購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1161
閲覧回数
0
いいね!
0
コメント

IOS/IOS-XE にて動作する製品にて、VPN/AAA 関連のログを取得する際の取得方法と注意点

hhoujou
Level 1
Level 1

‎2018-04-09 01:08 PM ‎2018-04-19 11:00 PM 更新

<ログ取得前の準備>
VPN/AAA 関連の機能は 2台以上の機器で構成されるケースや、証明書をご利用頂くケースが多々御座います。事象に関連する複数の機器に渡るログを確認するため、NTP による時刻同期を行って下さい。
ntp server <ntp server の ip>
show コマンドに timestamp が付与されていない場合、いつ取得した show コマンドなのか正確な時間がわからないため、ログをご取得する際はこの設定を行ってください。
line con 0
 exec prompt timestamp
line vty 0 4 <telnet/ssh で取得される場合
 exec prompt timestamp

 msec 表示にして頂くことで、より正確なイベントの発生時刻を確認することが出来ます

service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime

 

VPN/AAA 関連の debug ログは多量の出力を伴うケースが多い事。また、console port 経由では console port の通信速度(default 9600bps)が遅い為、debug ログ等は drop が発生する事が多々あります。

buffer(メモリー) へログを保存する事も可能ですが、容量には限度が御座います。従いまして、以下の設定を適用頂き、syslog サーバーを用いてログを取得して下さい。

#vrf 利用時や各種オプションは configuration guide を参照下さい

 

logging host <syslog server の IP>
logging trap debugging

 

<ログを取得頂く際の注意点(show/debug共通)>

-show / debug command の双方を依頼させて頂いた場合には、 "show / debug command 双方のログ"を必ず取得下さい

-依頼させて頂いた全てのログを取得下さい。

  お客様にて作業可能な時間の関係等により、一部のログのみ取得可能となる場合もあるかと存じますが、ログに不足が御座いますが、事象の調査が限定的となり、  再度のログ取得を依頼させて頂く可能性が御座います。

 

<show command>

show command では各種機能/機器の "現在"の状況や、各種カウンターの"積算値"や"現在" の値が確認可能です。なんらかの drop カウンターが上がっていたとしても、1回しか取得していない状況下では事象に関連するか否かの判断が出来ません。

また、事象未発生性の際に取得頂きましても、事象発生時の状況を記録しておりません。

上記を考慮致しまして、以下の方法にて取得下さい。

ログの取得間隔:
  1分程度あけて、複数回(3-5回)取得頂く。
ログを取得するタイミング:
  事象の発生前/発生中/発生後(復旧しない事象では発生後の状況にはならない為、取得出来ません)

 

また、多くのログが"結果"を表し、問題の"特定"に非常に有用な"過程"を確認する事が出来ません。従いまして、"過程" を表示する事が可能な debug command と同時に取得頂けますでしょうか。

 

<debug command>

debug command では各種機能/機器の詳細な処理状況を step 毎に出力させる事が可能です。

debug command は以下の取得方法にて取得下さい

 

事象の発生前から debug command を取得頂き、事象が発生中/事象発生後 が含まれる形でログを取得下さい。
#ログを送付頂く際には、事象の発生時刻を出来る限り正確にご連絡下さい

 

debug command の出力は、機器の詳細な処理状況を記録する関係上、処理には相応のリソース(主にCPU) を利用します。しかしながら、ルーターの packet 転送と比較して、優先度が下げられてる為、定常的に CPU  使用率(70-80%等)が高い状況等でなければ基本的に負荷を考慮する必要性は御座いません。

また、通信への影響等はご利用頂いている機能の処理状況や通信量等、環境的な要因による影響が大きく、

TAC にて通信への影響有無を保証させて頂く事は出来ない為、通信の影響を懸念なされるお客様へは、検証頂く事を依頼させて頂いております。

 

ログを取得する際に、CPU に対する負荷を下げる設定

CPU への負荷は console > ssh > telnet > syslog の順に負荷が低くなります。

以下の設定にて取得頂く事により、CPU に対する負荷を下げる事が可能です。

 

<show command 用>

telnet / ssh 経由で取得頂く
<debug command用>
"no logging console" を設定頂き、console 上への syslog 表示を止め、syslog として取得頂く
#デフォルトの動作に戻すには、"logging console 7" を入力頂く必要が御座います
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents