本节介绍了 NSX Advanced Load Balancer 中可用于虚拟服务的 WAF 日志分析功能。

将 WAF 策略附加到虚拟服务后,将生成特定的 WAF 日志。要查看日志文件,请执行以下操作:

  1. 导航到应用程序 > 虚拟服务

  2. 单击映射到 WAF 策略的虚拟服务并导航到日志

  3. 可以筛选这些日志以查看特定的 WAF 条目。在搜索栏上键入 WAF 以填充可用的选项。

注:

对于 WAF 分析,可以使用相同的筛选器。

每个事务的 WAF 内存消耗

虚拟服务应用程序 WAF 日志包含 memory_allocated 字段。此字段指定在 WAF 请求处理期间使用的内存量(以字节为单位)。

在 WAF 处理期间,SE 会捕获每个 WAF 阶段前后的内存分配统计信息。差值将用于跟踪分配的总内存。此方法不会跟踪在 WAF 阶段内执行和释放的内存分配。

这表示同时处理多个请求时,该内存会导致总体内存压力。

TLS SNI 和主机标头不同时的 WAF 日志

当 TLS SNI 和主机标头不同时,NSX Advanced Load Balancer 支持通过 WAF 标记流量。

使用以下 CRS 规则标记 TLS SNI 和主机标头不同的 HTTP 请求。

SecRule TX:sni_hostname "!@streq %{REQUEST_HEADERS:Host}" "id:'137',phase:1,log,deny,status:403,msg:'SNI-Host-Header mismatch'"

使用此规则后,如果 SNI 主机名和主机标头相同,NSX Advanced Load Balancer 将返回响应代码 200。如果 SNI 主机名和主机标头不同,则返回响应代码 403。对于非 SSL 流量,无论是否存在主机标头,都会返回响应代码 403