Sur cette page
Comprendre le débogage de chemin de données pour les équipements SRX Series
Comprendre le débogage de la sécurité à l’aide des options de traçage
Comprendre le débogage de flux à l’aide des options de traçage
Définition des options de suivi de débogage de flux (procédure CLI)
Affichage de la sortie pour les options de traçage de sécurité
Exemple : Configuration du débogage de bout en bout sur un équipement SRX Series
Configuration des options de débogage et de traçage des chemins de données
Comprendre le débogage de chemin de données pour les équipements SRX Series
La prise en charge du débogage du chemin de données, ou débogage de bout en bout, fournit le suivi et le débogage au niveau de plusieurs unités de traitement le long du chemin de traitement des paquets. Le filtre de paquets peut être exécuté avec un impact minimal sur le système de production.
Sur un pare-feu SRX Series, un paquet passe par une série d’événements impliquant différents composants, du traitement entrant au traitement sortant.
Grâce à la fonctionnalité de débogage du chemin de données, vous pouvez tracer et déboguer (capturer des paquets) à différents points de données le long du chemin de traitement. Les événements disponibles dans le chemin de traitement des paquets sont les suivants : Entrée NP, thread d’équilibrage de charge (LBT), jexec, thread de commande de paquets (POT) et sortie NP. Vous pouvez également activer le suivi du module de flux si l’indicateur de suivi du flux de sécurité d’un certain module est défini.
À chaque événement, vous pouvez spécifier l’une des quatre actions (nombre, vidage de paquets, résumé de paquets et trace). Le débogage des chemins de données fournit des filtres pour définir les paquets à capturer, et seuls les paquets correspondants sont tracés. Le filtre de paquets peut filtrer les paquets en fonction de l’interface logique, du protocole, du préfixe de l’adresse IP source, du port source, du préfixe de l’adresse IP de destination et du port de destination.
Le débogage du chemin de données est pris en charge sur SRX4600, SRX5400, SRX5600 et SRX5800.
Pour activer le débogage de bout en bout, vous devez effectuer les opérations suivantes :
Définissez le fichier de capture et spécifiez la taille maximale de capture.
Définissez le filtre de paquets pour ne tracer qu’un certain type de trafic en fonction des besoins.
Définissez le profil d’action en spécifiant l’emplacement sur le chemin de traitement d’où capturer les paquets (par exemple, entrée LBT ou NP).
Activez le débogage du chemin d’accès aux données.
Capturez le trafic.
Désactivez le débogage du chemin de données.
Affichez ou analysez le rapport.
Le comportement de filtrage des paquets pour les options de port et d’interface est le suivant :
Le filtre de paquets suit à la fois le trafic IPv4 et IPv6 if only port est spécifié.
Le filtre de paquets trace le trafic IPv4, IPV6 et non-IP if only interface est spécifié.
Comprendre le débogage de la sécurité à l’aide des options de traçage
La fonction de trace de Junos OS permet aux applications d’écrire des informations de débogage de sécurité dans un fichier. Les informations qui apparaissent dans ce fichier sont basées sur des critères que vous avez définis. Vous pouvez utiliser ces informations pour analyser les problèmes des applications de sécurité.
La fonction trace fonctionne de manière distribuée, chaque thread écrivant dans son propre tampon de trace. Ces tampons de trace sont ensuite collectés en un point, triés et écrits dans des fichiers de trace. Les messages de trace sont transmis à l’aide du protocole IPC (InterProcess Communications). La priorité d’un message de trace est inférieure à celle des paquets de protocole de contrôle tels que BGP, OSPF et IKE, de sorte que la distribution n’est pas considérée comme aussi fiable.
Comprendre le débogage de flux à l’aide des options de traçage
Pour les options de traçage de flux, vous pouvez définir un filtre de paquets à l’aide des combinaisons de destination-port, destination-prefix, interface, protocolsource-port, et source-prefix. Si l’indicateur de trace de flux de sécurité d’un module donné est défini, le paquet correspondant au filtre de paquet spécifique déclenche le suivi de flux et écrit les informations de débogage dans le fichier de trace.
Débogage du chemin d’accès aux données (procédure CLI)
Le débogage du chemin d’accès aux données est pris en charge sur SRX5400, SRX5600 et SRX5800.
Pour configurer l’appareil pour le débogage du chemin d’accès aux données :
Définition des options de suivi de débogage de flux (procédure CLI)
Les exemples suivants illustrent les options que vous pouvez définir à l’aide de security flow traceoptions.
Pour faire correspondre le port de destination imap pour le filtre de paquets filter1, utilisez l’instruction suivante :
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
Pour définir l’adresse de préfixe IPv4 de destination 1.2.3.4 pour le filtre de paquets filter1, utilisez l’instruction suivante :
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
Pour définir l’interface logique fxp0 pour le filtre de paquets filter1, utilisez l’instruction suivante :
[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
Pour faire correspondre le protocole IP TCP au filtre de paquets filter1, utilisez l’instruction suivante :
[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
Pour faire correspondre le port source HTTP pour le filtre de paquets filter1, utilisez l’instruction suivante :
[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
Pour définir l’adresse du préfixe IPv4 5.6.7.8 pour le filtre de paquets filter1, utilisez l’instruction suivante :
[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
Définition des options de suivi de sécurité (procédure CLI)
Utilisez les instructions de configuration suivantes pour configurer les options de suivi de sécurité dans l’éditeur de configuration CLI.
Pour désactiver le suivi à distance, entrez l’instruction suivante :
[edit] user@host# set security traceoptions no-remote-trace
Pour écrire des messages de suivi dans un fichier local, entrez l’instruction suivante. Le système enregistre le fichier de trace dans le /var/log/ répertoire.
[edit] user@host# set security traceoptions use-local-files
Pour spécifier un nom pour le fichier de trace, entrez l’instruction suivante. Les valeurs valides sont comprises entre 1 et 1024 caractères. Le nom ne peut pas inclure d’espaces, de / ou de % caractères. Le nom de fichier par défaut est sécurité.
[edit] user@host# set security traceoptions file filename
Pour spécifier le nombre maximal de fichiers de trace pouvant s’accumuler, entrez l’instruction suivante. Les valeurs valides sont comprises entre 2 et 1000. La valeur par défaut est 3.
[edit] user@host# set security traceoptions file files 3
Pour spécifier les critères de correspondance que vous souhaitez que le système utilise lors de la consignation des informations dans le fichier, entrez l’instruction suivante. Saisissez une expression régulière. Les caractères génériques (*) sont acceptés.
[edit] user@host# set security traceoptions file match *thread
Pour permettre à n’importe quel utilisateur de lire le fichier de trace, entrez l’instruction
world-readable. Dans le cas contraire, saisissez l’instructionno-world-readable.[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
Pour spécifier la taille maximale jusqu’à laquelle le fichier de trace peut croître, entrez l’instruction suivante. Une fois que le fichier atteint la taille spécifiée, il est compressé et renommé filename0.gz, le fichier suivant est nommé filename1.gz, et ainsi de suite. Les valeurs valides sont comprises entre 10240 et 1 073 741 824.
[edit] user@host# set security traceoptions file size 10240
Pour activer les options de traçage et effectuer plusieurs opérations de suivi, définissez les indicateurs suivants.
[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
Pour spécifier les groupes auxquels ces paramètres d’option de traçage s’appliquent ou non, entrez les instructions suivantes :
[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
Affichage des fichiers journaux et de suivi
Entrez la monitor start commande pour afficher les ajouts en temps réel aux journaux système et aux fichiers de trace :
user@host> monitor start filename
Lorsque l’appareil ajoute un enregistrement au fichier spécifié par filename, l’enregistrement s’affiche à l’écran. Par exemple, si vous avez configuré un fichier journal système nommé system-log (en incluant l’instruction syslog au niveau hiérarchique [edit system]), vous pouvez entrer la monitor start system-log commande pour afficher les enregistrements ajoutés au journal système.
Pour afficher la liste des fichiers surveillés, entrez la monitor list commande. Pour arrêter l’affichage des enregistrements d’un fichier spécifié, entrez la monitor stop filename commande.
Affichage de la sortie pour les options de traçage de sécurité
But
Afficher la sortie pour les options de traçage de sécurité.
Action
Utilisez la show security traceoptions commande pour afficher la sortie de vos fichiers de trace. Par exemple :
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
Le résultat de cet exemple est le suivant :
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
Affichage des opérations de traçage multicast
Pour surveiller et afficher les opérations de traçage multicast, entrez la mtrace monitor commande :
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
Cet exemple n’affiche que mtrace les requêtes. Cependant, lorsque l’appareil capture une mtrace réponse, l’affichage est similaire, mais la réponse complète mtrace apparaît également (exactement comme elle apparaît dans la sortie de la mtrace from-source commande).
Tableau 1 Récapitule les champs de sortie de l’affichage.
Champ |
Description |
|---|---|
|
|
|
Adresse IP de l’hôte émetteur de la requête. |
|
|
|
|
|
|
|
|
|
|
|
|
Affichage d’une liste de périphériques
Pour afficher une liste de périphériques entre le périphérique et un hôte de destination spécifié, entrez la traceroute commande avec la syntaxe suivante :
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
Tableau 2 Décrit les options de commande traceroute .
Option |
Description |
|---|---|
|
Envoie les paquets traceroute au nom d’hôte ou à l’adresse IP que vous spécifiez. |
|
(Facultatif) Envoie les paquets traceroute sur l’interface que vous spécifiez. Si vous n’incluez pas cette option, les paquets traceroute sont envoyés sur toutes les interfaces. |
|
(Facultatif) Affiche le numéro du système autonome (AS) de chaque saut intermédiaire entre l’équipement et l’hôte de destination. |
|
(Facultatif) Contourne les tables de routage et envoie les paquets traceroute uniquement aux hôtes sur les interfaces directement associées. Si l’hôte n’est pas sur une interface directement connectée, un message d’erreur est renvoyé. Utilisez cette option pour afficher un itinéraire vers un système local via une interface qui n’a pas de route à travers elle. |
|
(Facultatif) Utilise la passerelle que vous spécifiez pour le routage. |
|
(Facultatif) Force les paquets traceroute vers une destination IPv4. |
|
(Facultatif) Force les paquets traceroute vers une destination IPv6. |
|
(Facultatif) Supprime l’affichage des noms d’hôte des sauts le long du chemin. |
|
(Facultatif) Utilise l’instance de routage que vous spécifiez pour le traceroute. |
|
(Facultatif) Utilise l’adresse source que vous spécifiez dans le paquet traceroute. |
|
(Facultatif) Définit la valeur de type de service (TOS) dans l’en-tête IP du paquet traceroute. Spécifiez une valeur comprise entre |
|
(Facultatif) Définit la durée de vie (TTL) du paquet traceroute. Spécifiez un nombre de sauts de |
|
(Facultatif) Définit le temps maximal d’attente d’une réponse. |
Pour quitter la traceroute commande, appuyez sur Ctrl-C.
Voici un exemple de sortie d’une traceroute commande :
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
Les champs de l’affichage sont les mêmes que ceux affichés par l’outil de diagnostic traceroute J-Web.
Exemple : Configuration du débogage de bout en bout sur un équipement SRX Series
Cet exemple montre comment configurer une capture de paquets sur un pare-feu SRX Series haut de gamme et activer le débogage de bout en bout sur un pare-feu SRX Series avec un SRX5K-MPC.
- Conditions préalables
- Présentation
- Configuration
- Exemple : Configurer la capture de paquets pour le débogage de chemins de données
- Activation du débogage du chemin d’accès aux données
- Vérification
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
SRX5600 appareil équipé d’un SRX5K-MPC et d’un émetteur-récepteur CFP 100 Gigabit Ethernet
Junos OS version 12.1X47-D15 ou ultérieure pour les pare-feu SRX Series
Avant de commencer :
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Présentation
Le débogage des chemins de données améliore les capacités de dépannage en fournissant le suivi et le débogage au niveau de plusieurs unités de traitement le long du chemin de traitement des paquets. Grâce à la fonctionnalité de débogage du chemin de données, vous pouvez tracer et déboguer (capturer des paquets) à différents points de données le long du chemin de traitement. À chaque événement, vous pouvez spécifier une action (nombre, vidage de paquets, résumé de paquets et trace) et définir des filtres pour définir les paquets à capturer.
Dans cet exemple, vous définissez un filtre de trafic, puis vous appliquez un profil d’action. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. Les entrées et les sorties sont spécifiées en tant qu’emplacements sur le chemin de traitement pour capturer les données relatives au trafic entrant et sortant.
Ensuite, vous activez le débogage du chemin d’accès aux données en mode opérationnel, et enfin vous affichez le rapport de capture de données.
Le débogage du chemin d’accès aux données est pris en charge sur SRX5400, SRX5600 et SRX5800.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur CLI Junos OS .
Pour configurer le débogage du chemin d’accès aux données :
Modifiez l’option de débogage du chemin de données de sécurité pour les unités de traitement multiples le long du chemin de traitement des paquets :
[edit] user@host# edit security datapath-debug
Activez le fichier de capture, le format de fichier, la taille du fichier et le nombre de fichiers.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
Configurez le profil d’action, le type d’événement et les actions pour le profil d’action.
[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Exemple : Configurer la capture de paquets pour le débogage de chemins de données
Cet exemple montre comment configurer la capture de paquets pour surveiller le trafic qui passe par le périphérique. La capture de paquets vide ensuite les paquets dans un format de fichier PCAP qui peut être examiné ultérieurement par l’utilitaire tcpdump.
Conditions préalables
Présentation
Un filtre est défini pour filtrer le trafic ; Ensuite, un profil d’action est appliqué au trafic filtré. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. L’une des actions prises en charge est le vidage de paquets, qui envoie le paquet au moteur de routage et le stocke sous forme propriétaire pour être lu à l’aide de la show security datapath-debug capture commande.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configurationdu Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer la capture de paquets, procédez comme suit :
Modifiez l’option de chemin d’accès aux données de sécurité pour les unités de traitement multiples le long du chemin de traitement des paquets :
[edit] user@host# edit security datapath-debug
Activez le fichier de capture, le format de fichier, la taille du fichier et le nombre de fichiers. Le nombre de taille limite la taille du fichier de capture. Une fois la taille limite atteinte, si le numéro de fichier est spécifié, le fichier de capture sera tourné vers filename x, où x est auto-incrémenté jusqu’à ce qu’il atteigne l’index spécifié, puis retourne à zéro. Si aucun index de fichiers n’est spécifié, les paquets seront rejetés une fois la limite de taille atteinte. La taille par défaut est de 512 kilo-octets.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Activez le profil d’action et définissez l’événement. Définissez le profil d’action sur do-capture et le type d’événement sur np-ingress :
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Activez le vidage de paquets pour le profil d’action :
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Activez les options de filtrage de paquets, d’action et de filtre. Le filtre de paquets est défini sur my-filter, le profil d’action est défini sur do-capture et l’option de filtre est définie sur source-prefix 1.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security datapath-debug commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
security {
datapath-debug {
capture-file {
my-capture
format pcap
size 1m
files 5;
}
}
maximum-capture-size 100;
action-profile do-capture {
event np-ingress {
packet-dump
}
}
packet-filter my-filter {
source-prefix 1.2.3.4/32
action-profile do-capture
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la capture des paquets
- Vérification de la capture de débogage de chemin de données
- Vérification du compteur de débogage du chemin de données
Vérification de la capture des paquets
But
Vérifiez si la capture de paquets fonctionne.
Action
À partir du mode opérationnel, entrez la commande pour démarrer la request security datapath-debug capture start capture de paquets et entrez la commande pour arrêter la request security datapath-debug capture stop capture de paquets.
Pour afficher les résultats, à partir du mode opérationnel de la CLI, accédez au shell UNIX local et accédez au répertoire /var/log/my-capture. Le résultat peut être lu à l’aide de l’utilitaire tcpdump.
Vérification de la capture de débogage de chemin de données
But
Vérifiez les détails du fichier de capture de débogage du chemin d’accès aux données.
Action
À partir du mode opérationnel, entrez la show security datapath-debug capture commande.
user@host>show security datapath-debug capture
Une fois le dépannage terminé, veillez à supprimer ou désactiver toutes les configurations de traceoptions (sans s’y limiter, les traceoptions de flux) et la strophe de configuration complète datapath-debug de sécurité. Si des configurations de débogage restent actives, elles continueront à utiliser les ressources CPU et mémoire de l’appareil.
Activation du débogage du chemin d’accès aux données
Procédure
Procédure étape par étape
Après avoir configuré le débogage du chemin de données, vous devez démarrer le processus sur l’appareil à partir du mode opérationnel.
Activez le débogage du chemin d’accès aux données.
user@host> request security datapath-debug capture start
datapath-debug capture started on file datapcap
Avant de vérifier la configuration et d’afficher les rapports, vous devez désactiver le débogage du chemin d’accès aux données.
user@host> request security datapath-debug capture stop
datapath-debug capture succesfully stopped, use show security datapath-debug capture to view
REMARQUE :Vous devez arrêter le processus de débogage une fois que vous avez terminé de capturer les données. Si vous tentez d’ouvrir les fichiers capturés sans arrêter le processus de débogage, les fichiers obtenus ne peuvent pas être ouverts par le biais d’un logiciel tiers (par exemple, tcpdump et wireshark).
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des détails de capture des paquets de débogage du chemin de données
But
Vérifiez les données capturées en activant la configuration de débogage du chemin d’accès aux données.
Action
À partir du mode opérationnel, entrez la show security datapath-debug capture commande.
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
Par souci de concision, la sortie de la show commande est tronquée pour n’afficher que quelques échantillons. Des échantillons supplémentaires ont été remplacés par des ellipses (...).
Pour afficher les résultats, à partir du mode opérationnel de la CLI, accédez au shell UNIX local et accédez au répertoire /var/log/<file-name>. Le résultat peut être lu à l’aide de l’utilitaire tcpdump .
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
Si vous avez terminé le dépannage du débogage du chemin de données, supprimez tout traceoptions (sans vous limiter aux traceoptions de flux) et l’ensemble de la configuration de débogage du chemin de données, y compris la configuration de débogage du chemin de données pour la capture de paquets (vidage de paquets), qui doit être démarrée/arrêtée manuellement. Si une partie de la configuration de débogage reste active, elle continuera à utiliser les ressources de l’appareil (CPU/mémoire).