Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

トレースオプションの設定

ほとんどの場合、許可および拒否されるトラフィックのポリシーログは、Juniper ATP CloudがSRXシリーズファイアウォールのデータで何をしているかを検証するのに十分です。ただし、場合によっては、より多くの情報が必要になることがあります。このような場合、traceoptionsを使用して、SRXシリーズファイアウォールに出入りするトラフィックフローを監視できます。

トレース・オプションの使用は、デバッグ・ツールに相当します。SRXシリーズファイアウォールを通過するパケットをデバッグするには、 を設定し traceoptions 、 フラグ basic-datapathを立てる必要があります。これは、パケットがSRXシリーズファイアウォールに入るまでトレースし、その過程でSRXシリーズファイアウォールが実行しているさまざまなアクションの詳細を提供します。詳細については、SRXシリーズ ドキュメントの「 データ パスのデバッグ 」を参照してください。

最小 traceoptions 構成には、ターゲット fileflag.ターゲット file は、トレース出力が記録される場所を決定します。は flag 、収集するデータのタイプを定義します。の使用 traceoptions方法の詳細については、お使いのSRXシリーズファイアウォールのマニュアルを参照してください。

トレース出力ファイルを設定するには、 オプションを使用します file filename 。次の例では、トレース出力ファイルを srx_aamw.logとして定義しています。

ここで、 は flag 収集するデータを定義し、次のいずれかの値にすることができます。

  • all—すべてをトレースします。

  • connection- サーバーへの接続をトレースします。

  • content- コンテンツバッファ管理をトレースします。

  • daemon- Juniper ATPクラウドデーモンをトレースします。

  • identification- トレース ファイルの識別。

  • parser- プロトコル コンテキスト パーサーをトレースします。

  • plugin—高度なマルウェア対策プラグインをトレースします。

  • policy- 高度なマルウェア対策ポリシーをトレースします。

次の例では、SRXシリーズファイアウォールと高度なアンチマルウェアポリシーへの接続をトレースしています。

設定をコミット traceoption する前に、 show services advanced-anti-malware コマンドを使用して設定を確認します。

公開キー基盤(PKI)トレース オプションを設定することもできます。例えば:

ルーティング エンジンとパケット転送エンジンの両方でデバッグ トレースを有効にするには、次の構成を行います。

SSL プロキシー・プロファイルでログを有効にして、ドロップの根本原因を突き止めることができます。次のエラーは、最も一般的なエラーの一部です。

  • サーバー証明書の検証エラー。

  • 信頼できる CA の構成が構成と一致しません。

  • メモリ割り当てエラーなどのシステム障害。

  • 暗号が一致しません。

  • SSL のバージョンが一致しません。

  • SSL オプションはサポートされていません。

  • ルート CA の有効期限が切れています。新しいルート CA を読み込む必要があります。

フロートレースオプションを設定して、SRXシリーズファイアウォールを通過するトラフィックフローのトラブルシューティングを行います。

関連ドキュメント