ADC

CPU alta

A continuación se muestran algunos de los problemas de depuración relacionados con la funcionalidad y el alto nivel de CPU que se han encontrado y las mejores prácticas a seguir al trabajar con Web App Firewall:

Compruebe las visitas a la directiva, los enlaces, la configuración de red y la configuración del firewall de aplicaciones web:

  • Identificar una configuración incorrecta
  • Identifique el servidor virtual que atiende el tráfico afectado

Inspeccione los registros de los siguientes archivos de registro para detectar infracciones de seguridad y cambios de configuración recientes:

  • /var/log/ns.log
  • /var/nslog/import.log
  • /var/nslog/aslearn.log
  • tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH

Ejemplo:

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked
<!--NeedCopy-->

Aísle el tráfico que se efectúa:

  • Aísle el perfil
  • Aísle el control de seguridad
  • Aísle la URL, el servidor virtual y los parámetros de tráfico

El rastreo condicional a nivel de perfil ayuda a identificar los registros de tráfico e infracciones:

  • set appfw profile <profile> -trace ON
  • start nstrace -mode APPFW -size 0
  • stop nstrace

Nota: Asegúrese de que el rastreo se recopile con la opción -size 0.

Compruebe los contadores de actividad de reputación de appfw, dht e IP:

  • nsconmsg -g as_ -g appfwreq_ -g iprep -d current

Tamaño de la ventana del monitor para restablecer la conexión:

Appfw establece el tamaño de la ventana en 9845 cuando NetScaler restablece la conexión debido a un mensaje http no válido.

Ejemplos:

  • Solicitud mal formada recibida: restablecimiento de la conexión
  • Problemas relacionados con un alto nivel de CPU
  • Consulte las hojas de datos para conocer los límites del sistema
  • Inspeccione el uso de la CPU, appfw, DHT y la actividad relacionada con la memoria. Supervise las sesiones de appfw
  • nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g mem_as_obj -g mem_as_Component -d current

Supervise la memoria asignada y liberada de los componentes y objetos de Web App Firewall durante el período de tiempo objetivo. Ayuda a aislar la protección, lo que lleva a un uso elevado de la CPU.

  • Salida del generador de perfiles
  • Observe los registros

Aísle la comprobación de appfw que conduce a un alto nivel de CPU:

  • Cierre de URL de inicio
  • Consistencia de los archivos de formularios
  • CSRF
  • Protecciones de cookies
  • Verificación del encabezado del remitente

Asegúrese de que la actualización automática de las firmas no provoque un uso excesivo de la CPU (inhabilitar para confirmar).

CPU alta

En este artículo