跟踪常规身份验证服务 (authd) 事件以进行故障排除
Junos OS 追踪操作功能可跟踪常规身份验证服务操作,并将事件记录在日志文件中。日志文件中捕获的错误说明提供了帮助您解决问题的详细信息。操作和事件是与管理订阅者 AAA 基础架构的 authd 进程关联的操作和事件。
默认情况下,不跟踪任何内容。开启追踪操作后,默认追踪行为如下:
重要事件将记录在位于目录中的
/var/log文件中。默认情况下,路由器使用文件名authd。可以指定其他文件名,但不能更改跟踪文件所在的目录 (/var/log)。当跟踪日志文件
filename达到 128 KB 时,它将被压缩并重命名filename.0.gz。后续事件将记录在名为filename的新文件中,直到它再次达到容量。此时,filename.0.gz被重命名filename.1.gz并被filename压缩和重命名filename.0.gz。重复此过程,直到存档文件的数量达到最大文件数。然后,最早的跟踪文件(编号最高的跟踪文件)将被覆盖。您可以选择将跟踪文件的数量指定为 2 到 1000。您还可以将最大文件大小配置为 10 KB 到 1 GB 之间。有关如何创建日志文件的详细信息,请参阅 系统日志资源管理器。
默认情况下,只有配置跟踪操作的用户才能访问日志文件。您可以选择为所有用户配置只读访问权限。
以下主题介绍如何配置跟踪常规身份验证服务操作的所有方面:
配置常规认证服务跟踪日志文件名
默认情况下,记录常规身份验证服务的跟踪输出的文件的名称为 authd。您可以通过在[edit system processes general-authentication-service]层次结构级别包含file语句来指定其他名称:
要为常规身份验证服务跟踪操作配置文件名,请执行以下操作:
指定用于跟踪输出的文件的名称。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1
配置常规认证服务日志文件的数量和大小
您可以选择将压缩的存档跟踪日志文件的数量指定为 2 到 1000。您还可以将最大文件大小配置为 10 KB 到 1 GB (GB);默认大小为 128 KB。
存档文件由格式 .number.gz为 的后缀来区分。最新的存档文件是 .0.gz ,最早的存档文件是 .(maximum number)-1.gz。当当前跟踪日志文件达到最大大小时,将对其进行压缩和重命名,并重命名任何现有的存档文件。此过程会重复,直到达到最大存档文件数,此时最旧的文件将被覆盖。
例如,可以将最大文件大小设置为 2 MB,将最大文件数设置为 20。当接收跟踪操作filename输出的文件达到 2 MB 时,filename将压缩并重命名filename.0.gz,并创建一个名为filename的新文件。当新的filename达到 2 MB 时,filename.0.gz重命名filename.1.gz并filename压缩并重命名filename.0.gz。重复此过程,直到有 20 个跟踪文件。然后,当下一个最旧的文件filename.18.gz被压缩并重命名为 filename.19.gz时,就会简单地覆盖最早的文件 filename.19.gz。
要配置跟踪文件的数量和大小,请执行以下操作:
指定用于跟踪输出的文件的名称、编号和大小,方法是在语句中
traceoptions包含files和size选项。[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 files 20 size 2097152
配置对常规身份验证服务日志文件的访问
默认情况下,日志文件只能由配置跟踪操作的用户访问。您可以允许所有用户读取日志文件,并且可以显式设置日志文件的默认行为。
要指定所有用户都可以读取日志文件,请执行以下操作:
将日志文件配置为全局可读。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 world-readable
要显式设置默认行为,其中日志文件只能由配置跟踪的用户读取:
将日志文件配置为无世界可读。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 no-world-readable
为要记录的常规认证服务消息配置正则表达式
默认情况下,追踪操作输出包括与记录的事件相关的所有行。您可以通过包含将要匹配的正则表达式 (regex) 来优化输出。
要配置正则表达式进行匹配:
配置正则表达式。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 match regular-expression
为常规认证服务跟踪配置订阅者过滤
从 Junos OS 14.1 版开始,您可以将过滤器应用于常规身份验证服务,以将跟踪限制为特定订阅者或域。订阅者筛选使您能够专注于一组减少的跟踪结果,从而简化了扩展环境中的故障排除。
对于预期格式为 user@domain的订阅者用户名,可以筛选用户和/或域。您可以使用星号 (*) 作为通配符来替换任一术语开头或结尾的字符,以匹配更多数量的订阅者。
不能在用户或域术语的中间使用通配符过滤结果。例如,不支持通配符的以下用法:tom*25@example.com、tom125@ex*.com。
启用按用户名筛选时,将自动排除信息不足以确定用户名的跟踪。
要配置订阅者过滤,请执行以下操作:
指定筛选器。
[edit system processes general-authentication-service traceoptions] user@host# set filter user user@domain
请考虑以下使用通配符进行筛选的示例:
使用用户名 tom@example.com 筛选特定订阅者的结果。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom@example.com
筛选用户名以 tom 开头的所有订阅者的结果。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom*
筛选用户名以 tom 结尾的所有订阅者的结果。
[edit system processes general-authentication-service traceoptions] user@host# set filter user *tom
筛选所有以 ex 开头的域中用户名为 tom 的订阅者的结果。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom@ex*
筛选以 ample.com 结尾的所有域中所有订阅者的结果。
[edit system processes general-authentication-service traceoptions] user@host# set filter user *ample.com
在以 example.com 结尾的域中筛选用户名以 tom 开头的所有订阅者的结果。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom*@*example.com
配置常规认证服务跟踪标志
默认情况下,仅记录重要事件。可以通过指定一个或多个跟踪标志来指定记录哪些事件和操作。
要为要记录的事件配置标志:
配置标志。
[edit system services subscriber-management traceoptions] user@host# set flag flag
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。