Fehlerbehebung bei der Leistung sicherer Web-Appliances mit SHD-Protokollen

Download-Optionen

  • PDF     (281.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:17. Januar 2025
Dokument-ID:220446

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die Protokolle des Systemintegritätsdämons (shd_logs) und wie Sie Probleme mit der SWA-Leistung (Secure Web Appliance) dieses Protokolls beheben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Physische oder Virtual Secure Web Appliance (SWA) installiert.
    • Lizenz aktiviert oder installiert.
    • Secure Shell (SSH)-Client.
    • Der Setup-Assistent ist abgeschlossen.
    • Administratorzugriff auf die SWA.

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Was ist SHD LOGS?

    SHD-Protokolle enthalten die meisten leistungsbezogenen Prozessstatistiken in SWA für jede Minute.

    Hier ist ein Beispiel für eine SHD-Protokollzeile: 

    Mon Jun 9 23:46:14 2022 Info: Status: CPULd 66.4 DskUtil 5.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 
SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

    SHD-Protokolle können über die Befehlszeilenschnittstelle (CLI) und über das File Transfer Protocol (FTP) empfangen werden. Es gibt keine Optionen zum Anzeigen des Protokolls über die grafische Benutzeroberfläche (GUI).

    Zugriff auf SHD-Protokolle

    Über die CLI:

    1. Geben Sie grep oder tail in die CLI ein. 
    2. "shd_logs Typ suchen: Abrufen von SHD-Protokollen: FTP-Umfrage aus der Liste und geben Sie die entsprechende Nummer ein.
    3. Geben Sie unter Geben Sie den zu grep gehörenden regulären Ausdruck ein.  Sie können reguläre Ausdrücke eingeben, um in den Protokollen zu suchen, z. B. Datum und Uhrzeit.
    4. Soll bei dieser Suche die Groß-/Kleinschreibung beachtet werden? [Y]> Sie können dies als Standard beibehalten, es sei denn, Sie müssen nach Groß- und Kleinschreibung suchen, die Sie in SHD_Logs nicht benötigen.
    5. Möchten Sie nach nicht übereinstimmenden Posten suchen? [N]> Sie können diese Zeile als Standard festlegen, es sei denn, Sie müssen nach allem mit Ausnahme des regulären Grep-Ausdrucks suchen.
    6. Möchten Sie die Protokolle verfolgen? [N]> Diese Option ist nur in der Ausgabe des grep verfügbar. Wenn Sie dies als Standard (N) zulassen, werden die SHD-Protokolle aus der ersten Zeile der aktuellen Datei angezeigt.
    7. Möchten Sie die Ausgabe paginieren? [N]> Wenn Sie "Y" wählen, ist die Ausgabe die gleiche wie die Ausgabe von weniger Befehl, können Sie zwischen Zeilen und Seiten auch Sie können innerhalb der Protokolle suchen (Geben Sie /dann das Schlüsselwort und drücken Sie die Eingabetaste), um die Log-Ansicht nach Typ q zu verlassen.

    Über FTP:

    1. Stellen Sie sicher, dass FTP über die GUI > Network > Interfaces (Netzwerk > Schnittstellen) aktiviert ist.
    2. Stellen Sie über FTP eine Verbindung mit SWA her.
    3. Shd_logs Ordner, enthält die Protokolle.  

    SHD-Protokollfelder 

    Die Felder in den SHD-Protokollen sind detailliert:

    Feldnummer Name Identifikator  Beschreibung 

    8

    CPULd

    Prozentsatz %

    0 - 99

    CPU-Last

    Gesamtprozentsatz der vom Betriebssystem auf dem System verwendeten CPU

    10

    Festplattendienstprogramm

    Prozentsatz %

    0 - 99

    Festplattenauslastung

    auf der /data-Partition verwendeter Speicherplatz

    12

    RAMUtil

    Prozentsatz %

    0 - 99

    RAM-Auslastung 

    Prozentsatz des vom Betriebssystem angegebenen genutzten Speichers

    14

    Anforderungen

    Anforderung/Sekunden 

    Anfragen

    Durchschnittliche Anzahl von Transaktionen (Anfragen) in der letzten Minute

    16

    Band

    KB/s

    Eingesparte Bandbreite 

    Durchschnittliche Bandbreiteneinsparung in der letzten Minute.

    - Äquivalent zum Durchschnitt der in der letzten Minute eingesparten SNMP-Bandbreite

    18

    Latenz 1

    Millisekunden (ms) 

    Durchschnittliche Latenz (Reaktionszeit) in der letzten Minute

    Ermittelt das zweite Feld in den Zugriffsprotokollen, das anzeigt, wie lange die TCP-Verbindung von Endbenutzer zu WSA (oder von Endbenutzer zu Webserver, wenn die Verbindung nicht entschlüsselt wurde) dauert.

    WSA fasst die Zeiten für jede angemeldete Anforderung in den Zugriffsprotokollen für die letzten Minuten zusammen und teilt sie in die Anzahl dieser Anforderungen auf. So wird eine durchschnittliche Latenz für SHD erzielt.

    20

    CacheHit

    Nummer

    Der Cache hat in der letzten Minute den Durchschnitt erreicht.

    - Entspricht dem SNMP-Cache-Trefferdurchschnitt der letzten Minute

    22

    CliConn

    Nummer

    Gesamtanzahl der aktuellen Clientverbindungen

    Von Clients zu WSA

    - entspricht der aktuellen Gesamtzahl der SNMP-Clientverbindungen

    24

    SrvConn

    Nummer

    Gesamtanzahl der aktuellen Serververbindungen

    Von WSA zu Webserver

    - Entspricht der aktuellen Gesamtanzahl an SNMP-Serververbindungen.

    26

    MemBuf 2

    Prozentsatz %

    0 - 99

    Speicherpuffer 

    Die aktuelle Gesamtmenge des Proxy-Pufferspeichers, die verwendet wird.

    28

    SpPgAus

    Nummer

    Anzahl der vom Betriebssystem gemeldeten ausgetauschten Seiten

    Auslagerungsdatei oder Auslagerungsdatei ist Speicherplatz auf einer Festplatte, die als temporärer Speicherort zum Speichern von Informationen verwendet wird, wenn der RAM voll ausgelastet ist.

    30

    ProxLd

    Prozentsatz %

    0 - 99

    Prox-Prozesslast 

    Prozess, der für die Verarbeitung aller eingehenden Anfragen verantwortlich ist (HTTP/HTTPS/FTP/SOCKS)

    32

    WBRS_WUCld

    Prozentsatz %

    0 - 99

    Webreputations-Auslastung

    Prozess, der für die eigentliche WBRS-Scan-Engine verwendet wird. Der Proxyprozess interagiert mit dem Anforderungsprozess, um WBRS-Scans durchzuführen.

    34

    ProtokollLd

    Prozentsatz %

    0 - 99

    Laden des Proxyprotokolls

    36

    RptLd

    Prozentsatz %

    0 - 99

    Report Engine-Last 

    Der für die Erstellung der Berichtsdatenbank verantwortliche Prozess. 'reportd' interagiert mit 'haystackd', um die Web Tracking-Datenbank zu erstellen.

    38

    WebrootLd

    Prozentsatz %

    0 - 99

    Webroot-Anti-Malware-Laden

    40

    SophosLd

    Prozentsatz %

    0 - 99

    Sophos Antivirus-Workload

    42

    McafeeLd

    Prozentsatz %

    0 - 99

    McAfee-Antivirenauslastung

    44

    WTTLd

    Prozentsatz %

    0 - 99

    Anzapfen des Webverkehrs

    46

    AMPLd

    Prozentsatz %

    0 - 99

    Advanced Malware Protection (AMP)
    1. Manchmal kann man davon ausgehen, dass die Latenz in den SHD-Protokollen einen hohen Spitzenwert erreicht, wenn es beispielsweise auf der WSA nicht viele Anfragen gibt und irgendwann eine Verbindung mit langer Dauer hergestellt wurde, z. B. mehrere Tage. Diese eine Anforderung kann die Latenz für diese Minute erhöhen, wenn die Zugriffsprotokolle abgeschlossen und angemeldet werden.

    2. Wie geschrieben in:

    "Die RAM-Auslastung für ein working  effizientes System kann über 90 % liegen, da RAM, der ansonsten vom System nicht verwendet wird, vom Webobjekt-Cache verwendet wird. Wenn Ihr System keine experiencing  ernsthaften Leistungsprobleme hat und dieser Wert nicht bei 100% hängt, ist das System operating  normal."

    Anmerkung: Ein Proxy-Pufferspeicher ist eine Komponente, die diesen RAM verwendet.

    Fehlerbehebung mit SHD-Protokollen

    Andere Prozesse mit hoher Last

    Wenn die Last des anderen Prozesses hoch ist, überprüfen Sie die Tabelle-1 aus diesem Artikel und lesen Sie die Protokolle zu diesem Prozess.

    Hohe Latenz 

    Wenn Sie eine hohe Latenz in den SHD-Protokollen gesehen haben, müssen Sie die Proxy_track-Protokolle in /data/pub/track_stats/ überprüfen. Suchen Sie den Zeitrahmen, in dem die Latenz hoch ist. In der Proxy-Spur haben Sie einige Datensätze, die mit der Latenz in Zusammenhang stehen. Die Zahlen vor jedem Abschnitt geben die Gesamtanzahl seit dem letzten Neustart an. Beispiel für diesen Code: 

    Current Date: Wed, 11 Jun 2022 20:03:32 CEST
...
   Client Time    6309.6 ms    109902
...
Current Date: Wed, 11 Jun 2022 20:08:32 CEST
...
   Client Time    6309.6 ms    109982

    Innerhalb von 5 Minuten betrug die Anzahl der Anfragen von Clients, die 6309,6 ms oder mehr beanspruchten, 80. Sie müssen also die Zahlen in jedem Zeitrahmen subtrahieren, um den genauen Wert zu erhalten, den Sie für diese Elemente berücksichtigen müssen:

    Clientzeit: Zeitaufwand zwischen Client und SWA

    Trefferzeit: Cache-Treffer: Die angeforderten Daten befinden sich im Cache und können an den Client übermittelt werden.

    Verpasst am: Cache-Fehlschlag: Die angeforderten Daten befinden sich nicht im Cache oder sind nicht auf dem neuesten Stand und können nicht an den Client übermittelt werden. 

    Servertransaktionszeit: Zeitaufwand zwischen SWA und Webserver

    Auch diese Werte müssen bei der Leistungsprüfung berücksichtigt werden:

    Benutzerzeit: 160,852 (53,33 %)
    Systemzeit: 9,768 (3,256 %)

    In Track-Statusprotokollen werden die Informationen alle 5 Minuten (300 Sekunden) protokolliert. In diesem Beispiel ist die Benutzerzeit 160.852 die Zeit (in Sekunden), in der die CPU mit Aufgaben zur Bearbeitung von Benutzeranfragen geladen wurde. Die Systemzeit ist die Zeit, in der die SWA Netzwerkereignisse verarbeitet hat, z. B. Routing-Entscheidungen usw. Die Summe dieser beiden Prozentwerte entspricht der gesamten CPU-Last für diese Zeit. Wenn die Benutzerzeit hoch ist, ist sie bedeutet, dass Sie Konfigurationen mit hoher Komplexität berücksichtigen müssen.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    17-Jan-2025
    Formatierung und SEO-Fehler behoben.
    1.0
    09-May-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Amirhossein Mojarrad
      Cisco Security Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.