Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SSL Proxy Logs

SSL Proxy Logs

SSL Proxy Logs

Quando o registro é habilitado em um SSalphaTable 1.

Tabela 1: logs de proxy SSL
Descrição do tipo Syslog

SSL_PROXY_SSL_SESSION_DROP

Logs gerados quando uma sessão é retirada pelo proxy SSL.

SSL_PROXY_SSL_SESSION_ALLOW

Logs gerados quando uma sessão é processada pelo proxy SSL mesmo depois de encontrar alguns pequenos erros.

SSL_PROXY_SESSION_IGNORE

Logs gerados se sessões não SSL forem inicialmente confundidas como sessões de SSL.

SSL_PROXY_SESSION_WHITELIST

Logs gerados quando uma sessão é possibilitada.

SSL_PROXY_ERROR

Logs usados para relatar erros.

SSL_PROXY_WARNING

Logs usados para relatar avisos.

SSL_PROXY_INFO

Logs usados para relatar informações gerais.

Você pode usar SSL_PROXY_SESSION_WHITELIST e SSL_PROXY_INFO logs para verificar os URLs logados. Exemplo:

Verifique o System Log Explorer para obter mais detalhes.

Todos os registros contêm informações semelhantes conforme mostrado no exemplo a seguir (ordem real de aparição):

O message campo contém o motivo da geração de log. Um dos três prefixos mostrados na Tabela 2 identifica a origem da mensagem. Outros campos são rotulados descritivamente.

Tabela 2: Prefixos de log de proxy SSL
Descrição do prefixo

Sistema

Logs gerados devido a erros relacionados ao dispositivo ou a uma ação tomada como parte do perfil de proxy SSL. A maioria dos logs se encaixa nessa categoria.

erro de abertura

Logs gerados durante o processo de handshaking se um erro for detectado pela biblioteca opensl.

erro no certificado

Logs gerados durante o processo de handshaking se um erro for detectado no certificado (erros relacionados x509).

Registros de amostra:

Nota:

Esses logs capturam sessões que são retiradas pelo proxy SSL, e não por sessões marcadas por outros módulos que também usam serviços de proxy SSL.

Para SSL_PROXY_SESSION_WHITELIST mensagens, um campo adicional host é incluído após o session-id e contém o endereço IP do servidor ou domínio que foi permitido listado.

Habilitação de depuração e rastreamento para proxy SSL

O rastreamento de debug no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes pode ser habilitado para proxy SSL configurando a seguinte configuração:

O proxy SSL é compatível com SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, dispositivos SRX5800 e instâncias vSRX. A Tabela 3 mostra os níveis suportados para opções de rastreamento.

Tabela 3: níveis de rastreamento

Tipo de causa

Descrição

Breve

Apenas vestígios de erro no mecanismo de roteamento e no mecanismo de encaminhamento de pacotes.

Detalhe

Mecanismo de encaminhamento de pacotes — somente os detalhes do evento até o aperto de mão devem ser rastreados.

Mecanismo de roteamento — rastreamentos relacionados ao comprometimento. Nenhum vestígio periódico no mecanismo de roteamento estará disponível

Extensa

Mecanismo de encaminhamento de pacotes — resumo da transferência de dados disponível.

Mecanismo de roteamento — rastreamentos relacionados ao comprometimento (mais extenso). Não haverá rastreamentos periódicos no mecanismo de roteamento.

Verbose

Todos os vestígios estão disponíveis.

A Tabela 4 mostra as bandeiras que são apoiadas.

Tabela 4: Bandeiras apoiadas no rastreamento

Tipo de causa

Descrição

configuração de cli

Somente rastreamentos relacionados à configuração.

Iniciação

Habilite o rastreamento no plug-in SSL-I.

Proxy

Habilite o rastreamento no plug-in SSL-Proxy-Policy.

Terminação

Habilite o rastreamento no plug-in SSL-T.

perfil selecionado

Habilite o rastreamento apenas para perfis que se definiram enable-flow-tracing .

Você pode habilitar logs no perfil de proxy SSL para chegar à causa raiz da queda. Os erros a seguir são alguns dos mais comuns:

  • Erro de validação de certificação de servidor. Verifique a configuração de CA confiável para verificar sua configuração.

  • Falhas no sistema, como falhas de alocação de memória.

  • Cifras não batem.

  • As versões SSL não correspondem.

  • As opções de SSL não são compatíveis.

  • O CA raiz expirou. Você precisa carregar um novo CA raiz.

Você pode habilitar a opção ignore-server-auth-failure no perfil de proxy SSL para garantir que a validação do certificado, as datas de expiração do CA raiz e outros problemas desse tipo sejam ignorados. Se as sessões forem inspecionadas após a opção ignore-server-auth-failure ser ativada, o problema será localizado.