SECDトレースの収集方法
環境
- ONTAP 9
概要
- 認証関連の問題のトラブルシューティング中に、Security Daemon(SECD)の詳細度を上げる必要がある場合があります。
- 次に、diag levelコマンドに関連するオプションの概要と、その推奨される使用方法を示します。
- diagレベルのコマンドは、NetApp Supportの指示に従ってのみ使用してください
- デフォルトでは、SECDはエラーと失敗したrpcコマンドのみをログに記録します
- トラブルシューティングが完了したら、トレースをクリアします。
- これにより、アクティブなトレースを実行したままにすることで、システム上で追加のオーバーヘッドが発生しなくなります。
- クリアするには、すべてのノードに対して次の手順を実行します:
::*> diag secd trace clear -node <node> -vserverids yes
追加情報
- SECD は diag コマンドであるため、これらの例は公開情報には記載されていません。
- これはトレースを実行するコマンドの例です
- このドキュメント全体を読んで、すべての異なるオプションを確認してください
test1::*> diag secd trace set -node test1-01 -vserverids main -trace-all yes
SECDトレース設定の基本:
secd
使用はdiagレベルに制限されていますset diag
コマンドを実行する前に呼び出す必要があります- コマンド例
test1::*> diag secd trace ?
clear *Clear Trace Options
set *Set Trace Options
show *Show Trace
show
オプションを使用して現在のトレース設定を確認します。- トレース設定がパラメータと一致する場合は、
clear
オプションを使用して現在の設定をすべて削除します。
- トレース設定がパラメータと一致する場合は、
test1::*> diag secd trace show -node test1-01
Trace Spec
---------------------------------------
Trace spec has not been set.
- 以下は、トレースの設定時に使用できるパラメータです。
- 注: ノードは、
set
コマンドを実行するたびに必要です。
- 注: ノードは、
test1::*> diag secd trace set ?
[-node] <nodename> *Node
[[-trace-all] {yes|no}] *Trace All RPCs
[ -vserverids <vserver>, ... ] *Id List
[ -ipaddrs <text>, ... ] *Address List
[ -domain-names <text>, ... ] *Domain List
[ -dc-names <text>, ... ] *DC List
[ -rpc-names <rpc_name>, ... ] *RPC List
[ -module-names <module_name>, ... ] *Module List
[ -trace-connectivity {yes|no} ] *Trace Connection Errors
- 次の例は、Storage Virtual Machine(SVM)「main」を含むノード
test1-01,
にトレースを設定します。
test1::*> diag secd trace set -node test1-01 -vserverids main -trace-all yes
Trace spec is set successfully for trace-all Vservers.
- トレースパラメータを確認します。
test1::*> diag secd trace show -node test1-01
Trace Spec
---------------------------------------
TraceAll: Tracing all RPCs
Vserver IDs: main
- メモ:
- 「
set
」に関連するコマンドは累積的で、「clear
」に関連するコマンドは減算的です。 - したがって、上記の例に基づき、次のコマンドを実行してキャプチャを特定のドメインに制限します。
- 「
test1::diag secd trace set -node test1-01 -domain-names test
Trace spec is set successfully for domains.
test1::diag secd trace show -node test1-01
Trace Spec
---------------------------------------
TraceAll: Tracing all RPCs
Domain names: test
Vserver IDs: main
- メモ:
- ドメインの追加は、次に示すように、SVM IDを含む既存のトレースパラメータに組み込まれ、フィルタリングするIPアドレスの追加も同様です。
- トレースを特定のIPアドレスのセットに制限します。
test1:: secd trace set -node test1-01 -ipaddrs 10.10.10.10,10.10.10.11,10.10.10.12,10.10.10.13
Trace spec is set successfully for ipaddrs.
- トレースフィルタにはSVM ID、ドメイン、および特定のIPアドレスのリストが含まれるようになりました。
test1::diag secd*> trace show -node test1-01
Trace Spec
---------------------------------------
TraceAll: Tracing all RPCs
IP Addrs: 10.10.10.10 10.10.10.11 10.10.10.12 10.10.10.13
Domain names: test
Vserver IDs: main
- 前述のように、
clear
オプションは減算的です。- 下記のヘルプコンテキストで説明されているように、各パラメータに関連付けられている入力は 'YES' または 'NO' です。
test1::diag secd*> trace clear ?
[-node] <nodename> *Node
[[-trace-all] {yes|no}] *Clear Trace All
[ -vserverids {yes|no} ] *Clear VserverIds
[ -ipaddrs {yes|no} ] *Clear Ipaddrs
[ -domain-names {yes|no} ] *Clear Domains
[ -dc-names {yes|no} ] *Clear DC
[ -rpc-names {yes|no} ] *Clear RPC
[ -module-names {yes|no} ] *Clear Module
[ -trace-connectivity {yes|no} ] *Clear Trace Connection Errors
- したがって、次のコマンドによってエントリ全体がクリアされるというのは誤った仮定である場合(下記の
show
出力を参照)、必ずすべてのエントリをクリアしてください。 - 注: パラメータを不適切にクリアすると、今後のログ収集作業に問題が発生する可能性があります。
test1::diag secd trace clear -node test1-01 -trace-all yes
test1::diag secd trace show -node test1-01
Trace Spec
---------------------------------------
IP Addrs: 10.10.10.10 10.10.10.11 10.10.10.12 10.10.10.13
Domain names: test
Vserver IDs: main
- 次の構文はトレース項目を完全に削除します。
test1::diag secd trace clear -node test1-01 -ipaddrs yes -domain-names yes -vserverids yes
test1::diag secd trace show -node test1-01
Trace Spec
---------------------------------------
Trace spec has not been set.
手順 - 実際のトレース収集:
- 上記の情報を使用すると、トレースパラメータを正常に設定できます。
- 特定のモジュールがわからない場合は、
trace-all yes
設定を使用して、できるだけ多くのデータをキャプチャするのが最善です。 - 次の手順を実行してください。
- 問題を再現する前に、
show
コマンドを実行してパラメータを確認し、それらをケースデータに含めます。
NOTE:
1)トレースは再現の期間中のみ有効であることを確認してください。再現が完了したらすぐに、トレースを無効にします。
2)再現に関与するすべての関連情報を文書化することが不可欠です。
日時、ユーザー名、情報、IPアドレスとその所有者(クライアント、LIF、DCs)、ファイル名、ボリューム、
および共有情報などの情報は、ログ分析に大いに役立ちます。
- トレース収集シーケンスについては、次の例を参照してください。
test1::> set d
Warning: These diagnostic commands are for use by NetApp personnel only.
Do you want to continue? {y|n}: y
test1::*> diag secd trace show -node test1-01
Trace Spec
---------------------------------------
Trace spec has not been set.
test1::*> diag secd trace set -node test1-01 -vserverids main -trace-all yes
Trace spec set successfully for trace-all, Vservers.
test1::*> diag secd trace show -node test1-01
Trace Spec
---------------------------------------
TraceAll: Tracing all RPCs
Vserver IDs: main
- アクティビティが完了したら、トレースのすべての側面を完全にクリアします。
show
コマンドを実行して、トレースが設定されていないことを確認します。
test1::*> diag secd trace set -node test1-01 -vserverids main -trace-all no
Trace spec set successfully for Vservers.
Trace spec cleared successfully for trace-all.
test1::*> diag secd trace show -node test1-01
Trace Spec
---------------------------------------
Vserver IDs: main
test1::*> diag secd trace clear -node test1-01 -vserverids yes
test1::*> diag secd trace show -node test1-01
Trace Spec
---------------------------------------
Trace spec has not been set.
- Type All AutoSupport を両方のノードから生成します(これにより、SECDトレースデータがアップロードされます):
::> autosupport invoke * -type all
注: ユーザーはsecd
ログ(/etc/log/mlog
もアップロードできます。
- 詳細については、記事:ファイルをNetAppにアップロードする方法を参照してください。