Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

跟踪常规身份验证服务 (authd) 事件以排除故障

Junos OS 追踪操作功能可跟踪常规身份验证服务操作,并在日志文件中记录事件。日志文件中捕获的错误说明提供了有助于解决问题的详细信息。操作和事件是与管理订阅者 AAA 基础架构的授权流程关联的操作和事件。

默认情况下,不会跟踪任何内容。启用跟踪操作时,默认跟踪行为如下所示:

  1. 重要事件会记录在目录中的 /var/log 文件中。默认情况下,路由器使用文件名 authd。您可以指定不同的文件名,但不能更改跟踪文件的目录 (/var/log)。

  2. 当跟踪日志文件filename达到 128 KB 时,将压缩并重命名filename.0.gz。后续事件会记录在名为filename的新文件中,直到再次达到容量。此时,filename.0.gz已重命名,filename压缩并重命名filename.0.gzfilename.1.gz。此过程将重复,直到已存档的文件数量达到最大文件编号。然后,最早的追踪文件(编号最高的跟踪文件)将被覆盖。

    您可以选择将追踪文件数指定为 2 到 1000。您还可以将最大文件大小配置为 10 KB 到 1 千兆字节 (GB)。有关如何创建日志文件的更多信息,请参阅 系统日志浏览器

  3. 默认情况下,只有配置跟踪操作的用户才能访问日志文件。您可以选择为所有用户配置只读访问权限。

以下主题介绍如何配置跟踪常规身份验证服务操作的各个方面:

配置常规身份验证服务跟踪日志文件名

默认情况下,记录常规身份验证服务的跟踪输出的文件名为authd。您可以通过在[edit system processes general-authentication-service]层次结构级别包含语句file来指定不同的名称:

要为常规身份验证服务跟踪操作配置文件名:

  • 指定用于追踪输出的文件的名称。

配置常规身份验证服务日志文件的数量和大小

您可以选择将压缩、存档的跟踪日志文件数指定为 2 到 1000。您还可以将最大文件大小配置为 10 KB 到 1 千兆字节 (GB);默认大小为 128 KB。

存档的文件以格式 .number.gz的后缀区分开来。最新的存档文件是 .0.gz ,最早的存档文件是 .(maximum number)-1.gz。当当前跟踪日志文件达到最大大小时,将压缩并重命名,并重命名所有现有存档文件。此过程会重复,直到达到最大存档文件数,此时最早的文件将被覆盖。

例如,您可以将最大文件大小设置为 2 MB,将最大文件数设置为 20。当接收跟踪操作输出的文件达到 2 MB 时,filenamefilename将压缩并重命名filename.0.gz,并创建一个称为filename的新文件。当新的filename容量达到 2 MB 时,filename.0.gz将重命名filename.1.gzfilename压缩并重命名filename.0.gz。此过程会重复,直到有 20 个跟踪文件。当下一个最旧的文件filename.19.gz被压缩并重命名filename.19.gz为时,filename.18.gz最旧的文件直接被覆盖。

要配置追踪文件的数量和大小:

  • 通过在files语句中包含和选项traceoptions,指定用于跟踪输出的文件的名称、编号和size大小。

配置对常规身份验证服务日志文件的访问

默认情况下,日志文件只能由配置跟踪操作的用户访问。您可以允许所有用户读取日志文件,也可以显式设置日志文件的默认行为。

要指定所有用户都可以阅读日志文件:

  • 将日志文件配置为可读。

要显式设置默认行为,其中日志文件只能由配置跟踪的用户读取:

  • 将日志文件配置为无法完全读取。

配置要记录的常规身份验证服务消息的正则表达式

默认情况下,追踪操作输出包括与记录的事件相关的所有行。您可以通过包含将匹配的正则表达式 (regex) 来优化输出。

要配置正则表达式以匹配:

  • 配置正则表达式。

为常规身份验证服务跟踪配置订阅者筛选

从 Junos OS 14.1 版开始,您可以对常规身份验证服务应用过滤器,以将跟踪限制在特定订阅者或域。订阅者过滤使您能够专注于减少的一组跟踪结果,从而简化大规模环境中的故障排除。

对于形式为的 user@domain订阅者用户名,可以在用户和/或域上过滤。您可以使用星号 (*) 作为通配符,以替换任一术语开头或结尾的字符,以匹配数量更大的订阅者。

注意:

您不能在用户或域术语中使用通配符过滤结果。例如,不支持使用以下通配符:tom*25@example.com、tom125@ex*.com。

启用按用户名过滤时,系统会自动排除信息不足以确定用户名的跟踪。

要配置订阅者筛选:

  • 指定过滤器。

考虑以下使用通配符进行过滤的示例:

  • 使用用户名、tom@example.com 针对特定订阅者的过滤结果。

  • 用户名以 tom 开头的所有订阅者的过滤结果。

  • 用户名以 tom 结尾的所有订阅者的过滤结果。

  • 在从 ex 开始的所有域中使用 tom 用户名的订阅者过滤结果。

  • 筛选以 ample.com 结束的所有域上所有订阅者的结果。

  • 在以 example.com 结尾的域中,用户名以 tom 开头的所有订阅者的过滤结果。

配置常规身份验证服务跟踪标志

默认情况下,仅记录重要事件。您可以通过指定一个或多个跟踪标记来指定记录哪些事件和操作。

要配置要记录事件的标志:

  • 配置标志。

版本历史记录表
释放
描述
14.1
从 Junos OS 14.1 版开始,您可以对常规身份验证服务应用过滤器,以将跟踪限制在特定订阅者或域。