Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Hohe CPU
Im Folgenden sind einige der aufgetretenen Debugging-Probleme im Zusammenhang mit Funktionen und hoher CPU-Auslastung sowie die bewährten Methoden aufgeführt, die Sie bei der Arbeit mit der Web App Firewall beachten sollten:
Überprüfen Sie die Richtlinientreffer, die Bindungen, die Netzwerkkonfiguration und die Konfiguration der Web App Firewall:
- Identifizieren Sie eine Fehlkonfiguration
- Identifizieren Sie den vServer, der den betroffenen Verkehr bedient
Überprüfen Sie die Protokolle in den folgenden Protokolldateien auf Sicherheitsverletzungen und aktuelle Konfigurationsänderungen:
/var/log/ns.log
/var/nslog/import.log
/var/nslog/aslearn.log
tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH
Beispiel:
Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked
Isolieren Sie den betroffenen Verkehr:
- Isolieren Sie das Profil
- Isolieren Sie die Sicherheitsüberprüfung
- Isolieren Sie die URL, den virtuellen Server und die Verkehrsparameter
Die konditionelle Verfolgung auf Profilebene hilft bei der Identifizierung von Datenverkehr und Verstößen:
set appfw profile <profile> -trace ON
start nstrace -mode APPFW -size 0
stop nstrace
Hinweis: Stellen Sie sicher, dass der Trace mit der Option -size 0 erfasst wird.
Überprüfen Sie die Aktivitätsindikatoren für appfw, dht und IP-Reputation:
nsconmsg -g as_ -g appfwreq_ -g iprep -d current
Bildschirmfenstergröße für Resets im Anschluss:
Appfw setzt die Fenstergröße auf 9845, wenn NetScaler die Verbindung aufgrund einer ungültigen HTTP-Nachricht zurücksetzt.
Beispiele:
- Falsch formatierte Anfrage empfangen — Verbindung zurückgesetzt
- Probleme im Zusammenhang mit hoher CPU-Auslastung
- Überprüfen Sie die Datenblätter auf die Systemgrenzen
- Überprüfen Sie, ob CPU-Auslastung, Appfw, DHT und speicherbezogene Aktivitäten vorliegen. Appfw-Sitzungen überwachen
- nsconmsg -g cc_cpu_use -g appfwreq -g als -g dht -g mem_as_obj -g MEM_AS_Component -d aktuell
Überwachen Sie den Speicher, der während des Zielzeitraums zugewiesen und von Web App Firewall-Komponenten und -Objekten freigegeben wurde. Es hilft dabei, den Schutz zu isolieren, was zu einer hohen CPU-Auslastung führt.
- Profiler-Ausgang
- Protokolle beobachten
Isolieren Sie die Appfw-Überprüfung, die zu einer hohen CPU-Auslastung führt:
- URL-Schließung starten
- Konsistenz der Formularfelder
- CSRF
- Cookie-Schutz
- Überprüfung des Referer-Headers
Stellen Sie sicher, dass das automatische Update von Signaturen nicht zu einer hohen CPU führt (Deaktivieren, um zu bestätigen).