SSL または TLS を実装しているアプリケーションは、非暗号化アプリケーション・データを診断トレースに含めるかどうかを制御可能です。 低位のレイヤーは、暗号化されたデータのみにアクセスできます。 AT-TLS の使用時は、TCP、PFS、および SOCKAPI レイヤーは非暗号化データにアクセス可能です。AT-TLS のデフォルトでは、これらのレイヤーで生成される CTRACE レコードにこの種のデータが含まれるのを抑止して、アプリケーションのユーザーを保護します。 問題を診断するためにこれらのレコードにこの種のデータを含める必要がある場合は、CtraceClearText ON を設定することができます。
AT-TLS は、トレース・メッセージを syslogd に書き込みます。AT-TLS のデフォルト動作では、syslogd メッセージはデーモン機能に書き込まれます。SNMP TCP/IP サブエージェントのような他の TCP/IP 機能も、syslogd にレコードを書き込むときにデーモン機能名を指定します。 ジョブ名と syslog 機能名は同じです。 フィルターを使用して、レコードを違う出力ファイルに送ることはできません。 AT-TLS レコードを異なる出力ファイルに送りたい場合、その代わりとして、TTLSGroupAction ステートメント内で syslog 機能名を変更して、該当グループからのメッセージを Auth 機能に送るように指示することができます。そして、syslogd 構成ファイル内でジョブ名および機能に基づくフィルター操作をセットアップすることにより、異なる出力ファイルに AT-TLS レコードを送ることができます。
Trace 値は、AT-TLS によりビットマップとして解釈されます。 オプションのそれぞれに、2 の累乗値が割り当てられます。アクティブにしたい各オプションの値を合算する必要があります。
デフォルトの Trace 値は 2 であり、syslogd にエラー・メッセージが記録されます。 新規のポリシーをデプロイしているときに、Trace 値として 6 または 7 を指定すると便利な場合があります。こうすると、エラー・メッセージに加えて接続情報メッセージも syslogd に記録されます。 情報メッセージは、接続が意図したポリシーにマップされていることを示す肯定のフィードバックを提供します。
Trace オプションのうち、event (8)、flow (16)、および data (32) は、主として問題の診断を目的としています。7 より大きい Trace 値を指定すると、多数のトレース・レコードが syslogd に送信されずに除去されてしまうことがあります。