Citrix ADC

使用安全日志跟踪 HTML 请求

注意 : 此功能可在 Citrix ADC 版本 10.5.e 中使用。

故障排除需要对客户端请求中收到的数据进行分析,并且可能具有挑战性。特别是如果有流量大的流量通过设备。诊断问题可能会影响功能,或者应用程序安全性可能需要快速响应。

Citrix ADC 将 Web App Firewall 配置文件的流量隔离并 nstrace 为 HTML 请求收集流量。在 appfw 模式下 nstrace 收集的信息包括带日志消息的请求详细信息。您可以在跟踪中使用 “关注 TCP 流” 在同一屏幕中查看单个事务的详细信息,包括标头、有效负载和相应的日志消息。

这将为您提供有关流量的全面概览。详细查看请求、有效负载和关联的日志记录可能有助于分析安全检查违规情况。您可以轻松识别触发冲突的模式。如果必须允许该模式,则可以决定修改配置或添加放宽规则。

优势

  1. 隔离特定配置文件的流量:当您仅隔离一个配置文件的流量或某个配置文件的特定事务以进行故障排除时,此增强功能非常有用。您不再需要浏览跟踪中收集的整个数据,或者需要特殊的筛选器来隔离您感兴趣的请求,这可能是繁琐的流量。您可以查看自己喜欢的数据。
  2. 收集特定请求的数据:可以在指定的持续时间内收集跟踪。如果需要,您可以仅收集几个请求的跟踪,以隔离、分析和调试特定事务。
  3. 识别重置或中止:不容易看到意外关闭连接。在 —appfw 模式下收集的跟踪捕获由 Web App Firewall 触发的重置或中止。当您看不到安全检查违规消息时,这可以更快地隔离问题。格式错误的请求或其他由 Web App Firewall 终止的不符合 RFC 的请求现在将更容易识别。
  4. 查看解密的 SSL 流量:HTTPS 流量以纯文本形式捕获,以便更轻松地进行故障排除。
  5. 提供全面的视图:允许您在数据包级别查看整个请求,检查负载,查看日志以检查触发的安全检查冲突,并确定负载中的匹配模式。如果有效负载包含任何意外数据、垃圾字符串或不可打印的字符(空字符、\ r 或\ n 等),则它们很容易在跟踪中发现。
  6. 修改配置:调试可以提供有用的信息,以确定观察到的行为是否是正确的行为还是必须修改配置。
  7. 加快响应时间:更快地对目标流量进行调试可以缩短响应时间,以便 Citrix 工程和支持团队提供解释或根本原因分析。

有关详细信息,请参阅 使用命令行界面手动配置 主题。

使用命令行界面配置配置文件的调试跟踪

步骤 1. 启用 ns 跟踪。

您可以使用 show 命令验证已配置的设置。

  • set appfw profile <profile> -trace ON

步骤 2. 收集痕迹。您可以继续使用适用于 nstrace 命令的所有选项。

  • start nstrace -mode APPFW

步骤 3. 停止追踪。

  • stop nstrace

跟踪位置: 存储 nstrace 在在 /var/nstrace 目录中创建的带时间戳的文件夹中,可以使用查看 wireshark。您可以在尾部查看/var/log/ns.log 提供有关新跟踪位置的详细信息的日志消息。

提示:

  • 使用 appfw 模式选项时,只 nstrace 会收集启用 “nstrace” 的一个或多个配置文件的数据。

  • 在您明确运行 “start ns trace” 命令来收集跟踪之前,启用配置文件上的跟踪不会自动开始收集跟踪。
  • 尽管在配置文件上启用跟踪可能不会对 Web App Firewall 的性能产生任何负面影响,但是您可能希望仅在要收集数据的持续时间内启用此功能。建议您在收集跟踪后关闭 —trace 标志。该选项可防止无意中从过去启用此标志的配置文件中获取数据的风险。

  • 必须启用阻止或日志操作,才能对要包含在中的交易记录进行安全检查 nstrace

  • 当配置文件的跟踪为 “打开” 时,重置和中止将独立于安全检查操作进行记录。

  • 该功能仅适用于对从客户端收到的请求进行故障排除。—appfw 模式下的跟踪不包括从服务器接收到的响应。

  • 您可以继续使用适用于 nstrace 命令的所有选项。例如,

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • 如果一个请求触发多个违规,则该记录 nstrace 的将包括所有相应的日志消息。

  • 此功能支持 CEF 日志消息格式。

  • 触发请求端检查的阻止或日志操作的签名冲突也将包含在跟踪中。

  • 跟踪中仅收集 HTML(非 XML)请求。
使用安全日志跟踪 HTML 请求