カーネルデバッグ構文

説明

カーネルデバッグセッション中、セキュリティゲートウェイ/クラスタメンバ/Scalable Platform Security Groupメンバは特別なデバッグメッセージを出力し、Check Pointのサポートおよび研究開発が該当する接続をどのように処理するかを理解するのに役立ちます。

重要：

クラスタでは、すべてのクラスタメンバで同じようにカーネルデバッグの手順を設定し、実行する必要があります。
Scalable Platform（Maestro およびシャーシ）では、該当するセキュリティ・グループに接続する必要があります。

カーネルデバッグを収集するためのアクションプラン

注 - See theカーネルデバッグ手順または接続ライフサイクルによるカーネルデバッグ手順を参照ください。

ステップ	アクション	手順
1	該当するデバッグの設定を行う：初期設定に復元する。デバッグバッファを確保する。	このステップでは、カーネルデバッグオプションを準備します。デフォルトのデバッグ設定を復元し、他のデバッグ設定がカーネルデバッグの妨げにならないようにします。セキュリティゲートウェイ/クラスタメンバ/各セキュリティグループメンバが該当するデバッグメッセージを保持するカーネルデバッグバッファを復元します。
2	該当するカーネルデバッグモジュールとそのデバッグフラグを設定します。	このステップでは、セキュリティゲートウェイ/クラスタメンバ/各セキュリティグループメンバが、該当するデバッグメッセージのみを収集するために、該当するカーネルデバッグモジュールとそのデバッグフラグを準備します。
3	カーネルデバッグの出力ファイルへの収集を開始します。	このステップでは、カーネルデバッグバッファから出力ファイルにデバッグメッセージを書き込むように、セキュリティゲートウェイ/クラスタメンバ/各セキュリティグループメンバを設定します。
4	カーネルデバッグを停止します。	このステップでは、デバッグメッセージの出力ファイルへの書き込みを停止するように、セキュリティゲートウェイ/クラスタメンバ/各セキュリティグループメンバを設定します。
5	カーネルデバッグの設定をデフォルトに復元します。	このステップでは、デフォルトのカーネルデバッグオプションを復元します。

CLI 構文

注：

以下の構文は、Gaia Clish Check Point Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。制限付きシェル（ロールベースの管理により、シェルで使用できるコマンドの数が制御される）。/Gaia gClish Check Point Gaiaオペレーティングシステムで、Check Point Quantum Maestro Orchestratorに接続されたセキュリティアプライアンスおよびスケーラブルシャーシ上のセキュリティゲートウェイモジュール用のグローバルコマンドラインシェルの名前。このシェルで実行するコマンドは、セキュリティグループ内のすべてのセキュリティゲートウェイモジュール/セキュリティアプライアンスに適用される。とエキスパートモードの両方に適用されます。
以下の構文は、セキュリティゲートウェイ、各クラスタメンバ、およびScalable Platformセキュリティグループに適用されます。

重要 - これらのコマンドをScalable Platform Security Group上のエキスパートモードで実行するには、"g_fw ctl ..."コマンドではなく、"fw ctl ..."コマンドを使用する必要があります。

'fw ctl debug'コマンドの一般的な構文（カーネルデバッグモジュールとデバッグフラグの設定）

fw ctl debug

[-h]

[0 | -x]

[-buf 8200]

[-v {"<List of VSIDs>" | all} -k]

[-d "<Strings to Search>"]

[-s "<String to Stop Debug>"]

[-F "<Source IP>,<Source Port>,<Dest IP>,<Dest Port>,<Protocol Number>"]

[-H "<IP Address>"]

[-e "<Expression>" | -i {<Path to Filter File> | -} | -u]

[-z]

-m <Name of Debug Module> {all | [+|-] <List of Debug Flags>}

'fw ctl kdebug' コマンドの一般的な構文（カーネルデバッグ出力の設定）

fw ctl kdebug

[-h]

[-v {"<List of VSIDs>" | all} -k]

[-p <List of Fields>]

[-T | -t]

[-f]

-o /<Path>/<Name of Output File>

[-m <Number of Cyclic Files> [-s <Size of Each Cyclic File in KB>]]

デフォルトのカーネルデバッグ設定を復元するには

すべてのデバッグフラグをリセットし、すべてのカーネルモジュールでデフォルトのデバッグフラグのみを有効にするには

fw ctl debug 0

すべてのカーネルモジュールで、デフォルトフラグを含むすべてのデバッグフラグを無効にするには

ベストプラクティス - このコマンドは、基本的なデフォルトのデバッグメッセージも無効にしてしまうので、実行しないでください。

その結果、/var/log/messages ンテナファイルにはこの基本的な有用情報が含まれません。

fw ctl debug -x

デバッグモジュールとデバッグフラグを設定するには

一般的な構文：

fw ctl debug [-v {"<List of VSIDs>" | all} -k] [-z] -m <Name of Debug Module> {all | [+|-] <List of Debug Flags>}

すべてのデバッグモジュールとそのフラグの一覧を見るには。

注 - カーネルモジュールのリストは、セキュリティゲートウェイ/ClusterXL/セキュリティグループで有効にしたSoftware Bladesに依存します。

fw ctl debug -m

すでに有効になっているデバッグフラグのリストを表示するには

fw ctl debug

指定されたカーネルモジュールのすべてのデバッグフラグを有効にするには

fw ctl debug -m <Name of Debug Module> all

すでに有効になっているデバッグフラグに加えて、指定したカーネルモジュールで指定したデバッグフラグのみを有効にするには

fw ctl debug -m <Name of Debug Module> + <List of Debug Flags>

指定されたカーネルモジュールの指定されたデバッグフラグのみを有効にし、他のすべてのデバッグフラグを無効にするには

fw ctl debug -m <Name of Debug Module> + <List of Debug Flags>

指定したカーネルモジュールの指定したデバッグフラグだけを無効にするには

fw ctl debug -m <Name of Debug Module> - <List of Debug Flags>

ゲートウェイモードでカーネルデバッグ出力を収集するには

一般的な構文（サポートされているパラメータのみ記載）：

fw ctl kdebug [-p <List of Fields>] -T -f -o /<Path>/<Name of Output File> [-m <Number of Cyclic Files> -s <Size of Each Cyclic File in KB>]

カーネルデバッグの出力ファイルへの収集を開始するには

fw ctl kdebug -T -f > /<Path>/<Name of Output File>

カーネルデバッグの周期的な出力ファイルへの収集を開始するには

fw ctl kdebug -T -f -o /<Path>/<Name of Output File> -m <Number of Cyclic Files> -s <Size of Each Cyclic File in KB>

VSX モードでカーネルデバッグ出力を収集するには（特定の仮想システムから）

一般的な構文（サポートされているパラメータのみ記載）：

fw ctl kdebug [-p <List of Fields>] -v {"<List of VSIDs>" | all} -k -T -f -o /<Path>/<Name of Output File> [-m <Number of Cyclic Files> -s <Size of Each Cyclic File in KB>]

カーネルデバッグの出力ファイルへの収集を開始するには

fw ctl kdebug -v {"<List of VSIDs>" | all} -k -T -f > /<Path>/<Name of Output File>

カーネルデバッグの周期的な出力ファイルへの収集を開始するには

fw ctl kdebug -v {"<List of VSIDs>" | all} -k -T -f -o /<Path>/<Name of Output File> -m <Number of Cyclic Files> -s <Size of Each Cyclic File in KB>

CLIパラメータ

パラメータ

注 - サポートされているパラメータのみ表示されます。

パラメータ

説明

-h

組み込みのヘルプを表示します。

0

-x

デバッグフラグを無効にする方法を制御します。

0

すべてのデバッグフラグをリセットし、すべてのカーネルモジュールでデフォルトのデバッグフラグのみを有効にします。

-x

すべてのカーネルモジュールのデフォルトフラグを含む、すべてのデバッグフラグを無効にします。

ベストプラクティス - "-x"パラメータは使用しないでください。基本的なデフォルトのデバッグメッセージも無効になってしまいます。

その結果、/var/log/messagesファイルにはこの基本的な有用情報が含まれません。

-buf 8200

カーネルデバッグバッファを割り当てます。

注：

セキュリティゲートウェイ/クラスタメンバ/各セキュリティグループメンバは、各CoreXL マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンスを向上させる技術。複数のCPUコア上で複数のCheck Pointファイアウォールインスタンスが並列動作する。 Firewallインスタンスに対して指定されたサイズのカーネルデバッグバッファを割り当てます。
最大対応バッファサイズは8192キロバイトです。
明示的に指定しない場合、デフォルトのバッファサイズは50キロバイトです。
総メモリ使用量の概算については、sk160955を参照してください。

-v {"<List of VSIDs>" | all} -k

バーチャルシステムのリストを指定します。

VSX Gatewayは、収集したカーネルデバッグ情報を自動的にフィルタリングし、これらのバーチャルシステムに対するデバッグメッセージのみを収集します。

-v "<List of VSIDs>" -k

指定した仮想システムからのデバッグメッセージのみをモニタします。

バーチャルシステムを指定するには、VSID番号をカンマとスペースで区切って入力します。

"VSID1[,VSID2,VSID3,...,VSIDn]"

例:-v "1,3,7" -k

-v all -k

設定されているすべての仮想システムからのデバッグメッセージをモニタします。

注：

仮想システムのID番号を取得するには、以下を実行します：vsx stat {-v | -l}
このパラメータは VSX モードでのみサポートされます。
このパラメータ "-v" を使用する場合、パラメータ "-k" も使用する必要があります。

この "-k" パラメータを使用すると、カーネルデバッグ出力には、SecureXL セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Pointプロダクト。や CoreXL ディスパッチャなど、仮想システムの一部ではないカーネルコンポーネントからのデバッグメッセージも含まれます。

-d "<Strings to Search>"

このパラメータを指定すると、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが表示されます。

有効なカーネルデバッグモジュールとそのデバッグフラグに基づき、適用可能なデバッグメッセージを検査します。
"<string>" として指定された文字列の少なくとも1つを含むデバッグメッセージのみをカーネルデバッグバッファに収集します。
"^<string>" として指定された文字列の少なくとも1つを含むデバッグメッセージをカーネルデバッグバッファから除外します。
カーネルデバッグバッファ全体を出力ファイルに書き込みます。

注：

これらの文字列は、デバッグメッセージに表示される任意のプレーンテキスト（正規表現ではない）であることが可能です。

該当する文字列をスペースなしのカンマで区切ることができます（合計250文字まで）：

-d "String1,String2,...,StringN"

該当する文字列を個別に指定できます（文字列にカンマが含まれる場合はこの形式を使用）：

-d "String1" -d "String2 ... -d "StringN"

カーネルデバッグから除外する文字列を指定できます：

-d "^String1,^String2,...,^StringN"

-d "^String1" -d "^String2 ... -d "^StringN"

指定できる文字列は10個まで（含まれる文字列と含まれない文字列の合計）。

-s "<String to Stop Debug>"

このパラメータを指定すると、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが表示されます。

有効化されたカーネルデバッグモジュールとそのデバッグフラグに基づいて、該当するデバッグメッセージをカーネルデバッグバッファに収集します。
これらのデバッグメッセージはカーネルデバッグバッファから出力ファイルにを一切書き込まれません。
カーネルデバッグバッファに指定された文字列を含む最初のデバッグメッセージを検出したときに、すべてのデバッグメッセージの収集を停止します。
カーネルデバッグバッファ全体を出力ファイルに書き込みます。

注：

この1つの文字列は、デバッグメッセージに表示される任意のプレーンテキスト（正規表現ではない）であることができます。
文字列の長さは最大50文字までです。

-F "<Source IP>,<Source Port>,<Dest IP>,<Dest Port>,<Protocol Number>"

キャプチャフィルタを指定します（アクセラレーショントラフィックと非アクセラレーショントラフィックの両方に対して）。

<Source IP>

送信元IPアドレスを指定
<Source Port>

送信元のポート番号を指定します (IANA Service Name and Port Number Registry)
<Dest IP>

宛先IPアドレスを指定
<Dest Port>

宛先ポート番号を指定します (IANA Service Name and Port Number Registry)
<Protocol Number>

プロトコル番号を指定します (IANA Protocol Numbers)

注：

"-F"パラメータは、 "-H", "-e", "-i" と併用することはできません。

"-F"パラメータはカーネルデバッグフィルタを使用します。

詳細：カーネルデバッグフィルタ。

送信元IPアドレスの場合：

simple_debug_filter_saddr_<N> "<IP Address>"

送信元ポートの場合:

simple_debug_filter_sport_<N> <1-65535>

宛先IPアドレスの場合：

simple_debug_filter_daddr_<N> "<IP Address>"

宛先ポートの場合：

simple_debug_filter_dport_<N> <1-65535>

プロトコル番号の場合：

simple_debug_filter_proto_<N> <0-254>

値0は"any"を意味します。
このパラメータは、最大5つのキャプチャフィルタをサポートします（構文内の"-F"パラメータのインスタンスは最大5つまで）。

カーネルデバッグは、指定されたすべてのシンプルキャプチャフィルタ間の論理 "OR "を実行する。
複数の"fw ctl debug"コマンドを同時に実行する場合は、1つのコマンドですべてのデバッグフィルタを指定しなければなりません。

複数の"-F"コマンドで"fw ctl debug"パラメータを使用すると、最後に指定されたフィルタが、それ以前のすべての"-F"コマンドの"fw ctl debug"フィルタを上書きします。

-H "<IP Address>"

デバッグ出力は、指定されたIPアドレスへの、または指定されたIPアドレスからの接続のみを含みます。

詳細：カーネルデバッグフィルタ。

例 - ホスト1.1.1.1とのトラフィックのみをキャプチャ：

fw ctl debug –H "1.1.1.1"

注：

"-H"パラメータは、 "-F", "-e", "-i" と併用することはできません。
このパラメータは、最大3つのキャプチャフィルタをサポートします（構文内の"-H"パラメータのインスタンスは最大3つまで）。
複数の"fw ctl debug"コマンドを同時に実行する場合は、1つのコマンドですべてのデバッグフィルタを指定しなければなりません。

複数の"-H"コマンドで"fw ctl debug"パラメータを使用すると、最後に指定されたフィルタが、それ以前のすべての"-H"コマンドの"fw ctl debug"フィルタを上書きします。

-m <Name of Debug Module>

デバッグフラグを表示または設定するカーネルデバッグモジュールの名前を指定します。

すべてのデバッグモジュールのリストを表示するには、次を実行します。fw ctl debug -m

参照: カーネルデバッグモジュールとデバッグフラグ。

{all | [+|-] <List of Debug Flags>}

指定されたカーネルデバッグモジュールで有効または無効にするデバッグフラグを指定します。

すべてのデバッグモジュールとそのフラグのリストを見るには、次を実行します：fw ctl debug -m

参照: カーネルデバッグモジュールとデバッグフラグ。

all

指定されたカーネルデバッグモジュールのすべてのデバッグフラグを有効にします。

+ <List of Debug Flags>

すでに有効になっているデバッグフラグに加えて、指定されたカーネルモジュールの指定されたデバッグフラグのみを有効にします。

プラス (+) 文字の後にスペースキーを押す必要があります：

+ <Flag1> [<Flag2> ... <FlagN>]

例:+ drop conn

<List of Debug Flags>

指定されたカーネルモジュールの指定されたデバッグフラグのみを有効にし、その他の有効なデバッグフラグをすべて無効にします：

<Flag1> [<Flag2> ... <FlagN>]

例： "drop conn"

- <List of Debug Flags>

指定されたカーネルデバッグモジュールの指定されたデバッグフラグのみを無効にします。

マイナス (-) 文字の後にスペースキーを押す必要があります：

- <Flag1> [<Flag2> ... <FlagN>]

例:- conn

-e "<Expression>"

-i <Path to Filter File>

-i -

-u

デバッグのINSPECTフィルタを指定します。

-e "<Expression>"

INSPECTフィルタを指定します。

詳細はR81.20 CLI Reference Guide> "Security Gateway Commands"の章 > セクション"fw" > セクション"fw monitor"
-i <Path to Filter File>

INSPECTフィルタを含むファイルを指定します。
-i -

INSPECTフィルタが標準入力から到着することを指定します。

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの画面でINSPECTフィルタを入力するよう求められます。
-u

INSPECTデバッグフィルタを削除します。

注：

これらはレガシーパラメータ（"-e" と "-i" ）です。
これらのパラメータ("-e"と"-i")を使用すると、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループは、指定されたINSPECTフィルタを加速トラフィックに適用することができません。
新しいデバッグフィルタの詳細：カーネルデバッグフィルタ。

-z

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループは、SecureXLのコードとホストアプライアンスのコードの両方で一部の接続を処理します（たとえば、PSL（Passive Streaming Library）-IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイのCheck Point Software Blade（侵入防止システム）。基盤で、TCPトラフィックをネットワークパケットとして透過的に待機し、このパケットからTCPストリームを再構築します）。

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループは、一部の接続をホストのアプライアンスコードでのみ処理します。

このパラメータ "-z" を使用すると、カーネルデバッグ出力にはホストアプライアンスコードからのデバッグメッセージのみが含まれます。

-p <List of Fields>

デフォルトでは、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループがデバッグメッセージを表示する場合、これらのメッセージは該当するCPU IDとCoreXLファイアウォールインスタンスIDで始まります。

各デバッグメッセージの冒頭に、追加フィールドを表示することができます。

注：

これらのフィールドを利用することができます。

all, proc, pid, date, mid, type, freq, topic, time, ticks, tid, text, errno, host, vsid, cpu
該当するフィールドを指定する場合は、カンマで区切り、スペースを入れないようにします。

Field1,Field2,...,FieldN
フィールドを多く指定するほど、CPUやハードディスクへの負荷が高くなります。

-T

-t

"-T" - 各デバッグメッセージの前にタイムスタンプ（マイクロ秒）を表示します。

"-t" - 各デバッグメッセージの前にタイムスタンプ（ミリ秒）を表示します。この時間分解能では、カーネルデバッグを適切に解析するには不十分です。

ベストプラクティス - デバッグ解析を容易にするために、常に "-T" パラメータを使用します。

-f

以下のいずれかの方法でカーネルデバッグを停止するまで、デバッグデータを収集します。

CTRL+Cキーを押したとき。
"fw ctl debug 0"コマンドを実行したとき。
"fw ctl debug -x"コマンドを実行したとき。
"fw ctl kdebug"のプロセスを終了させた場合。

-o /<Path>/<Name of Output File>

デバッグ出力ファイルのパスと名前を指定します。

ベストプラクティス - 常にディスク上で最大のパーティションを使用します - "/var/log/"。

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループは、短時間に多くのデバッグメッセージを生成することができます。

その結果、デバッグ出力ファイルは非常に大きなサイズになる可能性があります。

-o /<Path>/<Name of Output File> -m <Number of Cyclic Files> -s <Size of Each Cyclic File in KB>

収集したデバッグデータを循環デバッグ出力ファイルに保存します。

現在の"<Name of Output File>"のサイズが指定された"<Size of Each Cyclic File in KB>"（おおよそ）に達すると、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループは現在の"<Name of Output File>"の名前を"<Name of Output File>.0"に変更し、新しい"<Name of Output File>"を作成します。

"<Name of Output File>.0" が既に存在する場合、セキュリティゲートウェイは"<Name of Output File>.0"を"<Name of Output File>.1"にリネームし、指定された上限"<Number of Cyclic Files>"までリネームし続けます。セキュリティゲートウェイが"<Number of Cyclic Files>"に達すると、最も古いファイルを削除します。

有効な値は以下のとおりです。

<Number of Cyclic Files>- 1から999まで
<Size of Each Cyclic File in KB>- 1から2097150まで