فهم تنسيق HTTPS AccessLog في جهاز ويب الآمن
المقدمة
يصف هذا المستند ملحقات جهاز ويب الآمن (SWA) لحركة مرور HTTPS.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- تم تثبيت SWA المادية أو الافتراضية.
- تم تنشيط الترخيص أو تثبيته.
- عميل Secure Shell (SSH).
- اكتمل معالج الإعداد.
- الوصول الإداري إلى SWA.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
الطريقة التي تختلف بها سجلات حركة مرور Cisco SWA HTTPS في سجلات الوصول عن حركة مرور HTTP العادية.
ملاحظة: تعتمد السجلات على وضع نشر الوكيل، في وضع إعادة التوجيه الصريح أو الوضع الشفاف تكون السجلات مختلفة.
الكلمات الأساسية في سجلات الوصول
فيما يلي بعض الكلمات الأساسية الهامة التي يمكنك رؤيتها في سجلات الملحقات:
بروتوكول TCP_Connect : هذا يبدي حركة مرور كان إستلمت بشفافية (عن طريق WCCP، L4 redirect أو آخر شفاف redirection طريقة)
الاتصال : وهذا يوضح أنه تم تلقي حركة المرور بشكل صريح.
decrypt_WBRS : هذا يوضح أن SWA قامت بفك تشفير حركة مرور البيانات بسبب نتيجة نتيجة "درجة سمعة الويب" (WBRS).
passThru_WBRS : هذا يوضح أن SWA مرت عبر حركة المرور بسبب نقاط WBRS.
drop_wbrs : هذا يوضح أن SWA قامت بإسقاط حركة المرور بسبب علامة WBRS
سجلات HTTPS في سجلات الوصول
عند فك تشفير حركة مرور HTTPS، يقوم WSA بتسجيل إدخالين.
- يعتمد TCP_CONNECT tunnel:// أو Connect tunnel:// على نوع الطلب الذي تم إستقباله، مما يعني تشفير حركة مرور البيانات ( لم يتم فك تشفيرها بعد).
- الحصول على https:// يظهر عنوان URL الذي تم فك تشفيره.
ملاحظة: يكون عنوان URL الكامل في الوضع الشفاف مرئيا فقط إذا قامت SWA بفك تشفير حركة المرور.
1706174571.215 582 10.61.70.23 TCP_MISS_SSL/200 39 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WEBCAT_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_ref",3.7,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_ref",-,"-","Reference","-","Unknown","Unknown","-","-",0.54,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -
1706174571.486 270 10.61.70.23 TCP_MISS_SSL/200 1106 GET https://www.example.com:443/ - DIRECT/www.example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_ref",3.7,1,"-",0,0,0,1,"-",-,-,-,"-",1,-,"-","-",-,-,"IW_ref",-,"Unknown","Reference","-","Unknown","Unknown","-","-",32.77,0,-,"Unknown","-",1,"-",-,-,"-","-",-,-,"-",-,-> - - ملاحظة: في الوضع الشفاف، تحتوي SWA على عنوان IP للوجهة في البداية عندما تتم إعادة توجيه حركة المرور إليها.
فيما يلي بعض الأمثلة على ما تراه في سجلات الوصول:'
| النشر الشفاف- حركة مرور تم فك تشفيرها |
|
125254370.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_Connect 192.168.343/ - Direct/192.168.34.32 - Decrypt_WBRS-DefaultGroup-test.id-none-none-none-Default <Routing SEAR،5.0،-،-،-،-،-،-،-،-،-،-،-،-،----> - |
| النشر الشفاف- حركة مرور البيانات |
|
125254337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_Connect 192.168.343/ - Direct/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-none-none-none-Default <routing SEAR،9.0،-،-،-،-،-،-،-،-،-،-،-،-،----> - |
| نشر شفاف - إسقاط |
|
1252543418.175 430 192.168.30.103 TCP_DENY/403 0 TCP_Connect 192.168.34.32/ - Direct/192.168.34.32 - drop_WBRS-DefaultGroup-test.id-none-none-DefaultRouting <Drop SEAR،-9.1.0،-،-،-،-،-،-،-،-،-،-،-،------------ |
| نشر صريح- حركة مرور تم فك تشفيرها |
|
25254358.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 Connect tunnel://www.example.com:443/ - Direct/www.example.com - Decrypt_WBRS-DefaultGroup-test.id-none-none-DefaultRouting <Sear،5.0،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،---،-،-،-،-،-،-،-،-،-،-------،-،-،-،-،-،-،-،-،-،-----------------،-،-،-،-،-،-،--- 125254359.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 الحصول على https://www.example.com:443/sample.gif - Direct/www.example.com image/gif default_case-test.policy-test.id-none-none-none-none <Sear،5.0،0-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،،-،-،-،،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-----،-----------------،--،-----------،-----------------------------------، |
| نشر صريح - حركة مرور البيانات |
|
125254391.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 256 Connect tunnel://www.example.com:443/ - Direct/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear،9.0،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،--،-،-،-،-،-،-،-،-،-،-،-،-،-، |
| نشر صريح - إسقاط |
|
1252543668.375 10.66.71.105 TCP_DENY/403 1578 Connect tunnel://www.example.com:443/-none/- DROP_WBRS-DefaultGroup-test.id-none-none-none-none <Sear،-9.1،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،-،------،-،-----،---------> - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - |
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
07-May-2024
|
الإصدار الأولي |
التعليقات