ADC

Suivez les requêtes HTML à l’aide de journaux de sécurité

Remarque :

Cette fonctionnalité est disponible dans NetScaler version 10.5.e.

Le dépannage nécessite l’analyse des données reçues dans la demande du client et peut s’avérer difficile. Surtout s’il y a beaucoup de trafic dans l’appliance. Le diagnostic des problèmes peut affecter les fonctionnalités ou la sécurité de l’application peut nécessiter une réponse rapide.

NetScaler isole le trafic pour un profil de Web App Firewall et le collecte nstrace pour les requêtes HTML. Les nstrace informations collectées en mode appfw incluent les détails de la demande avec les messages du journal. Vous pouvez utiliser « Suivre le flux TCP » dans le traçage pour afficher les détails de chaque transaction, y compris les en-têtes, la charge utile et le message de journal correspondant sur le même écran.

Cela vous donne un aperçu complet de votre trafic. Il peut être utile de disposer d’une vue détaillée de la demande, de la charge utile et des enregistrements de journal associés pour analyser les violations des contrôles de sécurité. Vous pouvez facilement identifier le schéma à l’origine de la violation. Si le modèle doit être autorisé, vous pouvez décider de modifier la configuration ou d’ajouter une règle de relaxation.

Avantages

  1. Isoler le trafic pour un profil spécifique : cette amélioration est utile lorsque vous isolez le trafic pour un seul profil ou pour des transactions spécifiques d’un profil à des fins de résolution de problèmes. Vous n’avez plus à parcourir l’intégralité des données collectées dans le traçage ni à avoir besoin de filtres spéciaux pour isoler les demandes qui vous intéressent, ce qui peut s’avérer fastidieux en cas de trafic important. Vous pouvez consulter les données que vous préférez.
  2. Collecter des données pour des demandes spécifiques : La trace peut être collectée pendant une durée spécifiée. Vous ne pouvez collecter des traces que pour quelques requêtes afin d’isoler, d’analyser et de déboguer des transactions spécifiques si nécessaire.
  3. Identifiez les réinitialisations ou les abandons : la fermeture inattendue des connexions n’est pas facilement visible. La trace collectée en mode —appfw capture une réinitialisation ou un abandon, déclenché par le Web App Firewall. Cela permet d’isoler plus rapidement un problème lorsque vous ne voyez pas de message de violation du contrôle de sécurité. Les demandes mal formées ou autres demandes non conformes aux RFC annulées par le Web App Firewall seront désormais plus faciles à identifier.
  4. Afficher le trafic SSL décrypté : le trafic HTTPS est capturé en texte brut pour faciliter le dépannage.
  5. Fournit une vue complète : vous permet d’examiner l’intégralité de la demande au niveau du paquet, de vérifier la charge utile, de consulter les journaux pour vérifier quelle violation du contrôle de sécurité est déclenchée et d’identifier le modèle de correspondance dans la charge utile. Si la charge utile est constituée de données inattendues, de chaînes indésirables ou de caractères non imprimables (caractère nul, \ r ou \ n, etc.), il est facile de les découvrir dans le traçage.
  6. Modifier la configuration : Le débogage peut fournir des informations utiles pour décider si le comportement observé est le bon comportement ou si la configuration doit être modifiée.
  7. Temps de réponseplus rapide : un débogage plus rapide sur le trafic cible peut améliorer le temps de réponse pour fournir des explications ou analyser les causes profondes par l’équipe d’ingénierie et de support de NetScaler.

Pour plus d’informations, voir Configuration manuelle à l’aide de la rubrique Interface de ligne de commande .

Pour configurer le suivi de débogage d’un profil à l’aide de l’interface de ligne de commande

Étape 1. Activez ns trace.

Vous pouvez utiliser la commande show pour vérifier le paramètre configuré.

  • set appfw profile <profile> -trace ON

Étape 2. Recueillez des traces. Vous pouvez continuer à utiliser toutes les options applicables à la nstrace commande.

  • start nstrace -mode APPFW

Étape 3. Arrêtez le traçage.

  • stop nstrace

Emplacement de la trace : ellenstrace est stockée dans un dossier horodaté créé dans le répertoire /var/nstrace et pouvant être consulté à l’aide de. wireshark Vous pouvez suivre le lien /var/log/ns.log pour voir les messages du journal fournissant des détails concernant l’emplacement de la nouvelle trace.

Conseils :

  • Lorsque l’option du mode appfw est utilisée, les données ne nstrace seront collectées que pour un ou plusieurs profils pour lesquels le « nstrace » a été activé.

  • L’activation de la trace sur le profil ne lancera pas automatiquement la collecte des traces tant que vous n’aurez pas exécuté explicitement la commande « start ns trace » pour collecter la trace.
  • Bien que l’activation du traçage sur un profil n’ait aucun effet négatif sur les performances du Web App Firewall, vous souhaiterez peut-être activer cette fonctionnalité uniquement pendant la durée pendant laquelle vous souhaitez collecter les données. Il est recommandé de désactiver l’indicateur —trace après avoir collecté la trace. Cette option évite le risque d’obtenir par inadvertance des données à partir de profils pour lesquels vous avez activé cet indicateur par le passé.

  • L’action de blocage ou de journalisation doit être activée pour que le contrôle de sécurité de l’enregistrement des transactions soit inclus dans le nstrace.

  • Les réinitialisations et les abandons sont enregistrés indépendamment des actions des contrôles de sécurité lorsque le traçage est « activé » pour les profils.

  • Cette fonctionnalité ne s’applique qu’à la résolution des problèmes liés aux demandes reçues du client. Les traces en mode —appfw n’incluent pas les réponses reçues du serveur.

  • Vous pouvez continuer à utiliser toutes les options applicables à la nstrace commande. Par exemple,

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • Si une demande déclenche plusieurs violations, l’enregistrement nstrace correspondant inclut tous les messages de journal correspondants.

  • Le format des messages de journal CEF est pris en charge pour cette fonctionnalité.

  • Les violations de signature déclenchant une action de blocage ou de journalisation pour les vérifications latérales des demandes seront également incluses dans le traçage.

  • Seules les requêtes HTML (non-XML) sont collectées dans la trace.
Suivez les requêtes HTML à l’aide de journaux de sécurité

Dans cet article