DS-Liteのログ記録と監視
DS-Lite の情報を記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSN のロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (マッピング)
- DS-Lite LSN マッピングエントリが作成されたか削除されたか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が表示される場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートは記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピング用にログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (セッション)
- DS-Lite セッションが作成されるか削除されるか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表は、設定されたログサーバに保存されている各タイプのサンプル DS-Lite ログエントリを示しています。これらのログエントリは、NSIPアドレスが10.102.37.115のNetScalerアプライアンスによって生成されます。DS-Lite情報をログに記録して、問題の診断やトラブルシューティング、法的要件を満たすことができます。Citrix ADCアプライアンスは、DS-Lite情報をログに記録するためのLSNロギング機能をすべてサポートしています。DS-Lite ロギングを構成するには、「LSN のロギングとモニタリング」で説明した LSN ロギングを設定する手順を使用します。
DS-Lite LSN マッピングエントリのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (マッピング)
- DS-Lite LSN マッピングエントリが作成されたか削除されたか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 次の条件によっては、宛先 IP アドレス、ポート、およびトラフィックドメイン ID が表示される場合があります。
- エンドポイントに依存しないマッピングでは、宛先 IP アドレスとポートは記録されません。
- アドレス依存マッピングでは、宛先 IP アドレスのみがログに記録されます。ポートはログに記録されません。
- 宛先 IP アドレスとポートは、アドレス-ポート依存マッピング用にログに記録されます。
DS-Lite セッションのログメッセージは、次の情報で構成されます。
- ログメッセージの送信元となるNetScaler所有のIPアドレス(NSIPアドレスまたはSNIPアドレス)
- タイムスタンプ
- エントリータイプ (セッション)
- DS-Lite セッションが作成されるか削除されるか
- B4 の IPv6 アドレス
- 加入者の IP アドレス、ポート、およびトラフィックドメイン ID
- NAT IP アドレスとポート
- プロトコル名
- 宛先 IP アドレス、ポート、およびトラフィックドメイン ID
次の表は、設定されたログサーバに保存されている各タイプのサンプル DS-Lite ログエントリを示しています。これらのログエントリは、NSIPアドレスが10.102.37.115のNetScalerアプライアンスによって生成されます。
| LSN ログエントリタイプ | サンプルログエントリ |
| DS-Lite セッション作成 | Local4.Informational 10.102.37.115 08/14/ 2015:13:35:38 GMT 0-PPE-1: デフォルト LSN LSN_SESSION 37647607 0: セッション作成 2001: DB8:3:4 クライアント IP: Port: TD 192.0.2. 51:2552:0、NAT Port 203.0.113. 61:3002、宛先 IP: Portd: TD 1984 .51.100. 250:80:0、プロトコル:TCP |
| DS-Lite セッション削除 | Local4.Informational 10.102.37.115 08/14/ 2015:13:38:22 GMT 0-PPE-1: デフォルト LSN LSN_SESSION 37647617 0: セッション削除 2001: DB8:: 3:4 クライアント IP: ポート:TD 192.0.2. 51:2552:0、NAT ポート 203.0.113. 61:3002、宛先 IP: ポート:TD 198.2 51.100. 250:80:0、プロトコル:TCP |
| DS-Lite LSN マッピングの作成 | Local4.Informational 10.102.37.115 08/14/ 2015:13:35:39 GMT 0-PPE-1: デフォルト LSN LSN_EIM_MAPPING 37647610 0: EIM 作成 2001: DB8:3:4 クライアント IP: Port: TD 192.0.2. 51:2552:0, naTIP: NATPort 198.51.100. 250:80, プロトコル:TCP |
| DS-Lite LSN マッピングの削除 | Local4.Informational 10.102.37.115 08/14/ 2015:13:38:25 GMT 0-PPE-1: デフォルト LSN LSN_EIM_MAPPING 37647618 0: EIM 削除 2001: DB8:3:4 クライアント IP: Port: TD 192.0.2. 51:2552:0, naTIP: NATPort 198.51.100. 250:80, プロトコル:TCP |
現在の DS-Lite セッションの表示
現在のDS-Liteセッションを表示して、NetScalerアプライアンス上の不要なセッションや非効率的なセッションを検出できます。選択パラメータに基づいて、すべてまたは一部の DS-Lite セッションを表示できます。
コマンドラインインターフェイスを使用してすべての DS-Lite セッションを表示するには
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite
<!--NeedCopy-->
コマンドラインインターフェイスを使用して選択した DS-Lite セッションを表示するには
コマンドプロンプトで入力します。
show lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
<!--NeedCopy-->
次のサンプル出力は、NetScalerアプライアンスに存在するすべてのDS-Liteセッションを示しています。
show lsn session –nattype DS-Lite
B4-Address SubscrIP SubscrPort SubscrTD DstIP DstPort DstTD NatIP NatPort Proto Dir
1. 2001:DB8::3:4 192.0.2.51 2552 0 198.51.100.250 80 0 203.0.113.61 3002 TCP OUT
2. 2001:DB8::3:4 192.0.2.51 3551 0 198.51.100.300 80 0 203.0.113.61 52862 TCP OUT
3. 2001:DB8::3:4 192.0.2.100 4556 0 198.51.100.250 0 0 203.0.113.61 48116 ICMP OUT
4. 2001: DB8::190 192.0.2.150 3881 0 198.51.100.199 80 0 203.0.113.69 48305 TCP OUT
Done
<!--NeedCopy-->
設定ユーティリティを使った設定
構成ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションを表示するには
- [システム] > [ **大規模NAT ] > [ セッション ] に移動し、[ **DS-Lite ] タブをクリックします。
- 選択パラメータに基づいて DS-Lite セッションを表示するには、「検索」をクリックします。
DS-Lite セッションのクリア
不要または非効率的なDS-LiteセッションをNetScalerアプライアンスから削除できます。アプライアンスは、これらのセッションに割り当てられたリソース(NAT IPアドレス、ポート、メモリなど)をすぐに解放し、リソースを新しいセッションで使用できるようにします。アプライアンスは、削除されたセッションに関連する後続のパケットもすべてドロップします。NetScalerアプライアンスからすべてまたは選択したDS-Liteセッションを削除できます。
コマンドラインインターフェイスを使用してすべての DS-Lite セッションをクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Lite
show lsn session –nattype DS-Lite
<!--NeedCopy-->
コマンドラインインターフェイスを使用して選択した DS-Lite セッションをクリアするには
コマンドプロンプトで入力します。
flush lsn session –nattype DS-Lite [-clientname <string>] [-network <ip_addr> [-netmask <netmask>] [-td <positive_integer>]] [-natIP <ip_addr> [-natPort <port>]]
show lsn session –nattype DS-Lite
<!--NeedCopy-->
構成ユーティリティを使用してすべての DS-Lite セッションまたは選択した DS-Lite セッションをクリアするには
- [ システム ] > [ 大規模NAT ] > [ セッション] に移動し、[ DS-Lite ] タブをクリックします。
- 「 フラッシュセッション」をクリックします。
HTTP ヘッダー情報のロギング
NetScalerアプライアンスは、DS-Lite機能を使用するHTTP接続のリクエストヘッダー情報をログに記録できます。HTTP リクエストパケットの次のヘッダー情報を記録できます。
- HTTP リクエストの送信先の URL
- HTTP リクエストで指定された HTTP メソッド
- HTTP リクエストで使用される HTTP バージョン
- HTTP 要求を送信したサブスクライバの IPv4 アドレス
ISP は HTTP ヘッダーログを使用して、複数のサブスクライバーの HTTP プロトコルに関連する傾向を確認できます。たとえば、ISP はこの機能を使用して、複数のサブスクライバーの中で最も人気のある Web サイトを検索できます。
構成の手順
次のタスクを実行して、HTTPヘッダー情報を記録するようにNetScalerアプライアンスを構成します。
- HTTP ヘッダーログプロファイルを作成します。HTTP ヘッダーログプロファイルは、ロギングを有効または無効にできる HTTP ヘッダー属性 (URL や HTTP メソッドなど) のコレクションです。
- HTTP ヘッダーを DS-Lite LSN 構成の LSN グループにバインドします。HTTP ヘッダーログプロファイル名パラメーターを作成した HTTP ヘッダーログプロファイルの名前に設定して、HTTP ヘッダーログプロファイルを LSN 構成の LSN グループにバインドします。次に、NetScalerアプライアンスは、LSNグループに関連するすべてのHTTPリクエストのHTTPヘッダー情報を記録します。HTTP ヘッダーログプロファイルは複数の LSN グループにバインドできますが、LSN グループには 1 つの HTTP ヘッダーログプロファイルしか割り当てることができません。
コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを作成するには
コマンドプロンプトで入力します。
add lsn httphdrlogprofile <httphdrlogprofilename> [-logURL ( ENABLED | DISABLED )] [-logMethod ( ENABLED | DISABLED )] [-logVersion ( ENABLED | DISABLED )] [-logHost ( ENABLED | DISABLED )]
show lsn httphdrlogprofile
<!--NeedCopy-->
コマンドラインインターフェイスを使用して HTTP ヘッダーログプロファイルを LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -httphdrlogprofilename <string>
show lsn group <groupname>
<!--NeedCopy-->
構成例
次の DS-Lite LSN 設定では、HTTP ヘッダーログプロファイル HTTP-Header-Log-1 は LSN グループ LSN-DSLITE-GROUP-1 にバインドされています。ログプロファイルには、すべての HTTP 属性 (URL、HTTP メソッド、HTTP バージョン、ホスト IP アドレス) のロギングが有効になっているので、これらの属性はすべて B4 デバイス (ネットワーク 2001: DB 8:5001:: /96 内) からの HTTP リクエストに対してログに記録されます。
設定例:
add lsn httphdrlogprofile HTTP-HEADER-LOG-1
Done
add lsn client LSN-DSLITE-CLIENT-1
Done
bind lsn client LSN-DSLITE-CLIENT-1 -network6 2001:DB8::3:0/100
Done
add lsn pool LSN-DSLITE-POOL-1
Done
bind lsn pool LSN-DSLITE-POOL-1 203.0.113.61 - 203.0.113.70
Done
add lsn ip6profile LSN-DSLITE-PROFILE-1 -type DS-Lite -network6 2001:DB8::5:6
Done
add lsn group LSN-DSLITE-GROUP-1 -clientname LSN-DSLITE-CLIENT-1 -portblocksize 1024 -ip6profile LSN-DSLITE-PROFILE-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -poolname LSN-DSLITE-POOL-1
Done
bind lsn group LSN-DSLITE-GROUP-1 -httphdrlogprofilename HTTP-HEADER-LOG-1
Done
<!--NeedCopy-->
IPFIX ロギング
NetScalerアプライアンスは、LSNイベントに関する情報をインターネットプロトコルフロー情報エクスポート(IPFIX)形式で、構成済みのIPFIXコレクターのセットに送信することをサポートしています。アプライアンスは既存のAppFlow機能を使用して、LSNイベントをIPFIX形式でIPFIXコレクターに送信します。
IPFIX ベースのロギングは、次の DS_Lite 関連イベントで使用できます。
- LSN セッションの作成または削除。
- LSN マッピングエントリの作成または削除。
- デターミニスティック NAT におけるポートブロックの割り当てまたは割り当て解除
- ダイナミック NAT におけるポートブロックの割り当てまたは割り当て解除
- サブスクライバセッションクォータを超えると。
IPFIX ロギングを設定する前に考慮すべきポイント
IPSec ALG の設定を開始する前に、次の点を考慮してください。
- Citrix ADCアプライアンスでAppFlow機能およびIPFIXコレクタを構成する必要があります。手順については、 AppFlow 機能の構成を参照してください。
構成の手順
LSN 情報を IPFIX 形式で記録するには、次のタスクを実行します。
- AppFlow構成でLSNロギングを有効にします。AppFlow構成の一部としてLSNロギングパラメータを有効にします。
- LSN ログプロファイルを作成します。LSN ログプロファイルには、IPFIX 形式のログ情報を有効または無効にする IPFIX パラメータが含まれます。
- LSN ログプロファイルを LSN 設定の LSN グループにバインドします。LSN ログプロファイルを 1 つまたは複数の LSN グループにバインドします。バインドされた LSN グループに関連するイベントは IPFIX 形式で記録されます。
CLIを使用してAppFlow構成でLSNロギングを有効にするには
コマンドプロンプトで入力します。
set appflow param -lsnLogging (ENABLED |DISABLED )
show appflow param
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを作成するには、コマンドプロンプトで次のように入力します
コマンドプロンプトで入力します。
set lsn logprofile <logProfileName> -logipfix ( ENABLED | DISABLED )
show lsn logprofile
<!--NeedCopy-->
CLI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
コマンドプロンプトで入力します。
bind lsn group <groupname> -logProfileName <lsnlogprofilename>
show lsn group
<!--NeedCopy-->
GUI を使用して LSN ログプロファイルを作成するには
[ システム ] > [ 大規模NAT ] > [ プロファイル] に移動し、[ ログ ] タブをクリックして、ログプロファイルを追加します。
GUI を使用して LSN ログプロファイルを LSN 設定の LSN グループにバインドするには
- [ システム ] > [ 大規模NAT ] > [ LSN グループ] に移動し、LSN グループを開きます。
- 詳細設定で、+ Log Profile をクリックして、作成したログプロファイルを LSN グループにバインドします。