ADC

使用安全日志跟踪 HTML 请求

注意:

此功能在 NetScaler 版本 10.5.e 中可用。

故障排除需要分析客户端请求中收到的数据,这可能具有挑战性。尤其是在有大量流量流经设备的情况下。诊断问题可能会影响功能,或者应用程序安全可能需要快速响应。

NetScaler 隔离 Web App Firewall 配置文件的流量,并收集 HTM nstrace L 请求。在 appfw 模式下 nstrace 收集的包括请求详细信息以及日志消息。您可以在跟踪中使用“关注 TCP 流”,在同一屏幕中查看单个事务的详细信息,包括标头、负载和相应的日志消息。

这为您提供了有关流量的全面概述。详细查看请求、负载和相关的日志记录对于分析安全检查违规行为很有用。您可以轻松识别触发违规的模式。如果必须允许使用该模式,则可以决定修改配置或添加放松规则。

优势

  1. 隔离特定配置文件的流量:当您仅隔离一个配置文件或特定交易的流量以进行故障排除时,此增强功能很有用。您不再需要浏览跟踪中收集的全部数据,也不需要特殊的过滤器来隔离您感兴趣的请求,这在流量繁忙的情况下可能会很乏味。您可以查看自己喜欢的数据。
  2. 为特定请求收集数据:可以在指定的持续时间内收集跟踪。如果需要,您只能收集几个请求的跟踪信息,以隔离、分析和调试特定事务。
  3. 识别重置或中止:连接的意外关闭并不容易看见。在 —appfw 模式下收集的跟踪记录记录了由 Web App Firewall 触发的重置或中止事件。当您没有看到安全检查违规消息时,这样可以更快地找出问题。现在,由 Web App Firewall 终止的格式错误请求或其他不符合 RFC 的请求将更容易识别。
  4. 查看解密的 SSL 流量:HTTPS 流量以纯文本形式捕获,便于故障排除。
  5. 提供全面视图:允许您在数据包级别查看整个请求,检查负载,查看日志以检查触发了哪些安全检查违规行为,并确定负载中的匹配模式。如果负载包含任何意外数据、垃圾字符串或不可打印字符(空字符、\ r 或\ n 等),则在跟踪中很容易发现它们。
  6. 修改配置:调试可以提供有用的信息,以确定观察到的行为是正确的行为还是必须修改配置。
  7. 加快响应时间:更快地调试目标流量可以缩短 NetScaler 工程和支持团队提供解释或根本原因分析的响应时间。

有关详细信息,请参阅 使用命令行界面手动配置 主题。

使用命令行界面配置配置文件的调试跟踪

步骤 1. 启用 ns 跟踪。

您可以使用 show 命令来验证配置的设置。

  • set appfw profile <profile> -trace ON

步骤 2. 收集踪迹。您可以继续使用适用于该 nstrace 命令的所有选项。

  • start nstrace -mode APPFW

步骤 3. 停止追踪。

  • stop nstrace

跟踪位置: 存储在带有时间戳的 nstrace 文件夹中,该文件夹在 /var/nstrace 目录中创建,可以使用进行查看。 wireshark 您可以跟踪查看 /var/log/ns.log 提供有关新跟踪位置的详细信息的日志消息。

小贴士:

  • 使用 appfw 模式选项时, nstrace 将仅收集启用了“nstrace”的一个或多个配置文件的数据。

  • 在配置文件上启用跟踪不会自动开始收集跟踪记录,直到您明确运行“start ns trace”命令来收集跟踪信息。
  • 尽管在配置文件上启用跟踪可能不会对 Web App Firewall 的性能产生任何负面影响,但您可能只希望在要收集数据的期限内启用此功能。建议您在收集到跟踪信息后关闭 —trace 标志。该选项可防止无意中从您过去启用过此标志的配置文件中获取数据的风险。

  • 必须启用封禁或记录操作才能将交易记录包含在 nstrace 中。

  • 当配置文件的 trace 处于“开启”状态时,系统会独立记录重置和中止操作与安全检查操作无关。

  • 该功能仅适用于对从客户端收到的请求进行故障排除。—appfw 模式下的跟踪不包括从服务器收到的响应。

  • 您可以继续使用适用于该 nstrace 命令的所有选项。例如,

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • 如果请求触发了多个违规,则该记录的 nstrace 包含所有相应的日志消息。

  • 此功能支持 CEF 日志消息格式。

  • 触发请求侧检查的屏蔽或记录操作的签名违规行为也将包含在跟踪中。

  • 跟踪中仅收集 HTML(非 XML)请求。
使用安全日志跟踪 HTML 请求

在本文中