データパスのデバッグとトレースのオプションを設定する
SRX シリーズデバイスのデータパスのデバッグについて
データパスのデバッグやエンドツーエンドのデバッグをサポートすることにより、パケット処理パスにある複数の処理ユニットでトレースとデバッグを実行できます。パケットフィルターを実行することで、実稼働システムへの影響を最小限に抑えることができます。
パケット キャプチャの収集を目的にする場合は、パケット キャプチャのリリースで導入された運用モード パケット キャプチャJunos OS強19.3R1。動作 モードからのパケット キャプチャ を参照してください。
SRX シリーズデバイスでは、パケットは、受信処理から送信プロセスまでのさまざまなコンポーネントに関連する一連のイベントを通過します。
データパスのデバッグ機能を使用すると、処理パスに沿ってさまざまなデータポイントでトレースとデバッグ (パケットのキャプチャ) を実行できます。パケット処理パスで使用可能なイベントは、以下のとおりです。NP 受信、ロードバランシング・スレッド (LBT)、jexec、パケット・オーダー・スレッド (.POT)、NP 送信。また、特定のモジュールのセキュリティフロートレースフラグが設定されている場合は、フローモジュールトレースを有効にすることもできます。
各イベントでは、4つのアクション (カウント、パケットダンプ、パケットの要約、トレース) のいずれかを指定できます。データパスのデバッグには、キャプチャするパケットを定義するフィルターが用意されています。また、一致したパケットのみがトレースされます。パケットフィルターは、論理インタフェース、プロトコル、送信元 IP アドレスプレフィックス、送信元ポート、宛先 IP アドレスプレフィックス、宛先ポートに基づいてパケットを除外できます。
データ パス デバッグは、SRX1400、SRX3400、SRX3600、SRX4600、SRX5400、SRX5600、SRX5800。
エンドツーエンドデバッグを有効にするには、以下の手順を実行する必要があります。
キャプチャファイルを定義し、最大キャプチャサイズを指定します。
要件に基づいて特定のタイプのトラフィックのみをトレースするようにパケットフィルターを定義します。
パケットをキャプチャする処理パスの場所を指定したアクションプロファイルを定義します (LBT や NP 入口など)。
データパスのデバッグを有効にします。
トラフィックをキャプチャします。
データパスのデバッグを無効にします。
レポートを表示または分析します。
ポートとインターフェイスオプションのパケットフィルタリングの動作は、以下のとおりです。
パケット フィルターが指定されている場合にのみ、IPv4 および IPv6 トラフィックの両方を port トレースします。
パケット フィルターは、指定されている場合にのみ IPv4、IPV6、および非 IP トラフィックを interface トレースします。
運用モードからのパケットキャプチャ
データパスのデバッグやエンドツーエンドのデバッグにより、パケット処理パスにある複数の処理ユニットでトレースとデバッグが可能になります。パケットキャプチャは、データパスデバッグ機能の1つです。構成をコミットせずに、運用モードからパケットキャプチャを実行することで、実稼働システムへの影響を最小限に抑えることができます。
フィルターを使用してパケットをキャプチャし、キャプチャするパケットを定義することができます。パケットフィルターは、論理インタフェース、プロトコル、送信元 IP アドレスプレフィックス、送信元ポート、宛先 IP アドレスプレフィックス、宛先ポートに基づいてパケットを除外できます。パケットキャプチャ出力のファイル名、ファイルタイプ、ファイルサイズ、およびキャプチャサイズを変更できます。また、フィルタを2つのフィルタに拡張し、フィルタの値をスワップすることもできます。
動作モードからパケットをキャプチャするには、以下の手順を実行する必要があります。
- 動作モードから、
request packet-capture startCLI コマンドを使用して、要件に基づいてトラフィックのタイプをトレースするようにパケットフィルターを定義します。使用可能 request packet-capture start なパケット キャプチャ フィルター オプションについては、 を参照してください。 - 必要なパケットをキャプチャします。
request packet-capture stopCLI コマンドを使用してパケットキャプチャを停止するか、または要求された数のパケットを収集した後に、パケットキャプチャが自動的に停止します。- キャプチャしたパケットデータレポートを表示または分析します。
運用モードからパケットを取得する際の制限事項は以下のとおりです。
構成モードのパケットキャプチャと運用モードのパケットキャプチャを共存させることはできません。
動作モードパケットキャプチャは1回限りの操作であり、システムにはこのコマンドの履歴は格納されません。
運用モードのパケットキャプチャは、トラフィックフローの割合を低くして使用する必要があります。
関連項目
トレースオプションを使用したセキュリティデバッグの理解
Junos OS trace 機能を使用すると、アプリケーションはセキュリティデバッグ情報をファイルに書き込むことができます。このファイルに表示される情報は、設定した基準に基づいています。この情報を使用して、セキュリティアプリケーションの問題を分析することができます。
Trace 関数は分散した方法で動作し、各スレッドが独自のトレースバッファーに書き込みを行います。その後、これらのトレースバッファーは、1つの時点で収集され、その並べ替えと、トレースファイルへの書き込みを行います。トレースメッセージは、プロセス間通信 (IPC) プロトコルを使用して配信されます。トレースメッセージは、BGP、OSPF、IKE など、制御プロトコルパケットの場合よりも優先度が低く、そのため配信は信頼性の高いと見なされません。
トレースオプションを使用したフローデバッグの理解
フロー トレース オプションでは、 の組み合わせを使用して destination-port パケット フィルター destination-prefixinterfaceprotocolsource-port を定義 source-prefix できます。特定のモジュールのセキュリティフロートレースフラグが設定されている場合、特定のパケットフィルターに一致するパケットがフロートレースをトリガーし、デバッグ情報をトレースファイルに書き込みます。
データパスのデバッグ (CLI プロシージャ)
データパスのデバッグは、SRX1400、SRX3400、SRX3600、SRX5400、SRX5600、SRX5800 でサポートされています。
データパスのデバッグ用にデバイスを構成するには、次の手順に従います。
フローデバッグトレースオプションの設定 (CLI 手順)
次の例は、を使用security flow traceoptionsして設定できるオプションを示しています。
Filter1 パケットフィルターの imap 宛先ポートと一致させるには、次のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
Filter1 パケットフィルター用に1.2.3.4 宛先 IPv4 プレフィックスアドレスを設定するには、次のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
Filter1 パケットフィルターの fxp0 論理インタフェースを設定するには、以下の文を使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
Filter1 パケットフィルターの TCP IP プロトコルと一致させるには、次のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
Filter1 パケットフィルターの HTTP 送信元ポートと一致させるには、次のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
Filter1 パケットフィルターに 5.6.7.8 IPv4 プレフィックスアドレスを設定するには、次のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
セキュリティトレースオプションの設定 (CLI 手順)
CLI 構成エディターでセキュリティトレースオプションを設定するには、以下の構成文を使用します。
リモートトレースを無効にするには、次のステートメントを入力します。
[edit] user@host# set security traceoptions no-remote-trace
トレースメッセージをローカルファイルに書き込むには、次のステートメントを入力します。システムによって、トレースファイルが /var/log/ ディレクトリに保存されます。
[edit] user@host# set security traceoptions use-local-files
トレースファイルの名前を指定するには、次のステートメントを入力します。有効な値の範囲は、1 ~ 1024 文字です。名前にスペース、/、または% 文字を含めることはできません。デフォルトのファイル名はセキュリティです。
[edit] user@host# set security traceoptions file filename
蓄積できるトレースファイルの最大数を指定するには、次のステートメントを入力します。有効な値の範囲は 2 ~ 1000 です。デフォルト値は3です。
[edit] user@host# set security traceoptions file files 3
情報をファイルに記録する際にシステムが使用する照合基準を指定するには、次の文を入力します。正規表現を入力します。ワイルドカード (*) 文字が受け入れられます。
[edit] user@host# set security traceoptions file match *thread
すべてのユーザーがトレースファイルを読み取ることができるよう
world-readableにするには、ステートメントを入力します。それ以外の場合no-world-readableは、明細書を入力します。[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
トレースファイルが拡張できる最大サイズを指定するには、次のステートメントを入力します。ファイルのサイズが指定されたサイズに達すると、ファイル名が圧縮され、ファイル名が0.gzに変更され、次のファイルの名前は1.gzになります。有効な値の範囲は、10240 ~ 1073741824 です。
[edit] user@host# set security traceoptions file size 10240
トレースオプションをオンにして、複数のトレース操作を実行するには、以下のフラグを設定します。
[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
これらのトレースオプション設定が適用されるグループを指定するには、以下のステートメントを入力します。
[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
ログとトレースファイルの表示
システムログmonitor startとトレースファイルへのリアルタイムの追加を表示するコマンドを入力します。
user@host> monitor start filename
デバイスがによってfilename指定されたファイルにレコードを追加すると、そのレコードが画面に表示されます。たとえば、 system-logシステムログファイル ([ syslogedit system] 階層レベルにステートメントを含めることで) を設定した場合、システムログに追加されmonitor start system-logたレコードを表示するコマンドを入力できます。
監視中のファイルのリストを表示するには、 monitor listコマンドを入力します。指定したファイルのレコードの表示を停止するにはmonitor stop filename 、コマンドを入力します。
セキュリティトレースオプションの出力を表示する
目的
セキュリティトレースオプションの出力を表示します。
アクション
このshow security traceoptionsコマンドを使用して、トレースファイルの出力を表示します。たとえば、以下のように記述します。
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
この例の出力は次のようになります。
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
マルチキャストトレース操作の表示
マルチキャストトレース操作を監視して表示するmtrace monitorには、以下のコマンドを入力します。
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
この例ではmtrace 、クエリのみを表示します。しかし、デバイスがmtrace応答をキャプチャすると、ディスプレイは似ていますがmtrace 、 mtrace from-sourceコマンド出力に表示されるとおりに完全な応答も表示されます。
表 1表示の出力フィールドの概要を示します。
] |
説明 |
|---|---|
|
|
|
クエリを発行しているホストの IP アドレス。 |
|
|
|
|
|
|
|
|
|
|
|
|
デバイスのリストを表示する
デバイスと指定された宛先ホストの間のデバイスのリストを表示するtracerouteには、次の構文でコマンドを入力します。
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
表 2tracerouteコマンドオプションについて説明します。
オプション |
説明 |
|---|---|
|
Traceroute パケットを指定されたホスト名または IP アドレスに送信します。 |
|
ナ指定したインターフェイスで traceroute パケットを送信します。このオプションが含まれていない場合、traceroute パケットはすべてのインターフェイスに送信されます。 |
|
ナデバイスと宛先ホストの間の各中間ホップの自律システム (AS) 数を表示します。 |
|
ナルーティングテーブルをバイパスし、直接接続されたインターフェイス上のホストにのみ traceroute パケットを送信します。ホストが直接接続されたインターフェイス上にない場合、エラーメッセージが返されます。 このオプションを使用すると、ルートを持たないインターフェイスを介してローカルシステムへのルートを表示できます。 |
|
ナでは、指定したゲートウェイを経由してルーティングが実行されます。 |
|
ナTraceroute パケットを IPv4 宛先に強制的に移動させます。 |
|
ナTraceroute パケットを IPv6 宛先に強制します。 |
|
ナパス上のホップのホスト名の表示を抑制します。 |
|
ナTraceroute に指定したルーティングインスタンスを使用します。 |
|
ナTraceroute パケットで指定した送信元アドレスを使用します。 |
|
ナTraceroute パケットの IP ヘッダーにあるサービスタイプ (TOS) 値を設定します。からの |
|
ナTraceroute パケットの生存期間 (TTL) 値を設定します。 |
|
ナ応答を待機する最大時間を設定します。 |
tracerouteコマンドを終了するには、Ctrl + C キーを押します。
tracerouteコマンドからの出力例を以下に示します。
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
この画面に表示されるフィールドは、J-Web traceroute 診断ツールによって表示されているものと同じです。
例:SRX シリーズデバイス上でのエンドツーエンドデバッグの構成
この例は、SRX5K-MPC の MPC を使用して、SRX シリーズデバイスでエンドツーエンドのデバッグを設定して有効にする方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
100-ギガビットイーサネット CFP トランシーバーを搭載した SRX5K-MPC の MPC を搭載したデバイスを SRX5600
Junos OS SRX シリーズデバイスのリリース 12.1 X47-D15 またはそれ以降
開始する前に:
「 SRX シリーズデバイスのデータパスのデバッグについて」を参照してください。
この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。
概要
データパスデバッグは、パケット処理パスにある複数の処理ユニットでトレースとデバッグを実行することで、トラブルシューティング機能を強化します。データパスのデバッグ機能を使用すると、処理パスに沿ってさまざまなデータポイントでトレースとデバッグ (パケットのキャプチャ) を実行できます。各イベントで、アクション (カウント、パケットダンプ、パケットの要約、トレース) を指定できます。また、フィルターを設定して、キャプチャするパケットを定義することもできます。
この例では、トラフィックフィルターを定義してから、アクションプロファイルを適用します。アクションプロファイルによって、処理ユニットに対するさまざまなアクションが指定されます。受信および送信は、処理パス上の位置として指定され、着信および発信トラフィック用のデータを取得します。
次に、運用モードでデータパスのデバッグを有効にし、最後にデータキャプチャレポートを表示します。
データパスのデバッグは、SRX1400、SRX3400、SRX3600、SRX5400、SRX5600、SRX5800 でサポートされています。
構成
手順
CLI クイック構成
この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
順を追った手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディター の Junos OS CLI使用 」を 参照してください 。
データパスデバッグを構成するには、次の手順に従います。
複数の処理ユニットのセキュリティ datapath デバッグオプションをパケット処理パスに加えて編集します。
[edit] user@host# edit security datapath-debug
キャプチャファイル、ファイル形式、ファイルサイズ、およびファイル数を有効にします。
[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
アクションプロファイルのアクションプロファイル、イベントタイプ、アクションを設定します。
[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
結果
設定モードから、 show security datapath-debugコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
デバイスの設定が完了したら、設定commitモードから入力します。
データパスのデバッグを可能にする
手順
順を追った手順
データパスのデバッグを設定した後、デバイス上で運用モードからプロセスを開始する必要があります。
データパスのデバッグを有効にします。
user@host> request security datapath-debug capture start
datapath-debug capture started on file datapcap
構成を検証してレポートを表示する前に、データパスのデバッグを無効にする必要があります。
user@host> request security datapath-debug capture stop
datapath-debug capture succesfully stopped, use show security datapath-debug capture to view
注:データのキャプチャが完了したら、デバッグプロセスを停止する必要があります。デバッグプロセスを停止せずに、キャプチャされたファイルを開こうとすると、取得したファイルをサードパーティー製ソフトウェア (tcpdump や wireshark など) で開くことができません。
検証
構成が正常に機能していることを確認します。
データパスを検証していますパケットキャプチャの詳細情報
目的
データパスのデバッグ構成を有効にすることによってキャプチャされたデータを確認します。
アクション
動作モードから、 show security datapath-debug captureコマンドを入力します。
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
簡潔にするためshowに、コマンド出力は一部のサンプルのみを表示するように切り捨てられています。その他のサンプルは、省略記号 (...) で置き換えられています。
結果を表示するには、CLI 運用モードからローカル UNIX シェルにアクセスし、そのディレクトリ/var/log/<file-name>に移動します。その結果は、このtcpdumpユーティリティを使用して読み取ることができます。
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
データパスデバッグのトラブルシューティングが完了したら、すべてtraceoptionsの (フロー traceoptions に限定されません) と、完全なデータパスデバッグ構成 (パケットキャプチャ (パケット取り込み) 用のデータパスデバッグ構成など) を削除します。手動で開始または停止する必要があります。デバッグ設定の任意の部分がアクティブな場合、デバイスのリソース (CPU/メモリ) を使用し続けることになります。