|
◆ SSG - デバッグコマンド
SSGの内部動作を確認するためにはdebugコマンドを使用します。デバッグの結果はデフォルトでコンソール
に表示されるのではなく、デバッグバッファと呼ばれる領域に出力されます。このデバッグバッファの領域は
get dbuf streamで確認できます。get dbuf streamでの確認前にclear dbufでバッファをクリアしましょう。
なお、コンソールにリアルタイムに出力したい場合は unset console dbuf を入力しましょう。ただし非推奨。
※ 変更後は set console dbuf と入力して元に戻しましょう。get console でdebug : bufferと表示されたら元に戻っています。
【 事前準備 : デバッグバッファのコマンド 】
| デバッグバッファのコマンド |
説明 |
| clear dbuf |
デバッグバッファのログをクリア。 |
| get dbuf stream |
デバッグバッファの内容を表示する。 |
| get dbuf info |
デバッグバッファのサイズを表示(バイト数で表示される) |
| set dbuf size |
デバッグバッファにシステムメモリを割り当てる。 |
| unset console dbuf |
debug の出力をデバッグバッファではなく、コンソールに出力するコマンド。(非推奨) |
| set console dbuf |
debug の出力をデバッグバッファに出力するコマンド。 |
【 特に役立つデバッグコマンド 】
| デバッグバッファのコマンド |
説明 |
| debug flow basic |
SSGがパケットを処理する際に発生した全イベントを出力(Consoleへの吐き出し厳禁) |
| debug icmp all |
SSGに到達するICMPパケットが到達しているか確認できる。 |
| debug ip ip |
SSGに到達するIPパケットの処理を確認できる。 |
| debug nat |
SSGにおけるNAT変換処理を確認できる。 |
| debug ike detail |
IPsec-VPNの際のIKEのやりとりを確認できる。 |
| undebug all |
全てのデバッグコマンドを解除するための大切なコマンド。必ず実行しましょう。 |
※ set ffilterによりアウトプットの対象を絞り込めます「set ffilter src-ip 10.1.1.1」のように送信元IPアドレスを絞り込めます。
※ set ffilterコマンドを1行で入力した場合はAND条件となり、set ffilterコマンドを複数行で入力した場合にはOR条件となります。
一般的に以下の流れでデバックを取得します。
1. clear dbuf でログクリア
2. set ffilter で対象を特定
3. debug flow basic でデバッグ開始
4. ping などでトラフィック発生
5. undebug all でデバッグ解除
6. get dbuf stream で情報の取得。
|
|
◆ SSG - 基本的な確認コマンド
| ステータス確認コマンド |
説明 |
| get system |
ScreenOSのバージョン、メモリなどの基本情報を確認(Ciscoでいうshow version) |
| get zone |
ゾーン情報の一覧を確認。 |
| get arp |
ARP情報の確認。( Ciscoでいうshow ip arp ) |
| get interface |
インターフェースの情報を確認。( Ciscoでいう show ip interface brief ) |
| get route |
ルーティングテーブルの確認。( Ciscoでいう show ip route ) |
| get admin |
管理者情報の確認。 |
| get log event |
システムイベントの日時、レベル、ログ内容の表示。( Ciscoでいうsh log ) |
| get log system saved |
SSGから出力されるDump。( 出力された場合は何か問題がある ) |
| get tech-support |
通信に不具合が発生し、問題が解決しない場合に取得すべき全情報。 |
|