トレースオプションの設定
ほとんどの場合、許可および拒否されるトラフィックのポリシーログは、Juniper ATP CloudがSRXシリーズファイアウォールのデータで何をしているかを検証するのに十分です。ただし、場合によっては、より多くの情報が必要になることがあります。このような場合、traceoptionsを使用して、SRXシリーズファイアウォールに出入りするトラフィックフローを監視できます。
トレース・オプションの使用は、デバッグ・ツールに相当します。SRXシリーズファイアウォールを通過するパケットをデバッグするには、 を設定し traceoptions
、 フラグ basic-datapath
を立てる必要があります。これは、パケットがSRXシリーズファイアウォールに入るまでトレースし、その過程でSRXシリーズファイアウォールが実行しているさまざまなアクションの詳細を提供します。詳細については、SRXシリーズ ドキュメントの「 データ パスのデバッグ 」を参照してください。
最小 traceoptions
構成には、ターゲット file
と flag
.ターゲット file
は、トレース出力が記録される場所を決定します。は flag
、収集するデータのタイプを定義します。の使用 traceoptions
方法の詳細については、お使いのSRXシリーズファイアウォールのマニュアルを参照してください。
トレース出力ファイルを設定するには、 オプションを使用します file filename
。次の例では、トレース出力ファイルを srx_aamw.log
として定義しています。
user@host# edit services advanced-anti-malware traceoptions [edit services advanced-anti-malware traceoptions] user@host# set file srx_aamw.log
ここで、 は flag
収集するデータを定義し、次のいずれかの値にすることができます。
all
—すべてをトレースします。connection
- サーバーへの接続をトレースします。content
- コンテンツバッファ管理をトレースします。daemon
- Juniper ATPクラウドデーモンをトレースします。identification
- トレース ファイルの識別。parser
- プロトコル コンテキスト パーサーをトレースします。plugin
—高度なマルウェア対策プラグインをトレースします。policy
- 高度なマルウェア対策ポリシーをトレースします。
次の例では、SRXシリーズファイアウォールと高度なアンチマルウェアポリシーへの接続をトレースしています。
user@host# edit services advanced-anti-malware traceoptions [edit services advanced-anti-malware traceoptions] user@host# set services advanced-anti-malware traceoptions file skyatp.log user@host# set services advanced-anti-malware traceoptions file size 100M user@host# set services advanced-anti-malware traceoptions level all user@host# set services advanced-anti-malware traceoptions flag all
設定をコミット traceoption
する前に、 show services advanced-anti-malware
コマンドを使用して設定を確認します。
# show services advanced-anti-malware url https://xxx.xxx.xxx.com; authentication { tls-profile ... } traceoptions { file skyatp.log; flag all; ... } ...
公開キー基盤(PKI)トレース オプションを設定することもできます。例えば:
set security pki traceoptions file pki.log set security pki traceoptions flag all
ルーティング エンジンとパケット転送エンジンの両方でデバッグ トレースを有効にするには、次の構成を行います。
set services ssl traceoptions file ssl.log set services ssl traceoptions file size 100m set services ssl traceoptions flag all
SSL プロキシー・プロファイルでログを有効にして、ドロップの根本原因を突き止めることができます。次のエラーは、最も一般的なエラーの一部です。
サーバー証明書の検証エラー。
信頼できる CA の構成が構成と一致しません。
メモリ割り当てエラーなどのシステム障害。
暗号が一致しません。
SSL のバージョンが一致しません。
SSL オプションはサポートされていません。
ルート CA の有効期限が切れています。新しいルート CA を読み込む必要があります。
フロートレースオプションを設定して、SRXシリーズファイアウォールを通過するトラフィックフローのトラブルシューティングを行います。
set security flow traceoptions flag all set security flow traceoptions file flow.log size 100M