לוגים ב iis

[דוד גילי]

לוגים ב iis

איך אני יכול לראות את כל הפניות http אל השרת שלי?
יש לי שרת שמשרת אפליקציית מובייל. לפני שהם יכולים לעבוד, הלקוחות צריכים להזין קוד מסוים שהם מקבלים מאיתנו, מזינים אותו באפליקציה, עוברים אישור, ואז האפליקציה מופעלת.
בדרך כלל זה עובד יפה, וגם היום, 90% מהאנשים מצליחים להכנס ללא בעיה. אבל יש כמה טלפונים, (אנדרואיד כולם, לא נתקלתי בבעיה עם אייפון), שלא מצליחים להכנס.
התקנתי elmah ועכשיו אני רואה גם כניסות מוצלחות, וגם שגיאות בסרביס הזה. כל מה שקורה - נרשם. הבעיה: החברה הבעיתיים האלה, אני אפילו לא רואה את הפניה שלהם. לא מגיעים בכלל לסרביס.
אז אני שואל את עצמי, מה קורה פה? אני חייב איזה פידלר בשרת. משהו שיראה לי את פניות ה htttp וכשבנאדם לוחץ על הכפתור, אני רוצה לראות מה מגיע לשרת. אולי הוא חסום באיזה פיירוול
או השד יודע מה?
יש איזה רעיונות? כלי דיבוג?
ניסיתי להסתכל בלוגים של השרת, לא עזר לי הרבה.
תודה לעונים.

 

[טרול המתכנן]

כריש-הכבל הוא ידידך במקרים כאילו.

אמנם לוקח קצת זמן להשתלט עליו, אבל זה time well spnet.

 

[דוד גילי]

אכן השתמשתי בו, וקיבלתי רמזים עבים, והבעיה נפתרה.

באמת כלי אובר קיל רציני למה שהייתי צריך, אבל הבנתי דבר אחד: יש פה בעיה של פורטים או SSL. מסיבה כשלהי הטלפון לא מזהה את הסרביס כמוגן SSL. אבל למה? מה נשתנה, כמו שאומרים?
מה השתנה במערכת בזמן האחרון?
מה שהשתנה, זה שבניתי אתר נוסף בזמן האחרון, וגם האתה הזה מוגן ב SSL, אבל יש בעיה. בשרת שלי, יש רק כתובת IP אחת. זו החבילה, ואי אפשר לשנות גם בתשלום. (גודדי ימ"ש).
גיגלתי בנושא, ומצאתי איך אפשר לשים כמה SSL ים על אותו IP, זה פטנט שנקרא SNI . עשיתי ועבד לי. זה היה בערך לפני חודש או חודשיים.
קראתי שהפטנט הזה לא עובד בבראוזרים ישנים, אבל לי הוא עבד, זה הספיק לי.
העפתי את האתר החדש ואת ה SNI שלו, והכל עבד מייד.
מסתבר שלא רק דפדפנים, יש גם טלפונים שלא אוהבים את הסידור הזה, ודורשים יחס אחד לאחד בין SSL ל IP.
זהו, הבעיה נפתרה, ואני יכול לחזור לנשימה סדירה.
תודה לכולם.
&nbsp

 

[מענדי]

אפשר בבקשה פירוט על כריש-הכבל?

 

[עוץליגוץלי]

wireshark

 

[tenen]

ניחוש מושכל, יש לך קצת יותר כאב ראש ממה שאתה חושב

אם הייתי צריך לנחש, הייתי מנחש שהם בכלל לא מגיעים לשרת שלך משום שהתקשורת לא יוצאת מהטלפון.
נדיר ששרת יחליט לחסום על דעת עצמו 10 אחוז מהמשתמשים ושיעשה את זה רק לגבי מערכת הפעלה אחת ולא אחרת.
&nbsp
יותר סביר להניח שה10 אחוז האלו עובדים עם גרסת אנדרואיד זו או אחרת בה האפליקציה לא מצליחה לצאת לשרת ולכן לא תראה את זה לא משנה איזה לוג יהיה לך בשרת.
&nbsp
אם יש לך טלפון אחד מאלו שלא מצליחים לעבוד בהישג יד, תנסה לשים עליו משהו שמנטר פניות החוצה ותראה אם אתה פונה בכלל לשרת או נופל כבר בטלפון.
&nbsp
אם אין לך טלפון כזה אז תרשום לעצמך בלוג מאלו גרסאות של מערכות הפעלה אתה מצליח לקבל פניות, ולאחר מכן דבר עם הלקוחות לראות איזו גרסה של מערכת הפעלה הם מריצים ותראה אם גרסת מערכת ההפעלה שלהם נמצאת ברשימה (ואז זו בעיה של טלפונים ספציפיים וכאב ראש גדול) או אם היא לא נמצאת ברשימה (ואז זה הרבה יותר קל כי אתה יכול להבין שזה משהו בגרסה הספציפית של מערכת ההפעלה).
&nbsp
כמו כן שאתה מדבר עם הלקוחות שנופלים תבדוק בדיוק באיזה סוג טלפון מדובר ומי ספק השירות.
סוג טלפון לפעמים מעיד על מערכת הפעלה קצת שונה - (גרסאות מותאמות של אנדרואיד לחלק מהיצרנים) וספקי שירות שיכולים להריץ אצלם FW זה או אחר שאולי אתה חסום בו בטעות (פחות סביר אבל אפשרי)
&nbsp
אם אתה לא רואה שום פניה בלוג של השרת, אל תניח שהם מגיעים לשם, אם היו מגיעים לשם היה לך לוג.

 

[Admini]

ולשאלה המקורית - יש לך לוגים של IIS, שיכולת לקרוא

זה לא היה עוזר לך לבעיה הספציפית שלך, אבל היה יכול להסביר שהמידע בכלל לא מגיע ללוגים האלה.
&nbsp

 

[pelegk11]

SNI

1. ב IIS תעבוד עם LOGPARSER יעשה לך את החיים הרבה יותר קלים, תכין שאילות מראש ותוכל למצוא בעיות בזמן אמת.
2.SNI זו בעיה ידוע, הרבה דפדפנים במיוחד הישנים לא נתמכים ראה כאן
https://en.wikipedia.org/wiki/Server_Name_Indication#Web_browsers.5B6.5D
3. תקראי את התשובה שניתנה פה די מעמיקה
http://stackoverflow.com/a/22272482
4. לא מכיר בעיה ש SNI כפוף ל IP, הוא לא מבצע ולידציה מול גורם חיצוני שה IP הוא אכן ה IP שרשום עבור ה SSL. מה שהוא עושה הוא מאפשר להעביר ב את הדומיין בשלב ה HEAND SHAKE, וזה למקרה שיש לך מספר SSL על
שרת IIS אחד, וככה הוא יודע לאיזה מה SITES להפנות אותו.
ציטוט מויקיפדיה :

Server Name Indication (SNI) is an extension to the TLS computer networking protocol[1] by which a client indicates which hostname it is attempting to connect to at the start of the handshaking process. This allows a server to present multiple certificates on the same IP address and TCP port number and hence allows multiple secure (HTTPS) websites (or any other Service over TLS) to be served off the same IP address without requiring all those sites to use the same certificate. It is the conceptual equivalent to HTTP/1.1 name-based virtual hosting, but for HTTPS.

 

[דוד גילי]

תודה, אבדוק את logparser

למרות שכרגע הכל עובד, כולל ה SNI. פשוט צריך לדעת "לכוון" אותו. וזה לקח לי כמה ימים יקרים.
מה לעשות, כל הזמן לומדים.
בניתוח הלוגים, חוץ מהבעיה שאותה חיפשתי, ראיתי גם דברים שאתה יכול לקרוא להם ניסיונות פריצה שיטתיים. כמו לחפש את דף הניהול של וורדפרס, או סתם admin.aspx בכל מיני מקומות. שרתים סיניים ורוסיים שמנסים לקרוא את קובץ ה robots כל כמה דקות, ועוד ועוד.

 

[pelegk11]

מה הכוונה "לכוון" את ה SNI?

תוכל להסביר

 

[דוד גילי]

כן.

צריך להיות אתר אחד ב IIS שיושב על הIP המשותף, ולא מסומן לו require isn .
לכל היתר צריך להיות מסומן.
זה מה שנקרא default ssl website. וזה לא היה כל כך ברור לי בהתחלה, וסימנתי את כולם.
בקיצור, זה דרש טיפה התעסקות עם רשיונות ה SSL, והצמדתם לאתרים השונים, אבל בעצם זה מאד פשוט, כשיודעים.
&nbsp

 

[nocgod]

למרות שהבעיה נפתרה - הייתי רוצה יותר פרטים

בחברה שאני עובד בה גם מתעסקים באפליקציות (ios, android and webapps) אשר עובדות מול webservices שרצים מעל iis (בעיקר WCF עם התנהגות rest וכמובן webapi)
תמיד כשיש לי בעיה אני מריץ על השרת פידלר (לרוב אני משחזר את הבעיה בסביבות שהן לא production)
לפעמים הproxy לא נתפס וצריך לעשות recycle ל pool כדי שיתפסו ההודעות.

מה בעצם מנע ממך לפדלר את התקשורת http והיית צריך לרדת לרמת כריש כבלים?
התקשורת הגיע לשרת בכלל? כלומר, הצלחת לשחזר את הבמכשיר מקומי ולתפוס תעבורה החוצה ממנו? (אנחנו עושים את זה גם עם פידלר באמצעות proxy של fiddler)