Prestatieparameter configureren in toegangslogbestanden

Inleiding

Dit document beschrijft de stappen om een aangepast veld voor de prestatieparameter toe te voegen aan het access log van Secure Web Applicatie (SWA).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Secure Shell-protocol (SSH) toegang tot SWA-beheerinterface.
• GUI-toegang (Graphical User Interface) tot de SWA-beheerinterface.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie 

Wanneer er een latentiekwestie is en het verkeer door een SWA wordt benaderd, kunnen de Toegangslogboeken nuttig zijn om de worteloorzaak van latentie problemen op te lossen. U kunt de huidige instellingen voor toegangslogbestanden wijzigen of nieuwe toegangslogbestanden maken waarbij prestatieparameters worden toegevoegd aan Aangepast veld.

Extra toegangslogboek maken

In bepaalde omstandigheden is het niet mogelijk het huidige toegangslogboek te wijzigen vanwege intern beleid of een andere configuratie. Om deze beperking te overwinnen, kunt u een andere Access Logs maken en de aangepaste Performance parameter toevoegen in de nieuwe Access Logs.

Nieuw toegangslogboek maken vanuit GUI

Stap 1. Log in op GUI.

Stap 2. Kies in het menu Systeembeheer Logabonnementen.

Logabonnement kiezen

Stap 3. Kies Add Log Subscription ...

Kies een abonnement op Add Log

Stap 4. Kies in het gedeelte Type logbestand de optie Toegangslogbestanden en wacht tot de pagina is ververst.

Toegangslogboeken kiezen van logtype

Stap 5. Typ een naam voor het gedeelte nieuwe lognaam. In dit voorbeeld, TAC_access_logs.

Stap 6. Voer een waarde in tussen 102400 (100 Kilobytes) en 10737418240 (10 Gigabytes) voor de bestandsgrootte (in bytes) voordat SWA-rollen via het logbestand naar een nieuw bestand worden uitgevoerd. Het getal moet een geheel getal zijn en je kunt M toevoegen om de grootte in Megabyte aan te geven, K om de bestandsgrootte in kilobyte aan te geven en G voor gigabyte.

Stap 7. Kies een pijlinktvis voor de logstijl.

Stap 8. Bestandsnaam is om de mapnaam en de naam van het logbestand voor dit nieuwe logbestand te definiëren. Het is aan te raden hetzelfde te zijn als de lognaam, die in dit voorbeeld TAC_access_logs was.

Stap 9. U kunt logboekcompressie inschakelen om het logbestand te comprimeren of de logbestanden als een tekstbestand te houden.

Stap 10. Log Exclusion is om te filteren op HTTP-responscode (Hypertext Transfer Protocol). Filtreer geen HTTP-statuscodes.

De verplichte velden invullen

Stap 11. Kies FTP poll om de logs in de SWA te houden. Typ 1 en druk op ENTER.

Stap 12. Verzend en voer wijzigingen uit.

Nieuw toegangslogboek configureren vanuit CLI

Stap 1. Log in op CLI.

Stap 2. Start logconfiguratie.

Stap 3. Als u een nieuw logbestand wilt maken, typt u Nieuw en drukt u op ENTER.

Stap 4. Find Access Logs in de lijst, typt het nummer dat aan de lijst is gekoppeld en druk op Enter.

Stap 5. Typ een naam voor nieuw logbestand.

Stap 6. Typ 1 om Squid te kiezen voor de logstijl voor dit abonnement en druk op Enter.

Stap 7. Geen HTTP-foutstatuscodes filteren. Druk op ENTER om naar de volgende stap te navigeren.

Stap 8. Kies FTP poll om de logbestanden in de SWA te houden. Typ 1 en druk op ENTER.

Stap 9. Deze stap bestaat uit het definiëren van de mapnaam en bestandsnaam voor het nieuwe logbestand. Het is beter om hetzelfde te zijn als de lognaam, en druk op Enter. 

Stap 10. Voer een waarde in tussen 102400 (100 Kilobytes) en 10737418240 (10 Gigabytes) voor de bestandsgrootte (in bytes) vóór de SWA-rol via het logbestand naar een nieuw bestand.

Stap 11. Het maximale aantal bestanden geeft het aantal logbestanden aan dat in het apparaat is opgeslagen. Als het totale aantal logbestanden deze waarde heeft bereikt, worden de oudere logbestanden uit SWA verwijderd. De standaardwaarde is 10 bestanden en u kunt het aantal logbestanden typen, vanwege de beschikbare schijfruimte en andere logbestanden configuratie, en druk vervolgens op Enter.

Stap 12. In deze stap kunt u ervoor kiezen de logbestanden te comprimeren of als tekstbestand te houden. Typ Y voor Ja en N voor Nee en druk op ENTER. 

Stap 13. Druk op ENTER om de wizard voor logconfiguratie te verlaten.

Stap 14. Type commit om de wijzigingen op te slaan. 

SWA_CLI> logconfig
...
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> NEW

Choose the log file type for this subscription:
1. AVC Engine Framework Logs
2. AVC Engine Logs
3. Access Control Engine Logs
4. Access Logs
....
58. Webroot Logs
59. Welcome Page Acknowledgement Logs
[1]> <=== type the number assosiated with Access Logs and press Enter

Please enter the name for the log:
[]> <=== Chose desiered name, in this example, TAC_access_logs

Choose the log style for this subscription:
1. Squid
2. Apache
3. Squid Details
[1]> <=== Press Enter to keep the default value

Enter the HTTP Error Status codes (comma separated list of 4xx and 5xx codes) you want to filter out from the logs:
[]> <=== Press Enter to keep the default value

Choose the method to retrieve the logs:
1. FTP Poll
2. FTP Push
3. SCP Push
4. Syslog Push
[1]> <=== Choose FTP poll to keep the logs in the SWA

Filename to use for log files:
[aclog]> <=== It is better to have teh same file name as the log, in this example, TAC_access_logs 

Do you want to configure time-based log files rollover? [N]> <=== Enter the desiered answer

Please enter the maximum file size:
[104857600]> <=== Enter the desiered answer, or you can leave as default

Please enter the maximum number of files:
[100]> <=== Enter the desiered answer, it depends on free disk space and log file size

Should an alert be sent when files are removed due to the maximum number of files allowed? [N]> <=== Enter the desiered answer

Do you want to compress logs (yes/no)
[n]> <=== Enter the desiered answer

Currently configured logs:
1. "Splunk Logs" Type: "Access Logs" Retrieval: FTP Push - Host 10.0.0.1
2. "TAC_access_logs" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Poll
....
40. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
41. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP Poll

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> <=== Press Enter to exit the log configuration wizard

SWA_CLI> commit
Please enter some comments describing your changes:
[]> <=== Type the change description and press Enter 

Aangepaste velden voor prestatieparameter toevoegen aan toegangslogboeken

Stap 1. Log in op GUI.

Stap 2. Kies in het menu Systeembeheer de optie Logabonnementen.

Stap 3. Klik in de kolom Lognaam op Toegangslogs of op de naam van de nieuwe naam. In dit voorbeeld, TAC_access_logs.

Stap 4. In de sectie Aangepaste velden plakt u deze tekenreeks:

[ Request Details: ID = %I, User Agent = %u, AD Group Memberships = ( %m ) %g ] [ Tx Wait Times (in ms): 1st byte to server = %:<1, Request Header = %:
    
    
      , Response Header = %:h>, Client Body = %:b> ] [ Rx Wait Times (in ms): 1st request byte = %:1<, Request Header = %:h<, Client Body = %:b<, 1st response byte = %:>1, Response header = %:>h, Server response = %:>b, Disk Cache = %:>c; Auth response = %: 
     
       a; DNS response = %: 
      
        d, WBRS response = %: 
       
         r, AVC response = %:A>, AVC total = %:A<, DCA response = %:C>, DCA total = %:C<, McAfee response = %:m>, McAfee total = %:m<, Sophos response = %:p>, Sophos total = %:p<, Webroot response = %:w>, Webroot total = %:w<, Anti-Spyware response = %: 
        
          s; AMP response = %:e>, AMP total = %:e<; Latency = %x; %L ] [Client Port = %F, Server IP = %k, Server Port = %p] 
         
        
       
      
    

Stap 5. Verzend en voer wijzigingen uit. 

Controleer de wijzigingen

Stap 1. Log in op CLI.

Stap 2. Typ staart en druk op ENTER.

Stap 3. Vind het nummer dat is gekoppeld aan de toegangslogboeken die de prestatieparameter hebben toegevoegd. Typ het nummer en druk op Enter.

U kunt zien dat er extra informatie wordt toegevoegd aan de Access Logs, zoals in deze steekproef.

1680893872.492 1131 172.18.122.156 TCP_MISS/200 379725 GET http://www.cisco.com/en/US/docs/security/wsa/wsa7.7/Release_Notes/WSA_7.7.0_FCS_Release_Notes.pdf - DIRECT/www.cisco.com application/pdf DEFAULT_CASE_12-authenticated_policy-DefaultGroup-DefaultGroup-NONE-NONE-DefaultGroup 
    
    
      - " [ Request Details: ID = 104, User Agent = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", AD Group Memberships = ( NONE ) -;] [Tx Wait Times: 1st byte to server = 0, Request Header = 0, Request to Server = 0, 1st byte to client = 290, Response Header = 0, Client Body = 788; Rx Wait Times: 1st request byte = 0, Request Header = 0, Client Body = 0, 1st response byte = 45, Response header = 2, Server response = 779, Disk Cache = 0; Auth response = 0, Auth total = 0; DNS response = 0, DNS total = 0, WBRS response = 0, WBRS total = 2, AVC response = 0, AVC total = 0, DCA response = 0, DCA total = 0, McAfee response = 0, McAfee total = 901, Sophos response = 0, Sophos total = 1028, Webroot response = 0, Webroot total = 0, Anti-Spyware response = 0, Anti-Spyware total = 2; AMP response = 1, AMP total = 1; Latency = 1939; "07/Apr/2023:20:58:55 +0000" ] [Client Port = 3543, Server IP = 10.10.10.10, Server Port = 443] 
    

Beschrijving van velden in aangepaste velden

De waarden die worden gebruikt in de kaart van het veld voor aangepaste prestatieparameters worden aan deze informatie toegewezen:

Aangepaste veldnaam	Aangepast veld	Beschrijving
Kop aanvragen	%:<h	Wacht tot na de eerste byte de kop van de aanvraag naar de server wordt geschreven.
Verzoek aan server	%:<b	Wacht-tijd om aanvraagdossier aan server na kopbal te schrijven.
1e byte naar client	%:1>	Wacht tot de eerste byte naar de client is geschreven.
Clientinstantie	%:b>	Wacht-tijd voor volledige lichaam geschreven naar client.
Rx Wait Times (in ms): 1ste aanvraag byte	%:1<	De tijd die nodig is vanaf het moment dat de Web Proxy verbinding maakt met de server tot het moment dat deze eerst naar de server kan schrijven. Als de webproxy verbinding moet maken met meerdere servers om de transactie te voltooien, is het de som van die tijden.
Kop aanvragen	%:h<	Wacht tot de kop van de client is voltooid na de eerste byte.
Clientinstantie	%:b<	Wacht tot de client compleet is.
1ste antwoordbyte	%:>1	Wacht tot de eerste reactiebyte van de server beschikbaar is.
Respons header	%>h	Wacht tot de serverheader na de eerste antwoordbyte klaar is.
Serverrespons	%:>b	Dit betekent in principe dat SWA HTTP headers van de server heeft gekregen, maar SWA wacht daarna op de response bytes en dat zou de eigenlijke inhoud van de server zijn.
Disk Cache	%>c	Tijd die de Web Proxy nodig heeft om een reactie van het schijfcachegeheugen te lezen.
Autorisatiereactie	%:<a	Wacht-tijd om het antwoord van het Web Proxy-verificatieproces te ontvangen, nadat de Web Proxy het verzoek heeft verzonden.
Automatisch totaal	%>a	Wacht-tijd om de reactie van het Web Proxy-verificatieproces te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden.
DNS-respons	%:<d	Tijd genomen door de Web Proxy om het Domain Name Verzoek (DNS) verzoek naar het Web Proxy DNS proces te verzenden.
DNS totaal	%>d	Tijd genomen door het Web Proxy DNS proces om een DNS resultaat naar de Web Proxy terug te sturen.
WBRS-respons	%:<r	Wacht-tijd om het antwoord van de filters van de Reputatie van het Web, nadat de Volmacht van het Web het verzoek verzond te ontvangen.
WBRS totaal	%>r	Wacht-tijd om het oordeel van de filters van de Reputatie van het Web te ontvangen, omvat de tijd die voor de Volmacht van het Web wordt vereist om het verzoek te verzenden.
AVC-respons	%:A>	Wacht-tijd om het antwoord te ontvangen van het Application Visibility and Control (AVC) proces, nadat de Web Proxy het verzoek heeft verzonden.
AVC totaal	%:A<	Wacht-tijd om de reactie van het AVC-proces te ontvangen, inclusief de tijd die de webproxy nodig heeft om het verzoek te verzenden.
DCA-respons	%:C>	Wacht-tijd om het antwoord van de Dynamic Content Analysis Engine te ontvangen, nadat de Web Proxy het verzoek heeft verzonden.
DCA totaal	%:C<	Wacht-tijd om het oordeel van de Dynamic Content Analysis engine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden.
McAfee-antwoord	%:m>	Wacht tot u het antwoord van de McAfee-scanengine ontvangt nadat de webproxy het verzoek heeft verzonden.
McAfee total	%:m<	Wacht-tijd om het vonnis van de McAfee-scanengine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden.
Sophos-respons	%:p>	Wacht-tijd om het antwoord van de Sophos scanning engine te ontvangen, nadat de Web Proxy het verzoek heeft verzonden.
Sophos totaal	%:p<	Wacht-tijd om het vonnis van de Sophos scanning engine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden.
AMP-respons	%:e>	Wacht-tijd om het antwoord van de AMP-engine te ontvangen, nadat de webproxy het verzoek heeft verzonden.
Totaal AMP	%:e<	Wacht-tijd om het vonnis van de AMP-engine te ontvangen, inclusief de tijd die de Web Proxy nodig heeft om het verzoek te verzenden.
Latentie	%x; %L	Latentie en lokale tijd aanvragen in door de mens leesbaar formaat: DD/MM/JJJJ : hh:mm:ss +nnnn. Dit veld is geschreven met dubbele aanhalingstekens in de toegangslogboeken. In dit veld kunt u logbestanden correleren met problemen zonder dat u de lokale tijd hoeft te berekenen vanaf de tijd voor elke loginvoer.
Clientpoort	%f	Poortnummer gebruikt vanaf de clientzijde.
IP-adres voor servers	%k	IP-adres van webserver.
Serverpoortnummer	%p	Poortnummer van de webserver.

Gerelateerde informatie

• Gebruikershandleiding voor AsyncOS 14.5 voor Cisco Secure Web Applicatie - GD (Algemene implementatie) - Cisco
• Richtlijnen voor beste praktijken van Cisco Web Security Applicatie - Cisco