startup inspector for windows download

Transcrição

Log- und DebugInformationen
ZyXEL ZyWALL USG-Serie
Dezember 2012
MFR / KB-3349
Inhalt
Log ............................................................................................................................................................3
Default Log .......................................................................................................................................... 3
crash log .............................................................................................................................................. 4
dmesg Log............................................................................................................................................ 4
Boot log serielle Ausgabe .................................................................................................................... 5
Routing .....................................................................................................................................................5
Packet Flow Explorer – Routing Status ................................................................................................ 5
Packet Flow Explorer – SNAT Status.................................................................................................... 5
Packet Flow Debugger ......................................................................................................................... 6
Connection Tracker Table.................................................................................................................... 7
SIP ALG Debug ..................................................................................................................................... 7
Anti-X ........................................................................................................................................................8
Content Filter Packet Flow .................................................................................................................. 8
Content Filter Policy Flow.................................................................................................................... 8
Content Filter Bluecoat Status Information ........................................................................................ 9
Content Filter Server Test ................................................................................................................. 10
VPN .........................................................................................................................................................10
IPSec Site to Site Tunnel ID................................................................................................................ 10
System ....................................................................................................................................................11
Prozessliste ........................................................................................................................................ 11
CPU .................................................................................................................................................... 11
Hardware ................................................................................................................................................12
Hardware Check ................................................................................................................................ 12
2
ZyWALL USG-Serie
LOG
Default Log
Für das Default Log sind drei Grundeinstellungen pro Log-Kategorie möglich:
-
Ausgeschaltet: Es werden für diese Kategorie keine Log-Informationen aufgezeichnet, auch
nicht wenn für einzelne Funktionen innerhalb dieser Kategorie „Log“ aktiviert ist.
Eingeschaltet: Die USG zeichnet für diese Kategorie alle Log-Informationen aller Events auf.
Eingeschaltet mit Debug: Die USG zeichnet für diese Kategorie Log-Informationen aller
Events und erweiterte Systeminformationen auf.
Beispiel mit Kategorie Firewall:
Einschalten der Log-Kategorie Firewall zeichnet alle Firewall-Events für Firewall-Regeln die die Log
Funktion aktiviert haben auf.
"Einschalten mit Debug" der Log-Kategorie Firewall zeichnet zusätzlich Events der FirewallFunktion auf, die nicht über das Regel-Set definiert sind. Z. B. ungültige Pakete oder direkte
Angriffe auf die Firewall.
Alle Log-Events lassen sich speichern:
-
Intern: Interner Speicher der USG bis max. 1000 Einträge, der jeweils älteste Eintrag wird
überschrieben.
Extern: Syslog-Server, unbegrenzte Anzahl Einträge.
Extern: ZyXEL VRPT, unbegrenzte Anzahl Einträge.
Intern: USB-Speicherstick an der USG, unbegrenzte Anzahl Einträge.
3
ZyWALL USG-Serie
crash log
CLI: show software-watchdog-timer log
Router> show software-watchdog-timer log
Total Disk Log: 0
No Log in Disk
Wurde die USG über den Sofware-Watchdog aufgrund einer Störung heruntergefahren oder neu
gestartet, wird ein internes Crash-Log erzeugt.
dmesg Log
CLI: debug system dmesg
Router# debug system dmesg
FIXME: improper kmalloc flag /home/zld/3.00-patch/its/tmp/usg1000r34073/usg1000/src/apps/lionic_turnkey/ips_dev.c (859)!
SLAV_FULL Rule Size=20610928 Ptr=fb9b702c
Load AV Ref : type=0
lc_av_engine_type=3
Total 13871 AV signatures. AV REF entry size=8 ref_index=0
FIXME: improper kmalloc flag /home/zld/3.00-patch/its/tmp/usg1000r34073/usg1000/src/apps/lionic_turnkey/dna_func.c (83)!
Inspection Code Size=19478128 Ptr=fbacb92c ref_header=fb9b702c
ci_load_inspection_code: 0, rs_len=18510184 offset=0x200.
ci_load_inspection_code: 1, rs_len=965880 offset=0x46a05a.
Load inspection code OK!
FIXME: improper kmalloc flag /home/zld/3.00-patch/its/tmp/usg1000r34073/usg1000/src/apps/lionic_turnkey/ips_dev.c (890)!
SLAV_INCR Rule Size=958252 Ptr=f9ce902c
Load AV Ref : type=1
lc_av_engine_type=3
Inspection Code Size=861520 Ptr=f9d00a08 ref_header=f9ce902c
ci_load_inspection_code: 62, rs_len=859456 offset=0x600200.
Load inspection code OK!
Ausgabe des Linux Kernel Logs.
4
ZyWALL USG-Serie
Boot log serielle Ausgabe
Bei Problemen mit der startup.conf während des Bootvorgangs kann eine serielle Log-Ausgabe aller
Schritte des Bootvorgangs aktiviert werden.
Beim Booten der USG via serielle Konsole in den Debug Mode der USG wechseln und mit
folgenden Kommandos den Start mit serieller Debug Ausgabe fortsetzen:
-
CLI: atkz –d
CLI: atgo
ROUTING
Packet Flow Explorer – Routing Status
Pakete die für das Weiterrouten an die USG gesendet werden, durchlaufen die einzelnen
Routingtabellen. Trifft eine der Routing Einträge auf das Paket zu, werden die nachfolgenden
Routingtabellen vom Paket nicht mehr berücksichtigt.
Die angezeigte Tabellen-Reihenfolge entspricht der aktuellen Einstellung der USG. Die Auswahl
einer der Tabellen zeigt die dazugehörigen Routingeinträge an.
Packet Flow Explorer – SNAT Status
Pakete die von der USG zu Ihrem Ziel gesendet werden, durchlaufen die Source-NAT Tabelle um zu
prüfen, ob die Source-IP des Pakets maskiert werden soll. Trifft einer der SNAT-Einträge auf das
Paket zu, wird die Source-IP entsprechend maskiert. Die weiteren SNAT-Tabellen bleiben
unberücksichtigt.
Pakete auf die kein SNAT-Eintrag zutrifft, werden ohne Maskierung der Source-IP an ihr Ziel
gesendet.
5
ZyWALL USG-Serie
Packet Flow Debugger
Aktivierung
CLI: debug zyinetpkt set protocol 1 (setzt den Protokoll Filter auf ICMP)
CLI: debug zyinetpkt set host ip <W.X.Y.Z> port any (setzt den IP Filter auf die zu verfolgenden
Pakete)
CLI: debug zyinetpkt set enable 2 (aktiviert den Trace)
Es kann nun ICMP-Traffic von oder zur gefilterten IPs gesendet werden, alle USG internen
Datenströme werden aufgezeichnet.
Deaktivierung
CLI: debug zyinetpkt set enable 0
Auswertung
CLI: debug system dmsg
<d3d94d80> J79116627 R1424526481078333 PreRT
QS netbios
In
ICMP 172.27.25.100:0->192.168.100.5:0 [CT] Info=NEW
[IP] TOL=84 TOS=0x00 ID=10319 FRAG=0x0000 TTL=64
[IF] nf_in=vlan25 nf_out=x skb: dev=vlan25 physin=x physout=x input=vlan25 dst=x
[ZLD] nfmark=0x00000006 tc_index=0 app_id=0 to_vpn_id=0 from_vpn_id=0
<d3d94d80> J79116627 R1424526481118173 PreRT
QS netbios
Exit <Accept>
ICMP 172.27.25.100:0->192.168.100.5:0 [CT] Info=NEW
[IF] nf_in=vlan25 nf_out=x skb: dev=vlan25 physin=x physout=x input=vlan25 dst=x
Fast-Path Hint: No-Entry
<d3d94d80> J79116627 R1424526481197436 Forward rtcompl_Forward
In
ICMP 172.27.25.100:0->192.168.100.5:0 [CT] Info=NEW
[IF] nf_in=vlan25 nf_out=doll skb: dev=vlan25 physin=x physout=x input=vlan25
dst=doll
<d3d94d80> J79116627 R1424526481239005 Forward rtcompl_Forward
Exit <Accept>
ICMP 172.27.25.100:0->192.168.100.5:0 [CT] Info=NEW
[IF] nf_in=vlan25 nf_out=doll skb: dev=vlan25 physin=x physout=x input=vlan25
dst=doll
Fast-Path Hint: No-Entry
Die Ausgabe zeigt alle vom Traffic passierten internen Module und deren Aktionen an. So lassen
sich internen Module oder Verarbeitungsschritte die zu einem Fehler oder unbeabsichtigter
Manipulation des Datenverkehrs führten, eingrenzen.
6
ZyWALL USG-Serie
Connection Tracker Table
CLI: debug system show conntrack
Die Connection-Tracking-Tabelle listet alle der USG zu diesem Zeitpunkt bekannten Verbindungen
mit Source-Destination, Port, Protokoll, der Anzahl bisher übermittelten Pakete, dem Status der
Verbindung und der Gültigkeitsdauer der Verbindung (default 9000s) auf.
tcp
6 12 SYN_SENT src=172.27.220.101 dst=192.168.1.2 sport=4511 dport=49152
packets=4 bytes=240 [UNREPLIED] src=192.168.1.2 dst=217.192.14.66 sport=49152
dport=4511 packets=0 bytes=0 mark=0 use=1
udp
17 111 src=127.0.0.1 dst=127.0.0.1 sport=34355 dport=53 packets=1 bytes=69
src=127.0.0.1 dst=127.0.0.1 sport=53 dport=34355 packets=1 bytes=265 mark=0 use=1
udp
17 104 src=172.27.100.101 dst=172.27.100.254 sport=50562 dport=53 packets=1
bytes=67 src=172.27.100.254 dst=172.27.100.101 sport=53 dport=50562 packets=1
bytes=127 mark=0 use=1
udp
bytes=71 [UNREPLIED] src=164.128.36.34 dst=217.192.14.66 sport=53 dport=29661
packets=0 bytes=0 mark=0 use=1
tcp
6 8882 ESTABLISHED src=172.27.221.105 dst=17.172.208.17 sport=52020
dport=443 packets=15 bytes=4292 src=17.172.208.17 dst=217.192.14.66 sport=443
dport=52020 packets=14 bytes=2613 [ASSURED] mark=0 use=1
udp
bytes=71 src=172.27.221.254 dst=172.27.221.105 sport=53 dport=59000 packets=1
bytes=122 mark=0 use=1
tcp
6 8991 ESTABLISHED src=172.27.99.100 dst=111.221.77.156 sport=49444
dport=40037 packets=1913 bytes=132751 src=111.221.77.156 dst=217.192.14.66
sport=40037 dport=49444 packets=2586 bytes=124169 [ASSURED] mark=0 use=1
SIP ALG Debug
Die Funktion des SIP-ALG kann via CLI und dem dmesg-Log überprüft werden:
CLI: debug system dmesg clear (löscht das aktuelle Log)
CLI: debug alg sip debug-level debug (aktiviert das erweiterte Log der SIP ALG)
CLI: debug system dmesg (zeigt das Log an)
CLI: debug alg sip debug-level warning (auf normalen Log level zurück)
process_sip_request 1651: sip_data = 0xd3efca00
process_register_request 1439: Expire : 180
process_register_uri 1347: Can not parse numerical param "expires="
process_register_uri 1367: saddr = 0.0.0.0 daddr = 172.27.220.102:48393
process_register_uri 1380: Init contact exp: 0.0.0.0:0->172.27.220.102:48393,[saved =
0.0.0.0:0][flags = 7][id = 0]
ip_nat_sip_expect 519: signal ct:[O]172.27.220.102:48393>62.65.137.113:5060,[R]62.65.137.113:5060->217.192.14.66:48393
ip_nat_sip_expect 554: exp related: 0.0.0.0:0->217.192.14.66:48393,[saved =
172.27.220.102:48393][flags = 7][id = 0]
7
ZyWALL USG-Serie
ip_nat_sip_expect 560: exp related: 0.0.0.0:0->217.192.14.66:48393,[saved =
172.27.220.102:48393][flags = 7][id = 0]
translate_via_header 215: parse via address=172.27.220.102:48393
translate_contact_header 316: (request)parse uri address=217.192.14.66:48393
:2a0000002bd4: === Packet In: SIP/2.0 200 OK
sip_help 1777: 0xda2b89b4: [O]172.27.220.102:48393>62.65.137.113:5060,[R]62.65.137.113:5060->217.192.14.66:48393
process_sip_response 1590: begin: sip_data = 0xd3f01c00
process_sip_response 1598: sip_data->code = 200
process_sip_response 1611: sip_data->cseq = 14742
process_register_response 1541: Expires = 300
translate_via_header 215: parse via address=217.192.14.66:48393
map_addr 93: mangle address=172.27.220.102:48393
translate_contact_header 316: (reply)parse uri address=217.192.14.66:48393
map_addr 93: mangle address=172.27.220.102:48393
ANTI-X
Content Filter Packet Flow
Die Daten-Paket werden nach den folgenden Kriterien geprüft: Entspricht der Destination Port
einem der Ports in der Content Filter Portliste, falls JA gibt es eine passende Policy für das Paket,
falls NEIN erfolgt keine weitere Prüfung. Gibt es eine passende Policy wird das Paket anhand des
Content Filter Policy Flows weiter geprüft, falls keine Policy passt wir die definierte „No match“
Aktion ausgeführt.
Content Filter Policy Flow
Pakete, auf die gemäss dem Content-Filter-Paket-Flow eine passende
Policy angewendet wird, durchlaufen den abgebildeten Ablauf. Trifft
eines der Flow-Kriterien zu, werden die nachfolgenden Kriterien nicht
mehr geprüft.
8
ZyWALL USG-Serie
Content Filter Bluecoat Status Information
CLI: debug show content-filter profiling
BC DNS resolve count:1 ZSB DNS resolve count:2
BC IP:199.019.249.201,TotalWC:06433 NW:06433 E:000,qry :06270 qout:0005
dis:00 atw:02090502 AQs:0 AQus:464626 RE:000 WE:000
BC IP:203.012.002.160,TotalWC:00341 NW:00341 E:000,qry:00336 qout:0004 dis:00
atw:09334310 AQs:0 AQus:559761 RE:000 WE:000
atw:10025440 AQs:0 AQus:423736 RE:000 WE:000
atw:18246173 AQs:0 AQus:264621 RE:000 WE:000
atw:10316738 AQs:0 AQus:430438 RE:000 WE:000
atw:14007017 AQs:0 AQus:268000 RE:000 WE:000
atw:10338977 AQs:0 AQus:106410 RE:000 WE:000
atw:11868519 AQs:0 AQus:444899 RE:000 WE:000
ZSB IP:220.128.056.042,TotalWC:05018 NW:05018 E:000,qry:04450 qout:0490 dis:00
atw:00044467 AQs:0 AQus:094164 RE:083 WE:077
Das CLI-Kommando zeigt die aktuelle BlueCoat-Server-Liste und deren Status an. Die Liste der
Server wird beim Neustart der USG oder beim Einschalten des BlueCoat-Services neu geladen.
-
-
-
BC DNS resolve count:1 bedeutet, dass die Serverliste seit dem letzten Start der USG
einmal geladen wurde.
BC IP gibt die BlueCoat Server-IP an, an welche Abfragen gesendet werden. Alle Abfragen
werden immer an die oberste IP dieser Liste gesendet, ausser die Liste wurde gerade neu
geladen und der atw aller Server steht noch auf 0. In diesem Falle bekommt jeder Server
mindestens eine Anfrage.
qry zeigt die Anzahl der Abfragen an diesen Server an.
qout zeigt die Anzahl fehlgeschlagener Abfragen an diesen Server an.
Jede fehlgeschlagene Anfrage an einen bestimmten Server erhöht den dis-Wert um 1, jede
erfolgreiche Anfrage an diesen Server reduziert den dis-Wert um 1. Erreicht der dis-Wert
10, wird der Server für Abfragen nicht mehr weiter berücksichtigt.
Die durchschnittliche RTT einer Anfrage an einen Server in Sekunden stehen in AQs, die
Mikrosekunden in AQus. Der Wert AQs:0 AQus:559761 entspricht somit 0,559761s.
atw zeigt die Gewichtung nach Anzahl Abfragen und der durchschnittlichen RTT des
Servers. Der Server mit dem tiefsten atw wird an die oberste Stelle der Liste gesetzt.
9
ZyWALL USG-Serie
Content Filter Server Test
CLI: configure terminal
CLI: content-filter url-server test bluecoat/commtouch
Router(URL)# http://tw.yahoo.com
% read sequence number: 0 zsb query port: 80
% URL: http://tw.yahoo.com ZSB Rating server ip: 203.160.232.11 Timeout: 10
% zsb result: none
% The zsb query takes: 0.840000 seconds (not including time required for DNS lookup)
% timeout:10 gsb_timeout_usec:9160000
URL: http://tw.yahoo.com Rating server ip: 199.19.249.201 Timeout: 10
result: Search Engines/Portals
result_all: Search Engines/Portals
The query takes: 0.630000 seconds (not including time required for DNS lookup)
Der Befehl erlaubt die direkte Abfrage einer URL über den ausgewählten Content-Filter-Service. In
der Rückmeldung ist die RTT der Abfrage, die IP des verwendeten Content-Filter-Servers und die
Kategorie der URL enthalten.
VPN
IPSec Site to Site Tunnel ID
CLI: debug system iptables list table vpnid
Chain SITE_TO_SITE (2 references) pkts bytes target
prot opt in
out
source
destination
0
0 ZYACCEPT
udp -- *
*
0.0.0.0/0
0.0.0.0/0
udp dpt:500 from local uindex: -1 feature name: IPSec VPN
0
0 ZYACCEPT
udp -- *
*
0.0.0.0/0
0.0.0.0/0
udp dpt:4500 from local uindex: -1 feature name: IPSec VPN
0
0 TUNNELID
all -- *
*
0.0.0.0/0
0.0.0.0/0
source IP range 172.27.25.0-172.27.25.255 destination IP range 192.168.100.5192.168.100.5 TUNNELID set to_id:5 uindex: 5 feature name: SiteToSite VPN
Eine Liste aller Site-to-Site-Tunnel und deren ID. Die ID erlaubt die Nachverfolgung des Pakets im
Packet-Flow-Debugger.
10
ZyWALL USG-Serie
SYSTEM
Prozessliste
CLI: debug system ps
USER
PID %CPU %MEM
root
1 0.0 0.0
root
2 0.0 0.0
root
3 0.0 0.0
root
4 0.0 0.0
root
5 0.0 0.0
root
1195 0.0 0.0
root
1196 0.0 0.0
/usr/sbin/sessionlimitd
root
1198 0.0 0.1
root
1200 0.0 0.0
/usr/sbin/signal_wrapper
root
1316 0.0 0.2
/usr/sbin/proactor1.2/pro
root
1500 0.0 6.5
root
1529 0.0 0.0
VSZ
180
0
0
0
0
26344
18132
RSS
96
0
0
0
0
880
612
TTY
?
?
?
?
?
?
?
STAT
Ss
S<
S<
S<
S<
Sl
Sl
START
Jul25
Jul25
Jul25
Jul25
Jul25
Jul25
Jul25
TIME
0:03
0:00
1:20
0:04
0:00
0:00
0:00
COMMAND
ini
[kthreadd]
[ksoftirqd/0]
[events/0]
[khelper]
/usr/sbin/firewalld
3488
1700
960 ?
672 ?
S
S
Jul25
Jul25
0:00 /usr/sbin/ddns_had
0:00
96816
2572 ?
Sl
Jul25
0:56
61856 58960 ?
7616
848 ?
Ss
Ss
Jul25
Jul25
0:21 /sbin/sshipsecpm –d
0:15 /usr/sbin/asd
Ausgabe der aktuellen Prozessliste mit Angabe des laufenden Dienstes und dessen Memory- und
CPU-Verbrauchs.
CPU
CLI: debug system show cpu status
CPU utilization: 0 % (system: 0 %, user: 0 %, irq: 0 %, softirq 0 %)
CPU utilization (1 minute): 1 % (system: 0 %, user: 0 %, irq: 0 %, softirq 1 %)
CPU utilization (5 minute): 0 % (system: 0 %, user: 0 %, irq: 0 %, softirq 0 %)
Ausgabe einer detaillierten CPU-Status-Information.
11
ZyWALL USG-Serie
HARDWARE
Hardware Check
Der Hardware-Test kann AUSSCHLIESSLICH über die serielle Konsole initiiert werden:
CLI: enable
CLI: htm
CLI: phase 1 run 5
Was wird getestet?
item=01 Ipsec accelerator internal loopback
item=02 IDP accelerator internal loopback
item=03 Console internal loopback
item=04 AUX internal loopback
item=05 GE1 internal loopback
item=12 NIC internal loopback
item=13 USB20 internal loopback
item=14 CardBus 1 internal loopback
item=15 Flash internal loopback
Ereignis:
HTM runs 0 times, system up time: 00:13:51
Ipsec accelerator internal loopback OK.
IDP accelerator internal loopback OK.
Console internal loopback OK.
AUX internal loopback OK.
GE1 internal loopback OK.
NIC internal loopback OK.
USB20 internal loopback OK.
CardBus 1 internal loopback OK.
Flash internal loopback OK.
12
ZyWALL USG-Serie

startup inspector for windows download

Transcrição

Documentos relacionados

MitarbeiterIn Internal Control – Zentrale Wien

Arbeit mit MS Visual Studio 2010 - Benutzer-Homepage

Targa WR500

070 Tuning-News

1 Rottweiler im Hundesport: Vielseitig einsetzbar – nicht nur im IPO

GXP1610 - Grandstream

Internet Telefonie (SIP) HOWTO

HTML Cheat Sheet

Anleitung Alcatel Omni PCX Office

BT Wholesale VoIP