syslog Viewer] ボックスの右端にチェックボックスが表示されます。チェックボックスをオンにし、[アクション] リストからオプションを選択して、緩和ルールを展開します。 [編集と配備]、[ 配備]、[すべて 配備] は、[アクション] オプションとして利用できます。たとえば、個々のログメッセージを選択して編集および展開できます。また、1 つ以上のセキュリティー検査から複数のログメッセージのチェックボックスを選択し、[Deploy All] オプションまたは [Deploy All] オプションを使用することもできます。[クリックして展開] 機能は、現在、次のセキュリティチェックでサポートされています。

  • 開始URL
  • URL バッファオーバーフロー
  • SQL インジェクション
  • XSSか
  • フィールドの一貫性
  • クッキーの整合性

GUI の [クリックして展開する] 機能を使用するには

  1. Syslog ビューアで、[モジュール] オプションで [APPFW] を選択します。
  2. 対応するログメッセージをフィルタリングするセキュリティチェックを選択します。
  3. ルールを選択するには、チェックボックスをオンにします。
  4. 緩和ルールを展開するには、オプションの [Action] ドロップダウンリストを使用します。
  5. 対応する緩和規則セクションに規則が表示されていることを確認します。

注:

クリック展開オプションを使用して展開される SQL インジェクションおよび XSS ルールには、細粒緩和の推奨事項は含まれません。

ハイライト

  • CEF ログフォーマットのサポート:CEF ログフォーマットオプションは、Web App Firewall のログメッセージを監視、解析、分析して攻撃を識別し、設定済みの設定を微調整して誤検出を減らし、統計情報を収集するための便利なオプションを提供します。
  • [Click to Deploy]:Syslog ビューアには、1 つの便利な場所から単一または複数のセキュリティチェック違反に対する緩和ルールをフィルタリング、評価、および展開するオプションがあります。
  • ログメッセージをカスタマイズするオプション:詳細な PI 式を使用して、ログメッセージをカスタマイズし、ログに表示するデータをログに含めることができます。
  • Web App Firewall 固有のログを分離:アプリケーションファイアウォール固有のログをフィルタリングして別のログファイルにリダイレクトするオプションがあります。
  • リモートロギング:ログメッセージをリモート syslog サーバにリダイレクトできます。
  • ジオロケーションロギング:要求を受信したエリアの地理位置情報を含めるように Web App Firewall を設定できます。組み込みのジオロケーションデータベースを使用できますが、外部ジオロケーションデータベースを使用するオプションがあります。Citrix ADCアプライアンスは、IPv4とIPv6の両方の静的ジオロケーションデータベースをサポートしています。
  • 情報豊富なログメッセージ:設定に応じて、ログに含めることができる情報のタイプの例を次に示します。
    • Web App Firewall ポリシーがトリガーされました。
    • セキュリティチェック違反が発生しました。
    • リクエストの形式が正しくないと考えられました。
    • 要求または応答がブロックされたか、ブロックされていない。
    • リクエストデータ(SQLやXSSの特殊文字など)または応答データ(クレジットカード番号や安全なオブジェクト文字列など)が変換されました。
    • 応答内のクレジットカードの数が設定された制限を超えました。
    • クレジットカードの番号と種類。
    • シグニチャルールで設定されたログ文字列とシグニチャ ID。
    • リクエストのソースに関するジオロケーション情報。
    • 保護された機密フィールドのマスク(X’d out)ユーザ入力。

正規表現パターンを使用して機密データをマスクする

(Web アプリケーションファイアウォール (WAF) プロファイルにバインドされた) ログ式の REGEX_REPLACE 詳細ポリシー (PI) 関数を使用すると、WAF ログの機密データをマスクできます。オプションを使用して、正規表現パターンを使用してデータをマスクし、データをマスクする文字または文字列パターンを指定できます。また、正規表現パターンの最初の出現またはすべての出現を置き換えるように PI 関数を設定することもできます。

デフォルトでは、Citrix GUIインターフェイスは次のマスクを提供します。

  • SSNか
  • クレジットカード
  • パスワード
  • ユーザー名

Web アプリケーションファイアウォールログ内の機密データをマスクする

WAF ログ内の機密データをマスクするには、WAF プロファイルにバインドされたログ式で REGEX_REPLACE 詳細ポリシー式を設定します。 機密データをマスクするには、次の手順を完了する必要があります。

  1. Web アプリケーションファイアウォールプロファイルの追加
  2. ログ式を WAF プロファイルにバインドする

Web アプリケーションファイアウォールプロファイルの追加

コマンドプロンプトで、次のように入力します。

add appfw profile <name>

例:

Add appfw profile testprofile1

Web アプリケーションファイアウォールプロファイルにログ式をバインドする

コマンドプロンプトで、次のように入力します。

bind appfw profile <name> -logExpression <string> <expression> –comment <string>

例:

bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"

Citrix ADC GUIを使用してWebアプリケーションファイアウォールログ内の機密データをマスクする

  1. ナビゲーションペインで、[セキュリティ]>[Citrix Web App Firewall]>[プロファイル]の順に展開します。
  2. [プロファイル] ページで、[編集] をクリックします。
  3. Citrix Web App Firewall プロファイル]ページで、[詳細設定] セクションに移動し、 [拡張ログ] をクリックします。

    拡張ロギングセクション

  4. [拡張ログ] セクションで、[追加] をクリックします。

    Citrix WAF ログバインディング

  5. Citrix Web App Firewall 拡張ログバインディングの作成ページで、次のパラメータを設定します。

    1. Name。ログ式の名前。
    2. Enabled. 機密データをマスクするには、このオプションを選択します。
    3. ログマスク。マスクするデータを選択します。
    4. 式。WAF ログで機密データをマスクできる高度なポリシー式を入力します。
    5. コメント。機密データのマスキングに関する簡単な説明。
  6. [作成 して 閉じる] をクリックします。

    Citrix WAF ログバインディング