Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

traceoptionsの構成

ほとんどの場合、Juniper ATP CloudがSRXシリーズファイアウォールのデータで何をしているかを検証するには、許可および拒否されるトラフィックのポリシーロギングで十分です。ただし、場合によっては、さらに情報が必要になることがあります。このような場合は、traceoptionsを使用して、SRXシリーズファイアウォールに出入りするトラフィックフローを監視できます。

トレース オプションの使用は、デバッグ ツールに相当します。SRXシリーズファイアウォールを通過するパケットをデバッグするには、 traceoptions を設定し、 basic-datapathフラグを設定する必要があります。この設定では、SRXシリーズファイアウォールに入るパケットから出るまでトレースされるため、SRXシリーズファイアウォールが途中で実行するさまざまなアクションの詳細が表示されます。詳細については、SRXシリーズドキュメントの データパスのデバッグ を参照してください。

最小 traceoptions 設定には、ターゲット fileflagの両方を含める必要があります。ターゲット file は、トレース出力が記録される場所を決定します。 flag は、収集されるデータの種類を定義します。 traceoptions の使用に関する詳細については、SRXシリーズ ファイアウォールのドキュメントを参照してください。

トレース出力ファイルを設定するには、 file filename オプションを使用します。次の例では、トレース出力ファイルを次のように定義 srx_aamw.log

ここで、 flag は収集するデータを定義し、次のいずれかの値を指定できます。

  • all—すべてをトレースします。

  • connection- サーバーへの接続をトレースします。

  • content- コンテンツ バッファ管理をトレースします。

  • daemon—Juniper ATP Cloudデーモンをトレースします。

  • identification- トレース ファイルの識別。

  • parser- プロトコル コンテキスト パーサーをトレースします。

  • plugin- Advanced Anti-Malware(AAMW)プラグインをトレースします。

  • policy- AAMW ポリシーをトレースします。

次の例は、SRXシリーズファイアウォールとAAMWポリシーへの接続をトレースします。

traceoption設定をコミットする前に、show services advanced-anti-malwareコマンドを使用して設定を確認してください。

また、公開鍵基盤(PKI)トレース オプションを設定することもできます。例えば:

ルーティングエンジンとパケット転送エンジンの両方でのデバッグトレースは、次の設定を行うことでSSLプロキシに対して有効にできます。

SSLプロキシプロファイルのログを有効にして、ドロップの根本原因に到達できます。次のエラーは、最も一般的なものの一部です。

  • サーバー認定検証エラー

  • 信頼できる CA の設定が設定と一致しません。

  • メモリ割り当ての障害などのシステム障害

  • 暗号が一致しません。

  • SSL バージョンが一致しません。

  • SSL オプションはサポートされていません。

  • ルート CA の有効期限が切れています。新しいルート CA を読み込む必要があります。

フロートレースオプションを設定して、SRXシリーズファイアウォールを通過するトラフィックフローをトラブルシューティングします。

関連資料