トラブルシューティングのための一般的な認証サービス(認証)イベントのトレース
Junos OS トレース操作機能は、一般的な認証サービスの操作を追跡し、ログ ファイルにイベントを記録します。ログ ファイルに取り込まれるエラー記述には、問題の解決に役立つ詳細情報が記載されています。操作とイベントは、加入者のAAAインフラストラクチャを管理する認証プロセスに関連付けられたものです。
デフォルトでは、何もトレースされません。トレース操作を有効にすると、デフォルトのトレース動作は次のようになります。
重要なイベントは、 ディレクトリにあるファイルに
/var/log
記録されます。デフォルトでは、ルーターは ファイル名、 を使用しますauthd
。別のファイル名を指定することはできますが、トレース ファイルが格納されているディレクトリ(/var/log
)を変更することはできません。トレース ログ ファイル
filename
が 128 キロバイト(KB)に達すると、圧縮され、名前が変更されますfilename.0.gz
。後続のイベントは、再び容量に達するまで、 というfilename
新しいファイルに記録されます。この時点で、filename.0.gz
は、 に名前が変更filename.1.gz
され、filename
圧縮および名前が変更されますfilename.0.gz
。このプロセスは、アーカイブされたファイルの数が最大ファイル番号に達するまで繰り返されます。そして、最も古いトレース ファイル(番号が最も大きいトレース ファイル)が上書きされます。オプションで、2~1000 のトレース ファイルの数を指定できます。また、最大ファイル サイズを 10 KB から 1 GB(ギガバイト)に設定することもできます。ログ ファイルの作成方法の詳細については、 システム ログ エクスプローラーを参照してください。
デフォルトでは、トレース操作を設定したユーザーのみがログファイルにアクセスできます。オプションで、すべてのユーザーに読み取り専用アクセスを設定できます。
次のトピックでは、一般的な認証サービスの操作をトレースのすべての側面を構成する方法について説明します。
一般的な認証サービストレースログファイル名の設定
デフォルトでは、一般的な認証サービスのトレース出力を記録するファイル名は です authd
。階層レベルで ステートメントを含めることで、別の file
名前を [edit system processes general-authentication-service]
指定できます。
一般的な認証サービストレース操作のファイル名を設定するには:
トレース出力に使用されるファイル名を指定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1
一般的な認証サービス ログ ファイルの数とサイズの設定
オプションで、圧縮されたアーカイブされたトレース ログ ファイルの数を 2~1000 に指定できます。最大ファイル サイズを 10 KB から 1 GB(ギガバイト)に設定することもできます。デフォルトサイズは128キロバイト(KB)です。
アーカイブされたファイルは、 形式 .number.gz
のサフィックスによって区別されます。最新のアーカイブ ファイルは で .0.gz
、最も古いアーカイブ ファイルは . .(maximum number)-1.gz
現在のトレース ログ ファイルが最大サイズに達すると、そのファイルは圧縮および名前変更され、既存のアーカイブ ファイルの名前が変更されます。このプロセスは、アーカイブされたファイルの最大数に達するまで繰り返され、その時点で最も古いファイルが上書きされます。
例えば、最大ファイル・サイズを 2 MB に、最大ファイル数を 20 に設定することができます。トレース操作の出力を受け取るファイル 、 filename
が 2 MB に達すると、filename
圧縮および名前が変更filename.0.gz
され、 と呼ばれるfilename
新しいファイルが作成されます。新しいfilename
値が 2 MB に達すると、名前が変更filename.1.gz
され、filename.0.gz
圧縮およびfilename
名前が変更されますfilename.0.gz
。このプロセスは、20 個のトレース ファイルが存在するまで繰り返されます。次に、最も古いファイルである filename.19.gz
、 は、次の最も古いファイルが圧縮され、 filename.18.gz
にfilename.19.gz
名前が変更されたときに上書きされます。
トレース ファイルの数とサイズを設定するには、
ステートメントに および オプションを含
files
めて、トレース出力に使用するファイルの名前、番号、サイズsize
をtraceoptions
指定します。[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 files 20 size 2097152
一般的な認証サービスログ ファイルへのアクセスの設定
デフォルトでは、ログ ファイルにアクセスできるのは、トレース操作を構成したユーザーだけです。すべてのユーザーにログ ファイルの読み取りを許可し、ログ ファイルのデフォルト動作を明示的に設定できます。
すべてのユーザーがログ ファイルを読み取ることができるよう指定するには、以下の手順にしたがっています。
ログファイルを世界中で読み取り可能に設定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 world-readable
トレースを構成したユーザーだけがログ ファイルを読み取ることができるデフォルト動作を明示的に設定するには、以下の手順にしたがっています。
ログファイルを世界で読み取り不可能に設定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 no-world-readable
一般的な認証サービスメッセージの正規表現をログに記録する設定
デフォルトでは、トレース動作の出力には、ログに記録されたイベントに関連するすべての行が含まれています。一致する正規表現(正規表現)を含めることで、出力を改良することができます。
一致する正規表現を設定するには:
正規表現を設定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 match regular-expression
一般的な認証サービストレースのための加入者フィルタリングの設定
Junos OS リリース 14.1 以降、一般的な認証サービスにフィルターを適用して、特定の加入者やドメインへのトレースを制限できるようになりました。加入者フィルタリングにより、トレース結果のセットを減らすことで、拡張された環境でのトラブルシューティングが簡素化されます。
想定される形式の user@domain
加入者ユーザー名の場合は、ユーザー、ドメイン、またはその両方でフィルター処理できます。アスタリスク(*)をワイルドカードとして使用して、いずれかの用語の先頭または末尾の文字に代わりに加入者数を増やすことができます。
ユーザーまたはドメイン用語の中央にあるワイルドカードを使用して結果をフィルタリングすることはできません。例えば、以下のワイルドカードの使用はサポートされていません:tom*25@example.com、tom125@ex*.com。
ユーザー名によるフィルタリングを有効にすると、ユーザー名を決定するための情報が不十分なトレースが自動的に除外されます。
加入者フィルタリングを設定するには:
フィルターを指定します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user user@domain
以下の例では、フィルタリングにワイルドカードを使用しています。
ユーザー名(tom@example.com)で特定の加入者の結果をフィルター処理します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom@example.com
ユーザー名が tom で始まるすべての加入者の結果をフィルター処理します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom*
ユーザー名が tom で終わるすべての加入者の結果をフィルター処理します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user *tom
ex から始まるすべてのドメインでユーザー名 tom を使用して加入者の結果をフィルター処理します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom@ex*
ample.com で終わるすべてのドメインのすべての加入者の結果をフィルター処理します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user *ample.com
example.com で終わるドメインで tom で始まるユーザー名を持つすべての加入者の結果をフィルター処理します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom*@*example.com
一般的な認証サービストレースフラグの設定
デフォルトでは、重要なイベントのみが記録されます。1 つ以上のトレース フラグを指定することで、ログに記録するイベントと操作を指定できます。
ログに記録されるイベントのフラグを設定するには、
フラグを設定します。
[edit system services subscriber-management traceoptions] user@host# set flag flag