monitor security packet-drop
構文
monitor security packet-drop <source-prefix> <destination-prefix> <source-port> <destination-port> <ingress-interface-name> <protocol> <logical-system-name> <count-number>
説明
設定をコミットせずにパケットドロップ情報を表示するため、トラフィックフローのトレースとモニタリングが可能になります。このコマンドの出力は、 Ctrl+c を押すまで、またはセキュリティ デバイスが要求されたパケット ドロップ数を収集するまで、画面に表示されます。コマンドには、要件ごとに出力フィールドを生成するためのさまざまなフィルターが含まれています。
コマンドを使用して、パケットポケットレコードをファイルに monitor security packet-drop | append /var/log/filename.log
保存できます。
オプション
source-prefix | 指定された送信元 IP または送信元プレフィックス アドレスのパケット ドロップ情報を表示します。 |
destination-prefix | 指定された宛先IPまたは送信元プレフィックスアドレスのパケットドロップ情報を表示します。 |
source-port | 指定された送信元ポートのパケットドロップ情報を表示します。 |
destination-port | 指定された宛先ポートのパケットドロップ情報を表示します。 |
ingress-interface-name | 指定されたイングレスインターフェイスアドレスのパケットドロップ情報を表示します。 |
protocol | 指定されたプロトコル番号のパケットドロップ情報を表示します。 |
logical-system-name | 論理システム名のパケットドロップ情報を表示します。 |
count-number | 指定されたカウントのパケットドロップ情報を表示します。 範囲: 1 から 8000 デフォルト: 50 |
必要な権限レベル
ビュー
サンプル出力
セキュリティパケットドロップの監視
設定が デフォルトの IDP セキュリティポリシーに設定されている場合、 コマンドを使用すると、 コマンド set security idp idp-policy IDP_Default rulebase-ips rule 1 then action drop-packet
に対して monitor security packet-drop 次のタイプの出力が表示されます。
user@host> monitor security packet-drop
Starting packet drop: 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP drop SLL packet
構成が接続ドロップアクションに設定されている場合、コマンドに対して monitor security packet-drop 次のタイプの出力が表示されます。
user@host> monitor security packet-drop
Starting packet drop: 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:Malformed IPV6 header in IPv4 tunnel 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:Bad TCP headers
IPSポリシーに依存しないパケットドロップの出力。
user@host> monitor security packet-drop
Starting packet drop: 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP drop SLL packet 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:Malformed IPV6 header in IPv4 tunnel 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:Bad TCP headers 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:Overflow drops 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:Sequence number wrap around errors 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Policy Initn failed 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:Flow Rejected
user@host> monitor security packet-drop
Starting packet drop: 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Drop Packet ICMP:INFO:ECHO-REQUEST 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Close-Client-And-Server ICMP:INFO:ECHO-REQUEST 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Close-Server ICMP:INFO:ECHO-REQUEST 14:46:45.511471:LSYS-ID-00 4.0.0.1/19895-->5.0.0.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Close-Client ICMP:INFO:ECHO-REQUEST
- フィルターを使用したセキュリティ パケット ドロップの監視
- セキュリティの監視パケット ドロップ カウント 2
- セキュリティパケットドロップの監視 |/var/log/abcd.log を追加します
- show log ABCD.log
フィルターを使用したセキュリティ パケット ドロップの監視
user@host> monitor security packet-drop source-prefix 192.0.2.1 destination-prefix 192.151.100.1 proto icmp
14:46:45.511471:LSYS-ID-00 192.0.2.1/19895-->192.151.100.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Close-Server ICMP:INFO:ECHO-REQUEST 14:46:45.511471:LSYS-ID-00 192.0.2.1/19895-->192.151.100.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Close-Client ICMP:INFO:ECHO-REQUEST
セキュリティの監視パケット ドロップ カウント 2
user@host> monitor security packet-drop count 2
14:46:45.511471:LSYS-ID-00 192.0.2.1/19895-->192.151.100.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Close-Server ICMP:INFO:ECHO-REQUEST 14:46:45.511471:LSYS-ID-00 192.0.2.1/19895-->192.151.100.1/1;icmp,ipid-0,ge-0/0/0.0,Dropped by IDP:IDP Rule Action Close-Server ICMP:INFO:ECHO-REQUEST
セキュリティパケットドロップの監視 |/var/log/abcd.log を追加します
user@host> monitor security packet-drop | append /var/log/abcd.log
^C[abort] Wrote 7 lines of output to '/var/log/abcd.log'
show log ABCD.log
user@host> show log abcd.log
Starting packet drop: 07:35:36.742809:LSYS-ID-00 192.0.2.1/2198-->192.151.100.1/1;icmp,ipid-16088,ge-0/0/2.0,Dropped by POLICY:Denied by Policy: default-policy-logical-system-00 07:35:37.640858:LSYS-ID-00 192.0.2.1/2198-->192.151.100.1/2;icmp,ipid-52440,ge-0/0/2.0,Dropped by POLICY:Denied by Policy: default-policy-logical-system-00 07:35:38.665155:LSYS-ID-00 192.0.2.1/2198-->192.151.100.1/3;icmp,ipid-28633,ge-0/0/2.0,Dropped by POLICY:Denied by Policy: default-policy-logical-system-00 07:35:39.689185:LSYS-ID-00 192.0.2.1/2198-->192.151.100.1/4;icmp,ipid-47577,ge-0/0/2.0,Dropped by POLICY:Denied by Policy: default-policy-logical-system-00 07:35:40.712870:LSYS-ID-00 192.0.2.1/2198-->192.151.100.1/5;icmp,ipid-44762,ge-0/0/2.0,Dropped by POLICY:Denied by Policy: default-policy-logical-system-00 07:35:41.797742:LSYS-ID-00 192.0.2.1/2198-->192.151.100.1/6;icmp,ipid-16859,ge-0/0/2.0,Dropped by POLICY:Denied by Policy: default-policy-logical-system-00
リリース情報
Junos OSリリース21.1R1で導入されたコマンド。
Junos OSリリース21.2R2のパケットドロップ理由に署名が追加されました。