Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Nachverfolgung von authd-Ereignissen (General Authentication Service) zur Fehlerbehebung

Die Funktion "Trace-Vorgänge" von Junos OS verfolgt allgemeine Vorgänge des Authentifizierungsdienstes und zeichnet Ereignisse in einer Protokolldatei auf. Die in der Protokolldatei erfassten Fehlerbeschreibungen enthalten detaillierte Informationen, die Ihnen bei der Lösung von Problemen helfen. Die Vorgänge und Ereignisse sind mit dem authd-Prozess verbunden, der die AAA-Infrastruktur des Anwenders verwaltet.

Standardmäßig wird nichts zurückverfolgt. Wenn Sie den Ablaufverfolgungsvorgang aktivieren, ist das Standardablaufverhalten wie folgt:

  1. Wichtige Ereignisse werden in einer Datei im /var/log Verzeichnis protokolliert. Standardmäßig verwendet der Router den Dateinamen authd. Sie können einen anderen Dateinamen angeben, aber Sie können das Verzeichnis (/var/log) nicht ändern, in dem sich die Trace-Dateien befinden.

  2. Wenn die Trace-Protokolldatei filename 128 Kilobyte (KB) erreicht, wird sie komprimiert und umbenannt filename.0.gz. Nachfolgende Ereignisse werden in einer neuen Datei namens filenameprotokolliert, bis sie wieder die Kapazität erreicht. An dieser Stelle filename.0.gz wird umbenannt filename.1.gz und filename komprimiert und umbenannt filename.0.gz. Dieser Vorgang wird wiederholt, bis die Anzahl der archivierten Dateien die maximale Dateianzahl erreicht. Dann wird die älteste Ablaufverfolgungsdatei – die Datei mit der höchsten Nummer – überschrieben.

    Sie können optional die Anzahl der Ablaufverfolgungsdateien zwischen 2 und 1000 angeben. Sie können die maximale Dateigröße auch auf 10 KB bis 1 Gigabyte (GB) konfigurieren. Weitere Informationen zum Erstellen von Protokolldateien finden Sie im Systemprotokoll-Explorer.

  3. Standardmäßig kann nur der Benutzer, der den Ablaufverfolgungsvorgang konfiguriert, auf Protokolldateien zugreifen. Sie können optional den schreibgeschützten Zugriff für alle Benutzer konfigurieren.

In den folgenden Themen wird beschrieben, wie Sie alle Aspekte der Ablaufverfolgung allgemeiner Authentifizierungsdienstvorgänge konfigurieren:

Konfigurieren des Protokolldateinamens des Ablaufverfolgungsprotokolls für den allgemeinen Authentifizierungsdienst

Standardmäßig lautet der Name der Datei, die die Ablaufverfolgungsausgabe für den allgemeinen Authentifizierungsdienst aufzeichnet, . authd Sie können einen anderen Namen angeben, indem Sie die file Anweisung auf der [edit system processes general-authentication-service] Hierarchieebene einfügen:

So konfigurieren Sie den Dateinamen für die Ablaufverfolgung von allgemeinen Authentifizierungsdiensten:

  • Geben Sie den Namen der Datei an, die für die Ablaufverfolgungsausgabe verwendet wird.

Anzahl und Größe der Protokolldateien des allgemeinen Authentifizierungsdiensts konfigurieren

Sie können optional die Anzahl der komprimierten, archivierten Ablaufverfolgungsprotokolldateien zwischen 2 und 1000 angeben. Sie können die maximale Dateigröße auch auf 10 KB bis 1 Gigabyte (GB) konfigurieren. Die Standardgröße beträgt 128 Kilobyte (KB).

Die archivierten Dateien werden durch ein Suffix im Format .number.gz. Die neueste archivierte Datei ist .0.gz und die älteste archivierte Datei ist .(maximum number)-1.gz. Wenn die aktuelle Ablaufverfolgungsprotokolldatei die maximale Größe erreicht, wird sie komprimiert und umbenannt, und alle vorhandenen archivierten Dateien werden umbenannt. Dieser Vorgang wird wiederholt, bis die maximale Anzahl archivierter Dateien erreicht ist, woraufhin die älteste Datei überschrieben wird.

Sie können beispielsweise die maximale Dateigröße auf 2 MB und die maximale Anzahl der Dateien auf 20 festlegen. Wenn die Datei, die die Ausgabe des Ablaufverfolgungsvorgangs empfängt, filenameerreicht , 2 MB erreicht, filename komprimiert und umbenannt filename.0.gzwird und eine neue Datei namens erstellt filename wird. Wenn das neue filename 2 MB erreicht, filename.0.gz wird es umbenannt filename.1.gz und filename komprimiert und umbenanntfilename.0.gz. Dieser Vorgang wird wiederholt, bis 20 Ablaufverfolgungsdateien vorhanden sind. Dann wird die älteste Datei, , einfach überschrieben, filename.19.gzfilename.18.gz wenn die nächstälteste Datei komprimiert und in filename.19.gzumbenannt wird.

So konfigurieren Sie die Anzahl und Größe von Ablaufverfolgungsdateien:

  • Geben Sie den Namen, die Nummer und die Größe der Datei an, die für die Ablaufverfolgungsausgabe verwendet wird, indem Sie die files Optionen und size in die traceoptions Anweisung aufnehmen.

Konfigurieren des Zugriffs auf die Protokolldatei des Allgemeinen Authentifizierungsdiensts

Standardmäßig kann nur der Benutzer auf Protokolldateien zugreifen, der den Ablaufverfolgungsvorgang konfiguriert. Sie können allen Benutzern erlauben, die Protokolldatei zu lesen, und Sie können das Standardverhalten der Protokolldatei explizit festlegen.

So geben Sie an, dass alle Benutzer die Protokolldatei lesen können:

  • Konfigurieren Sie die Protokolldatei so, dass sie für alle lesbar ist.

So legen Sie explizit das Standardverhalten fest, bei dem die Protokolldatei nur von dem Benutzer gelesen werden kann, der die Ablaufverfolgung konfiguriert hat:

  • Konfigurieren Sie die Protokolldatei so, dass sie nicht für die Welt lesbar ist.

Konfigurieren eines regulären Ausdrucks für die Protokollierung von Nachrichten des allgemeinen Authentifizierungsdienstes

Standardmäßig enthält die Ausgabe des Ablaufverfolgungsvorgangs alle Zeilen, die für die protokollierten Ereignisse relevant sind. Sie können die Ausgabe verfeinern, indem Sie reguläre Ausdrücke (Regex) einschließen, die abgeglichen werden.

So konfigurieren Sie reguläre Ausdrücke entsprechend:

  • Konfigurieren Sie den regulären Ausdruck.

Konfigurieren der Abonnentenfilterung für die Ablaufverfolgung von Authentifizierungsdiensten

Ab Junos OS Version 14.1 können Sie Filter auf den allgemeinen Authentifizierungs-Service anwenden, um die Ablaufverfolgung auf bestimmte Abonnenten oder Domänen zu beschränken. Die Abonnentenfilterung vereinfacht die Problembehandlung in einer skalierten Umgebung, da Sie sich auf eine reduzierte Anzahl von Ablaufverfolgungsergebnissen konzentrieren können.

Für Benutzernamen von Anwendern mit der erwarteten Form von user@domainkönnen Sie nach dem Benutzer, der Domäne oder beidem filtern. Sie können ein Sternchen (*) als Platzhalter verwenden, um Zeichen am Anfang oder Ende eines beliebigen Begriffs zu ersetzen, um einer größeren Anzahl von Abonnenten zu entsprechen.

Hinweis:

Sie können Ergebnisse nicht mit einem Platzhalter in der Mitte der Benutzer- oder Domänenbegriffe filtern. Beispielsweise werden die folgenden Verwendungen des Platzhalters nicht unterstützt: tom*25@example.com, tom125@ex*.com.

Wenn Sie das Filtern nach Benutzername aktivieren, werden Ablaufverfolgungen, die nicht über ausreichende Informationen zum Ermitteln des Benutzernamens verfügen, automatisch ausgeschlossen.

So konfigurieren Sie die Anwenderfilterung:

  • Geben Sie den Filter an.

Betrachten Sie die folgenden Beispiele für die Verwendung des Platzhalters zum Filtern:

  • Filtern Sie die Ergebnisse für die spezifische Anwender mit dem Benutzernamen tom@example.com.

  • Filtern Sie die Ergebnisse für alle Abonnenten, deren Benutzername mit tom beginnt.

  • Filtern Sie die Ergebnisse für alle Abonnenten, deren Benutzername mit tom endet.

  • Filtern Sie Ergebnisse für Abonnenten mit dem Benutzernamen tom bei allen Domains, die mit ex beginnen.

  • Filtern Sie die Ergebnisse für alle Abonnenten auf allen Domains, die mit ample.com enden.

  • Filtern Sie die Ergebnisse für alle Abonnenten, deren Benutzername mit tom beginnt, bei Domains, die mit example.com enden.

Konfigurieren der Ablaufverfolgungsflags für den allgemeinen Authentifizierungsservice

Standardmäßig werden nur wichtige Ereignisse protokolliert. Sie können angeben, welche Ereignisse und Vorgänge protokolliert werden, indem Sie ein oder mehrere Ablaufverfolgungsflags angeben.

So konfigurieren Sie die Flags für die zu protokollierenden Ereignisse:

  • Konfigurieren Sie die Flags.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
14.1
Ab Junos OS Version 14.1 können Sie Filter auf den allgemeinen Authentifizierungs-Service anwenden, um die Ablaufverfolgung auf bestimmte Abonnenten oder Domänen zu beschränken.