SNMP アクティビティのトレース
Junos OSを実行しているデバイスでSNMPアクティビティを監視し、SNMPパフォーマンスに影響を与える問題を追跡する
Junos OS デバイスでは、SNMP アクティビティの監視と SNMP パフォーマンスに影響する問題の特定に関する情報を表示できます。
SNMPdに登録されているMIBオブジェクトを確認する
MIB オブジェクトに関連するデータにアクセスするには、MIB オブジェクトが snmpd に登録されている必要があります。SNMP サブエージェントは、オンラインになると、関連する MIB オブジェクトを snmpd に登録します。snmpd は、オブジェクトと、オブジェクトが関連付けられているサブエージェントのマッピングを維持します。ただし、登録の試行が失敗することがあり、次回サブエージェントが再始動してオブジェクトを正常に登録するまで、オブジェクトは snmpd に登録されていないままになります。
ネットワーク管理システムが snmpd に登録されていないオブジェクトに関連するデータをポーリングすると、snmpd はエラー(SNMPv1 オブジェクトの場合)またはエラー(SNMPv2 オブジェクトの場合)のいずれかを返します。noSuchName
noSuchObject
以下のコマンドを使用して、snmpd に登録されている MIB オブジェクトを確認できます。
- 登録済みオブジェクトのリストと、さまざまなサブエージェントへのマッピングを含むファイルを作成します 。
show snmp registered-objects
/var/log/snmp_reg_objs
- ファイルの内容 を表示します。
file show /var/log/snmp_reg_objs
/var/log/snmp_reg_objs
次の例は、ファイルを作成および表示する 手順を示しています。/var/log/snmp_reg_objs
user@host> show snmp registered-objects user@host> file show /var/log/snmp_reg_objs -------------------------------------------------------------- Registered MIB Objects root_name = -------------------------------------------------------------- .1.2.840.10006.300.43.1.1.1.1.2 (dot3adAggMACAddress) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.3 (dot3adAggActorSystemPriority) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.4 (dot3adAggActorSystemID) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.5 (dot3adAggAggregateOrIndividual) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.6 (dot3adAggActorAdminKey) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.7 (dot3adAggActorOperKey) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.8 (dot3adAggPartnerSystemID) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.9 (dot3adAggPartnerSystemPriority) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.10 (dot3adAggPartnerOperKey) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.1.1.11 (dot3adAggCollectorMaxDelay) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.1.2.1.1 (dot3adAggPortListPorts) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.2 (dot3adAggPortActorSystemPriority) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.3 (dot3adAggPortActorSystemID) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.4 (dot3adAggPortActorAdminKey) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.5 (dot3adAggPortActorOperKey) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.6 (dot3adAggPortPartnerAdminSystemPriority) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.7 (dot3adAggPortPartnerOperSystemPriority) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.8 (dot3adAggPortPartnerAdminSystemID) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.9 (dot3adAggPortPartnerOperSystemID) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.10 (dot3adAggPortPartnerAdminKey) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.11 (dot3adAggPortPartnerOperKey) (/var/run/mib2d-11) .1.2.840.10006.300.43.1.2.1.1.12 (dot3adAggPortSelectedAggID) (/var/run/mib2d-11) ---(more)---
ファイルには 、snmpdに登録されているJunos OSプロセスに関連付けられているオブジェクトが含まれています。/var/log/snmp_reg_objs コマンドを使用してオブジェクト を表示できます。show snmp registered-objects
稼働中の Junos OS プロセスに関連する MIB オブジェクトが登録済みオブジェクトのリストに表示されない場合、snmpd へのオブジェクト登録を再試行するためにソフトウェア プロセスを再起動することができます。
SNMPアクティビティを追跡する
SNMP トレース操作は、SNMP エージェントのアクティビティを追跡し、その情報をログ ファイルに記録します。デフォルトでは、Junos OS は SNMP アクティビティをトレースしません。Junos OS を実行しているデバイスで SNMP アクティビティの追跡を有効にするには、 階層レベルでステート メントを含めます 。set traceoptions flag all
[edit snmp]
次のログ ファイルが作成されます。
snmpd
mib2d
rmopd
操作コマンドを使用して、 ログファイルの内容を表示することができます。show log log-filename
snmpd ログファイル (次の例を参照) では、 のシーケンスは着信パケットを表し、 のシーケンスは発信パケットを表します。>>>
<<<
複数のネットワーク管理システムが同時にデバイスをポーリングしている場合、送信元と要求 ID の組み合わせを使用して、要求と応答を照合できます。SNMP マスター・エージェントまたは SNMP サブエージェントが要求に応答していない場合、応答ログはログ・ファイルに作成されません。
要求 - 応答時間を分析して、応答の遅延を特定して理解できます。
コマンドを使用してログファイル を確認できます。show log snmpd
SNMP統計情報の監視
操作コマンドには、デバイス上のトラップを含むSNMPトラフィックを確認するオプションが用意されています。show snmp statistics extensive
コマンドの出力にはリアルタイムの値が表示され、スロットル ドロップ、現在アクティブ、最大アクティブ、未検出、タイムアウト、最大遅延、現在のキュー、合計キュー、オーバーフローなどの値を監視できます。show snmp statistics extensive
現在アクティブなカウントの絶え間ない増加は、SNMPリクエストへの応答が遅いか、応答がないことに直接関連しているため、現在アクティブなカウントを監視することで、SNMP応答の遅さを特定できます。
CPU 使用率の確認
snmpd や mib2d など、照会対象のソフトウェア プロセスの CPU 使用率が高いことも、応答が遅くなったり、応答がない原因となります。操作コマンドを使用して 、Junos OSプロセスのCPU使用率を確認することができます。show system processes extensive
カーネルとパケット転送エンジンのレスポンスを確認する
で 述べたように、一部のSNMP MIBデータはカーネルまたはパケット転送エンジンによって維持されます。Junos OSでのSNMP実装を理解するこのようなデータをネットワーク管理システムで利用できるようにするには、カーネルが mib2d の SNMP サブエージェントに必要な情報を提供する必要があります。カーネルからの応答が遅いと、mib2d がネットワーク管理システムにデータを返すのに遅れが生じる可能性があります。Junos OS は、インターフェイスがインターフェイス統計情報の要求に応答するのに 10,000 マイクロ秒以上かかるたびに、mib2d ログ ファイルにエントリを追加します。このコマンドを使用して、カーネルがかかった応答時間を調べることができます 。show log log-filename | grep “kernel response time”
カーネル応答時間のチェック
user@host> show log mib2d | grep “kernel response time” Aug 17 22:39:37 == kernel response time for COS_IPVPN_DEFAULT_OUTPUT-t1-7/3/0:10:27.0-o: 9.126471 sec, range (0.000007, 11.000806) Aug 17 22:39:53 == kernel response time for COS_IPVPN_DEFAULT_INPUT-t1-7/2/0:5:15.0-i: 5.387321 sec, range (0.000007, 11.000806) Aug 17 22:39:53 == kernel response time for ct1-6/1/0:9:15: 0.695406 sec, range (0.000007, 11.000806) Aug 17 22:40:04 == kernel response time for t1-6/3/0:6:19: 1.878542 sec, range (0.000007, 11.000806) Aug 17 22:40:22 == kernel response time for lsq-7/0/0: 2.556592 sec, range (0.000007, 11.000806)
Junos OS を搭載したデバイスでの SNMP アクティビティのトレース
SNMP トレース操作は、SNMP エージェントのアクティビティを追跡し、その情報をログ ファイルに記録します。ログに記録されたエラーの説明は、問題を解決するための詳細情報を提供します。
デフォルトでは、Junos OS は SNMP アクティビティをトレースしません。階層レベルで ステートメントを含める場合、デフォルトのトレース動作は次のようになります。traceoptions
[edit snmp]
重要なアクティビティは、ディレクトリにある ファイルに記録されます。/var/log 各ログには、ログを生成したSNMPエージェントの名前が付けられます。現在、 ステートメントを使用すると、次のログファイルがディレクトリに作成されます。/var/log
traceoptions
シャーシ付き
クラフト
イルミド
mib2d
rmopd
サービス
snmpd
filename という名前のトレース ファイルが最大サイズに達すると、トレース ファイルの最大数に達するまで名前が filename.0、filename.1 などに変更されます。そして、最も古いトレース ファイルが上書きされます。(ログ・ファイルの作成方法の詳細については、 システム・ログ・エクスプローラーを参照してください。https://apps.juniper.net/syslog-explorer/
ログ ファイルにアクセスできるのは、トレース操作を設定したユーザーのみです。
トレースファイルが配置されているディレクトリ()は変更できません。/var/log ただし、その他のトレース ファイル設定は、 階層レベルで次のステートメント を含めることでカスタマイズできます。[edit snmp]
[edit snmp] traceoptions { file <files number> <match regular-expression> <size size> <world-readable | no-world-readable>; flag flag; memory-trace; no-remote-trace; no-default-memory-trace; }
これらのステートメントは、次のセクションで説明されています。
SNMPログファイルの数とサイズを設定する
既定では、トレース ファイルのサイズが 128 KB に達すると、トレース ファイルが 3 つになるまで、名前が 、 、 などに変更されます。filename.0filename.1 そして、最も古いトレースファイル()が上書きされます。filename.2
トレース ファイルの数とサイズに制限を設けるには、 階層レベルで次のステートメントを含めます 。[edit snmp traceoptions]
[edit snmp traceoptions] file files number size size;
たとえば、最大ファイル サイズを 2 MB、最大ファイル数を 20 に設定します。トレース動作()の出力を受信するファイルが2MBに達すると、 という名前に変更され、 という新しいファイルが作成されます。filenamefilenamefilename.0filename 新しいものが2MBに達すると、名前が変更され、 名前が変更されます。filenamefilename.0filename.1filenamefilename.0 このプロセスは、トレース ファイルが 20 個になるまで繰り返されます。そして、最も古いファイル()が最新のファイル()で上書きされます。filename.19filename.0
ファイル数は 2 から 1000 ファイルまでです。各ファイルのファイル サイズは、10 KB から 1 ギガバイト (GB) までです。
ログ ファイルへのアクセスを構成する
既定では、ログ ファイルにアクセスできるのは、トレース操作を構成したユーザーのみです。
すべてのユーザーがすべてのログ ファイルを読み取ることができるように指定するには、 階層レベルで ステートメントを含め ます 。file world-readable
[edit snmp traceoptions]
[edit snmp traceoptions] file world-readable;
デフォルトの動作を明示的に設定するには、 階層レベルで ステートメントを含め ます 。file no-world-readable
[edit snmp traceoptions]
[edit snmp traceoptions] file no-world-readable;
ログに記録する回線の正規表現を設定する
デフォルトでは、トレース操作の出力には、ログに記録されたアクティビティに関連するすべての行が含まれます。
階層レベルで ステートメントを含め、一致させる正規表現(regex)を指定することで、出力を絞り込むことができます。match
[edit snmp traceoptions file filename]
[edit snmp traceoptions] file filename match regular-expression;
トレース操作の設定
既定では、重要なアクティビティのみがログに記録されます。どのトレース操作をログに記録するかを指定するには、次の ステートメントを (1 つ以上のトレース フラグと共に) 階層レベルで記述します。flag
[edit snmp traceoptions]
[edit snmp traceoptions] flag { all; configuration; database; events; general; interface-stats; nonvolatile-sets; pdu; policy; protocol-timeouts; routing-socket; server; subagent; timer; varbind-error; }
表 1 は、SNMP トレース フラグの意味を説明します。
フラグ |
説明 |
デフォルト設定 |
---|---|---|
|
すべての操作をログに記録します。 |
オフ |
|
階層レベルでの設定 のログ読み取り。 |
オフ |
|
イベントデータベースへの保存と取得に関連するイベントをログに記録します。 |
オフ |
|
重要なイベントをログに記録します。 |
オフ |
|
一般的なイベントをログに記録します。 |
オフ |
|
物理および論理インターフェイスの統計情報をログに記録します。 |
オフ |
|
不揮発性 SNMP セット要求処理をログに記録します。 |
オフ |
|
SNMP 要求と応答パケットをログに記録します。 |
オフ |
|
ポリシー処理をログに記録します。 |
オフ |
|
SNMP 応答タイムアウトをログに記録します。 |
オフ |
|
ルーティング ソケット呼び出しをログに記録します。 |
オフ |
|
イベントを生成しているプロセスとの通信をログに記録します。 |
オフ |
|
ログ・サブエージェントが再始動します。 |
オフ |
|
内部タイマー イベントをログに記録します。 |
オフ |
|
変数のバインド エラーをログに記録します。 |
オフ |
エージェントのログの終わりを表示するには、 オペレーション・モード・コマンドを発行 します。show log agentd | last
[edit] user@host# run show log agentd | last
ここで 、 はSNMPエージェントの名前です。agent
例:SNMP アクティビティのトレース
SNMP パケットに関するトレース情報:
[edit] snmp { traceoptions { file size 10k files 5; flag pdu; flag protocol-timeouts; flag varbind-error; } }
証明書有効期限トラップを構成する
開始する前に、以下を実行します。
VPN での証明書の仕組みを理解する。「証明書チェーンについて」を参照してください。
このトピックでは、証明書の有効期限トラップを設定し、トラップを生成するまでの日数を設定する方法について説明します。
関連項目
ピアダウンおよびIPsecトンネルダウントラップを有効にする
このトピックでは、 と トラップを有効にする方法について説明します。peer-down
ipsec-tunnel-down