各種機能のデバッグログ設定

動作確認バージョン: vSRX Version15.1X49-D105.1, vSRX Version19.2R1.8

security機能のログ設定について

ログ設定

以下にsecurity機能のログ設定手順を説明します。

サンプル設定のシナリオ

  • ポリシー毎にログオプションを指定したい
  • デフォルト設定のstreamモードからeventモードに変更を実施したい(ローカルのログとして見たいケース)

CLIにて入力するコマンド

user01@vSRX-01# set security policies from-zone trust to-zone "zone name" policy "policy name" then log "type of communication"
user01@vSRX-01# set security log mode event

注釈

  • eventモードは、コントロールプレーン及びデータプレーンで処理します。ローカルでのログ記載及び外部へのSyslog転送が可能です。
  • streamモードは、データプレーンのみの処理です。コントロールプレーンでの処理を挟まず高速に外部へのSyslog転送が可能です。
  • 詳細は、Juniper社公式サイト 及び Knowledgebaseサイト をご参照ください。
  • security logとは具体的にはフィルタリングやNAT等のパケット処理に対するログを示します。デバッグを目的とした詳細な情報がログとして出力されます。
  • Syslogの書き込みと送信時のCPU値と通信影響について に記載の通り、特にeventモードをご利用の場合には取得するログを必要最低限に抑えるなどの工夫をし、必ずお客さまで影響をご確認の上ご利用ください。
  • Juniper社の Knowledgebaseサイト では個別にtraffic-logの名称でログファイルを作成しておりますが、指定しない場合はデフォルトで/var/log/messagesにログは記載されます。

ログ記載量の制限

security logでは、モード毎にレートリミットを設定可能です。以下に変更手順を説明します。

サンプル設定のシナリオ

  • 各モードのレートリミットを変更したい

CLIにて入力するコマンド

  • stream mode
user01@vSRX-01# set security log stream "stream name" rate-limit value(1..65535)

注釈

詳細は、Juniper社公式サイト をご参照ください。 デフォルト値は最大値です。

  • event mode

CLIにて入力するコマンド

user01@vSRX-01# set security log event-rate value(0..1500)

注釈

security logでの設定で外部に転送可能なログの量を制限できます。event modeでのみ有効です。

CLIにて入力するコマンド

user01@vSRX-01# set security log rate-cap value(0..5000)

注釈

ログ記載量の制限を超えた場合のログの扱い

  • streamモードでのログ転送
    • 転送するログの量がレートリミットを超えた場合には、超えた分のログは破棄されます。
  • eventモードによるvSRX内部へのログ書き込み
    • 書き込むログの量がレートリミットを超えた場合には、超えた分のログは破棄されます。
  • eventモードによるログの転送
    • 明確なレートリミットはございません。転送可能なログの量は負荷・リソースの状況に依存します。超過した分のログは破棄されます。

注釈

上記は共通して、処理しきれないログを破棄する動作を取ります。

その他機能のログ設定について

traceoptionを利用したログ設定

その他の一部機能については、traceoption設定が使えることがあります。traceoptionを利用することでデバッグレベルでのログを取得する事が可能です。お客様のトラブルシュート等にご活用ください。

注釈

詳細は、Juniper社公式サイト をご参照ください。