SecureXLデバッグ手順

手順

1. Security Gateway、各クラスタメンバ、またはスケーラブル プラットフォーム セキュリティ グループのコマンドラインに接続

   SSHまたはコンソール接続を使用します。

   ベストプラクティス- コンソール接続を使用します。

   注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal Check Point Gaiaオペレーティングシステム用のWebインタフェース。 に接続する必要があります。

2. エキスパートモードへのログイン

   デフォルトのシェルがGaia Clish CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです（役割ベースの管理は、シェルで使用可能なコマンドの数を制御します）。の場合、実行します。

   expert

3. すべてのカーネルデバッグモジュールのデバッグフラグをリセットします。

   • Security Gateway /各クラスタメンバ:

     fw ctl debug 0

   • スケーラブル プラットフォーム セキュリティ グループ:

     g_fw ctl debug 0

4. すべてのSecureXLデバッグモジュールで、すべてのSecureXLデバッグフラグをリセットします。

   • Security Gateway /各クラスタメンバ:

     fwaccel dbg resetall

   • スケーラブル プラットフォーム セキュリティ グループ:

     g_fwaccel dbg resetall

5. カーネルデバッグバッファの確保

   • Security Gateway /各クラスタメンバ:

     fw ctl debug -buf 8200 [-v {"<List of VSIDs>" | all} -k]

   • スケーラブル プラットフォーム セキュリティ グループ:

     g_fw ctl debug -buf 8200 [-v {"<List of VSIDs>" | all} -k]

   注：オプションの"-v {"<List of VSIDs>" | all} -k"は、VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。モードのVSXゲートウェイ 物理ネットワークデバイスの機能を提供するすべての仮想デバイスを含む、VSX仮想ネットワークをホストする物理サーバ。VS0と呼ばれる少なくとも1つの仮想システムを保持します。/VSXクラスタメンバ/Scalable Platform Security Groupの該当するVirtual Systemsを指定するためのものです。パラメータ "-v" を使用する場合、パラメータ "-k" フラグも使用する必要があります。

6. Security Gatewayがカーネルデバッグバッファを確保したことを確認する。

   • Security Gateway /各クラスタメンバ:

     fw ctl debug | grep buffer

   • スケーラブル プラットフォーム セキュリティ グループ:

     g_fw ctl debug | grep buffer

7. 該当するカーネルデバッグモジュールとカーネルデバッグフラグを設定します。

   • Security Gateway /各クラスタメンバ:

     fw ctl debug -m <Name of Kernel Debug Module> {all | + <Kernel Debug Flags>}

   • スケーラブル プラットフォーム セキュリティ グループ:

     g_fw ctl debug -m <Name of Kernel Debug Module> {all | + <Kernel Debug Flags>}

8. 該当するSecureXLデバッグモジュールおよびSecureXLデバッグフラグを設定する。

   • Security Gateway /各クラスタメンバ:

     • すべてのSecureXLインスタンスについて、実行します。

       fwaccel dbg -m <Name of SecureXL Debug Module> {all | + <SecureXL Debug Flags>}

     • 特定のSecureXLインスタンスについて、実行します。

       fwaccel -i <SecureXL ID> dbg -m <Name of SecureXL Debug Module> {all | + <SecureXL Debug Flags>}

   • スケーラブル プラットフォーム セキュリティ グループ:

     • すべてのSecureXLインスタンスについて、実行します。

       g_fwaccel dbg -m <Name of SecureXL Debug Module> {all | + <SecureXL Debug Flags>}

     • 特定のSecureXLインスタンスについて、実行します。

       g_fwaccel -i <SecureXL ID> dbg -m <Name of SecureXL Debug Module> {all | + <SecureXL Debug Flags>}

   SecureXLデバッグモジュールとデバッグフラグ」を参照してください。

9. カーネルデバッグモジュールのカーネルデバッグの設定を調べる

   • Security Gateway /各クラスタメンバ:

     fw ctl debug

   • スケーラブル プラットフォーム セキュリティ グループ:

     g_fw ctl debug

10. SecureXLデバッグモジュールのSecureXLデバッグ構成の検討

    • Security Gateway /各クラスタメンバ:

      fwaccel dbg list

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fwaccel dbg list

11. Firewall ConnectionsテーブルとSecureXL Connectionsテーブルの両方からすべてのエントリを削除します。

    重要： このステップでは、既存の接続に影響されない本当の問題のデバッグを収集することを確認します。 このコマンドは、既存の接続をすべて削除します。これにより、SSHを含むすべての接続が中断されます。 Security Gateway / 各クラスタメンバ / Scalable Platform Security Group Membersにシリアルコンソールで接続されている場合のみ、このコマンドを実行します。

    • Security Gateway /各クラスタメンバ:

      fw tab -t connections -x -y

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fw tab -t connections -x -y

12. Firewall Templatesテーブルからすべてのエントリを削除します。

    注：このコマンドは、既存の接続を中断することはありません。このステップでは、既存の接続テンプレートの影響を受けない、本当の問題のデバッグを収集することを確認します。

    • Security Gateway /各クラスタメンバ:

      fw tab -t cphwd_tmpl -x -y

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fw tab -t cphwd_tmpl -x -y

13. カーネルデバッグの開始

    ゲートウェイモードの場合。

    • Security Gateway /各クラスタメンバ:

      fw ctl kdebug -T -f -o /var/log/kernel_debug.txt

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fw ctl kdebug -T -f -o /var/log/kernel_debug.txt

    VSXモードの場合 - 特定の仮想システムに対して。

    • VSXゲートウェイ/各VSXクラスタメンバで、以下を実行します。

      fw ctl kdebug -v {"<List of VSIDs>" | all} -k -T -f -o /var/log/kernel_debug.txt

    • VSXモードのScalable Platform Security Groupで、実行します。

      g_fw ctl kdebug -v {"<List of VSIDs>" | all} -k -T -f -o /var/log/kernel_debug.txt

14. 問題を再現する、または問題が発生するのを待つ

    問題が発生する原因となる手順を実行するか、問題が発生するのを待ちます。

15. カーネルデバッグの停止

    CTRL+Cを押します。

16. すべてのカーネルデバッグモジュールのデバッグフラグをリセットします。

    • Security Gateway /各クラスタメンバ:

      fw ctl debug 0

    • Scalable PlatformSecurity グループで、実行します。

      g_fw ctl debug 0

17. すべてのSecureXLデバッグモジュールで、すべてのSecureXLデバッグフラグをリセットします。

    • Security Gateway /各クラスタメンバ:

      fwaccel dbg resetall

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fwaccel dbg resetall

18. カーネルデバッグの設定を調べ、デフォルトに戻ったことを確認する。

    • Security Gateway /各クラスタメンバ:

      fw ctl debug

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fw ctl debug

19. SecureXL のデバッグ設定がデフォルトに戻ったことを確認してください。

    • Security Gateway /各クラスタメンバ:

      fwaccel dbg list

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fwaccel dbg list

20. デバッグ出力ファイルの解析

    これらのファイルをSecurity Gateway / 各クラスタメンバ / 各Security Group Memberからコンピュータに転送します。

    /var/log/kernel_debug.txt

    /var/log/messages*

    ベストプラクティス- これらのファイルを "tar -zxvf" コマンドで圧縮し、アーカイブをセキュリティゲートウェイ/各クラスタメンバ/各セキュリティグループメンバからコンピュータに転送してください。FTPサーバに転送する場合は、バイナリーモードで行ってください。