制御プレーンの DDoS 保護操作のトレース
Junos OS トレース機能は、コントロール プレーン DDoS 保護の操作を追跡し、ログ ファイルにイベントを記録します。ログ・ファイルに取り込まれたエラー記述は、問題の解決に役立つ詳細情報を提供します。
デフォルトでは、何もトレースしません。トレース操作を有効にすると、既定のトレース動作は次のようになります。
重要なイベントは、ディレクトリ内のファイルに
/var/log
記録されます。デフォルトでは、ルーターはファイル名を使用しますjddosd
。別のファイル名を指定することはできますが、トレース・ファイルがあるディレクトリーは変更できません。トレース ログ ファイルが 128 KB(KB)に達すると、トレース ログ ファイル
filename
は圧縮され、名前が変更されますfilename.0.gz
。後続のイベントは、再び容量に達するまで、という名前filename
の新しいファイルに記録されます。この時点で、filename.0.gz
名前が変更filename.1.gz
され、filename
圧縮および名前が変更されますfilename.0.gz
。このプロセスは、アーカイブ済みファイルの数が最大ファイル数に達するまで繰り返されます。次に、最も古いトレース ファイル(番号が最も大きいトレース ファイル)が上書きされます。必要に応じて、2 から 1000 までのトレース ファイルの数を指定できます。最大ファイル サイズを 10 KB から 1 GB(ギガバイト)に設定することもできます。(ログ ファイルの作成方法の詳細については、 システム ログ エクスプローラーを参照してください)。
デフォルトでは、ログ ファイルにアクセスできるのは、トレース操作を構成したユーザーのみです。必要に応じて、すべてのユーザーに対して読み取り専用アクセスを設定できます。
このトピックでは、コントロール プレーン DDoS 保護トレース操作のすべての側面を構成する方法について説明します。
コントロール プレーン DDoS 保護トレース ログファイル名の設定
デフォルトでは、コントロール プレーン DDoS 保護のトレース出力を記録するファイルの名前は. jddosd
オプションを使用して別の名前を file
指定できます。
加入者管理データベーストレース操作のファイル名を設定するには、以下の手順にしたがってください。
トレース出力に使用するファイルの名前を指定してください。
[edit system ddos-protection traceoptions] user@host# set file ddos_logfile_1
コントロール プレーン DDoS 保護ログ ファイルの数とサイズの設定
オプションで、圧縮されたアーカイブ済みトレース・ログ・ファイルの数を 2 から 1000 まで指定できます。最大ファイル サイズを 10 KB から 1 GB(ギガバイト)に設定することもできます。デフォルトサイズは128キロバイト(KB)です。
アーカイブされたファイルは、形式 .number.gz
のサフィックスによって区別されます。最新のアーカイブ・ファイルは、 .0.gz
最も古いアーカイブ・ファイルです .(maximum number)-1.gz
。現在のトレース ログ ファイルが最大サイズに達すると、そのファイルは圧縮および名前変更され、既存のアーカイブ ファイルはすべて名前が変更されます。このプロセスは、アーカイブされたファイルの最大数に達するまで繰り返され、その時点で最も古いファイルが上書きされます。
たとえば、最大ファイル サイズを 2 MB に、最大ファイル数を 20 に設定できます。トレース操作filename
の出力を受け取るファイルが 2 MB に達すると、filename
圧縮および名前変更filename.0.gz
され、呼び出filename
された新しいファイルが作成されます。新しいfilename
ファイルが 2 MB に達すると、filename.0.gz
名前が変更filename.1.gz
され、圧縮およびfilename
名前が変更されますfilename.0.gz
。このプロセスは、20 個のトレース ファイルが存在するまで繰り返されます。次に、filename.19.gz
次の最も古いファイルが圧縮され、名前が変更filename.19.gz
されたときに、filename.18.gz
最も古いファイルが上書きされます。
トレース ファイルの数とサイズを設定するには、次の手順にしたがってください。
トレース出力に使用するファイルの名前、番号、およびサイズを指定します。
[edit system ddos-protection traceoptions] user@host# set file ddos_1_logfile_1 files 20 size 2097152
コントロール プレーン DDoS 保護ログ ファイルへのアクセスの設定
既定では、トレース操作を構成するユーザーのみがログ ファイルにアクセスできます。すべてのユーザーがログ ファイルを読み取ることができるため、ログ ファイルの既定の動作を明示的に設定できます。
すべてのユーザーがログ ファイルを読み取ることができることを指定するには、以下の手順にしたがっています。
ログ ファイルをワールド読み取り可能に設定します。
[edit system ddos-protection traceoptions] user@host# set file ddos_1 _logfile_1 world-readable
既定の動作を明示的に設定するには、トレースを構成したユーザーのみがログ ファイルを読み取ることができます。
ログ ファイルを世界で読み取り不可能に設定します。
[edit system ddos-protection traceoptions] user@host# set file ddos_1 _logfile_1 no-world-readable
ログに記録するコントロール プレーン DDoS 保護メッセージの正規表現の設定
デフォルトでは、トレース操作の出力には、ログに記録されたイベントに関連するすべてのメッセージが含まれています。
照合する正規表現を含めて出力を絞り込むことができます。
正規表現を照合するように設定するには、次の手順に応じて、以下の手順に合わせて正規表現を設定します。
正規表現を設定します。
[edit system ddos-protection traceoptions] user@host# set file ddos_1 _logfile_1 match regex
コントロール プレーン DDoS 保護トレース フラグの設定
デフォルトでは、重要なイベントのみがログに記録されます。ログに記録するイベントと操作を指定するには、1 つ以上のトレース フラグを指定します。
ログに記録するイベントのフラグを設定するには、以下の手順にしたがってください。
フラグを設定します。
[edit system ddos-protection traceoptions] user@host# set flag flag
ログに記録されるコントロール プレーン DDoS 保護メッセージをフィルタリングするための重大度レベルの設定
ログに記録されたイベントに関連付けられたメッセージは、重大度レベルに応じて分類されます。重大度レベルを使用して、イベント タイプに対してログに記録されるメッセージを決定できます。設定する重大度レベルは、解決しようとしている問題によって異なります。場合によっては、ログに記録されたイベントに関連するすべてのメッセージを表示することに興味があるかもしれません。そのため、 または を指定all
しますverbose
。どちらの選択肢も大量の出力を生成します。メッセージのフィルタリングなどnotice
info
、重大度レベルの制限を指定できます。既定では、トレース操作の出力には、重大度レベルerror
のメッセージのみが含まれています。
ログに記録するメッセージのタイプを設定するには、以下の手順にしたがってください。
メッセージの重大度レベルを設定します。
[edit system ddos-protection traceoptions] user@host# set level severity