パケットドロップモニタ(drop_monitor、asg_drop_monitor)

重要- R80.20SP Jumbo Hotfix Accumulator閉じた ホットフィックスのコレクションが 1 つのパッケージにまとめらたもの。頭字語:JHA、JHF、JHFA。) の Take 209 から、以前の "asg_drop_monitor" ユーティリティに代わって、新しい "drop_monitor" ユーティリティが追加されました。

drop_monitor」コマンド

エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。で「drop_monitor 」コマンドを使用すると、インタフェースのドロップパケットをリアルタイムでモニタすることができます。

これらのモジュールからドロップ統計が届く。

注:

drop_monitor -h

drop_monitor [-d] [-v] [-m <SGM IDs>] [-i <List of Interfaces>] [-f <Refresh Rate>] [-sf <Query Timeout>] [-le] [-e] [-dm] [-ds] [-r] [-s] [-v6]

パラメータ

説明

-h

内蔵のヘルプを表示します。

-d

--debug

デバッグモードでコマンドを実行します。

-v

--verbose

ドロップの詳細な統計情報を表示します - 各セキュリティグループメンバおよびすべてのSecureXL統計情報。

-m <SGM IDs>

--members <SGM IDs>

<SGM IDs>で指定されたセキュリティグループメンバに適用されます。

<SGM IDs>には:

  • <SGM IDs>が指定されていない、またはall

    すべてのセキュリティグループメンバとすべてのMaestroサイトに適用されます。

  • 1セキュリティグループメンバ(例:1_1)

  • カンマで区切られたセキュリティグループメンバのリスト(例: 1_1,1_4

  • セキュリティグループメンバの範囲(例: 1_1-1_4

  • Dual Siteの場合、1つのMaestro Site (chassis1, orchassis2)。

  • Dual Siteでは、Active Maestro Site(chassis_active)。

-i <List of Interfaces>

--interfaces <List of Interfaces>

指定したネットワークインタフェースのドロップ統計情報を表示します。

該当するインタフェース名をカンマ区切りで入力します。

デフォルトでは、このユーティリティは、バックプレーンインタフェースのドロップ統計のみを表示します。

-f <Refresh Rate>

--refresh-rate <Refresh Rate>

出力リフレッシュ速度を秒単位で指定します。

デフォルトは3秒です。

-sf <Query Timeout>

--ssms-refresh-rate <Query Timeout>

クエリーのタイムアウトを秒単位で指定します。

デフォルトは60秒です。

-le

--local-export

ローカルセキュリティグループメンバからドロップ統計情報をJSON形式でエクスポートします。

-e

--global-export

全セキュリティグループメンバのドロップ統計情報をJSON形式で出力します。

-dm

--detailed-members

総ドロップ統計に加え、各セキュリティグループメンバのドロップ統計が表示されます。

-ds

--detailed-securexl

SecureXL の詳細なドロップ統計情報を表示します。

-r

--reset

データを収集する前に、統計カウンターを0にリセットします。

:ドロップ統計は、CoreXL、PSL、SecureXL、およびバックプレーンインタフェースのためにリセットされます。

-s

--include-ssms-stats

ローカルドロップの統計情報のみを表示します。

データリンク、マネジメントリンク、ダウンリンクのみ対応しています。

-v6

--ipv6

IPv6 トラフィックのドロップ統計情報を表示します。

 
[Expert@HostName-ch0x-0x:0]# drop_monitor
 
Dropped packets statistics of network interfaces, CoreXL, SecureXL and PSL
+----------+------------------+-------+
| Category | Statistics       | Total |
+----------+------------------+-------+
+----------+------------------+-------+
|          | RX Dropped       |   0   |
|   NIC    | TX Dropped       |   0   |
|          | Qdisc Dropped    |   0   |
+----------+------------------+-------+
|          | Outbound Dropped |   0   |
|  CoreXL  | Inbound Dropped  |   0   |
|          | F2P Dropped      |   0   |
+----------+------------------+-------+
|   PSL    | Total Dropped    |   0   |
|          | Rejected         |   0   |
+----------+------------------+-------+
| SecureXL | Total drops      |   0   |
+----------+------------------+-------+

[Expert@HostName-ch0x-0x:0]#
 
[Expert@HostName-ch0x-0x:0]# drop_monitor -v
 
Dropped packets statistics of network interfaces, CoreXL, SecureXL and PSL
+----------+----------------------+------+------+-------+
| Category | Statistics           | 1_01 | 1_02 | Total |
+----------+----------------------+------+------+-------+
+----------+----------------------+------+------+-------+
|          | RX Dropped           |  0   |  0   |   0   |
|   NIC    | TX Dropped           |  0   |  0   |   0   |
|          | Qdisc Dropped        |  0   |  0   |   0   |
+----------+----------------------+------+------+-------+
|          | Outbound Dropped     |  0   |  0   |   0   |
|  CoreXL  | Inbound Dropped      |  0   |  0   |   0   |
|          | F2P Dropped          |  0   |  0   |   0   |
+----------+----------------------+------+------+-------+
|   PSL    | Total Dropped        |  0   |  0   |   0   |
|          | Rejected             |  0   |  0   |   0   |
+----------+----------------------+------+------+-------+
|          | XMT error            |  0   |  0   |   0   |
|          | general reason       |  0   |  0   |   0   |
|          | Syn Defender         |  0   |  0   |   0   |
|          | Attack mitigation    |  0   |  0   |   0   |
|          | VPN forwarding       |  0   |  0   |   0   |
|          | corrupted packet     |  0   |  0   |   0   |
|          | hl - spoof viol      |  0   |  0   |   0   |
|          | encrypt failed       |  0   |  0   |   0   |
|          | cluster error        |  0   |  0   |   0   |
|          | anti spoofing        |  0   |  0   |   0   |
|          | monitored spoofed    |  0   |  0   |   0   |
|          | hl - new conn        |  0   |  0   |   0   |
|          | hl - TCP viol        |  0   |  0   |   0   |
|          | F2F not allowed      |  0   |  0   |   0   |
| SecureXL | fragment error       |  0   |  0   |   0   |
|          | Session rate exceed  |  0   |  0   |   0   |
|          | PXL decision         |  0   |  0   |   0   |
|          | template quota       |  0   |  0   |   0   |
|          | drop template        |  0   |  0   |   0   |
|          | sanity error         |  0   |  0   |   0   |
|          | outb - no conn       |  0   |  0   |   0   |
|          | clr pkt on vpn       |  0   |  0   |   0   |
|          | partial conn         |  0   |  0   |   0   |
|          | decrypt failed       |  0   |  0   |   0   |
|          | Connections Limit by |  0   |  0   |   0   |
|          | Source IP exceed its |  0   |  0   |   0   |
|          | local spoofing       |  0   |  0   |   0   |
|          | interface down       |  0   |  0   |   0   |
+----------+----------------------+------+------+-------+

[Expert@HostName-ch0x-0x:0]#

asg_drop_monitor」コマンドの実行

Expert モードで "asg_drop_monitor" コマンドを使用すると、ドロップしたパケットをリアルタイムでモニタすることができます。

これらのモジュールからドロップ統計が届く。

  • NIC

  • オペレーティング システム

  • CoreXL

  • PSL

  • SecureXL

注:

  • このコマンドは、モニタセッションを開き、セキュリティグループメンバからの集計データを表示します。

    開いているセッションを停止するには、CTRL+C を押します。

  • デフォルトでは、このユーティリティはIPv4トラフィックのドロップ統計情報を表示します。

asg_drop_monitor -h

asg_drop_monitor [-r] [-6]

パラメータ

説明

-h

内蔵のヘルプを表示します。

-r

データを収集する前に、統計カウンターを0にリセットします。

-ssm [-t <Timeout>]

このパラメータはMaestro Security Groupsではサポートされていません(既知の制限事項:MBS-5478)。

-6

IPv6 トラフィックのドロップ統計のみを表示します。

 
[Expert@HostName-ch0x-0x:0]# asg_drop_monitor
 
(IPv4 Drop Statistics - All Blades)
Wed Feb 27 11:04:51 EST 2019
NICs drops (Rx):
18415
 
IP Stack qdisc drops (Tx):
0
 
CoreXL queue drops (F2F):
14781348
 
CoreXL queue drops (PXL F2P)
0
 
PSL drops(total):
0
 
PSL rejects:
0
 
Ppak drops:
Displaying aggregated data from blades: all
 
Reason                Value              Reason                Value
--------------------  ---------------    --------------------  ---------------
general reason                8881796    CPASXL decision                     0
PSLXL decision                      0    clr pkt on vpn                      0
encrypt failed                      0    drop template                       0
decrypt failed                      0    interface down                      0
cluster error                       0    XMT error                           0
anti spoofing                       0    local spoofing                      0
sanity error                        0    monitored spoofed                   0
QOS decision                        0    C2S violation                       0
S2C violation                       0    Loop prevention                     0
DOS Fragments                       0    DOS IP Options                      0
DOS Blacklists                      0    DOS Penalty Box                     0
DOS Rate Limiting                   0    Syn Attack                          0
Reorder                             0    Expired Fragments                   0
[Expert@HostName-ch0x-0x:0]#