المقدمة
يقدم هذا المستند وصفا بسيطا لوظيفة تصحيح الأخطاء في أجهزة الأمان المعدلة (ASAs) التي تشغل الإصدار 8.4 والإصدارات الأحدث. ومع ذلك، تتوفر بعض الميزات فقط في الإصدار 9.5(2) والإصدارات الأحدث.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- ASA 5506-X مع برنامج ASA، الإصدار 9.5(2)
- Cisco Adaptive Security Device Manager (ASDM)، الإصدار 7.5.2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
وظيفة التسجيل الأساسية
يعالج ASAs رسائل تصحيح الأخطاء بشكل مختلف عن أجهزة Cisco IOS®. بشكل افتراضي (ما لم يتم إستخدام "logging debug-trace"، والذي يتم وصفه لاحقا،)، فإنها تعرض على الشاشة إما عند إتصالك من خلال منفذ وحدة التحكم أو من خلال برنامج Telnet/طبقة الأمان (SSH)، ولكنها تكون مستقلة بالكامل. عندما تستخدم وحدة التحكم، فإنها تظهر فورا بعد إدخال الأمر debug. يحدث الإجراء نفسه أيضا مع جلسة SSH.
يعني الاستقلال أنه عندما تقوم بتمكين تصحيح الأخطاء على منفذ وحدة التحكم ويتم توصيلك من خلال SSH، لا تظهر تصحيح الأخطاء على SSH. يجب تمكينها يدويا مرة أخرى. أيضا، إذا تم تمكين تصحيح الأخطاء على جلسة SSH واحدة، فلن تظهر على الإطلاق في الجلسة الأخرى. يمكنك الرجوع إليها لكل تصحيح لجلسة العمل.
لا توجد أيضا حاجة إلى إدخال الأمر terminal monitor على ASA لإظهار تصحيح الأخطاء، لأن تصحيح الأخطاء الذي تم تمكينه على SSH أو جلسة عمل برنامج Telnet تظهر بغض النظر عن هذا الأمر. يختلف الغرض من هذا الأمر كثيرا عن الموجود في أجهزة Cisco IOS ومثال تكوين ASA syslog يصف هذه الميزة بعمق.
الفرق بين رسائل syslog و debug
الأخطاء هي رسائل محددة لبروتوكول معين أو ميزة معينة من ASAs. لا يوجد مستوى من تصحيح الأخطاء، وبدلا من ذلك فهي مفصلة جدا ويمكن تغيير مستوى التفاصيل. كما قد لا يكون لها طابع زمني أو رمز رسالة أو مستوى خطورة. يعتمد ذلك على تصحيح الأخطاء المعين.
يوضح هذا المثال الفرق بين رسائل debugs و syslog فيما يتعلق بطلب إختبار الاتصال نفسه.
هذا مثال على إخراج تصحيح الأخطاء بعد إدخال أمر debug icmp trace:
ICMP echo request from 10.229.24.48 to 10.48.67.75 ID=1 seq=29 len=32
ICMP echo reply from 10.48.67.75 to 10.229.24.48 ID=1 seq=29 len=32
[an error occurred while processing this directive]
هذا مثال على رسالة syslog فيما يتعلق بطلب ICMP نفسه:
Jan 01 2016 13:29:22: %ASA-6-302020: Built inbound ICMP connection for faddr 10.229.24.48/1
gaddr 10.48.67.75/0 laddr 10.48.67.75/0
Jan 01 2016 13:29:22: %ASA-6-302021: Teardown ICMP connection for faddr 10.229.24.48/1
gaddr 10.48.67.75/0 laddr 10.48.67.75/0
[an error occurred while processing this directive]
تجميع تصحيح الأخطاء
المهلة الافتراضية ل SSH أو telnet هي خمس دقائق ويتم قطع اتصال الجلسة بعد هذا الوقت من عدم النشاط. المهلة الافتراضية لاتصال وحدة التحكم هي 0، مما يعني أن المستخدم قام بتسجيل الدخول حتى يقوم المستخدم بتسجيل الخروج يدويا.
لسوء الحظ، فإن ميزة التسجيل محدودة بسبب المهلة المعينة على طريقة إدارة معينة، لذلك عند إنهاء جلسة عمل SSH تقوم بإيقاف تصحيح الأخطاء أيضا.
لمتابعة تجميع تصحيح الأخطاء لفترة زمنية طويلة، يجب إستخدام اتصال وحدة التحكم ثم يمكنك إعادة توجيههم إلى خادم syslog باستخدام الأمر logging debug-trace. ستتم إعادة توجيهها كرسالة syslog طراز 711001 يتم إصدارها على مستوى الخطورة 7. لإيقاف إرسال هذه الرسائل إلى السجلات، يمكنك إستخدام إدراج "no" قبل الأمر.
logging debug-trace
no logging debug-trace
[an error occurred while processing this directive]
من الإصدار 9.5.2، يسمح لك ASA بمواصلة إرسال رسائل تصحيح الأخطاء كرسائل syslog بعد انتهاء المهلة أو تسجيل الخروج على اتصال SSH/telnet/وحدة التحكم. إذا قمت بإدخال الأمر debug-trace continuous، فستتمكن من مسح أخطاء التصحيح الممكنة في جلسة واحدة من جلسة أخرى بشكل انتقائي وستظل هذه الأخطاء نشطة في الخلفية. دخلت in order to أعجزت هذا سمة، "ما من" قبل الأمر.
logging debug-trace persistent
no logging debug-trace persistent
[an error occurred while processing this directive]
بشكل افتراضي، تحتوي جميع رسائل تصحيح الأخطاء على خطورة المستوى 7. لتصفيتها من الرسائل غير المرغوب فيها، يمكنك رفع خطورة هذه الرسالة إلى 3 حتى تتمكن من تجميع رسائل الخطأ فقط بجانب تصحيح الأخطاء. إدراج "لا" لتعطيل إعادة التوجيه هذه.
logging message 711001 level 3
no logging message 711001 level 3
[an error occurred while processing this directive]
عينة من التكوين
logging enable
logging host 10.0.0.1
logging trap errors
logging debug-trace persistent
logging message 711001 level errors
debug icmp trace
[an error occurred while processing this directive]
تتيح لك هذه الأوامر إرسال رسائل الخطأ وتصحيح أخطاء بروتوكول رسائل التحكم في الإنترنت (ICMP) التي تم وضع علامة عليها أيضا كأخطاء لخادم syslog:
Jan 01 2016 13:30:22: %ASA-3-711001: ICMP echo request from 10.229.24.48 to 10.48.67.75 ID=1
seq=29 len=32
Jan 01 2016 13:30:22: %ASA-3-711001: ICMP echo reply from 10.48.67.75 to 10.229.24.48 ID=1
seq=29 len=32
[an error occurred while processing this directive]
معلومات ذات صلة
التعليقات