アクセスログのパフォーマンスパラメータの設定

はじめに

このドキュメントでは、Performance parameter（PA；パフォーマンスパラメータ）のカスタムフィールドをSecure Web Appliance(SWA)のアクセスログに追加する手順について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• SWA管理インターフェイスへのSecure Shell Protocol(SSH)アクセス
• SWA管理インターフェイスへのグラフィカルユーザインターフェイス(GUI)アクセス。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明 

遅延の問題が発生し、トラフィックがSWA経由でプロキシされる場合、アクセスログは遅延の根本原因のトラブルシューティングに役立ちます。現在のアクセスログの設定を変更したり、カスタムフィールドにパフォーマンスパラメータを追加して新しいアクセスログを作成したりできます。

追加のアクセスログの作成

状況によっては、内部ポリシーまたはその他の設定が原因で、現在のアクセスログを変更できない場合があります。この制限を克服するには、別のアクセスログを作成し、新しいアクセスログにカスタムパフォーマンスパラメータを追加します。

GUIからの新しいアクセスログの作成

ステップ 1：GUIにログインします。

ステップ 2：System Administrationメニューから、Log Subscriptionsを選択します。

ログサブスクリプションの選択

ステップ 3：Add Log Subscription ...を選択します。

Add Log Subscriptionの選択

ステップ 4：Log TypeセクションからAccess Logsを選択し、ページが更新されるまで待ちます。

ログの種類からアクセスログを選択する

ステップ 5：Log Nameセクションに新しいログの名前を入力します。この例では、TAC_access_logsです。

手順 6： SWAが新しいファイルへのログでロールを実行する前に、ファイルサイズの値を102400(100 KB)から10737418240(10 GB)の間で入力します（バイト単位）。数値は整数である必要があります。Mを追加するとサイズ（メガバイト）を表し、Kを追加するとファイルサイズ（キロバイト）を表し、Gを追加するとギガバイトを表します。

手順 7：ログスタイルとしてSquidを選択します。

ステップ 8：[ファイル名]は、この新しいログのフォルダ名とログファイル名を定義します。ログ名と同じ名前（この例ではTAC_access_logs）にすることをお勧めします。

ステップ 9：ログの圧縮を有効にしてログファイルを圧縮することも、ログをテキストファイルとして保存することもできます。

ステップ 10：ログの除外は、ハイパーテキスト転送プロトコル(HTTP)応答コードをフィルタリングすることです。HTTPステータスコードをフィルタリングしないでください。

必須フィールドに入力する

ステップ 11FTP pollを選択して、SWAにログを保持します。1と入力してEnterキーを押します。

ステップ 12変更を送信し、保存します。

CLIからの新しいアクセスログの設定

ステップ 1：CLIにログインします。

ステップ 2：logconfigを実行します。

ステップ 3：新しいログを作成するには、Newと入力してEnterキーを押します。

ステップ 4：リストでアクセスログを検索し、それに関連する番号を入力してEnterキーを押します。

ステップ 5：新しいログの名前を入力します。

手順 6：1を入力して、このサブスクリプションのログスタイルとしてSquidを選択し、Enterキーを押します。

手順 7：HTTPエラーステータスコードをフィルタリングしないでください。 Enterキーを押して次の手順に進みます。

ステップ 8：FTP pollを選択して、ログをSWAに保持します。1と入力してEnterキーを押します。

ステップ 9：この手順では、新しいログのフォルダ名とファイル名を定義します。ログ名と同じ名前にして、Enterキーを押すとよいでしょう。 

ステップ 10：新しいファイルへのログでSWAロールを使用する前に、ファイルサイズの値を102400(100 KB)から10737418240(10 GB)の間でバイト単位で入力します。

ステップ 11Maximum number of filesは、デバイスに保存されているログファイルの数を示します。ログファイルの総数がこの値に達すると、古いログはSWAから削除されます。デフォルト値は10ファイルで、使用可能なディスク領域とその他のログ設定により、ログの数を入力してからEnterキーを押すことができます。

ステップ 12この手順では、ログを圧縮するか、テキストファイルとして保存するかを選択できます。Yesの場合はY、Noの場合はNと入力し、Enterキーを押します。 

ステップ 13 Enterキーを押して、ログ設定ウィザードを終了します。

ステップ 14：commitと入力して、変更を保存します。 

SWA_CLI> logconfig
...
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> NEW

Choose the log file type for this subscription:
1. AVC Engine Framework Logs
2. AVC Engine Logs
3. Access Control Engine Logs
4. Access Logs
....
58. Webroot Logs
59. Welcome Page Acknowledgement Logs
[1]> <=== type the number assosiated with Access Logs and press Enter

Please enter the name for the log:
[]> <=== Chose desiered name, in this example, TAC_access_logs

Choose the log style for this subscription:
1. Squid
2. Apache
3. Squid Details
[1]> <=== Press Enter to keep the default value

Enter the HTTP Error Status codes (comma separated list of 4xx and 5xx codes) you want to filter out from the logs:
[]> <=== Press Enter to keep the default value

Choose the method to retrieve the logs:
1. FTP Poll
2. FTP Push
3. SCP Push
4. Syslog Push
[1]> <=== Choose FTP poll to keep the logs in the SWA

Filename to use for log files:
[aclog]> <=== It is better to have teh same file name as the log, in this example, TAC_access_logs 

Do you want to configure time-based log files rollover? [N]> <=== Enter the desiered answer

Please enter the maximum file size:
[104857600]> <=== Enter the desiered answer, or you can leave as default

Please enter the maximum number of files:
[100]> <=== Enter the desiered answer, it depends on free disk space and log file size

Should an alert be sent when files are removed due to the maximum number of files allowed? [N]> <=== Enter the desiered answer

Do you want to compress logs (yes/no)
[n]> <=== Enter the desiered answer

Currently configured logs:
1. "Splunk Logs" Type: "Access Logs" Retrieval: FTP Push - Host 10.0.0.1
2. "TAC_access_logs" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Poll
....
40. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
41. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP Poll

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> <=== Press Enter to exit the log configuration wizard

SWA_CLI> commit
Please enter some comments describing your changes:
[]> <=== Type the change description and press Enter 

ログにアクセスするためのパフォーマンスパラメータのカスタムフィールドの追加

ステップ 1：GUIにログインします。

ステップ 2：System Administrationメニューから、Log Subscriptionsを選択します。

ステップ 3：Log Name列から、accesslogsをクリックするか、または新しく作成したログの名前をクリックします。この例では、TAC_access_logsです。

ステップ 4：[ユーザー設定フィールド]セクションに、次の文字列を貼り付けます。

[ Request Details: ID = %I, User Agent = %u, AD Group Memberships = ( %m ) %g ] [ Tx Wait Times (in ms): 1st byte to server = %:<1, Request Header = %:
    
    
      , Response Header = %:h>, Client Body = %:b> ] [ Rx Wait Times (in ms): 1st request byte = %:1<, Request Header = %:h<, Client Body = %:b<, 1st response byte = %:>1, Response header = %:>h, Server response = %:>b, Disk Cache = %:>c; Auth response = %: 
     
       a; DNS response = %: 
      
        d, WBRS response = %: 
       
         r, AVC response = %:A>, AVC total = %:A<, DCA response = %:C>, DCA total = %:C<, McAfee response = %:m>, McAfee total = %:m<, Sophos response = %:p>, Sophos total = %:p<, Webroot response = %:w>, Webroot total = %:w<, Anti-Spyware response = %: 
        
          s; AMP response = %:e>, AMP total = %:e<; Latency = %x; %L ] [Client Port = %F, Server IP = %k, Server Port = %p] 
         
        
       
      
    

ステップ 5：変更を送信し、保存します。 

変更の確認

ステップ 1：CLIにログインします。

ステップ 2：tailと入力してEnterキーを押す。

ステップ 3： パフォーマンスパラメータを追加したアクセスログに関連付けられている番号を検索します。番号を入力して、Enterキーを押します。

この例と同様に、アクセスログに追加情報が追加されていることがわかります。

1680893872.492 1131 172.18.122.156 TCP_MISS/200 379725 GET http://www.cisco.com/en/US/docs/security/wsa/wsa7.7/Release_Notes/WSA_7.7.0_FCS_Release_Notes.pdf - DIRECT/www.cisco.com application/pdf DEFAULT_CASE_12-authenticated_policy-DefaultGroup-DefaultGroup-NONE-NONE-DefaultGroup 
    
    
      - " [ Request Details: ID = 104, User Agent = "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", AD Group Memberships = ( NONE ) -;] [Tx Wait Times: 1st byte to server = 0, Request Header = 0, Request to Server = 0, 1st byte to client = 290, Response Header = 0, Client Body = 788; Rx Wait Times: 1st request byte = 0, Request Header = 0, Client Body = 0, 1st response byte = 45, Response header = 2, Server response = 779, Disk Cache = 0; Auth response = 0, Auth total = 0; DNS response = 0, DNS total = 0, WBRS response = 0, WBRS total = 2, AVC response = 0, AVC total = 0, DCA response = 0, DCA total = 0, McAfee response = 0, McAfee total = 901, Sophos response = 0, Sophos total = 1028, Webroot response = 0, Webroot total = 0, Anti-Spyware response = 0, Anti-Spyware total = 2; AMP response = 1, AMP total = 1; Latency = 1939; "07/Apr/2023:20:58:55 +0000" ] [Client Port = 3543, Server IP = 10.10.10.10, Server Port = 443] 
    

カスタムフィールドのフィールドの説明

カスタムパフォーマンスパラメータフィールドで使用される値は、次の情報にマッピングされます。

カスタムフィールド名	カスタムフィールド	説明
要求ヘッダー	%:<h	最初のバイトの後に要求ヘッダーをサーバに書き込むための待機時間。
サーバへの要求	%:<b	ヘッダーの後に要求本文をサーバーに書き込むための待機時間です。
クライアントへの最初のバイト	%:1>	クライアントに書き込まれる最初のバイトの待機時間。
クライアント本体	%:b>	完全な本文がクライアントに書き込まれるまでの待機時間。
Rx待機時間（ミリ秒）：最初の要求バイト	%:1<	Webプロキシがサーバへの接続を開始してから、最初にサーバへの書き込みが可能になるまでにかかる時間。Webプロキシがトランザクションを完了するために複数のサーバに接続する必要がある場合は、その回数の合計になります。
要求ヘッダー	%:h<	最初のバイトの後に完全なクライアントヘッダーを待機する時間。
クライアント本体	%:b<	完全なクライアント本体の待機時間です。
最初の応答バイト	%:>1	サーバからの最初の応答バイトの待機時間。
応答ヘッダー	%:>h	最初の応答バイトの後のサーバヘッダーの待機時間。
サーバ応答	%:>b	これは基本的に、SWAがサーバからHTTPヘッダーを取得したが、SWAはその後の応答バイトを待ち、それがサーバからの実際のコンテンツになることを意味します。
ディスクキャッシュ	%:>c	Webプロキシがディスクキャッシュから応答を読み取るのに必要な時間。
認証応答	%:<a	Webプロキシが要求を送信した後、Webプロキシ認証プロセスから応答を受信するまでの待機時間。
認証合計	%:>a	Webプロキシ認証プロセスから応答を受信するまでの待機時間。Webプロキシが要求を送信するために必要な時間が含まれます。
DNS応答	%:<d	Webプロキシがドメイン名要求(DNS)要求をWebプロキシDNSプロセスに送信するのにかかった時間。
DNS合計	%:>d	WebプロキシDNSプロセスがDNS結果をWebプロキシに返すのに要した時間。
WBRS応答	%:<r	Webプロキシが要求を送信した後、Webレピュテーションフィルタから応答を受信するまでの待機時間。
WBRS合計	%:>r	Webレピュテーションフィルタから判定を受け取るまでの待機時間には、Webプロキシが要求を送信するために必要な時間が含まれます。
AVC応答	%:A>	Webプロキシが要求を送信した後、Application Visibility and Control(AVC)プロセスから応答を受信するまでの待機時間。
AVC合計	%:A<	AVCプロセスから応答を受信するまでの待機時間。Webプロキシが要求を送信するために必要な時間が含まれます。
DCA応答	%:C>	Webプロキシが要求を送信した後、動的コンテンツ分析エンジンから応答を受信するまでの待機時間。
DCA合計	%:C<	動的コンテンツ分析エンジンから判定を受け取るまでの待機時間。Webプロキシが要求を送信するために必要な時間が含まれます。
McAfee応答	%:m>	Webプロキシが要求を送信した後、McAfeeスキャンエンジンから応答を受信するまでの待機時間。
McAfee合計	%:m<	McAfeeスキャンエンジンから判定を受け取るまでの待機時間。Webプロキシが要求を送信するために必要な時間が含まれます。
Sophos応答	%:p>	Webプロキシが要求を送信した後、Sophosスキャンエンジンから応答を受信するまでの待機時間。
Sophos合計	%:p<	Sophosスキャンエンジンから判定を受け取るまでの待機時間。Webプロキシが要求を送信するために必要な時間が含まれます。
AMP応答	%:e>	Webプロキシが要求を送信した後、AMPエンジンから応答を受信するまでの待機時間。
AMP合計	%:e<	AMPエンジンから判定を受け取るまでの待機時間。Webプロキシが要求を送信するために必要な時間が含まれます。
遅延	%x; %L	遅延とリクエストの現地時間(YYYY:hh:mm:ss +nnnn、DD/MMM/YYYY)を人間が読み取り可能な形式で表示)。このフィールドは、アクセスログに二重引用符で囲まれて書き込まれます。 このフィールドを使用すると、各ログエントリのエポック時間からのローカル時間を計算しなくても、ログを問題に関連付けることができます。
クライアントポート	%F	クライアント側から使用されるポート番号。
サーバ IP アドレス	%k	WebサーバのIPアドレス
サーバポート番号	%p	Webサーバポート番号。

関連情報

• AsyncOS 14.5 for Cisco Secure Web Applianceユーザガイド – GD（一般導入） – シスコ
• Cisco Webセキュリティアプライアンスのベストプラクティスガイドライン – シスコ