トラブルシューティングのための汎用認証サービス(authd)イベントのトレース
Junos OS のトレース操作機能は、一般的な認証サービス操作を追跡し、イベントをログ ファイルに記録します。ログファイルにキャプチャされたエラーの説明は、問題の解決に役立つ詳細情報を提供します。動作とイベントは、加入者の AAA インフラストラクチャを管理する認証プロセスに関連するものです。
デフォルトでは、何もトレースされません。トレース操作を有効にすると、デフォルトのトレース動作は次のようになります。
重要なイベントは、
/var/log
ディレクトリにあるファイルに記録されます。デフォルトでは、ルーターはファイル名authd
を使用します。別のファイル名を指定することはできますが、トレース ファイルが配置されているディレクトリ(/var/log
)は変更できません。トレース ログ ファイルの
filename
が 128 キロバイト (KB) に達すると、圧縮されて名前がfilename.0.gz
に変更されます。その後のイベントは、再び容量に達するまで、filename
という新しいファイルに記録されます。この時点で、filename.0.gz
の名前はfilename.1.gz
に変更され、filename
は圧縮されて名前がfilename.0.gz
に変更されます。このプロセスは、アーカイブされたファイルの数が最大ファイル数に達するまで繰り返されます。次に、最も古いトレース ファイル(番号が最も大きいファイル)が上書きされます。オプションで、トレース ファイルの数を 2 から 1000 の範囲で指定できます。また、最大ファイル サイズを 10 KB から 1 ギガバイト (GB) に構成することもできます。ログ ファイルの作成方法の詳細については、 システム ログ エクスプローラを参照してください。
デフォルトでは、トレース操作を設定したユーザーのみがログファイルにアクセスできます。必要に応じて、すべてのユーザーの読み取り専用アクセスを設定できます。
次のトピックでは、一般的な認証サービス操作のトレースのすべての側面を構成する方法について説明します。
一般認証サービスの構成 トレース ログ ファイル名
デフォルトでは、一般認証サービスのトレース出力を記録するファイルの名前は authd
です。[edit system processes general-authentication-service]
階層レベルで file
ステートメントを含めることで、別の名前を指定することができます。
一般的な認証サービス・トレース操作用のファイル名を構成するには、次のようにします。
トレース出力に使用するファイルの名前を指定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1
一般認証サービス・ログ・ファイルの数とサイズの構成
オプションで、圧縮およびアーカイブされたトレース・ログ・ファイルの数を 2 から 1000 に指定できます。最大ファイル サイズを 10 KB から 1 ギガバイト (GB) に構成することもできます。デフォルトのサイズは 128 キロバイト (KB) です。
アーカイブされたファイルは、 .number.gz
形式の接尾辞によって区別されます。最新のアーカイブ・ファイルが .0.gz
され、最も古いアーカイブ・ファイルが .(maximum number)-1.gz
されます。現在のトレース ログ ファイルが最大サイズに達すると、そのファイルは圧縮されて名前が変更され、既存のアーカイブ ファイルの名前も変更されます。このプロセスは、アーカイブされたファイルの最大数に達するまで繰り返され、その時点で最も古いファイルが上書きされます。
たとえば、最大ファイル サイズを 2 MB に、最大ファイル数を 20 に設定できます。トレース操作の出力を受信するファイル filename
が 2 MB に達すると、 filename
が圧縮されて名前が filename.0.gz
に変更され、 filename
という新しいファイルが作成されます。新しい filename
が 2 MB に達すると、 filename.0.gz
の名前は filename.1.gz
に変更され、 filename
は圧縮されて名前が filename.0.gz
に変更されます。このプロセスは、トレース ファイルが 20 個になるまで繰り返されます。次に古いファイル filename.19.gz
は、次に古いファイル filename.18.gz
が圧縮され、名前が filename.19.gz
に変更されるときに上書きされます。
トレース ファイルの数とサイズを設定するには、次の手順に従います。
traceoptions
ステートメントにfiles
オプションとsize
オプションを含めて、トレース出力に使用するファイルの名前、番号、およびサイズを指定します。[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 files 20 size 2097152
一般認証サービス・ログ・ファイルへのアクセスの構成
デフォルトでは、ログファイルにアクセスできるのは、トレース操作を設定したユーザーのみです。すべてのユーザーにログファイルの読み取りを許可したり、ログファイルのデフォルトの動作を明示的に設定したりできます。
すべてのユーザーがログファイルを読み取れるように指定するには、次の手順に従います。
ログ ファイルを誰でも読み取り可能に設定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 world-readable
トレースを設定したユーザーのみがログファイルを読み取ることができるデフォルトの動作を明示的に設定するには、次のようにします。
ログ ファイルを誰でも読み取り可能にするように設定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 no-world-readable
一般認証サービス・メッセージをログに記録するための正規表現の構成
デフォルトでは、トレース操作の出力には、ログに記録されたイベントに関連するすべての行が含まれます。一致する正規表現(regex)を含めることで、出力を絞り込むことができます。
一致するように正規表現を設定するには:
正規表現を設定します。
[edit system processes general-authentication-service traceoptions] user@host# set file aap_logfile_1 match regular-expression
一般認証サービス トレース用の加入者フィルタリングの構成
Junos OS リリース 14.1 以降、一般的な認証サービスにフィルターを適用して、トレースを特定の加入者またはドメインに制限できます。加入者フィルタリングは、トレース結果の削減に集中できるようにすることで、拡張された環境でのトラブルシューティングを簡素化します。
想定される形式が user@domain
である加入者ユーザー名の場合、ユーザー、ドメイン、またはその両方でフィルタリングできます。アスタリスク(*)をワイルドカードとして使用して、いずれかの条件の最初または最後の文字を置き換え、より多くのサブスクライバーと一致させることができます。
ユーザーまたはドメイン用語の途中でワイルドカードを使用して結果をフィルタリングすることはできません。たとえば、ワイルドカードの tom*25@example.com、tom125@ex*.com の使用はサポートされていません。
ユーザー名によるフィルタリングを有効にすると、ユーザー名を特定するための情報が不十分なトレースは自動的に除外されます。
加入者フィルタリングを設定するには:
フィルターを指定します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user user@domain
フィルタリングにワイルドカードを使用する次の例を考えてみましょう。
ユーザー名 tom@example.com を持つ特定のサブスクライバーの結果をフィルタリングします。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom@example.com
ユーザー名が tom で始まるすべての購読者の結果をフィルター処理します。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom*
ユーザー名が tom で終わるすべての購読者の結果をフィルタリングします。
[edit system processes general-authentication-service traceoptions] user@host# set filter user *tom
ユーザー名が tom の購読者の結果を、ex で始まるすべてのドメインでフィルタリングします。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom@ex*
ample.com で終わるすべてのドメインのすべての購読者の結果をフィルタリングします。
[edit system processes general-authentication-service traceoptions] user@host# set filter user *ample.com
example.com で終わるドメインで、ユーザー名が tom で始まるすべての購読者の結果をフィルタリングします。
[edit system processes general-authentication-service traceoptions] user@host# set filter user tom*@*example.com
汎用認証サービス・トレース・フラグの構成
既定では、重要なイベントのみがログに記録されます。1 つ以上のトレース フラグを指定することで、ログに記録するイベントと操作を指定できます。
ログに記録するイベントのフラグを構成するには、次のようにします。
フラグを設定します。
[edit system services subscriber-management traceoptions] user@host# set flag flag
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。