Comment faire pour résoudre les problèmes à l'Aide de compteurs via CLI
Resolution
Les compteurs sont un ensemble très utile d'indicateurs pour les processus, les flux de paquets et les sessions sur le pare-feu PA. Ils sont un outil extermely puissant pour le dépannage de divers scénarios.
Dépannage des paquets supprimés
La commande suivante est très efficace dans le dépannage d'un scénario de dépôt de paquets suspect. La raison pour les paquets supprimés peut aider à affiner sur ce que le problème est.
> montré compteur filtre global baisse de gravité
Compteurs globaux :
Temps écoulé depuis le dernier échantillonnage: 34,999 secondes
nom valeur taux gravité catégorie aspect description
--------------------------------------------------------------------------------
flow_rcv_err 98 0 flux de goutte analyser les paquets supprimés: flux étape réception erreur
flow_rcv_dot1q_tag_err 1 0 les paquets d'analyse de flux Drop ont chuté: la balise 802.1 q n'est pas configurée
flow_no_interface 263 0 flux goutte analyser les paquets supprimés: interface non valide
flow_ipv6_disabled 30622 0 flux de goutte analyser les paquets supprimés: IPv6 désactivé sur l'interface
flow_policy_nat_land 6732 0 session de session d'écoulement goutte d'installation: source NAT IP allocation résultat de l'attaque terrestre
flow_fwd_l3_mcast_drop 2756 0 flux de goutte vers l'avant lâchés: aucun itinéraire pour la multidiffusion IP
flow_fwd_l3_ttl_zero 4 0 Drop flux Forward paquets chuté: IP TTL atteint zéro
flow_fwd_l3_noroute 5 0 Drop flux vers l'avant des paquets abandonnés: pas de route
flow_fwd_l3_noarp 1 0 Drop flux Forward paquets chuté: non ARP
flow_action_reset 1 0 Drop Flow pktproc clients TCP reset via la TVD de réponse
flow_arp_rcv_err 162 0 goutte flux ARP ARP réception erreur
flow_host_decap_err 412 0 Drop Flow Mgmt paquets chuté: erreur d'encapsulation au plan de contrôle
flow_host_service_deny 153865 0 Drop Flow Mgmt gestion des périphériques session refusée
flow_host_service_unknown 2762 0 session de gestion des flux de goutte ignoré: application inconnue au plan de contrôle
flow_tunnel_encap_err 33 0 goutte flux tunnel paquet chuté: erreur d'encapsulation du tunnel
appid_lookup_invalid_flow 1 0 Drop AppID pktproc paquets supprimés: état de session non valide
proxy_offload_check_err 1030 0 Drop proxy pktproc le numéro de déchargement proxy vérification de l'installation a échoué en raison de non SYN ou aucun certificat
url_request_pkt_drop 204 0 Drop URL pktproc le nombre de paquets sont supprimés en raison de l'attente pour la demande de catégorie d'url
--------------------------------------------------------------------------------
Total des compteurs affichés: 18
--------------------------------------------------------------------------------
La commande ci-dessus peut être utilisée avec l'option Delta qui permet de visualiser les paquets supprimés depuis la dernière fois que la commande a été émise.
> montré delta filtre global compteur Oui baisse de gravité
Compteurs globaux :
Temps écoulé depuis le dernier échantillonnage: 55,446 secondes
nom valeur taux gravité catégorie aspect description
--------------------------------------------------------------------------------
flow_ipv6_disabled 3 0 flux de goutte analyse des paquets supprimés: IPv6 désactivé sur l'interface
flow_fwd_l3_mcast_drop 2 0 flux de transfert vers l'avant chuté: pas de route pour la multidiffusion IP
flow_host_service_deny 26 0 Drop Flow Mgmt gestion des périphériques session refusée
flow_host_service_unknown 2 0 session de gestion des flux de goutte ignoré: application inconnue au plan de contrôle
--------------------------------------------------------------------------------
Total des compteurs affichés: 4
--------------------------------------------------------------------------------
Indépendamment de la baisse de sévérité, il y a plusieurs autres sévérités que cette commande peut être employée pour basé sur le scénario. Quelques exemples sont: erreur, information et avertissement.
Dépannage des statistiques de serveur de gestion
Les compteurs peuvent être utilisés pour afficher les statistiques du serveur d'administration (nombre de journaux écrits pour déclencher des compteurs affectés à chaque processus de serveur d'administration).
Cette commande est utile lorsque vous suspectez un problème matériel nécessitant un remplacement RMA.
> Show Counter Management-serveur
Log action non prise: 0
Journaux abandonnés car pas de journalisation: 0
Informations utilisateur de l'ANNONCE lire: 2
Informations sur les certificats lire: 0
Informations de licence extraites du serveur de mise à jour: 0
Sighash refcount: 1
Tunnelhash refcount: 1
URLcat refcount: 1
ip2loc refcount: 1
Statistiques de l'Interface de gestion
L'interface de gestion possède également des statistiques qui peuvent aider à résoudre les problèmes de connectivité.
> Show Counter interface Management
Interface: interface de gestion
-------------------------------------------------------------------------------
Compteurs de l’interface logique :
-------------------------------------------------------------------------------
octets reçus 505700037
octets transmis 295080711
paquets reçus 772181
paquets transmis 874087
Recevez des erreurs 0
transmettre les erreurs 0
recevoir les paquets supprimés 0
transmettre les paquets supprimés 0
des paquets de multidiffusion reçus 0
-------------------------------------------------------------------------------
Statistiques d'interface de plan de données
La commande show Counter interface peut être utilisée pour afficher des statistiques pour L'un des ports ainsi.
> Show Counter interface tunnel. 51
Interface: tunnel. 51
--------------------------------------------------------------------------------
Compteurs de l’interface logique lire de CPU :
--------------------------------------------------------------------------------
octets reçus 0
octets transmis 0
paquets reçus 0
les paquets transmis 0
Recevez des erreurs 0
paquets supprimés 0
abandonné par l’état de flux de paquets vérifier 0
Erreurs de transmission 0
aucun itinéraire 0
ARP introuvable 0
voisin introuvable 0
info de voisin dans l’attente de 0
Mac ne pas trouvé 0
paquets routés vers différentes zones 0
attaques de terre 0
attaques de ping de la mort 0
attaques de goutte 0
attaques d’usurpation IP 0
attaques de parodie Mac 0
Fragment de l’ICMP 0
Layer2 encapsulé paquets 0
Layer2 décapsulés paquets 0
--------------------------------------------------------------------------------
Dépannage de la connectivité Layer 2
Le dépannage de la couche deux peut être traité en termes d'irrégularités dans les entrées ARP reçues à l'Aide de l'aspect ARP du compteur global avec la commande suivante:
> afficher le compteur global aspect du filtre ARP
Compteurs globaux :
Temps écoulé depuis le dernier échantillonnage: 8,330 secondes
nom valeur taux gravité catégorie aspect description
--------------------------------------------------------------------------------
flow_arp_pkt_rcv 42685 0 info flux ARP paquets ARP reçus
flow_arp_pkt_xmt 1875 0 info Flow ARP paquets transmis
flow_arp_pkt_replied 6995 0 info Flow ARP requêtes ARP répondu
flow_arp_pkt_learned 17 0 info Flow ARP ARP entrée apprise
flow_arp_rcv_gratuitous 494 0 info Flow ARP paquets gratuits ARP reçus
flow_arp_rcv_err 162 0 goutte flux ARP ARP réception erreur
flow_arp_resolve_xmt 1843 0 info Flow ARP résolution paquets transmis
--------------------------------------------------------------------------------
Total des compteurs affichés: 7
Autres statistiques utiles
Divers autres compteurs sont utiles lors du dépannage, voici quelques exemples
anatrajan @ PAN_WICH_52 > afficher le nom du compteur global
aho_alloc_lookup_failed WARN n'a pas réussi à Alloc Regex Lookup
aho_fpga info le total des demandes de FPGA pour AHO
erreur aho_fpga_invalid_wqe lors de l'obtention du résultat de FPGA, wQE index n'était pas valide
erreur aho_fpga_ret_error supprimé les résultats du FPGA causé par le type unexecpted
erreur aho_fpga_ret_invalid_fid a supprimé les résultats de FPGA provoqués par un ID de flux non valide
aho_fpga_ret_length_error erreur a chuté des résultats de FPGA causée par une courte longueur
aho_fpga_ret_multi_bufs info Aho FPGA résultat avec plusieurs mémoires tampons
erreur aho_fpga_ret_offset_error a supprimé les résultats du FPGA causé par un décalage non valide
erreur aho_fpga_ret_wrong_size supprimé les résultats de FPGA causée par la taille du paquet incorrect
aho_fpga_state_verify_failed info lors de l'obtention du résultat de FPGA, l'état de la session a été modifié
erreur aho_fpga_unmatched_type lors de l'obtention du résultat de FPGA, le type de session n'a pas été apparié
aho_fpga_unmatched_wqe avertir lors de l'obtention du résultat de FPGA, wQE n'a pas été jumelée à la session
aho_match_overflow info nombre d'aho matches débordement
aho_sw info l'utilisation totale du logiciel pour AHO
aho_sw_fpga_fail avertir l'utilisation du logiciel Aho causée par l'échec de l'envoi de la demande FPGA
aho_sw_fpga_full info utilisation du logiciel AHO causée par les demandes FPGA seuil
aho_sw_fpga_unavailable avertir l'utilisation du logiciel Aho causée par FPGA indisponible
aho_too_many_matches info trop de correspondances de signature dans un paquet
aho_too_many_mid_res info trop de résultats intermédiaires signature dans un seul paquet
erreur appid_dfa_invalid_result le résultat DFA invalide pour AppID
appid_exceed_pkt_limit WARN App. l'identification a échoué en raison de la limitation du total des packs en file d'attente
appid_exceed_queue_limit WARN App. échec de l'identification causée par la limitation de la session en file d'attente PAC
appid_exceed_queue_limit_post WARN App. échec de l'identification causée par la limitation de la session en file d'attente PAC
appid_fini_with_wqe_2_fpga info session se termine par wQE dans FPGA
appid_flow_state_fail info l'état de la session a été modifié
appid_ident_by_cache info application identifiée par cache
appid_ident_by_dport info application identifiée par L4 dport
appid_ident_by_dport_first info application identifiée par L4 dport First
appid_ident_by_heuristics info application identifiée par heuristique
appid_ident_by_icmp info application identifiée par le type ICMP
appid_ident_by_ip info application identifiée par le protocole IP
appid_ident_by_sport info application identifiée par L4 sport
appid_ident_by_sport_first info application identifiée par L4 sport First
appid_ident_by_supernode info application identifiée par SuperNode
appid_lookup_invalid_flow Drop paquets supprimés: état de session non valide
appid_match_overflow info le DFAE matches débordement
appid_no_policy erreur App. l'identification a échoué en raison d'aucune politique
appid_override info application identifiée par override Rule
appid_proc info le nombre de paquets traités par l'identification de l'Application
appid_reset_sess_tcp_reass erreur de réinitialisation de la sess lors du remontage TCP
appid_result_id_changed info le statut AppID de la session a été modifié
appid_result_no_policy info la politique de la session a été modifiée pendant AppID proc
appid_skip_terminal info le résultat DFA est terminal
appid_ssl_no_cert_no_reset info SSL sessions avec certificat de serveur inconnu, mais pas de réinitialisation précédente
appid_stop_by_ager info application identification terminée par session Agere
appid_stop_by_ager_nopkts info Agere ne peut pas arrêter AppID car aucun paquet n'a été mis en file d'attente
appid_unknown_by_stop info le nombre d'applications inconnues en raison de l'arrêt
propriétaire : anatrajan