はじめに
このドキュメントでは、Performance parameter(PM;パフォーマンスパラメータ)のカスタムフィールドをSecure Web Appliance(SWA)のアクセスログに追加する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- SWA管理インターフェイスへのセキュアシェルプロトコル(SSH)アクセス。
- SWA管理インターフェイスへのグラフィカルユーザインターフェイス(GUI)アクセス
ヒント:SWAデータパーティションの20 %以上の空きディスク領域を確保するのが最適です。コマンドラインインターフェイス(CLI)のstatus detailコマンドの出力で、ディスクの使用状況を確認できます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
遅延の問題があり、トラフィックがSWA経由でプロキシされる場合、遅延の根本原因のトラブルシューティングにアクセスログが役立ちます。現在のアクセスログの設定を変更したり、カスタムフィールドにパフォーマンスパラメータを追加して新しいアクセスログを作成したりできます。
追加のアクセスログの作成
状況によっては、内部ポリシーまたはその他の設定が原因で、現在のアクセスログを変更できない場合があります。この制限を克服するために、別のアクセスログを作成し、新しいアクセスログにカスタムパフォーマンスパラメータを追加できます。
GUIからの新しいアクセスログの作成
ステップ 1:GUIにログインします。
ステップ 2:System Administration メニューから、Log Subscriptionsを選択します。
ログサブスクリプションの選択
ステップ 3:Add Log Subscription ...を選択します。
「ログサブスクリプションの追加」を選択します
ステップ 4:Log TypeセクションからAccess Logs を選択し、ページが更新されるまで待機します。
ログの種類からアクセスログを選択
ステップ 5:[ログ名]セクションに新しいログの名前を入力します。この例では、TAC_access_logsです。
手順 6: SWAが新しいファイルへのログを介してロールされる前に、ファイルサイズ(バイト単位)に102400(100 KB) ~ 10737418240(10 GB)の範囲の値を入力します。数値は整数である必要があります。Mを追加するとサイズ(MB)を示し、Kを追加するとファイルサイズ(KB)を示し、Gを追加するとファイルサイズ(GB)を示します。
注:SWAは、現在のログファイルが、ユーザが指定した最大ファイルサイズの制限、または最後のロールオーバー以降の最大時間に達すると、ログサブスクリプションをアーカイブ(ロールオーバー)します。
手順 7:ログスタイルにはSquidを選択します。
ステップ 8:「ファイル名」では、この新しいログのフォルダ名とログファイル名を定義します。ログ名と同じにすることを推奨します。この例ではTAC_access_logsです。
ステップ 9:ログ圧縮を有効にしてログファイルを圧縮するか、ログをテキストファイルとして保存することができます。
ステップ 10:ログの除外は、ハイパーテキスト転送プロトコル(HTTP)応答コードをフィルタリングすることです。HTTPステータスコードをフィルタリングしないでください。
必須フィールドへの入力
ステップ 11ログをSWAに保持するには、FTP pollを選択します。1と入力してEnter キーを押します。
ステップ 12変更を送信し、保存します。
CLIからの新しいアクセスログの設定
ステップ 1:CLIにログインします。
ステップ 2:logconfigを実行します。
ステップ 3:新しいログを作成するには、Newと入力してEnterキーを押します。
ステップ 4:アクセスリストでアクセスログを検索し、これに関連付けられている番号を入力してEnterキーを押します。
ステップ 5:新しいログの名前を入力します。
手順 6:このサブスクリプションのログスタイルとしてSquidを選択するには、1を入力して、Enterキーを押します。
手順 7:HTTPエラーステータスコードをフィルタリングしないでください。 Enterキーを押して次の手順に進みます。
ステップ 8:FTP pollを選択して、SWAにログを保持します。1と入力してEnter キーを押します。
注:ログをFile Transfer Protocol(FTP;ファイル転送プロトコル)サーバ、Secure Copy Protocol(SCP;セキュアコピープロトコル)サーバ、またはSyslogサーバにプッシュするには、それらに関連するオプションを選択できます。
ステップ 9:この手順では、新しいログのフォルダ名とファイル名を定義します。ログ名と同じにして、Enterキーを押すとよいでしょう。
ステップ 10:SWAロールが新しいファイルにログを渡す前に、ファイルサイズ(バイト単位)を102400 (100キロバイト) ~ 10737418240 (10ギガバイト)の範囲で入力します。
注:SWAは、現在のログファイルが、ユーザが指定した最大ファイルサイズの制限、または最後のロールオーバー以降の最大時間に達すると、ログサブスクリプションをアーカイブ(ロールオーバー)します。
ステップ 11ファイルの最大数は、デバイスに保存されているログファイルの数を示します。ログファイルの総数がこの値に達すると、古いログはSWAから削除されます。デフォルト値は10ファイルで、使用可能なディスク領域とその他のログ設定によりログの数を入力してからEnterキーを押すことができます。
ステップ 12この手順では、ログを圧縮するか、テキストファイルとして保存するかを選択できます。Yesの場合はY、Noの場合はNと入力し、Enterキーを押します。
注:ファイルサイズが最大ファイルサイズに達すると、圧縮されます。圧縮率はネットワークトラフィックの動作によって異なり、ログファイルごとに異なる可能性があります。
ステップ 13 Enterキーを押して、ログ設定ウィザードを終了します。
ステップ 14:commitと入力して、変更を保存します。
SWA_CLI> logconfig
...
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> NEW
Choose the log file type for this subscription:
1. AVC Engine Framework Logs
2. AVC Engine Logs
3. Access Control Engine Logs
4. Access Logs
....
58. Webroot Logs
59. Welcome Page Acknowledgement Logs
[1]> <=== type the number assosiated with Access Logs and press Enter
Please enter the name for the log:
[]> <=== Chose desiered name, in this example, TAC_access_logs
Choose the log style for this subscription:
1. Squid
2. Apache
3. Squid Details
[1]> <=== Press Enter to keep the default value
Enter the HTTP Error Status codes (comma separated list of 4xx and 5xx codes) you want to filter out from the logs:
[]> <=== Press Enter to keep the default value
Choose the method to retrieve the logs:
1. FTP Poll
2. FTP Push
3. SCP Push
4. Syslog Push
[1]> <=== Choose FTP poll to keep the logs in the SWA
Filename to use for log files:
[aclog]> <=== It is better to have teh same file name as the log, in this example, TAC_access_logs
Do you want to configure time-based log files rollover? [N]> <=== Enter the desiered answer
Please enter the maximum file size:
[104857600]> <=== Enter the desiered answer, or you can leave as default
Please enter the maximum number of files:
[100]> <=== Enter the desiered answer, it depends on free disk space and log file size
Should an alert be sent when files are removed due to the maximum number of files allowed? [N]> <=== Enter the desiered answer
Do you want to compress logs (yes/no)
[n]> <=== Enter the desiered answer
Currently configured logs:
1. "Splunk Logs" Type: "Access Logs" Retrieval: FTP Push - Host 10.0.0.1
2. "TAC_access_logs" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Poll
....
40. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
41. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP Poll
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> <=== Press Enter to exit the log configuration wizard
SWA_CLI> commit
Please enter some comments describing your changes:
[]> <=== Type the change description and press Enter
ログにアクセスするためのパフォーマンスパラメータのカスタムフィールドの追加
ステップ 1:GUIにログインします。
ステップ 2:System Administrationメニューから、Log Subscriptionsを選択します。
ステップ 3:「Log Name」列で、accesslogsをクリックするか、新しく作成したログの名前をクリックします。この例では、TAC_access_logsです。
ステップ 4:[ユーザー設定フィールド]セクションに、次の文字列を貼り付けます。
[ Request Details: ID = %I, User Agent = %u, AD Group Memberships = ( %m ) %g ] [ Tx Wait Times (in ms): 1st byte to server = %:<1, Request Header = %:, Response Header = %:h>, Client Body = %:b> ] [ Rx Wait Times (in ms): 1st request byte = %:1<, Request Header = %:h<, Client Body = %:b<, 1st response byte = %:>1, Response header = %:>h, Server response = %:>b, Disk Cache = %:>c; Auth response = %:a; DNS response = %:d, WBRS response = %:r, AVC response = %:A>, AVC total = %:A<, DCA response = %:C>, DCA total = %:C<, McAfee response = %:m>, McAfee total = %:m<, Sophos response = %:p>, Sophos total = %:p<, Webroot response = %:w>, Webroot total = %:w<, Anti-Spyware response = %:s; AMP response = %:e>, AMP total = %:e<; Latency = %x; %L ] [Client Port = %F, Server IP = %k, Server Port = %p]
ステップ 5:変更を送信し、保存します。
変更の確認
ステップ 1:CLIにログインします。
ステップ 2:tailと入力してEnterキーを押す。
ステップ 3: パフォーマンスパラメータを追加したアクセスログに関連付けられている番号を見つけます。番号を入力して、Enterキーを押します。
この例と同様に、アクセスログに追加情報が追加されていることがわかります。
1680893872.492 1131 172.18.122.156 TCP_MISS/200 379725 GET http://www.cisco.com/en/US/docs/security/wsa/wsa7.7/Release_Notes/WSA_7.7.0_FCS_Release_Notes.pdf - DIRECT/www.cisco.com application/pdf DEFAULT_CASE_12-authenticated_policy-DefaultGroup-DefaultGroup-NONE-NONE-DefaultGroup - " [ Request Details: ID = 104, User Agent = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", AD Group Memberships = ( NONE ) -;] [Tx Wait Times: 1st byte to server = 0, Request Header = 0, Request to Server = 0, 1st byte to client = 290, Response Header = 0, Client Body = 788; Rx Wait Times: 1st request byte = 0, Request Header = 0, Client Body = 0, 1st response byte = 45, Response header = 2, Server response = 779, Disk Cache = 0; Auth response = 0, Auth total = 0; DNS response = 0, DNS total = 0, WBRS response = 0, WBRS total = 2, AVC response = 0, AVC total = 0, DCA response = 0, DCA total = 0, McAfee response = 0, McAfee total = 901, Sophos response = 0, Sophos total = 1028, Webroot response = 0, Webroot total = 0, Anti-Spyware response = 0, Anti-Spyware total = 2; AMP response = 1, AMP total = 1; Latency = 1939; "07/Apr/2023:20:58:55 +0000" ] [Client Port = 3543, Server IP = 10.10.10.10, Server Port = 443]
ヒント:tailコマンドは、Controlキーを押しながらCキーを押すことで終了できます。tailコマンドが終了していない場合は、qと入力します。
カスタムフィールドのフィールドの説明
カスタムパフォーマンスパラメータフィールドで使用される値は、次の情報にマッピングされます。
ヒント:遅延= AMP合計+アンチスパイウェア合計+ Webroot合計+ Sophos合計+ McAfee合計+ AVC合計+ WBRS合計+ Auth合計
ユーザー設定フィールド名 |
カスタムフィールド |
説明 |
要求ヘッダー
|
%:<h |
最初のバイトの後に要求ヘッダーをサーバに書き込む待機時間。
|
サーバへの要求
|
%:<b |
ヘッダーの後に要求本文をサーバーに書き込むまでの待機時間です。
|
クライアントへの1番目のバイト
|
%:1> |
クライアントに書き込まれた最初のバイトの待機時間。
|
クライアント本体
|
%:b> |
完全な本文がクライアントに書き込まれるまでの待機時間。
|
Rx待機時間(ミリ秒):最初の要求バイト
|
%:1< |
Webプロキシがサーバへの接続を開始してから、最初にサーバへの書き込みが可能になるまでの時間。Webプロキシがトランザクションを完了するために複数のサーバに接続する必要がある場合は、それらの回数の合計になります。
|
要求ヘッダー
|
%:h< |
最初のバイトの後の完全なクライアントヘッダーの待機時間。
|
クライアント本体
|
%:b< |
完全なクライアント本体の待機時間。
|
第1応答バイト
|
%:>1 |
サーバからの最初の応答バイトの待機時間。
|
応答ヘッダー
|
%:>h |
最初の応答バイトの後のサーバヘッダーの待機時間。
|
サーバ応答
|
%:>b |
これは基本的に、SWAがサーバからHTTPヘッダーを取得したが、その後の応答バイトを待っていることを意味します。これは、サーバからの実際の内容です。
|
ディスクキャッシュ
|
%:>c |
Webプロキシがディスクキャッシュから応答を読み取るのに必要な時間。
|
認証応答
|
%:<a |
Webプロキシが要求を送信した後、Webプロキシ認証プロセスから応答を受信するまでの待機時間。
|
認証の合計
|
%:>a |
Webプロキシ認証プロセスからの応答を受信するための待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
|
DNS応答
|
%:<d |
Webプロキシがドメイン名要求(DNS)要求をWebプロキシDNSプロセスに送信するのに要した時間です。
|
DNS合計
|
%:>d |
DNS結果をWebプロキシに返すためにWebプロキシDNSプロセスが要した時間。
|
WBRS応答
|
%:<r |
Webプロキシが要求を送信した後、Webレピュテーションフィルタからの応答を受信するまでの待機時間。
|
WBRS合計
|
%:>r |
Webレピュテーションフィルタから判定を受け取るまでの待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
|
AVC応答
|
%:A> |
Webプロキシが要求を送信した後、Application Visibility and Control(AVC)プロセスから応答を受信するまでの待機時間。
|
AVC合計
|
%:A< |
AVCプロセスからの応答を受信するための待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
|
DCA応答
|
%:C> |
Webプロキシが要求を送信した後、動的コンテンツ分析エンジンから応答を受信するまでの待機時間。
|
DCA合計
|
%:C< |
動的コンテンツ分析エンジンから判定を受信するまでの待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
|
McAfee応答
|
%:m> |
Webプロキシが要求を送信した後、McAfeeスキャンエンジンから応答を受信するまでの待機時間。
|
McAfee合計
|
%:m< |
McAfeeスキャンエンジンから判定を受け取るまでの待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
|
Sophos応答
|
%:p> |
Webプロキシが要求を送信した後、Sophosスキャンエンジンから応答を受信するまでの待機時間。
|
Sophos合計
|
%:p< |
Sophosスキャンエンジンから判定を受け取るまでの待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
|
AMP応答
|
%:e> |
Webプロキシが要求を送信した後、AMPエンジンから応答を受信するまでの待機時間。
|
合計AMP
|
%:e< |
AMPエンジンから判定を受信するまでの待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
|
遅延
|
%x; %L |
遅延とリクエストの現地時間(YYYY:hh:mm:ss +nnnn、DD/MMM/YYYYの形式で人間が読み取れる形式)。このフィールドは、アクセスログに二重引用符で囲まれて書き込まれます。
このフィールドを使用すると、各ログエントリのエポック時間からのローカル時間を計算しなくても、ログを問題に関連付けることができます。
|
クライアントポート
|
%F |
クライアント側から使用されるポート番号。
|
サーバ IP アドレス
|
%k |
WebサーバのIPアドレス。
|
サーバポート番号
|
%p |
Webサーバポート番号。
|
関連情報