配置 Traceoptions
在大多数情况下,允许和拒绝流量的策略记录足以验证瞻博网络 ATP 云对 SRX 系列防火墙数据的处理方式。但是,在某些情况下,您可能需要更多信息。在这些实例中,您可以使用 traceoptions 监控流入和流出 SRX 系列防火墙的流量。
使用跟踪选项等同于调试工具。要在数据包通过 SRX 系列防火墙时对其进行调试,需要配置 traceoptions 并标记 basic-datapath。此配置将在数据包进入 SRX 系列防火墙时对其进行跟踪,直至退出,为您提供 SRX 系列防火墙在此过程中正在采取的不同作的详细信息。有关详细信息,请参阅 SRX 系列文档中的 调试数据路径 。
最低 traceoptions 配置必须同时包含目标 file 和 flag.目标 file 确定跟踪输出的记录位置。 flag 定义收集的数据类型。有关使用 traceoptions的详细信息,请参阅 SRX 系列防火墙的文档。
要设置跟踪输出文件,请使用 file filename 选项。以下示例将跟踪输出文件 srx_aamw.log定义为:
edit services advanced-anti-malware traceoptions [edit services advanced-anti-malware traceoptions] set file srx_aamw.log
其中 flag 定义要收集的数据,可以是下列值之一:
all- 跟踪所有内容。connection- 跟踪与服务器的连接。content- 跟踪内容缓冲区管理。daemon- 追踪瞻博网络 ATP 云守护程序。identification- 跟踪文件标识。parser- 跟踪协议上下文解析器。plugin- 跟踪高级反恶意软件 (AAMW) 插件。policy- 跟踪 AAMW 策略。
以下示例跟踪与 SRX 系列防火墙和 AAMW 策略的连接:
edit services advanced-anti-malware traceoptions [edit services advanced-anti-malware traceoptions]set services advanced-anti-malware traceoptions file skyatp.logset services advanced-anti-malware traceoptions file size 100M set services advanced-anti-malware traceoptions level allset services advanced-anti-malware traceoptions flag all
在提交 traceoption 配置之前,请使用 show services advanced-anti-malware 命令查看您的设置。
# show services advanced-anti-malware
url https://xxx.xxx.xxx.com;
authentication {
tls-profile
...
}
traceoptions {
file skyatp.log;
flag all;
...
}
...
您还可以配置公钥基础架构 (PKI) 追踪选项。例如:
set security pki traceoptions file pki.log set security pki traceoptions flag all
通过设置以下配置,可以为 SSL 代理启用路由引擎和数据包转发引擎上的调试跟踪:
set services ssl traceoptions file ssl.log set services ssl traceoptions file size 100m set services ssl traceoptions flag all
您可以在 SSL 代理配置文件中启用日志,以找到丢弃的根本原因。以下错误是一些最常见的错误:
服务器认证验证错误
受信任的 CA 配置与您的配置不匹配。
系统故障,例如内存分配故障
密码不匹配。
SSL 版本不匹配。
不支持 SSL 选项。
根 CA 已过期。您需要加载新的根 CA。
设置流量追踪选项,对流经 SRX 系列防火墙的流量进行故障排除:
set security flow traceoptions flag all set security flow traceoptions file flow.log size 100M