了解安全Web设备中的HTTPS访问日志格式

下载选项

PDF (329.9 KB)
在各种设备上使用 Adobe Reader 查看
ePub (78.6 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (63.9 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2024 年 5 月 2 日

文档 ID:221974

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍HTTPS流量的安全网络设备(SWA)访问日志。

先决条件

要求

Cisco 建议您了解以下主题：

已安装物理或虚拟SWA。
许可证已激活或已安装。
安全外壳(SSH)客户端。
安装向导已完成。

对SWA的管理访问。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

Cisco SWA HTTPS流量在访问日志中的记录方式与常规HTTP流量不同。

注意：日志取决于代理部署模式，在显式转发模式或透明模式下，日志是不同的。

访问日志中的关键字

以下是您可以在Accesslogs中看到的一些重要关键字：

TCP_CONNECT:这显示流量是以透明方式接收的（通过WCCP、L4重定向或其他透明重定向方法）
连接:这显示流量是显式接收的。
DECRYPT_WBRS :这显示SWA已根据Web信誉得分(WBRS)得分解密流量。
PASSTHRU_WBRS :这显示由于WBRS得分，SWA已通过流量。
DROP_WBRS :这显示SWA已丢弃由于WBRS得分的流量

访问日志中的HTTPS日志

当HTTPS流量解密时，WSA会记录两个条目。

TCP_CONNECT tunnel://或CONNECT tunnel://取决于收到的请求类型，这意味着流量已加密（尚未解密）。
GET https://显示已解密的URL。

注意：仅当SWA解密流量时，透明模式中的完整URL才可见。

1706174571.215 582 10.61.70.23 TCP_MISS_SSL/200 39 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WEBCAT_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_ref",3.7,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_ref",-,"-","Reference","-","Unknown","Unknown","-","-",0.54,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -
1706174571.486 270 10.61.70.23 TCP_MISS_SSL/200 1106 GET https://www.example.com:443/ - DIRECT/www.example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_ref",3.7,1,"-",0,0,0,1,"-",-,-,-,"-",1,-,"-","-",-,-,"IW_ref",-,"Unknown","Reference","-","Unknown","Unknown","-","-",32.77,0,-,"Unknown","-",1,"-",-,-,"-","-",-,-,"-",-,-> - -

注意：在透明模式下，当流量重定向到SWA时，SWA最初具有目标IP地址。

以下是您在访问日志中看到的一些示例：'

透明部署 — 解密的流量

1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT 192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-DefaultRouting <A sear，5.0,-,-,-,-,-,-,-,-,-,-,-,-,->-

1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear，5.0,0,-,-,-,-,0,-,-,-,-> -

透明部署 — 直通流量

1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT 192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <A sear，9.0,-,-,-,-,-,-,-,-,-,-,-,-,->-

透明部署 — 丢弃

1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT 192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <A sear、-9.1.0、-、-、-、-、-、-、-、-、-、-、-、-、->-

显式部署 — 解密的流量

252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel:// www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear，5.0,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-

1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear，5.0,0,-,-,-,-,0,-,-,-,-,-> -

显式部署 — 直通流量

1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel:// www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear，9.0,-,-,-,-,-,-,-,-,-,-,-,-,-

显式部署 — 丢弃

1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel:// www.example.com:443/ - NONE/— DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear，-9.1,-,-,-,-,-,-,-,-,-,-,-,-,-> -

了解安全Web设备中的HTTPS访问日志格式

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

背景信息

访问日志中的关键字

访问日志中的HTTPS日志

相关信息

修订历史记录

由思科工程师提供

此文档是否有帮助?

联系我们

本文档适用于以下产品