カーネルデバッグフィルタ

デフォルトでは、カーネルデバッグ出力は、処理されたすべての接続に関する情報を含んでいます。

カーネルデバッグのフィルターを設定することで、該当する接続のデバッグメッセージのみを収集することができます。

デバッグフィルターには3種類あります。

接続タプルパラメータ別
IPアドレスパラメータによるもの
VPNピアパラメータ別

これらのカーネルデバッグフィルターを設定するには、カーネルデバッグを開始する前に、該当する値を該当するカーネルパラメーターに割り当ててください。

該当するカーネルパラメータには、"fw ctl set" コマンドで一時的に値を割り当てます。

注:

セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。／クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。メンバ／セキュリティグループメンバに対応。
- 最大5つの接続タプルフィルタ（すべてのタイプから選択可能）
- 最大3つのホストIP アドレスフィルター
- 最大2つのVPN ピアフィルタ
セキュリティゲートウェイ／クラスタメンバ／セキュリティグループメンバは、これらのデバッグフィルタを非アクセラレーションとアクセラレーションの両方のトラフィックに適用します。
セキュリティゲートウェイ／クラスタメンバ／セキュリティグループメンバは、これらのデバッグフィルタを、カーネルデバッグの手順と接続のライフサイクルカーネルデバッグ手順に適用します。

ベストプラクティス- 通常は、'fw ctl debug' と 'fw ctl kdebug'コマンドの中で、接続タプルとホストIPアドレスのフィルタを設定する方が簡単です。カーネルデバッグをVPN Peer単位でフィルタリングするには、以下の手順で行います。

接続タプルパラメータ別」のデバッグフィルタを設定する。

セキュリティゲートウェイ／クラスタメンバ／セキュリティグループメンバは、5タプルに基づき接続を処理します。

ソース IP アドレス
ソースポート (IANA Service Name and Port Number Registryを参照)
宛先 IP アドレス。
IANA Service Name and Port Number Registry (宛先ポート514)
プロトコル番号（IANA Protocol Numbersを参照）

このデバッグフィルターでは、これらのタプルパラメーターでフィルターをかけることができます。

タプルパラメータ

カーネルパラメータの構文

ソース IP アドレス

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set str simple_debug_filter_saddr_<N> "<IPv4 or IPv6 Address>"

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set str simple_debug_filter_saddr_<N> "<IPv4 or IPv6 Address>"

ソースポート

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set int simple_debug_filter_sport_<N> <1-65535>

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set int simple_debug_filter_sport_<N> <1-65535>

宛先 IP アドレス。

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set str simple_debug_filter_daddr_<N> "<IPv4 or IPv6 Address>"

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set str simple_debug_filter_daddr_<N> "<IPv4 or IPv6 Address>"

宛先ポート

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set int simple_debug_filter_dport_<N> <1-65535>

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set int simple_debug_filter_dport_<N> <1-65535>

プロトコル番号

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set int simple_debug_filter_proto_<N> <0-254>

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set int simple_debug_filter_proto_<N> <0-254>

注:

<N> は1以上5以下の整数。この番号は、このタイプの設定されたカーネルパラメータのインデックスである。
IPアドレスを指定する場合は、二重引用符で囲む必要があります。

same index<N> でカーネルパラメータを設定した場合、デバッグフィルターはこれらのカーネルパラメータの論理「AND」となります。

この場合、最終的なフィルターは、処理された接続のone 方向のみにマッチします。

例1 - 送信元IPアドレスXから送信先IPアドレスYへのパケット。

simple_debug_filter_saddr_1 <Value X>
AND
simple_debug_filter_daddr_1 <Value Y>

例2 - 送信元IPアドレスXから送信先ポートYへのパケット。

simple_debug_filter_saddr_1 <Value X>
AND
simple_debug_filter_dport_1 <Value Y>

different インデックス<N> でカーネルパラメータを設定した場合、デバッグフィルターはこれらのカーネルパラメータの論理「OR」です。

つまり、最終的なフィルターが接続の両方向に一致する必要がある場合は、両方向に該当するデバッグフィルターを設定する必要があります。

例1 - 送信元IPアドレスXからのパケット、または送信先IP アドレスYへのパケットのどちらか。

simple_debug_filter_saddr_1 <Value X>
OR
simple_debug_filter_daddr_2 <Value Y>

例2 - 送信元IPアドレスXからのパケット、または送信先ポートYへのパケットのどちらか。

simple_debug_filter_saddr_1 <Value X>
OR
simple_debug_filter_dport_2 <Value Y>

ポート番号については、IANA Service Name and Port Number Registry を参照してください。
プロトコル番号の詳細については、IANA Protocol Numbers を参照してください。

IPアドレスパラメータによるデバッグフィルタを設定する場合。

このデバッグフィルターでは、パケットの送信元または送信先のIPアドレス1つでフィルターをかけることができます。

カーネルパラメータの構文。

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set str simple_debug_filter_addr_<N> "<IPv4 or IPv6 Address>"

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set str simple_debug_filter_addr_<N> "<IPv4 or IPv6 Address>"

注:

<N> は1以上3以下の整数である。

この番号は、このタイプの設定されたカーネルパラメータのインデックスである。
これらのカーネルパラメータのうち、1つ、2つ、または3つを同時に設定することができます。
- 例3
  
  IPアドレス(simple_debug_filter_addr_1)を1つ設定します。
- 例3
  
  2つのIPアドレス（simple_debug_filter_addr_1 、simple_debug_filter_addr_2 ）を設定します。
  
  この場合、これらのIPアドレスのいずれかが送信元または送信先として現れるパケットにマッチします。
IPアドレスは二重引用符で囲む必要があります。

VPNピアパラメータによる "デバッグフィルタ "を設定する場合。

このデバッグフィルターでは、1つのIPアドレスでフィルタリングすることができます。

カーネルパラメータの構文。

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set str simple_debug_filter_vpn_<N> "<IPv4 or IPv6 Address>"

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set str simple_debug_filter_vpn_<N> "<IPv4 or IPv6 Address>"

注:

<N> は整数-1または2である。

この番号は、このタイプの設定されたカーネルパラメータのインデックスである。
これらのカーネルパラメータのうち、1つまたは2つを同時に設定することができます。
- 例3
  
  1つのVPNピア(simple_debug_filter_vpn_1)を設定する。
- 例3
  
  2つのVPNピア(simple_debug_filter_vpn_1 とsimple_debug_filter_vpn_2)を設定する。
IPアドレスは二重引用符で囲む必要があります。

すべてのデバッグフィルターを無効にする場合。

設定されているすべての種類のデバッグフィルタを無効にすることができます。

カーネルパラメータの構文。

Security Gateway / 各クラスタメンバで、Expertモードで実行します。

fw ctl set int simple_debug_filter_off 1

Scalable Platform Security Groupでは、Expertモードで実行します。

g_fw ctl set int simple_debug_filter_off 1

使用例

ソース IP アドレス 192.168.20.30 の任意の Source Port から、デスティネーション IP アドレス 172.16.40.50 の Destination Port 80 への接続情報をカーネルデバッグに表示する必要があります (192.168.20.30:<Any> --> 172.16.40.50:80)．

カーネルデバッグを開始する前に、これらのコマンドを実行してください。

fw ctl set int simple_debug_filter_off 1

fw ctl set str simple_debug_filter_saddr_1 "192.168.20.30"

fw ctl set str simple_debug_filter_daddr_1 "172.16.40.50"

fw ctl set str simple_debug_filter_saddr_2 "172.16.40.50"

fw ctl set str simple_debug_filter_daddr_2 "192.168.20.30"

fw ctl set int simple_debug_filter_dport_1 80

fw ctl set int simple_debug_filter_sport_2 80

重要- 上記の例では、2つの接続タプルフィルタ("..._1" と "..._2")が使用されています。これは、デバッグフィルタをこの接続の両方の方向に一致させたいからです。