HTTPS流量的登录访问日志是什么?

下载选项

  • PDF     (294.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (61.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2014 年 8 月 5 日
文档 ID:118152

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

问题:


作者:Kei Ozaki和Siddharth Rajpathak,Cisco TAC工程师。

问题:

什么是HTTPS流量的登录访问日志?

环境:运行AsyncOS版本7.1.x及更高版本的思科网络安全设备(WSA),已启用HTTPS代理

思科网络安全设备(WSA)记录HTTPS流量的方式与常规HTTP流量不同。  根据请求处理方式,访问日志中记录的HTTPS条目将有所不同。一般来说,它与普通HTTP流量相比具有不同的特征。

记录的内容取决于您使用的部署模式(显式转发模式或透明模式)。

首先,让我们看一些能帮助您轻松读取访问日志的关键字。

TCP_CONNECT -显示透明接收的数据流(通过WCCP或L4重定向,等等)
CONNECT -显示显式接收了数据流
DECRYPT_WBRS -这显示WSA已决定由于WBRS得分而解密流量
PASSTHRU_WBRS -这显示WSA由于WBRS得分而决定传递流量
DROP_WBRS -这显示WSA已决定因WBRS得分而丢弃流量

  • HTTPS流量解密时,WSA将记录两个条目。
  • TCP_CONNECTCONNECT(具体取决于收到的请求类型)以及显示解密URL的“GET https://”
  • 仅WSA解密流量时,才会显示完整的URL

另请注意:

  • 在透明模式下,WSA最初只会看到目标IP地址
  • 在显式模式下,WSA将看到目标主机名

以下是您在访问日志中会看到的一些示例:

透明-解密
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -

1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,-,-,-> -
透明-直通
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-> -
透明-丢弃
1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-
显式-解密
252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061获取https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,0,-,-,-,-,-,-,-> -
显式-直通
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-> -
显式-删除
1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-> -

修订历史记录

版本 发布日期 备注
1.0
05-Aug-2014
初始版本
TAC Authored

由思科工程师提供

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品