Wat is het inlogbestand voor HTTPS-verkeer?

Downloadopties

  • PDF     (236.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (82.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (64.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 augustus 2014
Document-id:118152

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Vraag:


Bijgedragen door Kei Ozaki en Siddharth Rajpathak, Cisco TAC-engineers.

Vraag:

Wat is het inlogbestand voor HTTPS-verkeer?

Milieu: Cisco Web Security Appliance (WSA) met AsyncOS-versies 7.1.x en hoger, HTTPS-proxy ingeschakeld

De manier waarop Cisco Web Security Applicatie (WSA) HTTPS-verkeer registreert, is anders dan normaal HTTP-verkeer.  De ingangen HTTPS die in access logs worden geregistreerd zullen verschillend kijken afhankelijk van hoe het verzoek werd behandeld. In het algemeen heeft het andere kenmerken dan normaal HTTP-verkeer.

Wat wordt vastgelegd, is afhankelijk van de implementatiemodus die u gebruikt (expliciete voorwaartse modus of transparante modus).

Laten we eerst eens kijken naar enkele sleutelwoorden die u zou helpen om toegangslogboeken gemakkelijk te lezen.

TCP_CONNECT - dit toont dat het verkeer op transparante wijze is ontvangen (via WCCP of L4 redirect ...etc)
CONNECT - dit toont dat verkeer expliciet is ontvangen
DECRYPT_WBRS - deze shows WSA heeft besloten om het verkeer te decrypteren vanwege de WBRS score
PASSTHRU_WBRS - dit programma toont dat WSA heeft besloten door het verkeer te gaan vanwege de WBRS score
DROP_WBRS - deze shows WSA heeft besloten om het verkeer te laten vallen te wijten aan WBRS score

  • Wanneer HTTPS-verkeer wordt gedecodeerd, logt WSA twee vermeldingen in.
  • TCP_CONNECT of CONNECT afhankelijk van het type verzoek dat wordt ontvangen en "GET https://" met de gedecrypteerde URL.
  • Volledige URL is alleen zichtbaar als WSA het verkeer decrypteert.

Let ook op het volgende:

  • In de transparante modus ziet WSA eerst alleen het IP-adres van de bestemming
  • In expliciete modus, zal WSA de bestemming hostname zien

Hieronder zie je wat voorbeelden van wat je zou zien in access logs:

Transparent - decrypt
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -

1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,-,-,-,-,-,-,-,-> ->
Transparante doorvoer
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <SEAR,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
Transparent - Drop
1252543418.175 430 192.168.30.103 TCP_DENIED/403.0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <SEAR,-9.1.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
Expliciet - ontsleutelen
252543558.405 385 10.66.71.105 TCP_CLIENT_REFresh_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -> -
1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -> -
Expliciet - Doorlopen
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFresh_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -> -
Expliciet - Drop
1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
05-Aug-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten