Quel est le journal d'accès connecté pour le trafic HTTPS ?

Options de téléchargement

  • PDF     (236.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (84.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (66.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 août 2014
ID du document:118152

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Question :


Contribution de Kei Ozaki et Siddharth Rajpathak, ingénieurs du centre d'assistance technique Cisco.

Question :

Quel est le journal d'accès connecté pour le trafic HTTPS ?

Environnement : appareil de sécurité Web Cisco (WSA) exécutant AsyncOS versions 7.1.x et ultérieures, proxy HTTPS activé

La manière dont l'appareil de sécurité Web Cisco (WSA) enregistre le trafic HTTPS est différente du trafic HTTP normal.  Les entrées HTTPS enregistrées dans les journaux d'accès auront un aspect différent selon le traitement de la demande. En général, ses caractéristiques sont différentes de celles du trafic HTTP normal.

Le contenu du journal dépend du mode de déploiement que vous utilisez (mode de transfert explicite ou mode transparent).

Voyons d'abord quelques mots-clés qui vous aideront à lire facilement les journaux d'accès.

TCP_CONNECT - indique que le trafic a été reçu de manière transparente (via WCCP ou redirection L4, etc.)
CONNECT - indique que le trafic a été reçu explicitement
DECRYPT_WBRS - indique que WSA a décidé de décrypter le trafic en raison du score WBRS
PASSTHRU_WBRS - indique que WSA a décidé de passer le trafic en raison du score WBRS
DROP_WBRS - indique que WSA a décidé de supprimer le trafic en raison du score WBRS

  • Lorsque le trafic HTTPS est décrypté, WSA consigne deux entrées.
  • TCP_CONNECT ou CONNECT selon le type de requête reçue et "GET https://" affichant l'URL déchiffrée.
  • L'URL complète ne sera visible que si WSA déchiffre le trafic.

Veuillez également noter que :

  • En mode transparent, WSA ne voit que l'adresse IP de destination initialement
  • En mode explicite, WSA verra le nom d'hôte de destination

Voici quelques exemples de ce que vous verriez dans les journaux d'accès :

Transparent - Déchiffrer
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -

1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,0,-,-,-,-,-,-,-,-> -
Transparent - Passthrough
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-> -
Transparent - Abandonner
1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
Explicite - Déchiffrer
252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,0,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
Explicite - Passthrough
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -
Explicite - Abandonner
1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> -

Historique de révision

Révision Date de publication Commentaires
1.0
05-Aug-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits