データ・パスのデバッグおよびトレース・オプションの構成
SRXシリーズデバイスのデータパスデバッグについて
データ・パス・デバッグ (エンドツーエンド・デバッグ) サポートは、パケット・プロセス・パスに沿った複数の処理装置でトレースとデバッグを提供します。パケットフィルタは、本番システムへの影響を最小限に抑えて実行できます。
パケット キャプチャの収集を目的としている場合は、Junos OS リリース 19.3R1 で導入された動作モード パケット キャプチャを活用することを強くお勧めします。運用モードからのパケットキャプチャを参照してください。
SRXシリーズファイアウォールでは、パケットは、ingressからegress処理までのさまざまなコンポーネントが関係する一連のイベントを通過します。
データ・パス・デバッグ機能を使用すると、処理パスに沿ったさまざまなデータ・ポイントでトレースおよびデバッグ(パケットのキャプチャー)を行うことができます。パケット処理パスで使用可能なイベントは次のとおりです。NP ingress、LBT(負荷分散スレッド)、jexec、POT(パケット順序付けスレッド)、NP egress。特定のモジュールのセキュリティ フロー トレース フラグが設定されている場合は、フロー モジュール トレースを有効にすることもできます。
各イベントでは、4 つのアクション (カウント、パケット ダンプ、パケット サマリー、トレース) のいずれかを指定できます。データ・パス・デバッグには、キャプチャーするパケットを定義するフィルターが用意されており、一致したパケットのみがトレースされます。パケット フィルターは、論理インターフェイス、プロトコル、送信元 IP アドレス プレフィックス、送信元ポート、宛先 IP アドレス プレフィックス、宛先ポートに基づいてパケットを除外できます。
データ・パスのデバッグは、SRX4600、SRX5400、SRX5600、および SRX5800 で サポートされています。
エンド ツー エンドのデバッグを有効にするには、次の手順を実行する必要があります。
キャプチャ・ファイルを定義し、最大キャプチャ・サイズを指定します。
要件に基づいて、特定のタイプのトラフィックのみをトレースするようにパケット・フィルタを定義します。
パケット(LBTやNPイングレスなど)をキャプチャする処理パス上の場所を指定するアクションプロファイルを定義します。
データ・パスのデバッグを有効にします。
トラフィックをキャプチャします。
データ・パスのデバッグを無効にします。
レポートを表示または分析します。
ポートおよびインターフェイスオプションのパケットフィルタリング動作は次のとおりです。
パケット・フィルターは、 のみ が指定されている場合、IPv4 と IPv6 の両方のトラフィックをトレースします。port
パケット フィルターは、IPv4、IPV6、および のみが指定されている場合 、非 IP トラフィックをトレースします。interface
運用モードからのパケットキャプチャ
データ・パス・デバッグまたはエンドツーエンド・デバッグは、パケット・プロセス・パスに沿って複数の処理装置でトレースとデバッグを提供します。パケット キャプチャは、データ パス デバッグ機能の 1 つです。設定をコミットすることなく、本番システムへの影響を最小限に抑えながら、運用モードからパケットキャプチャを実行できます。
フィルターを使用してパケットをキャプチャし、キャプチャするパケットを定義できます。パケット フィルターは、論理インターフェイス、プロトコル、送信元 IP アドレス プレフィックス、送信元ポート、宛先 IP アドレス プレフィックス、宛先ポートに基づいてパケットを除外できます。パケット キャプチャ出力のファイル名、ファイル タイプ、ファイル サイズ、キャプチャ サイズを変更できます。フィルターを 2 つのフィルターに拡張し、フィルターの値を入れ替えることもできます。
運用モードからのパケット キャプチャは、SRX4600、SRX5400、SRX5600、および SRX5800 でサポートされています。
動作モードからパケットをキャプチャするには、次の手順を実行する必要があります。
- 動作モードからパケットフィルタを定義し、CLI コマンドを使用して要件に基づいて トラフィックのタイプをトレースします。
request packet-capture start使用可能なパケット キャプチャ フィルター オプションについては、を参照してください 。request packet-capture start - 必要なパケットをキャプチャします。
- CLI コマンドを使用してパケット キャプチャを停止するか、要求された数のパケットを収集した後、パケット キャプチャを自動的に停止することができます 。
request packet-capture stop - キャプチャされたパケットデータレポートを表示または分析します。
動作モードからパケットをキャプチャする場合の制限は、以下のとおりです。
設定モードのパケット キャプチャと運用モードのパケット キャプチャは共存できません。
動作モードのパケット キャプチャは 1 回限りの操作であり、システムはこのコマンドの履歴を保存しません。
動作モードのパケットキャプチャは、トラフィックフローのレートが低い場合に使用してください。
関連項目
トレース オプションを使用したセキュリティ デバッグについて
Junos OS トレース機能を使用すると、アプリケーションはセキュリティ デバッグ情報をファイルに書き込むことができます。このファイルに表示される情報は、設定した条件に基づいています。この情報を使用して、セキュリティ製品の問題を分析できます。
trace 関数は分散方式で動作し、各スレッドは独自のトレース バッファーに書き込みます。これらのトレース・バッファーは、ある時点で収集され、ソートされて、トレース・ファイルに書き込まれます。トレース メッセージは、プロセス間通信 (IPC) プロトコルを使用して配信されます。トレース メッセージは、BGP、OSPF、IKE などの制御プロトコル パケットの優先度よりも優先度が低いため、配信の信頼性は低いと見なされます。
トレースオプションを使用したフローデバッグの理解
フロー トレース オプションでは、 、 、 の組み合わせを使用してパケット フィルターを定義できます。destination-portdestination-prefixinterfaceprotocolsource-portsource-prefix 特定のモジュールにセキュリティ フロー トレース フラグが設定されている場合、特定のパケット フィルタに一致するパケットがフロー トレースをトリガーし、デバッグ情報をトレース ファイルに書き込みます。
データパスのデバッグ(CLI手順)
データ・パスのデバッグは、SRX5400、SRX5600、および SRX5800 で サポートされています。
データをデバッグ用にデバイスを構成するには:
フローデバッグトレースオプションの設定(CLI手順)
次の例は、を使用して設定 できるオプションを示しています。security flow traceoptions
filter1 パケット・フィルタの imap 宛先ポートに一致させるには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-port imap
filter1 パケット・フィルタに宛先 IPv4 プレフィックス・アドレス 1.2.3.4 を設定するには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 destination-prefix 1.2.3.4
filter1 パケット フィルタに fxp0 論理インターフェイスを設定するには、次のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 interface fxp0
filter1 パケット・フィルタの TCP IP プロトコルに一致させるには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 protocol tcp
filter1 パケット・フィルターの HTTP ソース・ポートと一致させるには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 source-port http
filter1 パケット・フィルタに 5.6.7.8 IPv4 プレフィックス・アドレスを設定するには、以下のステートメントを使用します。
[edit] user@host# set security flow traceoptions packet-filter filter1 source-prefix 5.6.7.8
セキュリティー・トレース・オプションの設定(CLI 手順)
CLI 設定エディターでセキュリティー・トレース・オプションを構成するには、以下の構成ステートメントを使用します。
リモート・トレーシングを無効にするには、次のステートメントを入力します。
[edit] user@host# set security traceoptions no-remote-trace
トレースメッセージをローカルファイルに書き込むには、次のステートメントを入力します。トレースファイルが ディレクトリに保存されます。 /var/log/
[edit] user@host# set security traceoptions use-local-files
トレース・ファイルの名前を指定するには、次のステートメントを入力します。有効な値の範囲は1から1024文字です。名前にスペース、/、または % 文字を含めることはできません。デフォルトのファイル名はセキュリティです。
[edit] user@host# set security traceoptions file filename
蓄積できるトレース ファイルの最大数を指定するには、次のステートメントを入力します。有効な値の範囲は2から1000です。デフォルト値は 3 です。
[edit] user@host# set security traceoptions file files 3
情報をファイルに記録するときにシステムが使用する一致条件を指定するには、次のステートメントを入力します。正規表現を入力します。ワイルドカード (*) 文字を使用できます。
[edit] user@host# set security traceoptions file match *thread
すべてのユーザーがトレース ファイルを読み取れるようにするには、 ステートメントを入力します 。
world-readableそれ以外の場合は、 ステートメントを入力します 。no-world-readable[edit] user@host# set security traceoptions file world-readable user@host# set security traceoptions file no-world-readable
トレース・ファイルが拡張できる最大サイズを指定するには、次のステートメントを入力します。ファイルが指定されたサイズに達すると、圧縮されて名前が 0.gz に変更 され、次のファイルの名前 は 1.gz というようになります。filenamefilename 有効な値の範囲は 10240 から 1,073,741,824 です。
[edit] user@host# set security traceoptions file size 10240
トレース・オプションをオンにし、複数のトレース操作を実行するには、次のフラグを設定します。
[edit] user@host# set security traceoptions flag all user@host# set security traceoptions flag compilation user@host# set security traceoptions flag configuration user@host# set security traceoptions flag routing-socket
これらのトレース・オプション設定を適用するグループまたは適用しないグループを指定するには、以下のステートメントを入力します。
[edit] user@host# set security traceoptions apply-groups value user@host# set security traceoptions apply-groups-except value
ログ ファイルとトレース ファイルの表示
コマンドを入力して 、システムログとトレースファイルへのリアルタイムの追加を表示します。monitor start
user@host> monitor start filename
デバイスが で指定されたファイルに レコードを追加すると、そのレコードが画面に表示されます。filename 例えば、[] 階層に ステートメントを含めることで、 という名前のシステムログファイルを設定した場合、 コマンドを入力して、システムログに追加されたレコードを表示することができます。system-logsyslogedit systemmonitor start system-log
モニター中のファイルのリストを表示するには、 コマンドを入力します 。monitor list 指定したファイルのレコードの表示を停止するには、 コマンドを入力します 。monitor stop filename
セキュリティ トレース オプションの出力の表示
目的
セキュリティー・トレース・オプションの出力を表示します。
アクション
コマンドを使用して、トレース ファイルの出力を表示します。show security traceoptions たとえば、以下のように表示されます。
[edit] user@host # show security traceoptions file usp_trace user@host # show security traceoptions flag all user@host # show security traceoptions rate-limit 888
この例の出力は次のとおりです。
Apr 11 16:06:42 21:13:15.750395:CID-906489336:FPC-01:PIC-01:THREAD_ID-01:PFE:now update 0x3607edf8df8in 0x3607e8d0 Apr 11 16:06:42 21:13:15.874058:CID-1529687608:FPC-01:PIC-01:THREAD_ID-01:CTRL:Enter Function[util_ssam_handler] Apr 11 16:06:42 21:13:15.874485:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874538:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default1: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874651:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874832:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default2: Destination ID set to 1 Apr 11 16:06:42 21:13:15.874942:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Rate limit changed to 888 Apr 11 16:06:42 21:13:15.874997:CID-00:FPC-01:PIC-01:THREAD_ID-01:CTRL:default3: Destination ID set to 1
マルチキャスト トレース操作の表示
マルチキャスト トレース操作を監視および表示するには、 コマンドを入力します 。mtrace monitor
user@host> mtrace monitor
Mtrace query at Apr 21 16:00:54 by 192.1.30.2, resp to 224.0.1.32, qid 2a83aa packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:00:57 by 192.1.30.2, resp to 224.0.1.32, qid 25dc17 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:00 by 192.1.30.2, resp to same, qid 20e046 packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60) Mtrace query at Apr 21 16:01:10 by 192.1.30.2, resp to same, qid 1d25ad packet from 192.1.30.2 to 224.0.0.2 from 192.1.30.2 to 192.1.4.1 via group 224.1.1.1 (mxhop=60)
この例では、クエリのみ を表示します。mtrace ただし、デバイスが応答を取り 込むと、表示は似ていますが、完全な 応答も表示されます(コマンド出力に表示される のとまったく同じです)。mtracemtracemtrace from-source
表 1 は、ディスプレイの出力フィールドを要約します。
フィールド |
説明 |
|---|---|
|
|
|
クエリを発行したホストの IP アドレス。 |
|
|
|
|
|
|
|
|
|
|
|
|
デバイスのリストを表示する
デバイスと指定した宛先ホスト間のデバイスのリストを表示するには、以下の構文で コマンドを入力します 。traceroute
user@host> traceroute host <interface interface-name> <as-number-lookup> <bypass-routing> <gateway address> <inet | inet6> <no-resolve> <routing-instance routing-instance-name> <source source-address> <tos number> <ttl number> <wait seconds>
表 2 で、traceroute コマンドのオプションについて説明します。
オプション |
説明 |
|---|---|
|
指定したホスト名または IP アドレスにトレースルート パケットを送信します。 |
|
(オプション)指定したインターフェイスでトレースルートパケットを送信します。このオプションが含まれていない場合、トレースルート パケットはすべてのインターフェイスで送信されます。 |
|
(オプション)デバイスと宛先ホスト間の各中間ホップの自律システム(AS)番号を表示します。 |
|
(オプション)ルーティング テーブルをバイパスし、直接接続されたインターフェイスのホストにのみトレースルート パケットを送信します。ホストが直接接続されたインターフェイスではない場合、エラー メッセージが返されます。 このオプションを使用して、経路のないインターフェースを介してローカル・システムへの経路を表示します。 |
|
(オプション)指定したゲートウェイを使用してルーティングします。 |
|
(オプション)トレースルート パケットを強制的に IPv4 宛先にします。 |
|
(オプション)トレースルート パケットを強制的に IPv6 宛先にします。 |
|
(オプション)パス上のホップのホスト名の表示を抑止します。 |
|
(オプション)traceroute に指定したルーティングインスタンスを使用します。 |
|
(オプション)traceroute パケットで指定した送信元アドレスを使用します。 |
|
(オプション)トレースルート パケットの IP ヘッダーの type-of-service(TOS)値を設定します。 |
|
(オプション)トレースルート パケットのTTL(Time-to-live)値を設定します。から までのホップ数を指定します。 |
|
(オプション)応答を待機する最大時間を設定します。 |
コマンドを終了する には、Ctrl-C を押します。traceroute
以下に、 コマンドの出力例を示します。traceroute
user@host> traceroute host2
traceroute to 173.24.232.66 (172.24.230.41), 30 hops max, 40 byte packets 1 173.18.42.253 (173.18.42.253) 0.482 ms 0.346 ms 0.318 ms 2 host4.site1.net (173.18.253.5) 0.401 ms 0.435 ms 0.359 ms 3 host5.site1.net (173.18.253.5) 0.401 ms 0.360 ms 0.357 ms 4 173.24.232.65 (173.24.232.65) 0.420 ms 0.456 ms 0.378 ms 5 173.24.232.66 (173.24.232.66) 0.830 ms 0.779 ms 0.834 ms
表示されるフィールドは、J-Web トレースルート診断ツールで表示されるフィールドと同じです。
例:SRXシリーズデバイスでのエンドツーエンドデバッギングの設定
この例では、SRX5K-MPCを使用してSRXシリーズファイアウォールでエンドツーエンドのデバッグを設定し、有効にする方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
100ギガビットイーサネットCFPトランシーバーがインストールされたSRX5K-MPCを搭載したSRX5600デバイス
SRXシリーズファイアウォールのJunos OSリリース12.1X47-D15以降
開始する前に、以下を実行します。
SRXシリーズデバイスのデータパスデバッグについてを参照してください。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
データ・パス・デバッグは、パケット・プロセス・パスに沿った複数の処理装置でトレースとデバッグを提供することにより、トラブルシューティング機能を強化します。データ・パス・デバッグ機能を使用すると、処理パスに沿ったさまざまなデータ・ポイントでトレースおよびデバッグ(パケットのキャプチャー)を行うことができます。各イベントで、アクション(カウント、パケット ダンプ、パケット サマリー、トレース)を指定し、キャプチャするパケットを定義するフィルターを設定できます。
この例では、トラフィックフィルターを定義し、アクションプロファイルを適用します。アクション・プロファイルは、プロセス・ユニットに対するさまざまなアクションを指定します。イングレスとエグレスは、着信トラフィックと発信トラフィックのデータをキャプチャするための処理パス上の場所として指定されます。
次に、操作モードでデータ・パスのデバッグを有効にし、最後にデータ・キャプチャー・レポートを表示します。
データ・パスのデバッグは、SRX1400、SRX3400、SRX3600、SRX5400、SRX5600、およびSRX5800でサポートされています。
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security datapath-debug traceoptions file e2e.trace size 10m set security datapath-debug capture-file e2e.pcap format pcap set security datapath-debug maximum-capture-size 1500 set security datapath-debug capture-file files 10 set security datapath-debug action-profile profile-1 preserve-trace-order set security datapath-debug action-profile profile-1 record-pic-history set security datapath-debug action-profile profile-1 event np-ingress trace set security datapath-debug action-profile profile-1 event np-ingress count set security datapath-debug action-profile profile-1 event np-ingress packet-summary set security datapath-debug action-profile profile-1 event np-egress trace set security datapath-debug action-profile profile-1 event np-egress count set security datapath-debug action-profile profile-1 event np-egress packet-summary
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイドの設定モードでCLIエディターを使用するを参照してください。
データ・パスのデバッグを構成するには:
パケット・プロセス・パスにある複数のプロセス・ユニットのセキュリティー・データパス・デバッグ・オプションを編集します。
[edit] user@host# edit security datapath-debug
キャプチャ・ファイル、ファイル形式、ファイルサイズ、およびファイル数を有効にします。
[edit security datapath-debug] user@host# set traceoptions file e2e.trace size 10m user@host# set capture-file e2e.pcap format pcap; user@host# set maximum-capture-size 1500 user@host# set capture-file files 10
アクションプロファイル、イベントタイプ、およびアクションプロファイルのアクションを設定します。
[edit security datapath-debug] user@host# set action-profile profile-1 preserve-trace-order user@host# set action-profile profile-1 record-pic-history user@host# set action-profile profile-1 event np-ingress trace user@host# set action-profile profile-1 event np-ingress count user@host# set action-profile profile-1 event np-ingress packet-summary user@host# set action-profile profile-1 event np-egress trace user@host# set action-profile profile-1 event np-egress count user@host# set action-profile profile-1 event np-egress packet-summary
結果
設定モードから、show security datapath-debugコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
traceoptions {
file e2e.trace size 10m;
}
capture-file e2e.pcap format pcap;
maximum-capture-size 1500;
capture-file files 10;
action-profile {
profile-1 {
preserve-trace-order;
record-pic-history;
event np-ingress {
trace;
packet-summary;
packet-dump;
}
event np-egress {
trace;
packet-summary;
packet-dump;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
データ・パス・デバッグの使用可能化
手順
ステップバイステップでの手順
データ パスのデバッグを設定した後、動作モードからデバイス上のプロセスを開始する必要があります。
データ・パスのデバッグを有効にします。
user@host> request security datapath-debug capture start
datapath-debug capture started on file datapcap
構成を検証してレポートを表示する前に、データ・パスのデバッグを無効にする必要があります。
user@host> request security datapath-debug capture stop
datapath-debug capture succesfully stopped, use show security datapath-debug capture to view
注:データのキャプチャが完了したら、デバッグ プロセスを停止する必要があります。デバッグプロセスを停止せずにキャプチャしたファイルを開こうとすると、取得したファイルをサードパーティ製ソフトウェア(tcpdumpやwiresharkなど)で開くことはできません。
検証
設定が正常に機能していることを確認します。
データ・パス・デバッグ・パケット・キャプチャの詳細の検証
目的
データ・パスのデバッグ・コンフィギュレーションを有効にして、キャプチャーしたデータを検証します。
アクション
動作モードからshow security datapath-debug captureコマンドを入力します。
Packet 8, len 152: (C2/F2/P0/SEQ:57935:np-ingress) 00 10 db ff 10 02 00 30 48 83 8d 4f 08 00 45 00 00 54 00 00 40 00 40 01 9f c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 Packet 9, len 152: (C2/F2/P0/SEQ:57935:np-egress) 00 30 48 8d 1a bf 00 10 db ff 10 03 08 00 45 00 00 54 00 00 40 00 3f 01 a0 c7 c8 07 05 69 c8 08 05 69 08 00 91 1f 8f 03 2a a2 ae 66 85 53 8c 7d 02 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37....
簡潔にするために、 コマンド出力は切り捨てられ、少数のサンプルのみが表示されます。show 追加のサンプルは省略記号 (...) に置き換えられています。
結果を表示するには、CLI操作モードからローカルのUNIXシェルにアクセスし、ディレクトリ に移動します。/var/log/<file-name> 結果は、ユーティリティを使用して 読み取ることができます。tcpdump
user@host>start shell %tcpdump -nr/var/log/e2e.pcap
21:50:04.288767 C0/F3 event:1(np-ingress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 21:50:04.292590 C0/F3 event:2(np-egress) SEQ:1 IP 192.168.14.2 > 192.168.13.2: ICMP echo request, id 57627, seq 0, length 64 1:50:04.295164 C0/F3 event:1(np-ingress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64 21:50:04.295284 C0/F3 event:2(np-egress) SEQ:2 IP 192.168.13.2 > 192.168.14.2: ICMP echo reply, id 57627, seq 0, length 64
データ・パス・デバッグのトラブルシューティングが終了したら、手動で開始/停止する必要があるパケット・キャプチャー(パケット・ダンプ)のデータ・パス・デバッグ構成を含む、すべて (フロー・トレース・オプションに限定されない)と完全なデータ・パス・デバッグ構成を削除します。traceoptions デバッグ構成のいずれかの部分がアクティブなままである場合、デバイスのリソース (CPU/メモリ) が引き続き使用されます。