Flow Trace für logische Systeme
Flow Trace, auch Trace-Optionen genannt, ermöglicht es Ihnen, den Datenverkehrsfluss in und aus einer Firewall der SRX-Serie zu überwachen. Sie können Trace-Optionen als Debugging-Tool verwenden, um die Pakete auf ihrem Weg durch die Firewall der SRX-Serie zu verfolgen. Trace-Optionen helfen Ihnen, Details zu den Aktionen Ihres Sicherheitsgeräts zu erhalten.
Übersicht über Flow Trace-Unterstützung für logische Systeme
Bei einer Firewall der SRX-Serie, die mit logischen Systemen konfiguriert ist, werden die Trace-Optionen standardmäßig nur auf der Root-Ebene konfiguriert. In diesem Fall werden alle Systemablaufverfolgungen, einschließlich Stamm- und logischer Systeme, in einer einzigen Ablaufverfolgungsdatei protokolliert. Dadurch wurden große Mengen an Informationen in einer einzigen Datei erzeugt.
Ab Junos OS Version 19.4R1 können Sie Ablaufverfolgungsvorgänge pro logischer Systemebene aktivieren. Wenn Sie die Trace-Optionen auf der Ebene des logischen Systems konfigurieren, werden die Traces für diese spezifischen logischen Systeme in der entsprechenden Trace-Datei protokolliert. Sie können eine Ausgabedatei für das angegebene logische System generieren und die erforderlichen Verkehrsinformationen in der Trace-Datei leicht finden.
Wenn Sie die Trace-Optionen aktivieren, geben Sie den Namen der Datei und den Informationstyp an, den Sie verfolgen möchten.
Alle Flow-Traces, die an eine Protokolldatei im Root gesendet werden, wenn Sie die Trace-Optionen im Root-Kontext aktivieren. Traces für ein logisches System werden nur dann an die jeweilige Trace-Datei gesendet, wenn Sie die Trace-Optionen für das jeweilige logische System aktivieren.
Konfigurieren der Flow-Trace-Unterstützung für logische Systeme
Das Konfigurieren von Trace-Optionen für ein logisches System umfasst sowohl die Konfiguration einer Zieldatei als auch eines Flags. Die Zieldatei bestimmt, wo die Trace-Ausgabe aufgezeichnet wird. Das Flag definiert, welche Art von Daten gesammelt werden sollen. Wenn Sie Trace-Optionen für ein logisches System konfigurieren, wird die entsprechende Trace-Datei nur an die Protokolldatei des jeweiligen logischen Systems gesendet.
So konfigurieren Sie Trace-Optionen für ein logisches System:
Nachdem Sie die Traceoptions-Konfiguration bestätigt haben, können Sie die Traceoptions-Debugdateien für das logische System mit show log tracefilename dem Befehl "Operational" anzeigen.
user@host:LSYS1> show log flow_lsys1.log Nov 7 07:34:09 07:34:09.491800:CID-0:THREAD_ID-00:LSYS_ID-01:RT:got route table lock Nov 7 07:34:09 07:34:09.491809:CID-0:THREAD_ID-00:LSYS_ID-01:RT:released route table lock Nov 7 07:34:09 07:34:09.491840:CID-0:THREAD_ID-00:LSYS_ID-01:RT:got route table lock Nov 7 07:34:09 07:34:09.491841:CID-0:THREAD_ID-00:LSYS_ID-01:RT:released route table lock Nov 7 07:34:09 07:34:09.491854:CID-0:THREAD_ID-00:LSYS_ID-01:RT:cache final sw_nh 0x0 Nov 7 07:34:09 07:34:09.491868:CID-0:THREAD_ID-00:LSYS_ID-01:RT:got route table lock Nov 7 07:34:09 07:34:09.491869:CID-0:THREAD_ID-00:LSYS_ID-01:RT:released route table lock Nov 7 07:34:09 07:34:09.491881:CID-0:THREAD_ID-00:LSYS_ID-01:RT:cache final sw_nh 0x0