Ablaufverfolgung für logische Systeme
Mit Flow-Trace-Optionen, auch Trace-Optionen genannt, können Sie den Datenverkehrsfluss in und aus einer Firewall der SRX-Serie überwachen. Sie können tracoptions als Debugging-Tool verwenden, um die Pakete zu verfolgen, während sie die Firewall der SRX-Serie durchlaufen. Trace-Optionen helfen Ihnen, Details zu den Aktionen Ihres Sicherheitsgeräts zu erhalten.
Übersicht über die Unterstützung der Ablaufverfolgung für logische Systeme
Bei einer Firewall der SRX-Serie, die mit logischen Systemen konfiguriert ist, werden die Trace-Optionen standardmäßig nur auf der Root-Ebene konfiguriert. In diesem Fall werden alle System-Traces, einschließlich Root- und logischer Systeme, in einer einzigen Trace-Datei protokolliert. Dadurch wurden große Mengen an Informationen in einer einzigen Datei erzeugt.
Ab Junos OS Version 19.4R1 können Sie Ablaufverfolgungsvorgänge pro logischer Systemebene aktivieren. Wenn Sie die Trace-Optionen auf der Ebene des logischen Systems konfigurieren, werden die Traces für das jeweilige logische System in der entsprechenden Trace-Datei protokolliert. Sie können eine Ausgabedatei für das angegebene logische System generieren und die erforderlichen Verkehrsinformationen einfach in der Ablaufverfolgungsdatei finden.
Wenn Sie Trace-Optionen aktivieren, geben Sie den Namen der Datei und den Typ der Informationen an, die Sie verfolgen möchten.
Der gesamte Flow-Trace wird an eine Protokolldatei in root gesendet, wenn Sie die Trace-Optionen im root-Kontext aktivieren. Traces für ein logisches System werden nur dann an die entsprechende Trace-Datei gesendet, wenn Sie die Trace-Optionen für das spezifische logische System aktivieren.
Konfigurieren der Ablaufverfolgungsunterstützung für logische Systeme
Die Konfiguration von Traceoptionen für ein logisches System umfasst sowohl die Konfiguration einer Zieldatei als auch eines Flags. Die Zieldatei bestimmt, wo die Ablaufverfolgungsausgabe aufgezeichnet wird. Das Flag definiert, welche Art von Daten gesammelt werden sollen. Wenn Sie Trace-Optionen für ein logisches System konfigurieren, wird die entsprechende Trace-Datei nur an die Protokolldatei des jeweiligen logischen Systems gesendet.
So konfigurieren Sie Trace-Optionen für ein logisches System:
Nachdem Sie die traceoptions-Konfiguration festgeschrieben haben, können Sie die traceoptions-Debugdateien für das logische System mithilfe des show log tracefilename Befehls operational anzeigen.
user@host:LSYS1> show log flow_lsys1.log Nov 7 07:34:09 07:34:09.491800:CID-0:THREAD_ID-00:LSYS_ID-01:RT:got route table lock Nov 7 07:34:09 07:34:09.491809:CID-0:THREAD_ID-00:LSYS_ID-01:RT:released route table lock Nov 7 07:34:09 07:34:09.491840:CID-0:THREAD_ID-00:LSYS_ID-01:RT:got route table lock Nov 7 07:34:09 07:34:09.491841:CID-0:THREAD_ID-00:LSYS_ID-01:RT:released route table lock Nov 7 07:34:09 07:34:09.491854:CID-0:THREAD_ID-00:LSYS_ID-01:RT:cache final sw_nh 0x0 Nov 7 07:34:09 07:34:09.491868:CID-0:THREAD_ID-00:LSYS_ID-01:RT:got route table lock Nov 7 07:34:09 07:34:09.491869:CID-0:THREAD_ID-00:LSYS_ID-01:RT:released route table lock Nov 7 07:34:09 07:34:09.491881:CID-0:THREAD_ID-00:LSYS_ID-01:RT:cache final sw_nh 0x0