使用安全日志跟踪 HTML 请求

注意

此功能可在 Citrix ADC 版本 10.5.e 中使用。

故障排除需要对客户端请求中收到的数据进行分析,并且可能具有挑战性。特别是如果有流量大的流量通过设备。诊断问题可能会影响功能,或者应用程序安全性可能需要快速响应。

Citrix ADC 可以选择隔离 Web App Firewall 配置文件的流量,并为 HTML 请求收集 nstrace。在 —appfw 模式下收集的 nstrace 将包括整个请求的详细信息,包括 Web App Firewall 生成的日志消息。您可以在跟踪中使用“跟踪 TCP 流”来查看各个事务的详细信息,包括头、有效负载以及相应的日志消息,一起在同一个屏幕中。

这将为您提供有关流量的全面概览。具有请求、有效负载和关联的日志记录的详细视图对于分析安全检查冲突非常有用。您可以轻松识别触发冲突的模式。如果应该允许该模式,您可以决定修改配置和/或添加放宽规则。

优势

  1. 隔离特定配置文件的流量:当您仅隔离一个配置文件的流量或某个配置文件的特定事务以进行故障排除时,此增强功能非常有用。您不再需要浏览跟踪中收集的整个数据,或者需要特殊的筛选器来隔离您感兴趣的请求,这可能是繁琐的流量。您现在可以选择仅查看您感兴趣的数据。
  2. 收集特定请求的数据:可以在指定的持续时间内收集跟踪。如果需要,您可以仅收集几个请求的跟踪,以隔离、分析和调试特定事务。
  3. 识别重置或中止:连接意外关闭不容易看到。在 —appfw 模式下收集的跟踪捕获由 Web App Firewall 触发的重置或中止。这样可以在您看不到安全检查冲突消息时更快地隔离问题。格式错误的请求或其他由 Web App Firewall 终止的不符合 RFC 的请求现在将更容易识别。
  4. 查看已解密的 SSL 流量:HTTPS 流量以纯文本形式捕获,以便进行更轻松的故障排除。
  5. 提供全面的视图:允许您在数据包级别查看整个请求,检查负载,查看日志以检查触发的安全检查冲突,并确定负载中的匹配模式。如果有效负载由任何意外数据、垃圾字符串或不可打印字符(空字符、r 或 n 等)组成,它们很容易在跟踪中发现。
  6. 修改配置:调试可以提供有用的信息,以确定观察到的行为是正确的行为还是应该修改配置。
  7. 加快响应时间:对目标流量进行更快的调试可以缩短响应时间,从而提供 Citrix 工程和支持团队的解释和/或根本原因分析。

请参阅 eDocs 中的任何任务主题来记录任务。 使用命令行界面手动配置

使用命令行界面配置配置文件的调试跟踪

步骤 1. 启用 ns 跟踪。

您可以使用 show 命令验证已配置的设置。

  • set appfw profile <profile> -trace ON

步骤 2. 收集痕迹。您可以继续使用适用于 nstrace 命令的所有选项。

  • start nstrace -mode APPFW

步骤 3. 停止追踪。

  • stop nstrace

跟踪的位置:nstrace 存储在一个时间戳的文件夹中,该文件夹是在 /var/nstrace 目录中创建的,并且可以使用 wireshark 查看。您可以在尾部查看/var/log/ns.log 提供有关新跟踪位置的详细信息的日志消息。

提示

  • 当使用 —appfw 模式选项时,nstrace 将仅收集已启用“跟踪”的配置文件的数据。

  • 在配置文件上启用跟踪将不会自动开始收集跟踪,直到您显式执行“start nstrace”命令来收集跟踪。
  • 尽管如此,在配置文件上启用跟踪可能不会对 Web App Firewall 的性能产生任何不利影响,但您可能希望仅在要收集数据的持续时间内启用此功能。建议您在收集跟踪后关闭 —trace 标志。这将防止无意中从您过去启用此标志的配置文件中获取数据的风险。

  • 必须启用阻止或日志操作,才能对要包含在 nstrace 中的事务记录进行安全检查。

  • 当配置文件的跟踪为“开”时,将独立于安全检查操作记录重置和中止。

  • 此功能仅适用于对从客户端接收的请求进行故障排除。—appfw 模式下的跟踪不包括从服务器接收到的响应。

  • 您可以继续使用适用于 nstrace 命令的所有选项。例如,

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • 如果请求触发多个冲突,则该记录的 nstrace 将包含所有相应的日志消息。

  • 此功能支持 CEF 日志消息格式。

  • 跟踪中还包含触发请求端检查的阻止和/或日志操作的签名冲突。

  • 跟踪中仅收集 HTML(非 XML)请求。

跟踪中的日志记录示例:

本地化后的图片

使用安全日志跟踪 HTML 请求