Rastreamento de aplicativos
O rastreamento de aplicativos (AppTrack) é uma ferramenta de registro e relatórios que pode ser usada para compartilhar informações para visibilidade de aplicativos. O AppTrack envia mensagens de log por meio do syslog, oferecendo mensagens de atualização de atividades de aplicativos. Para obter mais informações, veja os seguintes tópicos:
Entendendo o rastreamento de aplicativos
AppTrack, uma ferramenta de rastreamento de aplicativos, fornece estatísticas para analisar o uso de largura de banda de sua rede. Quando habilitado, o AppTrack coleta estatísticas de byte, pacote e duração para fluxos de aplicativos na zona especificada. Por padrão, quando cada sessão fecha, o AppTrack gera uma mensagem que fornece a contagem de byte e pacotes e a duração da sessão, e a envia para o dispositivo host. O Juniper Secure Analytics (formalmente conhecido como STRM) recupera os dados e oferece visibilidade de aplicativos baseadas em fluxo.
As mensagens AppTrack são semelhantes aos logs de sessão e usam formatos de syslog ou syslog estruturado. A mensagem também inclui um campo de aplicação para a sessão. Se o AppTrack identificar um aplicativo definido sob medida e retornar um nome apropriado, o nome do aplicativo personalizado será incluído na mensagem de log. (Se o processo de identificação do aplicativo falhar ou ainda não tiver sido concluído quando uma mensagem de atualização é ativada, a mensagem especifica none
no campo do aplicativo.)
O AppTrack oferece suporte ao endereçamento IPv4 e IPv6. As mensagens relacionadas exibem endereços no formato IPv4 ou IPv6 apropriado.
Os detalhes da identidade do usuário, como nome do usuário e função do usuário, foram adicionados à criação de sessão do AppTrack, fechamento de sessão e logs de atualização de volume. Esses campos conterão o nome e a função do usuário associados à correspondência da política. O registro de nomes e funções do usuário é habilitado apenas para políticas de segurança que fornecem aplicação da UAC. Para políticas de segurança sem a aplicação da UAC, o nome do usuário e os campos de funções do usuário são exibidos como N/A. O nome do usuário é exibido como função de usuário e usuário não autenticado é exibido como N/A, se o dispositivo não puder recuperar informações para essa sessão porque não há entrada na tabela de autenticação para essa sessão ou porque o registro dessas informações está desativado. O campo de função do usuário no log contém a lista de todas as funções executadas pelo usuário se os critérios de correspondência forem específicos, o usuário autenticado ou qualquer outro, e o campo de nome do usuário no log contém o nome de usuário correto. O campo de função do usuário no log conterá N/A se os critérios de correspondência e o campo de nome do usuário no log conterem usuário não autenticado ou usuário desconhecido.
Se você habilitar o AppTrack para uma zona e especificar uma session-update-interval
hora, sempre que um pacote é recebido, o AppTrack verifica se o tempo desde o início da sessão ou se a última atualização é maior do que o intervalo de atualização. Se assim for, o AppTrack atualiza as contagens e envia uma mensagem de atualização para o host. Se uma sessão de curta duração começar e terminar dentro do intervalo de atualização, o AppTrack gera uma mensagem apenas no fechamento da sessão.
Quando quiser que a mensagem de atualização inicial seja enviada antes do intervalo de atualização especificado, use a first-update-interval
. Permite first-update-interval
que você insira um intervalo mais curto apenas para a primeira atualização.
A mensagem próxima atualiza as estatísticas pela última vez e fornece uma explicação para o encerramento da sessão. Os seguintes códigos são usados:
TCP RST |
RST recebido de ambos os lados. |
TCP FIN |
A FIN recebeu de ambos os lados. |
Response received |
Resposta recebida para uma solicitação de pacote (como |
ICMP error |
Erro de ICMP recebido (como |
Aged out |
Sessão envelhecida. |
ALG |
A ALG encerrou a sessão. |
IDP |
O IDP encerrou a sessão. |
Parent closed |
Sessão dos pais fechada. |
CLI |
Sessão liberada por uma declaração da CLI. |
Policy delete |
Política marcada para exclusão. |
- Benefícios do rastreamento de aplicativos
- Campos de mensagens de registro de rastreamento de aplicativos
Benefícios do rastreamento de aplicativos
Oferece visibilidade dos tipos de aplicativos que atravessam seu dispositivo de segurança.
Permite que você obtenha insights sobre aplicativos permitidos e o risco que eles podem representar.
Ajuda no gerenciamento da largura de banda, relata usuários ativos e aplicativos.
Campos de mensagens de registro de rastreamento de aplicativos
A partir do Junos OS Release 15.1X49-D100, a criação de sessão do AppTrack, fechamento de sessão e logs de atualização de volume incluem um novo campo chamado interface de destino. Você pode usar o destination interface
campo para ver qual interface de saída é selecionada para a sessão quando um roteamento avançado baseado em políticas (APBR) é aplicado a essa sessão e o AppTrack está habilitado e configurado em qualquer sistema lógico.
A partir do Junos OS Release 15.1X49-D100, um novo log AppTrack para atualização de rota é adicionado para incluir detalhes de instâncias de perfil, regra e roteamento do APBR. Quando o APBR é aplicado a uma sessão, o novo log é gerado e o contador de sessão AppTrack é atualizado para indicar o número de vezes que um novo log de atualização de rota é gerado. O log de fechamento da sessão do AppTrack também é atualizado para incluir detalhes de perfil, regra e instância de roteamento do APBR.
A partir do Junos OS Release 17.4R1, a criação de sessão do AppTrack, fechamento de sessão e logs de atualização de volume incluem os novos campos category
e subcategory
. Esses campos fornecem informações gerais sobre os atributos do aplicativo. Por exemplo, o category
campo especifica a tecnologia do aplicativo (web, infraestrutura) e subcategory
campo especifica a subcategoria do aplicativo (por exemplo, redes sociais, notícias e anúncios).
Como categoria e subcategoria não são aplicáveis a um aplicativo personalizado, as mensagens de log do AppTrack apresentam a categoria como custom application
e a subcategoria como N/A
.
Para aplicativos desconhecidos, tanto a categoria quanto as subcategorias são registradas como N/A
.
Exemplos das mensagens de log no formato de syslog estruturado:
APPTRACK_SESSION_CREATE user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" username="user1" roles="DEPT1" encrypted="UNKNOWN" destination-interface-name=”ge-0/0/0” category=”N/A” sub-category=”N/A”]
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" routing-instance=“default” destination-interface-name=”st0.0” category=” Web” sub-category=”N/A”]
APPTRACK_SESSION_VOL_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” category=” Web” sub-category=”Social-Networking”]
APPTRACK_SESSION_ROUTE_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” category=”Web” sub-category=”Social-Networking”]
A partir do Junos OS Release 18.4R1 e Junos OS Release 18.3R2, no log APPTRACK_SESSION_ROUTE_UPDATE, o encrypted
campo exibe o valor conforme N/A
mostrado na amostra a seguir:
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="251" destination-address="5.0.0.1" destination-port="250" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="251" nat-destination-address="5.0.0.1" nat-destination-port="250" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="866" username="N/A" roles="N/A" encrypted="N/A" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/2.0" category="Web" subcategory="N/A" apbr-policy-name="sla1" webfilter-category="N/A"]
A partir do Junos OS Release 18.4R1, no log de APPTRACK_SESSION_CLOSE e APPTRACK_SESSION_CLOSE_LS inclui o nome de regra multicaminho, conforme mostrado na amostra a seguir:
2018-10-25T01:00:18.179-07:00 multihome-spoke RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="idle Timeout" source-address="19.0.0.2" source-port="34880" destination-address="9.0.0.2" destination-port="80" service-name="junos-http" application="HTTP" nested-application="GOOGLE-GEN" nat-source-address="19.0.0.2" nat-source-port="34880" nat-destination-address="9.0.0.2" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust1" session-id-32="9625" packets-from-client="347" bytes-from-client="18199" packets-from-server="388" bytes-from-server="131928" elapsed-time="411" username="N/A" roles="N/A" encrypted="No" profile-name="apbr1" rule-name="rule1" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.4" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="multi1"]
A partir do Junos OS Release 18.2R1, os logs de fechamento da sessão do AppTrack incluem novos campos para registrar os bytes de pacote transmitidos e recebidos através das interfaces de uplink. Os bytes de pacote transmitidos e recebidos pelas interfaces de uplink são relatados por uplink-tx-bytes
, uplink-rx-bytes
e uplink-incoming-interface-name
campos.
Exemplo:
APPTRACK_SESSION_CLOSE [user@host.1.1.1.2.137 reason="TCP FIN" source-address="4.0.0.1" source-port="40297" destination-address="5.0.0.1" destination-port="110" service-name="junos-pop3" application="POP3" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="40297" nat-destination-address="5.0.0.1" nat-destination-port="110" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="UNTRUST" destination-zone-name="TRUST" session-id-32="81" packets-from-client="7" bytes-from-client="1959" packets-from-server="6" bytes-from-server="68643" elapsed-time="130" username="N/A" roles="N/A" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name="gr-0/0/0.0" uplink-tx-bytes="1959" uplink-rx-bytes="68643" uplink-incoming-interface-name="gr-0/0/0.0"]
A partir do Junos OS Release 18.2R1, as seguintes novas mensagens são adicionadas. Essas mensagens fornecem informações como relatório métrica ativo e passivo, comutação do caminho de tráfego de aplicativos, conforme mostrado nas seguintes amostras:
APPQOE_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" elapsed-time="2" bytes-from-client="675" bytes-from-server="0" packets-from-client="7" packets-from-server="0" previous-interface="gr-0/0/0.2" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="0" egress-jitter="0" rtt-jitter="0" rtt="0" pkt-loss="0" bytes-from-client="1073" bytes-from-server="6011" packets-from-client="12" packets-from-server="13" monitoring-time="990" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="35264" destination-address="151.101.193.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="614" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="104" egress-jitter="7" rtt-jitter="97" rtt="1142" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="500" target-pkt-loss="1" violation-reason="1" jitter-violation-count="0" pkt-loss-violation-count="0" rtt-violation-count="1" violation-duration="0" bytes-from-client="2476" bytes-from-server="163993" packets-from-client="48" packets-from-server="150" monitoring-time="948" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="6.1.1.2" source-port="36051" destination-address="6.1.1.1" destination-port="36050" application="UDP" protocol-id="17" destination-zone-name="untrust" routing-instance="ri3" destination-interface-name="gr-0/0/0.3" ip-dscp="128" ingress-jitter="26" egress-jitter="31" rtt-jitter="8" rtt="2383" pkt-loss="0" bytes-from-client="870240" bytes-from-server="425280" packets-from-client="4440" packets-from-server="4430" monitoring-time="30" active-probe-params="PP1" destination-group-name="p1"]
A partir do Junos OS Release 15.1X49-D170, a criação de sessão do AppTrack, fechamento de sessão, atualização de rota e logs de atualização de volume são aprimorados para incluir o nome VRF para VRF de origem e destino-VRF.
RT_FLOW - APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" profile-name="p2" rule-name="r1" routing-instance="Default_VPN_LAN2" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
RT_FLOW - APPTRACK_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A’"]
RT_FLOW - APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
A partir do Junos OS Release 19.1R1, os logs de fechamento da sessão incluem uma nova identidade de fonte de campo para verificar o log de criação da sessão e o log de fechamento da sessão com nome e funções do usuário. As novas mensagens fornecem informações como nome do usuário e funções conforme mostrado na amostra a seguir:
RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="N/A" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
Uma nova mensagem RT_FLOW_NEXTHOP_CHANGE
de syslog é gerada sempre que houver uma mudança na rota ou no próximo salto nas sessões habilitadas para APBR e AppTrack.
Na versão do Junos OS antes de 20.2R3, 20.3R2, 20.4R2 e 21.1R1, quando um aplicativo não é identificado pelo APBR (verificação de juros do APBR) e depois é identificado pelo JDPI para o primeiro pacote da sessão, um syslog (RT_FLOW_NEXTHOP_CHANGE log) é gerado. Você pode ignorar a mensagem de log.
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.1.0.1" source-port="43540" destination-address="5.1.0.1" destination-port="7000" service-name="None" application="JNPR-UDPSVR-ADDR" nested-application="UNKNOWN" nat-source-address="4.1.0.1" nat-source-port="43540" nat-destination-address="5.1.0.1" nat-destination-port="7000" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="17" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="2" packets-from-client="1" bytes-from-client="105" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="N/A" dscp-value="N/A" apbr-rule-type="application"]
A partir do Junos OS Release 19.3R1, os logs de sessão do AppTrack, como fechamento da sessão, atualização de volume, atualização de rota e RT_FLOW_NEXTHOP_CHANGE incluem dscp-value
e apbr-rule-type
opções.
-
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”
dscp-value=”13”
apbr-rule-type=”dscp”
] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0”
dscp-value=”13”
apbr-rule-type=”application-dscp”
] -
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”
dscp-value=”13”
apbr-rule-type=”application-dscp
”] -
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="1999" destination-address="157.240.23.35" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="1999" nat-destination-address="157.240.23.35" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="3287" packets-from-client="1" bytes-from-client="60" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="sla1"
dscp-value=”13”
apbr-rule-type=”dscp”
]
A partir do Junos OS Release 20.1R1, os logs de sessão do AppTrack, como fechamento da sessão, atualização de volume, atualização de rota incluem apbr-rule-type
opções.
-
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”]
-
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” apbr-rule-type=”default”]
-
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”]
A partir do Junos OS Release 20.4R1, os logs de sessão do AppTrack para AppQoE, como melhor caminho selecionado, violação métrica de SLA, relatórios métricas de SLA são atualizados.
-
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="N/A" destination-interface-name="gr-0/0/0.0" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="app detected" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria=“default” "server-ip=”10.1.1.1” url=”salesforce.com”]
-
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile=" apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.0" sla-rule="SLA1" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1355" rtt="5537" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="1000" target-pkt-loss="1" violation-reason="1" violation-duration="20" active-probe-params="PP1" destination-group-name="p1" "server-ip=”10.1.1.1” url=”salesforce.com”]
-
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="40.1.1.2" source-port="10001" destination-address="40.1.1.1" destination-port="80" destination-zone-name="untrust1" routing-instance="transit" destination-interface-name="" ip-dscp="6" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1345" rtt="4294967295" pkt-loss="100" monitoring-time="29126" active-probe-params="probe1" destination-group-name="site1" forwarding-class="network-control" loss-priority="low" active-probe-type="http head"]
Começando no Junos OS Release 21.2R1, para um perfil de aplicativo sem métrica de SLA, o AppQoE gera apenas o APPQOE_APP_BEST_PATH_SELECTED
log. APPQOE_APP_BEST_PATH_SELECTED
No log, o active-probe-params
campo exibe N/A
e o campo de duração da violação é N/A
exibido. O APPQOE_APP_BEST_PATH_SELECTED
log tem os novos campos, comoprevious-link-tag
, previous-link-priority
e destination-link-tag
destination-link-priority
conforme mostrado nas seguintes amostras. Quando o reason
estáapp detected
, então o previous-link-tag
campo exibe N/A
e o previous-link-priority
campo exibe0
.
-
Perfil independente de aplicativo sem considerações métricas de SLA.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”]
Para perfil independente de aplicativo, o campo do aplicativo é exibido como
ANY
. -
Perfil baseado em aplicativos sem considerações de métricas de SLA.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”]
-
Perfil independente do aplicativo com considerações métricas de SLA e sem violação relatada.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”]
-
Perfil independente do aplicativo com considerações métricas de SLA e com violação relatada.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”]
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"]
APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"]
-
Perfil baseado em aplicativos com considerações métricas de SLA e sem violação relatada.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]
Perfil baseado em aplicativos com considerações métricas de SLA e com violação relatada.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]
APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]
Considere um cenário em que um firewall da Série SRX esteja operando no modo cluster do chassi, e a configuração do AppQoE inclui sondas SaaS e valor de contagem de violações configurado como 1. Quando o tráfego de aplicativos muda o caminho de rota através do nó, a mensagem de syslog de violação é gerada em nós primários e de backup. Você pode ignorar o syslog gerado no nó que está hospedando o caminho atual.
-
Quando a afinidade do link é configurada como "frouxa" e se o tráfego do aplicativo mudar de um link preferido para um link não preferido, e esse link não preferido tiver a maior prioridade, a mensagem de log do sistema registra a razão como "mudar para maior prioridade".
Exemplo:
RT_FLOW - APPQOE_APP_BEST_PATH_SELECTED [apbr-profile="apbr1" apbr-rule="rule1" application="YAHOO" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.0" destination-interface-name="gr-0/0/0.2" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to higher priority link" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262149" server-ip="0.0.0.0" server-url="N/A" previous-link-tag="ISP1" previous-link-priority="10" destination-link-tag="ISP3" destination-link-priority="3"]
Veja também
Exemplo: Configuração do rastreamento de aplicativos
Este exemplo mostra como configurar a ferramenta de rastreamento AppTrack para que você possa analisar o uso de largura de banda de sua rede.
Requisitos
Antes de configurar o AppTrack, certifique-se de ter baixado o pacote de assinatura do aplicativo, instalado e verificado se a configuração de identificação do aplicativo está funcionando corretamente. Veja baixar e instalar manualmente o pacote de assinatura de aplicativos Junos OS ou baixar e instalar o pacote de assinatura do aplicativo Junos OS como parte do pacote de segurança do IDP. Use o comando de status de identificação de aplicativos dos serviços de exibição para verificar o status.
Visão geral
A identificação de aplicativos é habilitada por padrão e é ativada automaticamente quando você configura o serviço AppTrack, AppFW ou IDP. O Juniper Secure Analytics (JSA) recupera os dados e oferece visibilidade de aplicativos baseadas em fluxo. O STRM inclui o suporte para o AppTrack Reporting e inclui vários modelos e relatórios de pesquisa predefinidos.
A partir do Junos OS 21.1R1, observe as alterações nos seguintes logs:
Os logs de criação de sessão do AppTrack (APPTRACK_SESSION_CREATE) são desativados por padrão. Use o comando a seguir para habilitá-lo:
user@host# set security application-tracking log-session-create
Os logs de fechamento de sessão (APPTRACK_SESSION_CLOSE) do AppTrack são desativados por padrão. Use a declaração a seguir para habilitá-la:
user@host# set security application-tracking log-session-close
Você pode desabilitar logs de atualização de volume de sessão (APPTRACK_SESSSION_VOL_UPDATE) do AppTrack usando a seguinte declaração:
user@host# set security application-tracking no-volume-updates
Configuração
Este exemplo mostra como habilitar o rastreamento de aplicativos para a zona de segurança chamada trust. A primeira mensagem de log deve ser gerada quando a sessão começar, e as mensagens de atualização devem ser enviadas a cada 4 minutos após isso. Uma mensagem final deve ser enviada no final da sessão.
O exemplo também mostra como adicionar a configuração remota do dispositivo de syslog para receber mensagens de log do AppTrack no formato sd-syslog. O endereço IP de origem usado na exportação de logs de segurança é de 192.0.2.1, e os logs de segurança são enviados para o host localizado no endereço 192.0.2.2.
As páginas J-Web dos Serviços appSecure são preliminares. Recomendamos o uso da CLI para a configuração dos recursos do AppSecure.
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Mudar o session-update-interval
e o first-update-interval
não é necessário na maioria das situações. Os comandos estão incluídos neste exemplo para demonstrar seu uso.
user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2 user@host# set security zones security-zone trust application-tracking user@host# set security application-tracking session-update-interval 4 user@host# set security application-tracking first-update-interval 1
Em SRX5600 e SRX5800 dispositivos, se a configuração do syslog não especificar uma porta de destino, a porta de destino padrão será a porta de syslog. Se você especificar uma porta de destino na configuração do syslog, essa porta será usada.
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.
Para configurar o AppTrack:
Adicione a configuração remota do dispositivo de syslog para receber mensagens Apptrack no formato sd-syslog.
[edit] user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2
Habilite o AppTrack para a confiança da zona de segurança.
[edit] user@host# set security zones security-zone trust application-tracking
(Opcional) Para este exemplo, gere mensagens de atualização a cada 4 minutos.
[edit] user@host# set security application-tracking session-update-interval 4
O intervalo padrão entre as mensagens é de 5 minutos. Se uma sessão começar e terminar neste intervalo de atualização, o AppTrack gera uma mensagem no encerramento da sessão. No entanto, se a sessão dura muito tempo, uma mensagem de atualização é enviada a cada 5 minutos. A
session-update-interval minutes
configuração é conforme mostrado nesta etapa.(Opcional) Para este exemplo, gere a primeira mensagem após um minuto.
[edit] user@host# set security application-tracking first-update-interval 1
Por padrão, a primeira mensagem é gerada após o primeiro intervalo de atualização da sessão. Para gerar a primeira mensagem em um momento diferente disso, use
first-update-interval minutes
a opção (gere a primeira mensagem após os minutos especificados).Nota:A opção
first-update
e a opçãofirst-update-interval minutes
são mutuamente exclusivas. Se você especificar ambos, ofirst-update-interval
valor é ignorado.A partir do Junos OS 21.1R1, a
first-update
declaração é preterida, em vez de removida imediatamente, para fornecer compatibilidade retrógrada.Após a geração da primeira mensagem, uma mensagem de atualização é gerada cada vez que o intervalo de atualização da sessão é alcançado.
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security
comandos e show security zones
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para a brevidade, essa show
saída de comando inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
[edit] user@host# show security
... application-tracking { first-update-interval 1; session-update-interval 4; } log { mode stream; format sd-syslog; source-address192.0.2.2; stream app-track-logs { host { 192.0.2.1; } } } ...
[edit] user@host# show security zones ... security-zone trust { ... application-tracking; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Use o produto JSA no dispositivo de registro remoto para visualizar as mensagens de log do AppTrack.
Para confirmar que a configuração está funcionando corretamente, você também pode realizar essas tarefas no dispositivo.
- Revisão das estatísticas do AppTrack
- Verificação dos valores contadores do AppTrack
- Verificação das estatísticas da sessão de fluxo de segurança
- Verificação das estatísticas de cache do sistema de aplicativos
- Verificando a situação dos valores do contador de identificação de aplicativos
Revisão das estatísticas do AppTrack
Propósito
Analise as estatísticas do AppTrack para ver as características do tráfego que está sendo rastreado.
Ação
A partir do modo operacional, entre no show services application-identification statistics applications
comando.
user@host> show services application-identification statistics applications
Last Reset: 2012-02-14 21:23:45 UTC Application Sessions Bytes Encrypted HTTP 1 2291 Yes HTTP 1 942 No SSL 1 2291 Yes unknown 1 100 No unknown 1 100 Yes
Para obter mais informações sobre o show services application-identification statistics applications
comando, veja os aplicativos de estatística de identificação de aplicativos de serviços.
Verificação dos valores contadores do AppTrack
Propósito
Veja os contadores do AppTrack periodicamente para monitorar a atividade de registro.
Ação
A partir do modo operacional, entre no show security application-tracking counters
comando.
user@host> show security application-tracking counters
AVT counters: Value Session create messages 1 Session close messages 1 Session volume updates 0 Failed messages 0
Verificação das estatísticas da sessão de fluxo de segurança
Propósito
Compare as contagens de byte e pacotes em mensagens registradas com as estatísticas de sessão da show security flow session
saída de comando.
Ação
A partir do modo operacional, entre no show security flow session
comando.
user@host> show security flow session
Flow Sessions on FPC6 PIC0: Session ID: 120000044, Policy name: policy-in-out/4, Timeout: 1796, Valid In: 192.0.2.1/24 --> 198.51.100.0/21;tcp, If: ge-0/0/0.0, Pkts: 22, Bytes: 1032 Out: 198.51.100.0/24 --> 192.0.2.1//39075;tcp, If: ge-0/0/1.0, Pkts: 24, Bytes: 1442 Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1
Os totais de byte e pacote nas estatísticas de sessão devem aproximar as contagens registradas pelo AppTrack, mas podem não ser exatamente as mesmas. O AppTrack conta apenas com bytes e pacotes de entrada. Os pacotes gerados pelo sistema não estão incluídos no total, e os pacotes descartados não são deduzidos.
Verificação das estatísticas de cache do sistema de aplicativos
Propósito
Compare estatísticas de cache, como endereço IP, porta, protocolo e serviço para um aplicativo a show services application-identification application-system-cache
partir da saída de comando.
Ação
A partir do modo operacional, entre no show services application-identification application-system-cache
comando.
Verificando a situação dos valores do contador de identificação de aplicativos
Propósito
Compare as estatísticas de sessão para os valores de contador de identificação de aplicativos a show services application-identification counter
partir da saída de comando.
Ação
A partir do modo operacional, entre no show services application-identification counter
comando.
Exemplo: configuração do rastreamento de aplicativos quando o proxy SSL é habilitado
Este exemplo descreve como o AppTrack oferece suporte à funcionalidade AppID quando o proxy SSL é habilitado.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Crie um perfil de proxy SSL que habilita o proxy SSL por meio de uma política. Veja a configuração do proxy de encaminhamento SSL.
Visão geral
Você pode configurar o AppTrack de entrada ou de zonas. Este exemplo mostra como configurar o AppTrack em uma zona em uma regra de política quando o proxy SSL é habilitado.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone Z_1 application-tracking set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Neste exemplo, você configura o rastreamento de aplicativos e permite serviços de aplicativo em uma configuração de perfil de proxy SSL.
Configure o rastreamento de aplicativos em uma zona (você também pode configurar usando uma zona).
[edit security policies] user@host# set security zones security-zone Z_1 application-tracking
Configure o perfil de proxy SSL.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1] set match source-address any set match destination-address any set match application junos-https set then permit application-services ssl-proxy profile-name ssl-profile-1 set then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
from-zone Z_1 to-zone Z_2 { policy policy1 { match { source-address any; destination-address any; } then { permit { application-services { ssl-proxy { profile-name ssl-profile-1; } } } } } }
Verifique se a configuração está funcionando corretamente. A verificação no AppTrack funciona de maneira semelhante à verificação no AppFW. Veja a seção de verificação do exemplo: configurando o firewall de aplicativos quando o proxy SSL estiver habilitado.
Desativação do rastreamento de aplicativos
O rastreamento de aplicativos é habilitado por padrão. Você pode desativar o rastreamento de aplicativos sem excluir a configuração da zona.
Para desativar o rastreamento de aplicativos:
user@host# set security application-tracking disable
Se o rastreamento de aplicativos tiver sido desativado anteriormente e você quiser reenable-lo, exclua a declaração de configuração que especifica a desativação do rastreamento de aplicativos:
user@host# delete security application-tracking disable
Se você terminar de configurar o dispositivo, confirme a configuração.
Para verificar a configuração, insira o show security application-tracking
comando.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
dscp-value
e
apbr-rule-type
opções.
apbr-rule-type
opções.
category
e
subcategory