تكوين معلمة الأداء في سجلات الوصول
المقدمة
يصف هذا المستند الخطوات اللازمة لإضافة حقل مخصص لمعلمة الأداء إلى سجل الوصول الخاص ب Secure Web Appliance (SWA).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- وصول بروتوكول طبقة الأمان (SSH) إلى واجهة إدارة SWA.
- وصول واجهة المستخدم الرسومية (GUI) إلى واجهة إدارة SWA.
تلميح: من الأفضل أن تكون لديك مساحة قرص حرة تزيد عن 20٪ على قسم بيانات SWA. يمكنك التحقق من إستخدام القرص من واجهة سطر الأوامر (CLI) في إخراج أمر تفاصيل الحالة.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
عندما تكون هناك مشكلة خاصة بزمن الوصول ويتم وكيل حركة المرور من خلال شبكة SWA، يمكن أن تكون سجلات الوصول مفيدة لاستكشاف أخطاء السبب الجذري لزمن الوصول وإصلاحها. يمكنك تغيير إعدادات سجلات الوصول الحالية أو إنشاء سجلات وصول جديدة بمعلمات أداء مضافة إلى حقل مخصص.
إنشاء سجل وصول إضافي
في بعض الحالات، لا يمكن إجراء تغيير في سجل الوصول الحالي بسبب السياسات الداخلية أو بعض عمليات التكوين الأخرى. وللتغلب على هذا التحديد، يمكنك إنشاء سجلات وصول أخرى وإضافة معلمة الأداء المخصصة في سجلات الوصول الجديدة.
إنشاء سجل وصول جديد من واجهة المستخدم الرسومية
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية.
الخطوة 2. من قائمة إدارة النظام أختر تسجيل الاشتراكات.
إختيار اشتراك السجل
الخطوة 3. أختر إضافة اشتراك سجل ...
أختر إضافة اشتراك سجل
الخطوة 4. من قسم نوع السجل أختر سجلات الوصول وانتظر الصفحة حتى يتم تحديثها.
أختر سجلات الوصول من نوع السجل
الخطوة 5. اكتب اسما لمقطع اسم السجل الجديد. في هذا المثال، TAC_ACCESS_LOG.
الخطوة 6. أدخل قيمة تتراوح بين 102400 (100 كيلوبايت) و 10737418240 (10 غيغابايت) لحجم الملف (في البايت) قبل أدوار SWA عبر السجل إلى ملف جديد. يجب أن يكون الرقم عددا صحيحا، ويمكنك إضافة M للإشارة إلى الحجم في ميغابايت، K للإشارة إلى حجم الملف بالكيلوبايت وG للغيغابايت.
ملاحظة: اشتراكات السجل في أرشيفات SWA (المرور فوقه) عندما يصل ملف السجل الحالي إلى حد أقصى يحدده المستخدم لحجم الملف، أو الحد الأقصى للوقت منذ آخر إعادة توجيه.
الخطوة 7. أختر سكويد لنمط التدوين.
الخطوة 8. اسم الملف هو تعريف اسم المجلد واسم ملف السجل لهذا السجل الجديد. ينصح بأن يكون هو نفسه اسم السجل، والذي كان في هذا المثال، TAC_ACCESS_LOG.
الخطوة 9. يمكنك إتاحة ضغط السجل لضغط ملف السجل، أو الحفاظ على السجلات كملف نصي.
الخطوة 10. إستثناء السجل هو تصفية كود الاستجابة لبروتوكول نقل النص التشعبي (HTTP). عدم تصفية أكواد حالة HTTP.
تعبئة الحقول الإلزامية
الخطوة 11. أختر إستطلاع FTP للاحتفاظ بالسجلات في SWA. اكتب 1 ثم اضغط على المفتاح Enter.
الخطوة 12. إرسال التغييرات وتنفيذها.
تكوين سجل الوصول الجديد من CLI
الخطوة 1. سجل الدخول إلى CLI.
الخطوة 2. قم بتشغيل logConfig.
الخطوة 3. لإنشاء سجل جديد، اكتب جديد ثم اضغط على مفتاح Enter.
الخطوة 4. ابحث عن "سجلات الوصول" في القائمة، واكتب الرقم المقترن بذلك واضغط على Enter.
الخطوة 5. اكتب اسما للسجل الجديد.
الخطوة 6. اكتب 1 لاختيار Squid لنمط السجل لهذا الاشتراك، واضغط على Enter.
الخطوة 7. لا تقم بتصفية رموز حالة خطأ HTTP. اضغط على Enter للتنقل إلى الخطوة التالية.
الخطوة 8. أختر إستطلاع FTP للاحتفاظ بالسجلات في SWA. اكتب 1 ثم اضغط على المفتاح Enter.
ملاحظة: من أجل دفع السجلات إلى خادم بروتوكول نقل الملفات (FTP) أو خادم بروتوكول النسخ الآمن (SCP) أو خادم syslog. يمكنك إختيار الخيارات المتعلقة بهم.
الخطوة 9. الغرض من هذه الخطوة هو تعريف اسم المجلد واسم الملف للسجل الجديد. من الأفضل أن تكون نفس اسم السجل، واضغط على مفتاح الإدخال.
الخطوة 10. أدخل قيمة تتراوح بين 102400 (100 كيلوبايت) و 10737418240 (10 غيغابايت) لحجم الملف (في البايت) قبل دور SWA عبر السجل إلى ملف جديد.
ملاحظة: اشتراكات السجل في أرشيفات SWA (المرور فوقه) عندما يصل ملف السجل الحالي إلى حد أقصى يحدده المستخدم لحجم الملف، أو الحد الأقصى للوقت منذ آخر إعادة توجيه.
الخطوة 11. يشير الحد الأقصى لعدد الملفات إلى عدد ملفات السجلات المخزنة في الجهاز. إذا وصل العدد الإجمالي لملفات السجل إلى هذه القيمة، فسيتم حذف السجلات الأقدم من SWA. القيمة الافتراضية هي 10 ملفات ويمكنك كتابة عدد السجلات، نظرا لمساحة القرص المتوفرة وتكوين السجلات الأخرى، ثم اضغط على مفتاح Enter.
الخطوة 12. في هذه الخطوة، يمكنك إختيار ضغط السجلات، أو الاحتفاظ بها كملف نصي. اكتب Y ل نعم وN ل NO واضغط Enter.
ملاحظة: بعد أن يصل حجم الملف إلى الحد الأقصى لحجم الملف، يتم الضغط عليه. تعتمد نسبة الضغط على سلوك حركة مرور الشبكة، ويمكن أن تختلف بين ملفات السجل.
الخطوة 13. اضغط على Enter للخروج من معالج تكوين السجل.
الخطوة 14. اكتب الالتزام لحفظ التغييرات.
SWA_CLI> logconfig
...
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> NEW
Choose the log file type for this subscription:
1. AVC Engine Framework Logs
2. AVC Engine Logs
3. Access Control Engine Logs
4. Access Logs
....
58. Webroot Logs
59. Welcome Page Acknowledgement Logs
[1]> <=== type the number assosiated with Access Logs and press Enter
Please enter the name for the log:
[]> <=== Chose desiered name, in this example, TAC_access_logs
Choose the log style for this subscription:
1. Squid
2. Apache
3. Squid Details
[1]> <=== Press Enter to keep the default value
Enter the HTTP Error Status codes (comma separated list of 4xx and 5xx codes) you want to filter out from the logs:
[]> <=== Press Enter to keep the default value
Choose the method to retrieve the logs:
1. FTP Poll
2. FTP Push
3. SCP Push
4. Syslog Push
[1]> <=== Choose FTP poll to keep the logs in the SWA
Filename to use for log files:
[aclog]> <=== It is better to have teh same file name as the log, in this example, TAC_access_logs
Do you want to configure time-based log files rollover? [N]> <=== Enter the desiered answer
Please enter the maximum file size:
[104857600]> <=== Enter the desiered answer, or you can leave as default
Please enter the maximum number of files:
[100]> <=== Enter the desiered answer, it depends on free disk space and log file size
Should an alert be sent when files are removed due to the maximum number of files allowed? [N]> <=== Enter the desiered answer
Do you want to compress logs (yes/no)
[n]> <=== Enter the desiered answer
Currently configured logs:
1. "Splunk Logs" Type: "Access Logs" Retrieval: FTP Push - Host 10.0.0.1
2. "TAC_access_logs" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Poll
....
40. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
41. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP Poll
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> <=== Press Enter to exit the log configuration wizard
SWA_CLI> commit
Please enter some comments describing your changes:
[]> <=== Type the change description and press Enter
إضافة حقول مخصصة لمعلمة الأداء إلى سجلات الوصول
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية.
الخطوة 2. من قائمة إدارة النظام، أختر تسجيل الاشتراكات.
الخطوة 3. من عمود اسم السجل، انقر فوق ملحقات، أو اسم المنشأة حديثا. في هذا المثال، TAC_ACCESS_LOG.
الخطوة 4. في قسم "الحقول المخصصة"، الصق هذه السلسلة:
[ Request Details: ID = %I, User Agent = %u, AD Group Memberships = ( %m ) %g ] [ Tx Wait Times (in ms): 1st byte to server = %:<1, Request Header = %:
, Response Header = %:h>, Client Body = %:b> ] [ Rx Wait Times (in ms): 1st request byte = %:1<, Request Header = %:h<, Client Body = %:b<, 1st response byte = %:>1, Response header = %:>h, Server response = %:>b, Disk Cache = %:>c; Auth response = %:
a; DNS response = %:
d, WBRS response = %:
r, AVC response = %:A>, AVC total = %:A<, DCA response = %:C>, DCA total = %:C<, McAfee response = %:m>, McAfee total = %:m<, Sophos response = %:p>, Sophos total = %:p<, Webroot response = %:w>, Webroot total = %:w<, Anti-Spyware response = %:
s; AMP response = %:e>, AMP total = %:e<; Latency = %x; %L ] [Client Port = %F, Server IP = %k, Server Port = %p]
الخطوة 5. إرسال التغييرات وتنفيذها.
التحقق من التغييرات
الخطوة 1. سجل الدخول إلى CLI.
الخطوة 2. اكتب tail واضغط enter.
الخطوة 3. العثور على الرقم المقترن بسجلات الوصول الذي أضاف معلمة الأداء. اكتب الرقم ثم اضغط على مفتاح Enter.
يمكنك ملاحظة إضافة معلومات إضافية إلى سجلات الوصول، كما هو الحال في هذه العينة.
1680893872.492 1131 172.18.122.156 TCP_MISS/200 379725 GET http://www.cisco.com/en/US/docs/security/wsa/wsa7.7/Release_Notes/WSA_7.7.0_FCS_Release_Notes.pdf - DIRECT/www.cisco.com application/pdf DEFAULT_CASE_12-authenticated_policy-DefaultGroup-DefaultGroup-NONE-NONE-DefaultGroup
- " [ Request Details: ID = 104, User Agent = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", AD Group Memberships = ( NONE ) -;] [Tx Wait Times: 1st byte to server = 0, Request Header = 0, Request to Server = 0, 1st byte to client = 290, Response Header = 0, Client Body = 788; Rx Wait Times: 1st request byte = 0, Request Header = 0, Client Body = 0, 1st response byte = 45, Response header = 2, Server response = 779, Disk Cache = 0; Auth response = 0, Auth total = 0; DNS response = 0, DNS total = 0, WBRS response = 0, WBRS total = 2, AVC response = 0, AVC total = 0, DCA response = 0, DCA total = 0, McAfee response = 0, McAfee total = 901, Sophos response = 0, Sophos total = 1028, Webroot response = 0, Webroot total = 0, Anti-Spyware response = 0, Anti-Spyware total = 2; AMP response = 1, AMP total = 1; Latency = 1939; "07/Apr/2023:20:58:55 +0000" ] [Client Port = 3543, Server IP = 10.10.10.10, Server Port = 443]
تلميح: يمكنك إنهاء الأمر tail عند الضغط على مفتاح التحكم والضغط على C. إذا لم يخرج ذلك من أمر الذيل، اكتب q.
وصف الحقول في الحقول المخصصة
القيم المستخدمة في تعيين حقل معلمات الأداء المخصصة لهذه المعلومات:
تلميح: زمن الوصول = إجمالي AMP + إجمالي مكافحة برامج التجسس + إجمالي Webroot + إجمالي Sophos + إجمالي McAfee + إجمالي AVC + إجمالي WBRS + إجمالي المصادقة
| اسم الحقل المخصص | حقل مخصص | الوصف |
| رأس الطلب |
٪:<h | وقت الانتظار لكتابة رأس الطلب إلى الخادم بعد البايت الأول. |
| طلب إلى الخادم |
٪:<b | وقت الانتظار لكتابة نص الطلب إلى الخادم بعد الرأس. |
| البايت الأول للعميل |
٪:1> | وقت الانتظار للبايت الأول الذي تمت كتابته إلى العميل. |
| نص العميل |
٪:b> | وقت الانتظار حتى تتم كتابة النص بالكامل إلى العميل. |
| أوقات انتظار Rx (بالمللي ثانية): بايت الطلب الأول |
٪:1< | الوقت المستغرق من اللحظة التي يبدأ فيها وكيل الويب في الاتصال بالخادم إلى الوقت الذي يكون فيه قادرا أولا على الكتابة إلى الخادم. إذا كان يجب على وكيل ويب الاتصال بالعديد من الخوادم لإكمال المعاملة، فهذا هو مجموع هذه الأوقات. |
| رأس الطلب |
٪:h< | وقت الانتظار لرأس العميل الكامل بعد البايت الأول. |
| نص العميل |
٪:b< | وقت الانتظار لإكمال نص العميل. |
| بايت الاستجابة الأولى |
٪:>1 | وقت الانتظار لأول بايت إستجابة من الخادم. |
| رأس الاستجابة |
٪:>h | وقت الانتظار لرأس الخادم بعد بايت الاستجابة الأولى. |
| إستجابة الخادم |
٪:>ب | هذا يعني بشكل أساسي أن SWA حصلت على رؤوس HTTP من الخادم، ولكن SWA تنتظر وحدات بايت الاستجابة بعد ذلك وأي المحتوى الفعلي من الخادم. |
| ذاكرة التخزين المؤقت للقرص |
٪:>ج | الوقت المطلوب لوكيل ويب لقراءة إستجابة من ذاكرة التخزين المؤقت للقرص. |
| إستجابة المصادقة |
٪:<a | وقت الانتظار لتلقي الاستجابة من عملية مصادقة وكيل الويب، بعد أن قام وكيل الويب بإرسال الطلب. |
| إجمالي المصادقة |
٪:>a | وقت الانتظار لتلقي الاستجابة من عملية مصادقة وكيل الويب، يتضمن الوقت المطلوب لوكيل الويب لإرسال الطلب. |
| إستجابة DNS |
٪:<d | الوقت المستغرق من قبل وكيل ويب لإرسال طلب اسم المجال (DNS) إلى عملية DNS الخاصة بوكيل الويب. |
| إجمالي DNS |
٪:>d | الوقت المستغرق من قبل عملية DNS الخاصة بوكيل الويب لإعادة نتيجة DNS إلى وكيل الويب. |
| إستجابة WBRS |
٪:<r | وقت الانتظار لتلقي الاستجابة من عوامل تصفية سمات الويب، بعد أن قام وكيل ويب بإرسال الطلب. |
| إجمالي WBRS |
٪:>r | وقت الانتظار لتلقي الحكم من "عوامل تصفية سمعة الويب"، يتضمن الوقت المطلوب ل "وكيل ويب" لإرسال الطلب. |
| إجابة AVC |
٪:a> | وقت الانتظار لتلقي الاستجابة من عملية رؤية التطبيقات والتحكم فيها (AVC)بعد أن قام وكيل الويب بإرسال الطلب. |
| إجمالي AVC |
٪:a< | وقت الانتظار لتلقي الاستجابة من عملية AVC، يتضمن الوقت المطلوب ل "وكيل ويب" لإرسال الطلب. |
| إستجابة DCA |
٪:C> | وقت الانتظار لتلقي الاستجابة من محرك تحليل المحتوى الديناميكي، بعد أن قام وكيل ويب بإرسال الطلب. |
| إجمالي DCA |
٪:C< | وقت الانتظار لتلقي الحكم من محرك تحليل المحتوى الديناميكي، يتضمن الوقت المطلوب ل "وكيل ويب" لإرسال الطلب. |
| إستجابة McAfee |
٪:m> | وقت الانتظار لتلقي الاستجابة من محرك المسح الضوئي McAfee، بعد أن قام وكيل الويب بإرسال الطلب. |
| إجمالي McAfee |
٪:m< | وقت الانتظار لتلقي الحكم من محرك المسح الضوئي McAfee، يتضمن الوقت المطلوب ل Web Proxy لإرسال الطلب. |
| رد سوفوس |
٪:p> | وقت الانتظار لتلقي الاستجابة من محرك المسح الضوئي Sophos، بعد أن قام وكيل الويب بإرسال الطلب. |
| مجموع سوفوس |
٪:p< | وقت الانتظار لتلقي الحكم من محرك المسح الضوئي Sophos، يتضمن الوقت المطلوب ل Web Proxy لإرسال الطلب. |
| إستجابة AMP |
٪:e> | وقت الانتظار لتلقي الاستجابة من محرك AMP، بعد أن قام وكيل الويب بإرسال الطلب. |
| إجمالي AMP |
٪:e< | وقت الانتظار لتلقي الحكم من محرك AMP، يتضمن الوقت المطلوب ل "وكيل ويب" لإرسال الطلب. |
| زمن الانتقال |
٪x؛ ٪l | زمن الوصول وطلب الوقت المحلي بالتنسيق الذي يمكن قراءته من قبل الإنسان: DD/MMM/YYYY: hh:mm:ss +nnnn. تمت كتابة هذا الحقل باستخدام علامات اقتباس مزدوجة في سجلات الوصول. يتيح لك هذا الحقل ربط السجلات بالمشكلات دون الحاجة إلى حساب الوقت المحلي من وقت الحدث لكل إدخال سجل. |
| منفذ العميل |
٪f | رقم المنفذ المستخدم من جانب العميل. |
| عنوان IP للخادم |
٪k | عنوان IP لخادم الويب. |
| رقم منفذ الخادم |
٪p | رقم منفذ خادم الويب. |
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
19-Oct-2023 |
تحديث الإصدار |
1.0 |
16-May-2023 |
الإصدار الأولي |
التعليقات