ログ メッセージに関する詳細を知るために診断タスクを実行する

Firebox System Manager (FSM) の診断タスク ツールを使用して、ログ メッセージの詳細を確認したり、Firebox のログ メッセージの情報を確認してネットワークの不具合のデバッグに役立てたりすることができます。開始時間 IP アドレスまたは宛先 IP アドレスを ping したり、発信元または宛先 IP アドレスのルートをトレースしたり、IP アドレスの DNS情報を参照したり、ネットワーク間 (TCP ダンプ) 送信されたパケットの情報を参照したりすることができます。タスク詳細に引数を含めて結果を絞り込むことができます。また、VPN 診断レポート を実行し、VPN ゲートウェイや関連する Branch Office VPN トンネルの構成およびステータス情報を確認することもできます。

Firebox により生成される一部のログ メッセージの詳細については、WatchGuard Firebox および Dimension のドキュメント ページにある Fireware ログ カタログ を参照してください。

診断タスクを実行する

Firebox System Manager で診断タスクを実行し、Firebox のすべてのログ メッセージの情報を確認することができます。これにより、ネットワーク上の問題をデバッグすることができます。

1. Traffic Monitor タブで、右クリックして 診断タスク を選択します。
   または、ツール > 診断タスク の順に選択します。
   ネットワーク タブが選択された状態で 診断タスク ダイアログ ボックスが表示されます。

2. タスク ドロップダウン リストから、実行するタスクを選択します。
   • IPv4 を Ping
   • IPv6 を Ping
   • traceroute
   • DNS 参照
   • TCP ダンプ
     Ping、トレースルート、または DNS ルックアップを選択した場合、アドレス テキスト ボックスが表示されます。
     TCPダンプ を選択すると、インターフェイス ドロップダウン リストが表示されます。
     
3. アドレス テキスト ボックスで、IP アドレスまたはホスト名を入力します。
   また、インターフェイス ドロップダウン リストから、検索に含めるインターフェイスを選択します。
   
4. 表示される結果を絞り込むには、詳細オプション チェックボックスをオンにします。
   引数テキスト ボックスが表示されます。

5. 引数 テキスト ボックスに、検索に含める引数を入力します。
   必ず アドレス テキスト ボックスまたは インターフェイス ドロップダウン リストのどちらかに指定した値を入力してください。入力する引数にこの値が存在しない場合、検索は実行されません。
   指定できる引数のリストを表示するには、引数 テキスト ボックスの上にカーソルを置くか、またはテキスト ボックスを空白のままにして タスクの実行 をクリックします。
   
   Ping IPv4 の引数

   ping [-LRUbdfnqrvVaA] [-c count] [-i interval] [-w deadline]

   [-p pattern] [-s packetsize] [-t ttl] [-I interface or address]

   [-M mtu discovery hint] [-S sndbuf]

   [ -T timestamp option ] [ -Q tos ] [hop1 ...] destination

   Ping IPv6 の引数

   ping6 [-LUdfnqrvVaA] [-c count] [-i interval] [-w deadline]

   [-p pattern] [-s packetsize] [-t ttl] [-I interface]

   [-M mtu discovery hint] [-S sndbuf]

   [-F flow label] [-Q traffic class] [hop1 ...] destination

   traceroute の引数

   6.1.3 GOLD+emf_prototrace0.2: TrACESroute Usage: traceroute [-adnruvAMOQ] [-w wait] [-S start_ttl] [-m max_ttl] [-p port#] [-q nqueries] [-g gateway] [-t tos] [-s src_addr] [-g router] [-I proto] host [data size]

   -a: Abort after 10 consecutive drops

   -d: Socket level debugging

   -g: Use this gateway as an intermediate hop (uses LSRR)

   -S: Set start TTL (default 1)

   -m: Set maximum TTL (default 30)

   -n: Report IP addresses only (not hostnames)

   -p: Use an alternate UDP port

   -q: Set the number of queries at each TTL (default 3)

   -r: Set Dont Route option

   -s: Set your source address

   -t: Set the IP TOS field (default 0)

   -u: Use microsecond timestamps

   -v: Verbose

   -w: Set timeout for replies (default 5 sec)

   -A: Report AS# at each hop (from GRR)

   -I: use this IP protocol (currently an integer) instead of UDP

   -M: Do RFC1191 path MTU discovery

   -O: Report owner at each hop (from DNS)

   -P: Parallel probing

   -Q: Report delay statistics at each hop (min/avg+-stddev/max) (ms)

   -T: Terminator (line end terminator)

   -U: Go to next hop on any success

   DNS Lookup

   dnslookup destination

   TCP Dump

   tcpdump [-aAbdDefIKlLnNOpPqRStuUvxX] [ -B size ] [ -c count ]

   [ -E algo:secret ] [ -i interface ] [ -M secret ] [ -s snaplen ]

   [ -T type ] [ -y datalinktype ] [ -z command ]

   [ expression ]

6. タスクの実行 をクリックします。
   結果リストにタスクの情報が表示され、タスクの停止ボタンが表示されます。
7. 診断タスクを停止するには、タスクの停止 をクリックします。
8. 閉じる をクリックして、診断タスク ダイアログ ボックスを閉じて Traffic Monitor に戻ります。

トラフィック ログ メッセージのルートを Ping またはルートをトレースする。

特定なトラフィック ログ メッセージの発信元 IP アドレスまたは宛先 IP アドレスで ping または traceroute タスクを実行して、そのメッセージの詳細情報を表示できます。

1. FSM の Traffic Monitor タブで、ログ メッセージを選択します。
2. メッセージを右クリックし、 以下のタスクのいずれかを選択します。
   • 発信元 IP アドレス > Ping
   • 発信元 IP アドレス > トレース ルート
   • 宛先 IP アドレス > Ping
   • 宛先 IP アドレス > トレース ルート
     選択したログ メッセージの情報および適切なフィールドに入力したタスクを含む [診断タスク] ダイアログボックスが表示されます。選択したタスクが自動的に実行開始します。
3. 表示される結果を絞り込むには、詳細オプション チェックボックスをオンにします。
   引数テキスト ボックスが表示されます。
4. 引数 テキスト ボックスに、検索に含める引数および IP アドレスを入力します。必ず アドレス テキスト ボックスの IP アドレスを再度入力してください。
   指定できる引数のリストを表示するには、引数 テキスト ボックスの上にカーソルを置くか、またはテキスト ボックスを空白のままにして タスクの実行 をクリックします。
5. 引数を入力し、タスクの実行 をクリックします。
   結果リストにタスクの情報が表示され、タスクの停止ボタンが表示されます。
6. 診断タスクを停止するには、タスクの停止 をクリックします。

ホスト名の IP アドレスを探す

Firebox から、DNS ルックアップタスクを使用してホスト名を IP アドレスに解決することができます。

1. タスク ドロップダウン リストから、DNS ルックアップ を選択します。
   アドレス テキスト ボックスが表示されます。
   
2. ホスト名を アドレス テキスト ボックスに入力します。
3. タスクの実行 をクリックします。
   結果リストに、指定したホスト名の IP アドレスが表示されます。
   

PCAP ファイルのダウンロード

診断タスク ダイアログ ボックスから、パケット キャプチャー (.PCAP) ファイルをダウンロードして、ネットワーク上のトラフィックの問題の診断に役立てることができます。.PCAP ファイルには実行した最新の TCP ダンプ タスクの結果が取り込まれるため、Traffic Monitor の外部にあるタスク結果内のプロトコルを確認することができます。TCP ダンプの結果を .PCAP ファイルとして保存しない場合、新しい診断タスクを実行すると TCP ダンプ タスクの結果がクリアされます。TCP ダンプ タスクの実行中にデータをコンピュータに保存することも、Firebox に結果を保存し、後からファイルをダウンロードすることもできます。

詳細オプション を有効化して TCP ダンプ タスクの引数を含める場合、常にインターフェイスを指定する必要があります。これは Firebox の物理インターフェイス (eth0 等)、リンク アグリゲーション インターフェイス (bond0 等)、ワイヤレス インターフェイス (ath0 等)、VLAN インターフェイス (vlan10 等) のいずれにすることも可能です。VLAN またはブリッジ インターフェイスを指定し、トラフィックがプロキシ ルールに一致する場合、TCP ダンプは、そのインターフェイスの最初の受信パケットのみを取り込みます。すべてのパケットを取り込むには、パケットの発信元である物理インターフェイス上で TCP ダンプ タスクを実行する必要があります。

登録サービスが有効な XTM 2 Series デバイスで TCP ダンプ タスクを実行すると、Firebox のパフォーマンスが低下する可能性があります。タスクが完了するとデバイスのパフォーマンスは正常に戻ります。

TCP ダンプの引数

TCP ダンプ タスクを実行するときに、タスクを実行するインターフェイスを指定する必要があります。タスクの引数に式を含めて、特定のトラフィック用にフィルタすることもできます。

インターフェイスを指定するには、-i 引数に続けてインターフェイス名と番号を含めます。例:

- i eth1 — 物理インターフェイス #1

-i ath1 — ワイヤレス インターフェイス #1

-i br1 — ブリッジ インターフェイス #1

-i bond1 — リンク集約インターフェイス #1

-i vlan1 — VLAN インターフェイス #1

指定インターフェイスのトラフィックをフィルタする式を作成するために、標準の TCP ダンプ キーワードや演算子を使用することができます。一般的なキーワードと演算子には次のようなものがあります：

host — 指定するホスト IP アドレスとの間で送受信されるトラフィックのみ含めます。

net — 指定するサブネットの IP アドレスとの間で送受信されるトラフィックのみ表示します。たとえば、10.0.1.0/24 の場合は 10.0.1 のように入力します。

port — 指定するポートの発信元または送信先とのトラフィックのみ表示します。

portrange — 指定するポート範囲からのトラフィックのみ表示します。

ip proto — 指定するプロトコルからのトラフィックのみ表示します。たとえば、ESP パケットなら 50 と入力します。

src または dst — キーワード host または port を使って、発信元または送信先を指定します。

tcp または udp — キーワード port または portrange を使ってプロトコルを指定します。

and / or — 式を結合するのに使用します。

使用可能なキーワードの完全なリストとフィルタ表現の作成方法の詳細例は、http://www.tcpdump.org/manpages/pcap-filter.7.html で PCAP-Filter manpage を参照してください。

TCP ダンプ引数の例：

-i eth1 host 10.0.1.25 and dst port 80

インターフェイス eth1 で、10.0.1.25 送信先ポート 80 が送受信するトラフィックのみ表示します。

-i eth0 tcp port 25

インターフェイス eth0 で、TCP ポート 25 が送受信するトラフィックのみ表示します。

-i vlan1024

VLAN 1024 のタグ付きトラフィックのみ表示します。

-i eth0 udp port 500 or ip proto 50

eth0 インターフェイスの UDP ポート 500 または ESP パケットをすべて表示します。

-i eth2 src 10.0.1.100 and dst 10.0.2.25

eth2 インターフェイスで、10.0.1.100 から 10.0.2.25 へのトラフィックをすべて表示します。

TCP ダンプ データを直接 PCAP ファイルに保存する

タスク実行時に TCP ダンプ データを PCAP ファイルに保存するには、次の手順に従います:

1. Traffic Monitor タブで、右クリックして 診断タスク を選択します。
   または、ツール > 診断タスク の順に選択します。
   ネットワーク タブが選択された状態で 診断タスク ダイアログ ボックスが表示されます。
2. タスク ドロップダウン リストから、TCP ダンプ を選択します。
   インターフェイス ドロップダウン リストが表示されます。
3. 詳細 チェックボックスを選択します。
   詳細 オプションが表示されます。

4. 引数 テキスト ボックスに、検索に含めるパラメータを入力します。パラメータでは、大文字と小文字が区別されます。
   例えば、デフォルトの外部インターフェイスで PCAP データをキャプチャする場合は、-ieth0 と入力します。
5. データをファイルにストリーム チェックボックスを選択します。
6. 参照 をクリックして .PCAP ファイルを保存する場所とそのファイルのファイル名を指定します。
7. タスクの実行 をクリックします。
   TCP ダンプ タスクが実行されます。TCP ダンプ データは結果リストに表示されません。

8. TCP ダンプで十分な結果を収集したら、タスクの停止 をクリックします。
   ファイルがコンピュータの最大許容サイズまたは 引数 テキスト ボックスで指定したサイズに達した場合、TCP ダンプは自動的に停止します。
   TCP ダンプ タスクが停止し、.PCAP ファイルが指定された場所に保存されます。

.PCAP ファイルを保存した後、Wireshark などのサードパーティ アプリケーションでファイルを開き、ファイルに含まれるプロトコルを確認してネットワーク構成の問題を解決することができます。

Firebox の TCP ダンプ データを保存する

Firebox の TCP ダンプ データを取り込み、.PCAP ファイルとしてコンピュータに保存することもできます。

診断タスク ダイアログ ボックスで、以下の手順を実行します:

1. タスク ドロップダウン リストから、TCP ダンプ を選択します。
   
   インターフェイス ドロップダウン リストが表示されます。
2. 詳細 チェックボックスを選択します。
   
   詳細 オプションが表示されます。
3. 引数 テキスト ボックスに、検索に含めるパラメータを入力します。パラメータでは、大文字と小文字が区別されます。
   たとえば、デフォルトの外部インターフェイスで .PCAP データをキャプチャする場合は、-ieth0と入力します。
4. データをバッファして後で保存する を選択します。
5. タスクの実行 をクリックします。
   TCP ダンプ タスクが実行されます。結果リストに TCP ダンプ データが表示され、タスクの停止ボタンが表示されます。

6. TCP ダンプで十分な結果を収集したら、タスクの停止 をクリックします。
   すべての結果がキャプチャされた後にも TCP ダンプが自動的に停止します。
   TCP ダンプ タスクが停止し、Pcap ファイルを保存ボタンが表示されます。

7. Pcap ファイルを保存 をクリックして .PCAP ファイルを保存する場所と、そのファイルのファイル名を指定します。

.PCAP ファイルの最大サイズは 30 MB です。Firebox にメモリ制限がある場合、.PCAP ファイルのサイズは、Firebox 上で使用可能なメモリ量に基づいて相対的な制約を受けます。

ログ メッセージの IP アドレスをコピーする

Traffic Monitor のログ メッセージの発信元 IP アドレスおよび宛先 IP アドレスをコピーして他のプログラムまたはダイアログ ボックスに貼り付けることができます。

1. FSM の Traffic Monitor タブで、ログ メッセージを選択します。
2. メッセージを右クリックし、 以下のタスクのいずれかを選択します。
   • 発信元 IP アドレス > 発信元 IP アドレスのコピー
   • 宛先 IP アドレス > 宛先 IP アドレスのコピー

選択した IP アドレスがシステム クリップボードにコピーされます。

トラフィック ログ メッセージから IPS 署名の詳細を得る

Intrusion Prevention Service (IPS) 署名のログ記録を有効にしたら、Traffic Monitor を使って、トラフィック ログ メッセージに関連付けられた署名 ID の詳細を得ることができます。

Traffic Monitor タブで、

1. IPSの検出 など署名 ID のあるトラフィック ログ メッセージを選択します。
2. ログ メッセージを右クリックして、署名情報の検索 を選択します。
   WatchGuard 署名 Web サイトに署名の詳細が表示されます。

IPS と IPS 署名に詳細については、次を参照してください：Intrusion Prevention Service について および IPS 署名情報を表示する。

VPN 診断レポートの実行

VPN ゲートウェイと、関連する Branch Office VPN トンネルの構成およびステータス情報を確認するには、VPN 診断レポートを実行します。レポートを実行すると、Firebox は選択されたゲートウェイのログ レベルを一時的に上げます。

診断タスク ダイアログ ボックスで、以下の手順を実行します。

1. VPN タブを選択します。

2. ゲートウェイ ドロップダウン リストから、VPN ゲートウェイを選択します。
3. ゲートウェイ ドロップダウン リストに含まれる VPN ゲートウェイを最新の状態に更新するには、 をクリックします。
4. 期間 テキスト ボックスに、VPN 診断レポートを実行する時間 (秒) を入力または選択します。
5. レポートの開始 をクリックします。
   
   診断タスクが開始され、レポートが作成されます。

Firebox が、指定した期間のログ メッセージを収集します。タスクが完了すると、ゲートウェイおよびトンネル構成に関する詳細と、選択したゲートウェイのアクティブなトンネルのステータスに関する情報が 結果 セクションに表示されます。その後、ログ レベルは前に設定したレベルに戻ります。

FSM の フロント パネル タブから VPN 診断レポートを実行することもできます:

1. Branch Office VPN トンネル ツリーを展開します。
2. VPN インターフェイスまたはゲートウェイを選択します。
3. 選択した VPN インターフェイスまたはゲートウェイを右クリックして、VPN 診断レポート を選択します。
   診断タスク ダイアログ ボックスが表示され、VPN タブが選択された状態になります。選択したゲートウェイの VPN 診断レポートが約 20 秒間実行されます。
4. レポートをもう一度実行するには、レポートの開始 をクリックします。

VPN の診断レポートの詳細については、次を参照してください： VPN 診断レポートを使用する。

関連情報：

デバイス ログ メッセージ (Traffic Monitor)

Firebox のログ記録および通知について

WebCenter でログ メッセージとレポートを参照する

Firebox ワイヤレス構成について

仮想ローカル エリア ネットワーク (VLAN) について

リンク アグリゲーション インターフェイスを監視する