De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de stappen om een aangepast veld voor de prestatieparameter toe te voegen aan het access log van Secure Web Applicatie (SWA).
Cisco raadt kennis van de volgende onderwerpen aan:
Tip: Het is het beste om meer dan 20% vrije schijfruimte op SWA data-partitie te hebben. U kunt het schijfgebruik controleren vanaf Command Line Interface (CLI) in de uitvoer van de opdracht statusdetail.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Wanneer er een latentiekwestie is en het verkeer door een SWA wordt benaderd, kunnen de Toegangslogboeken nuttig zijn om de worteloorzaak van latentie problemen op te lossen. U kunt de huidige instellingen voor toegangslogbestanden wijzigen of nieuwe toegangslogbestanden maken waarbij prestatieparameters worden toegevoegd aan Aangepast veld.
In bepaalde omstandigheden is het niet mogelijk het huidige toegangslogboek te wijzigen vanwege intern beleid of een andere configuratie. Om deze beperking te overwinnen, kunt u een andere Access Logs maken en de aangepaste Performance parameter toevoegen in de nieuwe Access Logs.
Stap 1. Log in op GUI.
Stap 2. Kies in het menu Systeembeheer Logabonnementen.
Stap 3. Kies Add Log Subscription ...
Stap 4. Kies in het gedeelte Type logbestand de optie Toegangslogbestanden en wacht tot de pagina is ververst.
Stap 5. Typ een naam voor het gedeelte nieuwe lognaam. In dit voorbeeld, TAC_access_logs.
Stap 6. Voer een waarde in tussen 102400 (100 Kilobytes) en 10737418240 (10 Gigabytes) voor de bestandsgrootte (in bytes) voordat SWA-rollen via het logbestand naar een nieuw bestand worden uitgevoerd. Het getal moet een geheel getal zijn en je kunt M toevoegen om de grootte in Megabyte aan te geven, K om de bestandsgrootte in kilobyte aan te geven en G voor gigabyte.
Opmerking: SWA archiveert (rolls over) logabonnementen wanneer een huidig logbestand een door de gebruiker opgegeven limiet van de maximale bestandsgrootte of de maximale tijd sinds de laatste rollover bereikt.
Stap 7. Kies een pijlinktvis voor de logstijl.
Stap 8. Bestandsnaam is om de mapnaam en de naam van het logbestand voor dit nieuwe logbestand te definiëren. Het is aan te raden hetzelfde te zijn als de lognaam, die in dit voorbeeld TAC_access_logs was.
Stap 9. U kunt logboekcompressie inschakelen om het logbestand te comprimeren of de logbestanden als een tekstbestand te houden.
Stap 10. Log Exclusion is om te filteren op HTTP-responscode (Hypertext Transfer Protocol). Filtreer geen HTTP-statuscodes.
Stap 11. Kies FTP poll om de logs in de SWA te houden. Typ 1 en druk op ENTER.
Stap 12. Verzend en voer wijzigingen uit.
Stap 1. Log in op CLI.
Stap 2. Start logconfiguratie.
Stap 3. Als u een nieuw logbestand wilt maken, typt u Nieuw en drukt u op ENTER.
Stap 4. Find Access Logs in de lijst, typt het nummer dat aan de lijst is gekoppeld en druk op Enter.
Stap 5. Typ een naam voor nieuw logbestand.
Stap 6. Typ 1 om Squid te kiezen voor de logstijl voor dit abonnement en druk op Enter.
Stap 7. Geen HTTP-foutstatuscodes filteren. Druk op ENTER om naar de volgende stap te navigeren.
Stap 8. Kies FTP poll om de logbestanden in de SWA te houden. Typ 1 en druk op ENTER.
Opmerking: om de logbestanden te verplaatsen naar de FTP-server (File Transfer Protocol), naar de SCP-server (Secure Copy Protocol) of naar de Syslog-server. U kunt opties kiezen die op hen betrekking hebben.
Stap 9. Deze stap bestaat uit het definiëren van de mapnaam en bestandsnaam voor het nieuwe logbestand. Het is beter om hetzelfde te zijn als de lognaam, en druk op Enter.
Stap 10. Voer een waarde in tussen 102400 (100 Kilobytes) en 10737418240 (10 Gigabytes) voor de bestandsgrootte (in bytes) vóór de SWA-rol via het logbestand naar een nieuw bestand.
Opmerking: SWA archiveert (rolls over) logabonnementen wanneer een huidig logbestand een door de gebruiker opgegeven limiet van de maximale bestandsgrootte of de maximale tijd sinds de laatste rollover bereikt.
Stap 11. Het maximale aantal bestanden geeft het aantal logbestanden aan dat in het apparaat is opgeslagen. Als het totale aantal logbestanden deze waarde heeft bereikt, worden de oudere logbestanden uit SWA verwijderd. De standaardwaarde is 10 bestanden en u kunt het aantal logbestanden typen, vanwege de beschikbare schijfruimte en andere logbestanden configuratie, en druk vervolgens op Enter.
Stap 12. In deze stap kunt u ervoor kiezen de logbestanden te comprimeren of als tekstbestand te houden. Typ Y voor Ja en N voor Nee en druk op ENTER.
Opmerking: nadat de bestandsgrootte de maximale bestandsgrootte had bereikt, werd deze gecomprimeerd. De compressieverhouding is afhankelijk van het gedrag van het netwerkverkeer en kan variëren tussen logbestanden.
Stap 13. Druk op ENTER om de wizard voor logconfiguratie te verlaten.
Stap 14. Type commit om de wijzigingen op te slaan.
SWA_CLI> logconfig
...
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> NEW
Choose the log file type for this subscription:
1. AVC Engine Framework Logs
2. AVC Engine Logs
3. Access Control Engine Logs
4. Access Logs
....
58. Webroot Logs
59. Welcome Page Acknowledgement Logs
[1]> <=== type the number assosiated with Access Logs and press Enter
Please enter the name for the log:
[]> <=== Chose desiered name, in this example, TAC_access_logs
Choose the log style for this subscription:
1. Squid
2. Apache
3. Squid Details
[1]> <=== Press Enter to keep the default value
Enter the HTTP Error Status codes (comma separated list of 4xx and 5xx codes) you want to filter out from the logs:
[]> <=== Press Enter to keep the default value
Choose the method to retrieve the logs:
1. FTP Poll
2. FTP Push
3. SCP Push
4. Syslog Push
[1]> <=== Choose FTP poll to keep the logs in the SWA
Filename to use for log files:
[aclog]> <=== It is better to have teh same file name as the log, in this example, TAC_access_logs
Do you want to configure time-based log files rollover? [N]> <=== Enter the desiered answer
Please enter the maximum file size:
[104857600]> <=== Enter the desiered answer, or you can leave as default
Please enter the maximum number of files:
[100]> <=== Enter the desiered answer, it depends on free disk space and log file size
Should an alert be sent when files are removed due to the maximum number of files allowed? [N]> <=== Enter the desiered answer
Do you want to compress logs (yes/no)
[n]> <=== Enter the desiered answer
Currently configured logs:
1. "Splunk Logs" Type: "Access Logs" Retrieval: FTP Push - Host 10.0.0.1
2. "TAC_access_logs" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Poll
....
40. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
41. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP Poll
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> <=== Press Enter to exit the log configuration wizard
SWA_CLI> commit
Please enter some comments describing your changes:
[]> <=== Type the change description and press Enter
Stap 1. Log in op GUI.
Stap 2. Kies in het menu Systeembeheer de optie Logabonnementen.
Stap 3. Klik in de kolom Lognaam op Toegangslogs of op de naam van de nieuwe naam. In dit voorbeeld, TAC_access_logs.
Stap 4. In de sectie Aangepaste velden plakt u deze tekenreeks:
[ Request Details: ID = %I, User Agent = %u, AD Group Memberships = ( %m ) %g ] [ Tx Wait Times (in ms): 1st byte to server = %:<1, Request Header = %:
, Response Header = %:h>, Client Body = %:b> ] [ Rx Wait Times (in ms): 1st request byte = %:1<, Request Header = %:h<, Client Body = %:b<, 1st response byte = %:>1, Response header = %:>h, Server response = %:>b, Disk Cache = %:>c; Auth response = %:
a; DNS response = %:
d, WBRS response = %:
r, AVC response = %:A>, AVC total = %:A<, DCA response = %:C>, DCA total = %:C<, McAfee response = %:m>, McAfee total = %:m<, Sophos response = %:p>, Sophos total = %:p<, Webroot response = %:w>, Webroot total = %:w<, Anti-Spyware response = %:
s; AMP response = %:e>, AMP total = %:e<; Latency = %x; %L ] [Client Port = %F, Server IP = %k, Server Port = %p]
Stap 5. Verzend en voer wijzigingen uit.
Stap 1. Log in op CLI.
Stap 2. Typ staart en druk op ENTER.
Stap 3. Vind het nummer dat is gekoppeld aan de toegangslogboeken die de prestatieparameter hebben toegevoegd. Typ het nummer en druk op Enter.
U kunt zien dat er extra informatie wordt toegevoegd aan de Access Logs, zoals in deze steekproef.
1680893872.492 1131 172.18.122.156 TCP_MISS/200 379725 GET http://www.cisco.com/en/US/docs/security/wsa/wsa7.7/Release_Notes/WSA_7.7.0_FCS_Release_Notes.pdf - DIRECT/www.cisco.com application/pdf DEFAULT_CASE_12-authenticated_policy-DefaultGroup-DefaultGroup-NONE-NONE-DefaultGroup
- " [ Request Details: ID = 104, User Agent = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", AD Group Memberships = ( NONE ) -;] [Tx Wait Times: 1st byte to server = 0, Request Header = 0, Request to Server = 0, 1st byte to client = 290, Response Header = 0, Client Body = 788; Rx Wait Times: 1st request byte = 0, Request Header = 0, Client Body = 0, 1st response byte = 45, Response header = 2, Server response = 779, Disk Cache = 0; Auth response = 0, Auth total = 0; DNS response = 0, DNS total = 0, WBRS response = 0, WBRS total = 2, AVC response = 0, AVC total = 0, DCA response = 0, DCA total = 0, McAfee response = 0, McAfee total = 901, Sophos response = 0, Sophos total = 1028, Webroot response = 0, Webroot total = 0, Anti-Spyware response = 0, Anti-Spyware total = 2; AMP response = 1, AMP total = 1; Latency = 1939; "07/Apr/2023:20:58:55 +0000" ] [Client Port = 3543, Server IP = 10.10.10.10, Server Port = 443]
Tip: u kunt de staartopdracht beëindigen wanneer u de Control-toets ingedrukt houdt en op C drukt. Als dat de staartopdracht niet heeft verlaten, typt u q.
De waarden die worden gebruikt in de kaart van het veld voor aangepaste prestatieparameters worden aan deze informatie toegewezen:
Tip: Latentie = AMP totaal + anti-spyware totaal + Webroot totaal + Sophos totaal + McAfee totaal + AVC totaal + WBRS totaal + Auth totaal
Aangepaste veldnaam | Aangepast veld | Beschrijving |
Kop aanvragen |
%:<h | Wacht tot na de eerste byte de kop van de aanvraag naar de server wordt geschreven. |
Verzoek aan server |
%:<b | Wacht-tijd om aanvraagdossier aan server na kopbal te schrijven. |
1e byte naar client |
%:1> | Wacht tot de eerste byte naar de client is geschreven. |
Clientinstantie |
%:b> | Wacht-tijd voor volledige lichaam geschreven naar client. |
Rx Wait Times (in ms): 1ste aanvraag byte |
%:1< | De tijd die nodig is vanaf het moment dat de Web Proxy verbinding maakt met de server tot het moment dat deze eerst naar de server kan schrijven. Als de webproxy verbinding moet maken met meerdere servers om de transactie te voltooien, is het de som van die tijden. |
Kop aanvragen |
%:h< | Wacht tot de kop van de client is voltooid na de eerste byte. |
Clientinstantie |
%:b< | Wacht tot de client compleet is. |
1ste antwoordbyte |
%:>1 | Wacht tot de eerste reactiebyte van de server beschikbaar is. |
Respons header |
%>h | Wacht tot de serverheader na de eerste antwoordbyte klaar is. |
Serverrespons |
%:>b | Dit betekent in principe dat SWA HTTP headers van de server heeft gekregen, maar SWA wacht daarna op de response bytes en dat zou de eigenlijke inhoud van de server zijn. |
Disk Cache |
%>c | Tijd die de Web Proxy nodig heeft om een reactie van het schijfcachegeheugen te lezen. |
Autorisatiereactie |
%:<a | Wacht-tijd om het antwoord van het Web Proxy-verificatieproces te ontvangen, nadat de Web Proxy het verzoek heeft verzonden. |
Automatisch totaal |
%>a | Wacht-tijd om de reactie van het Web Proxy-verificatieproces te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden. |
DNS-respons |
%:<d | Tijd genomen door de Web Proxy om het Domain Name Verzoek (DNS) verzoek naar het Web Proxy DNS proces te verzenden. |
DNS totaal |
%>d | Tijd genomen door het Web Proxy DNS proces om een DNS resultaat naar de Web Proxy terug te sturen. |
WBRS-respons |
%:<r | Wacht-tijd om het antwoord van de filters van de Reputatie van het Web, nadat de Volmacht van het Web het verzoek verzond te ontvangen. |
WBRS totaal |
%>r | Wacht-tijd om het oordeel van de filters van de Reputatie van het Web te ontvangen, omvat de tijd die voor de Volmacht van het Web wordt vereist om het verzoek te verzenden. |
AVC-respons |
%:A> | Wacht-tijd om het antwoord te ontvangen van het Application Visibility and Control (AVC) proces, nadat de Web Proxy het verzoek heeft verzonden. |
AVC totaal |
%:A< | Wacht-tijd om de reactie van het AVC-proces te ontvangen, inclusief de tijd die de webproxy nodig heeft om het verzoek te verzenden. |
DCA-respons |
%:C> | Wacht-tijd om het antwoord van de Dynamic Content Analysis Engine te ontvangen, nadat de Web Proxy het verzoek heeft verzonden. |
DCA totaal |
%:C< | Wacht-tijd om het oordeel van de Dynamic Content Analysis engine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden. |
McAfee-antwoord |
%:m> | Wacht tot u het antwoord van de McAfee-scanengine ontvangt nadat de webproxy het verzoek heeft verzonden. |
McAfee total |
%:m< | Wacht-tijd om het vonnis van de McAfee-scanengine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden. |
Sophos-respons |
%:p> | Wacht-tijd om het antwoord van de Sophos scanning engine te ontvangen, nadat de Web Proxy het verzoek heeft verzonden. |
Sophos totaal |
%:p< | Wacht-tijd om het vonnis van de Sophos scanning engine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden. |
AMP-respons |
%:e> | Wacht-tijd om het antwoord van de AMP-engine te ontvangen, nadat de webproxy het verzoek heeft verzonden. |
Totaal AMP |
%:e< | Wacht-tijd om het vonnis van de AMP-engine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden. |
Latentie |
%x; %L | Latentie en lokale tijd aanvragen in door de mens leesbaar formaat: DD/MM/JJJJ : hh:mm:ss +nnnn. Dit veld is geschreven met dubbele aanhalingstekens in de toegangslogboeken. In dit veld kunt u logbestanden correleren met problemen zonder dat u de lokale tijd hoeft te berekenen vanaf de tijd voor elke loginvoer. |
Clientpoort |
%f | Poortnummer gebruikt vanaf de clientzijde. |
IP-adres voor servers |
%k | IP-adres van webserver. |
Serverpoortnummer |
%p | Poortnummer van de webserver. |
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
19-Oct-2023 |
Update-release |
1.0 |
16-May-2023 |
Eerste vrijgave |