作者:Kei Ozaki和Siddharth Rajpathak,Cisco TAC工程师。
问题:
什么是HTTPS流量的登录访问日志?
环境:运行AsyncOS版本7.1.x及更高版本的思科网络安全设备(WSA),已启用HTTPS代理
思科网络安全设备(WSA)记录HTTPS流量的方式与常规HTTP流量不同。 根据请求处理方式,访问日志中记录的HTTPS条目将有所不同。一般来说,它与普通HTTP流量相比具有不同的特征。
记录的内容取决于您使用的部署模式(显式转发模式或透明模式)。
首先,让我们看一些能帮助您轻松读取访问日志的关键字。
TCP_CONNECT -显示透明接收的数据流(通过WCCP或L4重定向,等等)
CONNECT -显示显式接收了数据流
DECRYPT_WBRS -这显示WSA已决定由于WBRS得分而解密流量
PASSTHRU_WBRS -这显示WSA由于WBRS得分而决定传递流量
DROP_WBRS -这显示WSA已决定因WBRS得分而丢弃流量
- 当HTTPS流量解密时,WSA将记录两个条目。
- TCP_CONNECT或CONNECT(具体取决于收到的请求类型)以及显示解密URL的“GET https://”。
- 仅WSA解密流量时,才会显示完整的URL。
另请注意:
- 在透明模式下,WSA最初只会看到目标IP地址
- 在显式模式下,WSA将看到目标主机名
以下是您在访问日志中会看到的一些示例:
透明-解密 |
1252543170.769 386 192.168.30.103 TCP_MISS_SSL/200 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-,-> -
1252543171.166 395 192.168.30.103 TCP_MISS_SSL/200 2061 GET https://www.example.com:443/sample.gif - DIRECT/192.168.34.32 image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,-,-,-> - |
透明-直通 |
1252543337.373 690 192.168.30.103 TCP_MISS/200 2044 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-> - |
透明-丢弃 |
1252543418.175 430 192.168.30.103 TCP_DENIED/403 0 TCP_CONNECT tunnel://192.168.34.32:443/ - DIRECT/192.168.34.32 - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,-9.1.0,-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、-、- |
显式-解密 |
252543558.405 385 10.66.71.105 TCP_CLIENT_REFRESH_MISS_SSL/200 40 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - DECRYPT_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,5.0,-,-,-,-,-,-,-,-,-,-,-,-> - 1252543559.535 1127 10.66.71.105 TCP_MISS_SSL/200 2061获取https://www.example.com:443/sample.gif - DIRECT/www.example.com image/gif DEFAULT_CASE-test.policy-test.id-NONE-NONE-NONE <Sear,5.0,0,-,-,-,-,-,0,-,-,-,-,-,-,-> - |
显式-直通 |
1252543491.302 568 10.66.71.105 TCP_CLIENT_REFRESH_MISS/200 2256 CONNECT tunnel://www.example.com:443/ - DIRECT/www.example.com - PASSTHRU_WBRS-DefaultGroup-test.id-NONE-NONE-DefaultRouting <Sear,9.0,-,-,-,-,-,-,-,-,-,-,-> - |
显式-删除 |
1252543668.375 1 10.66.71.105 TCP_DENIED/403 1578 CONNECT tunnel://www.example.com:443/ - NONE/- - DROP_WBRS-DefaultGroup-test.id-NONE-NONE-NONE <Sear,-9.1,-,-,-,-,-,-,-,-,-,-,-,-> - |