Cisco Cisco Web Security Appliance S360 User Guide
A-10
思科网络安全设备 AsyncOS 8.8 用户指南
附录 A 故障排除
日志记录问题
自定义 URL 类别不显示在访问日志条目中
当 Web 访问策略组具有设置为“监控”(Monitor) 的自定义 URL 类别和一些其他组件(例如
Web 信誉过滤器或 DVS 引擎)时,做出最终决定以允许或阻止自定义 URL 类别中某 URL 的
请求,然后请求的访问日志条目显示预定义的 URL 类别,而不是自定义 URL 类别。
Web 信誉过滤器或 DVS 引擎)时,做出最终决定以允许或阻止自定义 URL 类别中某 URL 的
请求,然后请求的访问日志条目显示预定义的 URL 类别,而不是自定义 URL 类别。
记录 HTTPS 事务
访问日志中的 HTTPS 事务看起来与 HTTP 事务类似,但有些特征略有不同。记录的内容取决
于事务是显式发送到 HTTPS 代理还是以透明方式重定向到 HTTPS 代理:
于事务是显式发送到 HTTPS 代理还是以透明方式重定向到 HTTPS 代理:
•
TUNNEL。当 HTTPS 请求以透明方式重定向到 HTTPS 代理时,此内容会写入访问日志。
•
CONNECT。当 HTTPS 请求显式发送到 HTTPS 代理时,此内容会写入访问日志。
当 HTTPS 流量解密时,访问日志包含事务的两个条目。
•
TUNNEL 还是 CONNECT 取决于处理的请求类型。
•
HTTP 方法和解密的 URL。例如,“GET https://ftp.example.com”。
仅在 HTTPS 代理解密流量的情况下,完整的 URL 才可见。
警报:无法保持生成数据的速率
当内部日志记录进程因缓冲区已满而丢弃 Web 事务事件时,AsyncOS for Web 会向配置的警报
收件人发送一封重要邮件。
收件人发送一封重要邮件。
默认情况下,Web 代理负载很高时,内部日志记录进程会缓冲事件,以在稍后 Web 代理负载降
低时再进行记录。如果日志记录缓冲区已完全填满, Web 代理会继续处理流量,但日志记录进
程不会在访问日志或 Web 跟踪报告中记录某些事件。Web 流量出现高峰时,很可能会发生这种
情况。
低时再进行记录。如果日志记录缓冲区已完全填满, Web 代理会继续处理流量,但日志记录进
程不会在访问日志或 Web 跟踪报告中记录某些事件。Web 流量出现高峰时,很可能会发生这种
情况。
但是,如果设备持续一段时间过载,也会发生日志记录缓冲区已满的情况。AsyncOS for Web 会
继续每隔几分钟发送重要邮件,直到日志记录进程不再丢弃数据。
继续每隔几分钟发送重要邮件,直到日志记录进程不再丢弃数据。
该重要邮件包含以下文本:
Reporting Client: The reporting system is unable to maintain the rate of data being
generated.Any new data generated will be lost.
如果 AsyncOS for Web 持续或者频繁地发送此重要邮件,设备可能过载。联系思科客户支持,
确认是否需要额外的网络安全设备容量。
确认是否需要额外的网络安全设备容量。
将第三方日志分析器工具与 W3C 访问日志结合使用的问题
如果要将第三方日志分析器工具用于读取和解析 W3C 访问日志,则可能需要包括 “时间戳”
(timestamp) 字段。“时间戳 W3C”(timestamp W3C) 字段显示的是 UNIX 时间戳,大多数日
志分析器只能识别此格式的时间。
(timestamp) 字段。“时间戳 W3C”(timestamp W3C) 字段显示的是 UNIX 时间戳,大多数日
志分析器只能识别此格式的时间。