ADC

セキュリティログを使用して HTML 要求をトレースする

注:

この機能は、Citrix ADCリリース10.5.eで使用できます。

トラブルシューティングには、クライアント要求で受信したデータの分析が必要であり、困難な場合があります。特に、アプライアンスを通過するトラフィックが多い場合。問題を診断すると機能に影響したり、アプリケーションのセキュリティに迅速な対応が必要な場合があります。

Citrix ADCは、Web App Firewallプロファイルのトラフィックを分離し、HTMLリクエストの nstrace を収集します。appfwモードで収集された nstrace には、ログメッセージとともにリクエストの詳細が含まれます。トレースで「FollowTCPstream」を使用すると、ヘッダー、ペイロード、対応するログメッセージなど、個々のトランザクションの詳細を同じ画面に表示できます。

これは、あなたのトラフィックに関する包括的な概要を提供します。要求、ペイロード、および関連するログレコードの詳細を表示すると、セキュリティチェック違反を分析するのに役立ちます。違反を引き起こしているパターンを簡単に特定できます。パターンを許可する必要がある場合は、構成を変更するか、緩和ルールを追加するかを決定できます。

長所

  1. 特定のプロファイルに対するトラフィックの分離:この拡張機能は、トラブルシューティングのために 1 つのプロファイルまたはプロファイルの特定のトランザクションのトラフィックを分離する場合に役立ちます。あなたは、もはやトレースで収集されたデータ全体をスキムしたり、大量のトラフィックで退屈することができ、要求の関心を分離するための特別なフィルタを必要とする必要はありません。好みのデータを表示できます。
  2. 特定の要求のデータを収集する:トレースは、指定した期間だけ収集できます。必要に応じて、特定のトランザクションを分離、分析、デバッグするために、2 つのリクエストに対してのみトレースを収集できます。
  3. リセットまたは中止を特定する: 予期しない接続の切断は簡単にはわかりません。—appfw モードで収集されたトレースは、Web App Firewall によってトリガーされたリセットまたは中止をキャプチャします。これにより、セキュリティチェック違反メッセージが表示されない場合に問題をすばやく特定できます。不正な要求や、Web App Firewall によって終了された RFC 準拠以外の要求が、識別しやすくなりました。
  4. 復号化された SSL トラフィックを表示する: HTTPS トラフィックはプレーンテキストでキャプチャされるため、トラブルシューティングが容易になります。
  5. 包括的なビューを提供します: 要求全体をパケットレベルで確認したり、ペイロードをチェックしたり、ログを調べて、どのセキュリティチェック違反がトリガーされているかを確認したり、ペイロード内の一致パターンを特定したりできます。ペイロードが予期しないデータ、ジャンク文字列、または印刷不可能な文字(ヌル文字、 \r または \n など)、それらはトレースで簡単に見つけることができます。
  6. 構成を変更する: デバッグは、観察された動作が正しい動作であるか、構成を変更する必要があるかを判断するために役立つ情報を提供できます。
  7. 応答時間を短縮します: ターゲットトラフィックのデバッグを高速化すると、応答時間を改善して、Citrixエンジニアリングおよびサポートチームによる説明または根本原因分析を提供できます。

詳細については、「 コマンドラインインターフェイスを使用した手動設定 」を参照してください。

コマンドラインインターフェイスを使用してプロファイルのデバッグトレースを構成するには

手順1. ns トレースを有効にします。

show コマンドを使用して、設定された設定を確認できます。

  • set appfw profile <profile> -trace ON

手順2. トレースを収集します。nstrace コマンドに適用可能なすべてのオプションを引き続き使用できます。

  • start nstrace -mode APPFW

手順3. トレースを停止します。

  • stop nstrace

トレースの場所:nstrace は、に作成されたタイムスタンプ付きのフォルダーに保存されます。 /var/nstrace ディレクトリであり、 wiresharkを使用して表示できます。/var/log/ns.logを末尾に付けて、新しいトレースの場所に関する詳細を提供するログメッセージを表示できます。

ヒント:

  • appfwモードオプションを使用すると、 nstrace は「nstrace」が有効になっている1つ以上のプロファイルのデータのみを収集します。

  • プロファイルでトレースを有効にしても、「start ns trace」コマンドを明示的に実行してトレースを収集するまで、トレースの収集は自動的に開始されません。
  • プロファイルでトレースを有効にしても、Web App Firewallのパフォーマンスに悪影響はないかもしれませんが、データを収集する期間のみこの機能を有効にすることをお勧めします。トレースを収集した後、—trace フラグをオフにすることをお勧めします。このオプションは、過去にこのフラグを有効にしたプロファイルから誤ってデータを取得するリスクを防ぎます。

  • トランザクションレコードのセキュリティチェックを nstraceに含めるには、ブロックアクションまたはログアクションを有効にする必要があります。

  • プロファイルのトレースが「オン」の場合、セキュリティチェックアクションとは関係なく、リセットとアボートがログに記録されます。

  • この機能は、クライアントから受信した要求のトラブルシューティングにのみ適用できます。—appfw モードのトレースには、サーバから受信した応答は含まれません。

  • nstrace コマンドに適用可能なすべてのオプションを引き続き使用できます。例:

    start nstrace -tcpdump enabled -size 0 -mode appFW

  • リクエストが複数の違反をトリガーした場合、そのレコードの nstrace には、対応するすべてのログメッセージが含まれます。

  • この機能では、CEF ログメッセージ形式がサポートされています。

  • リクエスト側のチェックのブロックまたはログアクションをトリガーする署名違反もトレースに含まれます。

  • HTML (非 XML) 要求のみがトレースに収集されます。
セキュリティログを使用して HTML 要求をトレースする

この記事の概要