サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

close
keyboard_arrow_left
ネットワーク管理と監視ガイド
Table of Contents Expand all
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

SNMP アクティビティのトレース

date_range 04-Aug-24

Junos OSを実行しているデバイスでSNMPアクティビティを監視し、SNMPパフォーマンスに影響を与える問題を追跡する

Junos OS デバイスでは、SNMP アクティビティの監視と SNMP パフォーマンスに影響する問題の特定に関する情報を表示できます。

SNMPdに登録されているMIBオブジェクトを確認する

MIB オブジェクトに関連するデータにアクセスするには、MIB オブジェクトが snmpd に登録されている必要があります。SNMP サブエージェントは、オンラインになると、関連する MIB オブジェクトを snmpd に登録します。snmpd は、オブジェクトと、オブジェクトが関連付けられているサブエージェントのマッピングを維持します。ただし、登録の試行が失敗することがあり、次回サブエージェントが再始動してオブジェクトを正常に登録するまで、オブジェクトは snmpd に登録されていないままになります。

ネットワーク管理システムが snmpd に登録されていないオブジェクトに関連するデータをポーリングすると、snmpd は noSuchName エラー(SNMPv1 オブジェクトの場合)または noSuchObject エラー(SNMPv2 オブジェクトの場合)を返します。

以下のコマンドを使用して、snmpd に登録されている MIB オブジェクトを確認できます。

  • show snmp registered-objects- 登録済みオブジェクトのリストと、さまざまなサブエージェントへのマッピングを含む /var/log/snmp_reg_objs ファイルを作成します。

  • file show /var/log/snmp_reg_objs- /var/log/snmp_reg_objs ファイルの内容を表示します。

次の例は、 /var/log/snmp_reg_objs ファイルを作成および表示する手順を示しています。

content_copy zoom_out_map
user@host> show snmp registered-objects
user@host> file show /var/log/snmp_reg_objs
--------------------------------------------------------------
 Registered MIB Objects
 root_name =
--------------------------------------------------------------
.1.2.840.10006.300.43.1.1.1.1.2 (dot3adAggMACAddress) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.3 (dot3adAggActorSystemPriority) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.4 (dot3adAggActorSystemID) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.5 (dot3adAggAggregateOrIndividual) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.6 (dot3adAggActorAdminKey) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.7 (dot3adAggActorOperKey) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.8 (dot3adAggPartnerSystemID) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.9 (dot3adAggPartnerSystemPriority) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.10 (dot3adAggPartnerOperKey) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.1.1.11 (dot3adAggCollectorMaxDelay) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.1.2.1.1 (dot3adAggPortListPorts) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.2 (dot3adAggPortActorSystemPriority) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.3 (dot3adAggPortActorSystemID) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.4 (dot3adAggPortActorAdminKey) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.5 (dot3adAggPortActorOperKey) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.6 (dot3adAggPortPartnerAdminSystemPriority) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.7 (dot3adAggPortPartnerOperSystemPriority) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.8 (dot3adAggPortPartnerAdminSystemID) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.9 (dot3adAggPortPartnerOperSystemID) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.10 (dot3adAggPortPartnerAdminKey) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.11 (dot3adAggPortPartnerOperKey) (/var/run/mib2d-11)
.1.2.840.10006.300.43.1.2.1.1.12 (dot3adAggPortSelectedAggID) (/var/run/mib2d-11)
---(more)---

/var/log/snmp_reg_objsファイルには、snmpdに登録されているJunos OSプロセスに関連付けられたオブジェクトが含まれています。show snmp registered-objectsコマンドを使用してオブジェクトを表示できます。稼働中の Junos OS プロセスに関連する MIB オブジェクトが登録済みオブジェクトのリストに表示されない場合、snmpd へのオブジェクト登録を再試行するためにソフトウェア プロセスを再起動することができます。

SNMPアクティビティを追跡する

SNMP トレース操作は、SNMP エージェントのアクティビティを追跡し、その情報をログ ファイルに記録します。デフォルトでは、Junos OS は SNMP アクティビティをトレースしません。Junos OS を実行しているデバイスで SNMP アクティビティの追跡を有効にするには、[edit snmp]階層レベルで set traceoptions flag all ステートメントを含めます。

次のログ ファイルが作成されます。

  • snmpd

  • mib2d

  • rmopd

show log log-filename操作コマンドを使用して、ログファイルの内容を表示することができます。snmpd ログファイル (次の例を参照) では、 >>> のシーケンスは着信パケットを表し、 <<< のシーケンスは発信パケットを表します。複数のネットワーク管理システムが同時にデバイスをポーリングしている場合、送信元と要求 ID の組み合わせを使用して、要求と応答を照合できます。SNMP マスター・エージェントまたは SNMP サブエージェントが要求に応答していない場合、応答ログはログ・ファイルに作成されません。

要求 - 応答時間を分析して、応答の遅延を特定して理解できます。

ログ ファイルは、 show log snmpd コマンドを使用して確認できます。

SNMP統計情報の監視

show snmp statistics extensive操作コマンドには、トラップを含むデバイスのSNMPトラフィックを確認するオプションが用意されています。show snmp statistics extensive コマンドの出力にはリアルタイムの値が表示され、スロットル ドロップ、現在アクティブ、最大アクティブ、未発見、タイムアウト、最大遅延、現在のキュー、合計キュー、オーバーフローなどの値を監視できます。現在アクティブなカウントの絶え間ない増加は、SNMPリクエストへの応答が遅いか、応答がないことに直接関連しているため、現在アクティブなカウントを監視することで、SNMP応答の遅さを特定できます。

CPU 使用率の確認

snmpd や mib2d など、照会対象のソフトウェア プロセスの CPU 使用率が高いことも、応答が遅くなったり、応答がない原因となります。show system processes extensive操作コマンドを使用して、Junos OSプロセスのCPU使用率を確認することができます。

カーネルとパケット転送エンジンのレスポンスを確認する

Junos OSでのSNMP実装を理解するで述べたように、一部のSNMP MIBデータはカーネルまたはパケット転送エンジンによって維持されます。このようなデータをネットワーク管理システムで利用できるようにするには、カーネルが mib2d の SNMP サブエージェントに必要な情報を提供する必要があります。カーネルからの応答が遅いと、mib2d がネットワーク管理システムにデータを返すのに遅れが生じる可能性があります。Junos OS は、インターフェイスがインターフェイス統計情報の要求に応答するのに 10,000 マイクロ秒以上かかるたびに、mib2d ログ ファイルにエントリを追加します。show log log-filename | grep “kernel response time” コマンドを使用して、カーネルがかかった応答時間を調べることができます。

カーネル応答時間のチェック

content_copy zoom_out_map
user@host> show log mib2d | grep “kernel response time”  
 Aug 17 22:39:37  == kernel response time for
 COS_IPVPN_DEFAULT_OUTPUT-t1-7/3/0:10:27.0-o: 9.126471 sec, range
 (0.000007, 11.000806)
 
 Aug 17 22:39:53  == kernel response time for
 COS_IPVPN_DEFAULT_INPUT-t1-7/2/0:5:15.0-i: 5.387321 sec, range
 (0.000007, 11.000806)
  
 Aug 17 22:39:53  == kernel response time for ct1-6/1/0:9:15: 0.695406
 sec, range (0.000007, 11.000806)
  
 Aug 17 22:40:04  == kernel response time for t1-6/3/0:6:19: 1.878542
 sec, range (0.000007, 11.000806)
  
 Aug 17 22:40:22  == kernel response time for lsq-7/0/0: 2.556592 sec,
 range (0.000007, 11.000806)

Junos OS を搭載したデバイスでの SNMP アクティビティのトレース

SNMP トレース操作は、SNMP エージェントのアクティビティを追跡し、その情報をログ ファイルに記録します。ログに記録されたエラーの説明は、問題を解決するための詳細情報を提供します。

デフォルトでは、Junos OS は SNMP アクティビティをトレースしません。[edit snmp]階層レベルで traceoptions ステートメントを使用した場合、デフォルトのトレース動作は次のようになります。

  • 重要なアクティビティは、 /var/log ディレクトリにあるファイルに記録されます。各ログには、ログを生成したSNMPエージェントの名前が付けられます。現在、traceoptions ステートメントを使用すると、次のログ ファイルが /var/log ディレクトリに作成されます。

    • シャーシ付き

    • クラフト

    • イルミド

    • mib2d

    • rmopd

    • サービス

    • snmpd

  • filename という名前のトレース ファイルが最大サイズに達すると、トレース ファイルの最大数に達するまで名前が filename.0filename.1 などに変更されます。そして、最も古いトレース ファイルが上書きされます。(ログ・ファイルの作成方法の詳細については、 システム・ログ・エクスプローラーを参照してください。

  • ログ ファイルにアクセスできるのは、トレース操作を設定したユーザーのみです。

トレース ファイルが配置されているディレクトリ(/var/log)は変更できません。ただし、その他のトレース ファイル設定は、 [edit snmp] 階層レベルで次のステートメントを含めることでカスタマイズできます。

content_copy zoom_out_map
[edit snmp]
traceoptions {
    file <files number> <match regular-expression> <size size> <world-readable | no-world-readable>;
    flag flag;
    memory-trace;
    no-remote-trace;
    no-default-memory-trace;
}

これらのステートメントは、次のセクションで説明されています。

SNMPログファイルの数とサイズを設定する

既定では、トレース ファイルのサイズが 128 KB に達すると、トレース ファイルが 3 つになるまで名前が filename.0filename.1 の順に変更されます。そして、最も古いトレース ファイル (filename.2) が上書きされます。

トレース ファイルの数とサイズに制限を設けるには、 [edit snmp traceoptions] 階層レベルで次のステートメントを含めます。

content_copy zoom_out_map
[edit snmp traceoptions]
file files number size size;

たとえば、最大ファイル サイズを 2 MB、最大ファイル数を 20 に設定します。トレース操作 (filename) の出力を受信するファイルが 2 MB に達すると、 filenamefilename.0 という名前に変更され、 filename という新しいファイルが作成されます。新しい filename が 2 MB に達すると、 filename.0filename.1 に名前が変更され、 filenamefilename.0 に名前が変更されます。このプロセスは、トレース ファイルが 20 個になるまで繰り返されます。次に、最も古いファイル(filename.19)が最新のファイル(filename.0)で上書きされます。

ファイル数は 2 から 1000 ファイルまでです。各ファイルのファイル サイズは、10 KB から 1 ギガバイト (GB) までです。

ログ ファイルへのアクセスを構成する

既定では、ログ ファイルにアクセスできるのは、トレース操作を構成したユーザーのみです。

すべてのユーザーがすべてのログ ファイルを読み取ることができるように指定するには、[edit snmp traceoptions] 階層レベルで file world-readable ステートメントを含めます。

content_copy zoom_out_map
[edit snmp traceoptions]
file world-readable;

デフォルトの動作を明示的に設定するには、[edit snmp traceoptions]階層レベルで file no-world-readable ステートメントを含めます。

content_copy zoom_out_map
[edit snmp traceoptions]
file no-world-readable;

ログに記録する回線の正規表現を設定する

デフォルトでは、トレース操作の出力には、ログに記録されたアクティビティに関連するすべての行が含まれます。

[edit snmp traceoptions file filename]階層レベルで match ステートメントを含め、一致させる正規表現(regex)を指定することで、出力を絞り込むことができます。

content_copy zoom_out_map
[edit snmp traceoptions]
file filename match regular-expression;

トレース操作の設定

既定では、重要なアクティビティのみがログに記録されます。[edit snmp traceoptions]階層レベルで次の flag ステートメント(1 つ以上のトレース フラグを含む)を含めることで、ログに記録するトレース操作を指定できます。

content_copy zoom_out_map
[edit snmp traceoptions]
flag {
    all;
    configuration;
    database;
    events;
    general;
    interface-stats;
    nonvolatile-sets;
    pdu;
    policy;
    protocol-timeouts;
    routing-socket;
    server;
    subagent;
    timer;
    varbind-error;
}

表 1 は、SNMP トレース フラグの意味を説明します。

表 1: SNMP トレース フラグ

説明

デフォルト設定

all

すべての操作をログに記録します。

オフ

configuration

[edit snmp]階層レベルでの設定のログ読み取り。

オフ

database

イベントデータベースへの保存と取得に関連するイベントをログに記録します。

オフ

events

重要なイベントをログに記録します。

オフ

general

一般的なイベントをログに記録します。

オフ

interface-stats

物理および論理インターフェイスの統計情報をログに記録します。

オフ

nonvolatile-set

不揮発性 SNMP セット要求処理をログに記録します。

オフ

pdu

SNMP 要求と応答パケットをログに記録します。

オフ

policy

ポリシー処理をログに記録します。

オフ

protocol-timeouts

SNMP 応答タイムアウトをログに記録します。

オフ

routing-socket

ルーティング ソケット呼び出しをログに記録します。

オフ

server

イベントを生成しているプロセスとの通信をログに記録します。

オフ

subagent

ログ・サブエージェントが再始動します。

オフ

timer

内部タイマー イベントをログに記録します。

オフ

varbind-error

変数のバインド エラーをログに記録します。

オフ

エージェントのログの終わりを表示するには、 show log agentd | last 操作モード コマンドを発行します。

content_copy zoom_out_map
[edit]
user@host# run show log agentd | last

ここで、 agent はSNMPエージェントの名前です。

例:SNMP アクティビティのトレース

SNMP パケットに関するトレース情報:

content_copy zoom_out_map
[edit]
snmp {
    traceoptions {
        file size 10k files 5;
        flag pdu;
        flag protocol-timeouts;
        flag varbind-error;
    }
}

証明書有効期限トラップを構成する

開始する前に、以下を実行します。

このトピックでは、証明書の有効期限トラップを設定し、トラップを生成するまでの日数を設定する方法について説明します。

  1. すべての証明書のトラップを生成するまでの日数を設定します。
    content_copy zoom_out_map
    user@host# set security pki trap all-certificates number-of-days
    
  2. CA 証明書のトラップを生成するまでの日数を設定します。
    content_copy zoom_out_map
    user@host# set security pki trap ca-identity ca-profile-name number-of-days
    
  3. ローカル証明書のトラップを生成するまでの日数を設定します。
    content_copy zoom_out_map
    user@host# set security pki trap certificate-idcertificate-id-name number-of-days
    
  4. show security pki trapコマンドを入力して、設定を確認します。
    content_copy zoom_out_map
    user@host# show security pki trap
    certificate-id crt_spk1 {
        30;
    }
    ca-identity Root-CA {
        30;
    }
    all-certificates {
        30;
    }
    

ピアダウンおよびIPsecトンネルダウントラップを有効にする

このトピックでは、 peer-down トラップと ipsec-tunnel-down トラップを有効にする方法について説明します。

  1. IKE トラップ ピア ダウンを有効にします。トラップは、ピアがダウンしたときに生成されます。
    content_copy zoom_out_map
    user@host# set security ike trap peer-down
    
  2. IKE トラップの IPsec トンネル ダウンを有効にします。トラップは、ピアがアップしていて、IPsec SAがダウンしているときに生成されます。
    content_copy zoom_out_map
    user@host# set security ike trap ipsec-tunnel-down
    
  3. show security ike trapコマンドを入力して、設定を確認します。
    content_copy zoom_out_map
    user@host# show security ike trap
    ipsec-tunnel-down;
    peer-down;
    
external-footer-nav
Ask AI
close

How can I help you today?

LLMs can make mistakes. Verify important information.
chat_add_on New topic
send progress_activity
This conversation will be monitored and recorded. Any information you provide will be subject to our Privacy Notice and may be used for quality assurance purposes. Do not include any personal or sensitive information. Ask AI can make mistakes. Verify generated output for accuracy.
Protected by hCaptcha arrow_drop_down arrow_drop_up
Juniper Networks, Inc. | Privacy Notice | Terms of Use