Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configure o registro do sistema para dispositivos de segurança

Visão geral do registro do sistema para dispositivos de segurança

O Junos OS oferece suporte à configuração e monitoramento de mensagens de log do sistema (também chamadas de mensagens de syslog). Você pode configurar arquivos para registrar mensagens do sistema e também atribuir atributos, como níveis de gravidade, às mensagens. As solicitações de reinicialização são registradas nos arquivos de log do sistema, que você pode visualizar com o show log comando.

Esta seção contém os seguintes tópicos:

Logs de plano de controle e plano de dados

O Junos OS gera mensagens de log separadas para registrar eventos que ocorrem nos planos de controle e dados do sistema.

  • Os logs de plano de controle, também chamados de logs do sistema, incluem eventos que ocorrem na plataforma de roteamento. O sistema envia eventos de plano de controle para o eventd processo no Mecanismo de Roteamento, que então lida com os eventos usando políticas do Junos OS, gerando mensagens de log do sistema, ou ambos. Você pode optar por enviar logs de plano de controle para um arquivo, terminal de usuários, console de plataforma de roteamento ou máquina remota. Para gerar logs de plano de controle, use a syslog declaração no nível de [system] hierarquia.

  • Os logs do plano de dados, também chamados de logs de segurança, incluem principalmente eventos de segurança que são tratados dentro do plano de dados. Os logs de segurança podem ser em formato de texto ou binário, e podem ser salvos localmente (modo de evento) ou enviados para um servidor externo (modo de fluxo). O formato binário é necessário para o modo de fluxo e recomendado para conservar o espaço de log no modo de evento.

    Observe o seguinte:

    • Os logs de segurança podem ser salvos localmente (na caixa) ou externamente (off box), mas não ambos.

    • SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 e dispositivos de SRX5800 padrão para o modo de fluxo. Para especificar o formato binário e um servidor externo, veja configuração de arquivos de log de segurança binários off-box.

      Nota:

      Os logs podem ser desativados se você configurar o registro do modo de evento nesses dispositivos.

      Começando pelo Junos OS Release 15.1X49-D100, o modo padrão para SRX1500 dispositivo é o modo de fluxo. Antes do Junos OS Release 15.1X49-D100, o modo padrão para SRX1500 dispositivo era o modo de evento.

    • Além do Junos OS Release 18.4R1, 18,4R2, 19.1 e 19.2R1, em todas as outras versões que começam no Junos OS Release 18.3R3, o modo de registro padrão para SRX300, SRX320, SRX340, SRX345, SRX550 e SRX550M dispositivos é o modo stream. Os eventos de plano de dados são escritos para arquivos de log do sistema de maneira semelhante ao controle de eventos de plano. Para especificar o formato binário para os logs de segurança, veja configuração de arquivos de log de segurança binários off-box.

    A partir do Junos OS Release 20.2R1, oferecemos suporte a escape no encaminhamento de log de fluxo e relatórios on-box para evitar erros de análise. O modo stream suporta a fuga sd-syslog e binary formatos quando os logs não são enviados para eventd o processo. Para que os logs enviem ao eventd processo, recomendamos não habilitar uma escape opção, pois o eventd processo permitiu a fuga para o log da estrutura. O modo de evento permite a fuga apenas no binary formato. Por padrão, a opção escape é desabilitada. Você deve habilitar a opção escape usando o set security log escape comando.

Servidor de log de sistema redundante

O registro de tráfego no sistema de segurança destinado a servidores remotos é enviado pelas portas de interface de rede, que oferecem suporte a dois destinos de log de sistema simultâneos. Cada destino de registro de sistema deve ser configurado separadamente. Quando dois endereços de destino de log de sistema são configurados, logs idênticos são enviados para ambos os destinos. Embora dois destinos possam ser configurados em qualquer dispositivo que ofereça suporte ao recurso, adicionar um segundo destino é essencialmente útil como um backup redundante para implantações independentes e ativas /configuradas de cluster de chassi.

As seguintes informações redundantes do servidor estão disponíveis:

  • Instalação: cron

  • Descrição: processo de agendamento de cron

  • Nível de gravidade (da mais alta à menor gravidade): debug

  • Descrição: Mensagens de depuração de software

Formato binário para logs de segurança

O Junos OS gera mensagens de log separadas para registrar eventos que ocorrem no plano de controle e no plano de dados do sistema. O plano de controle monitora eventos que ocorrem na plataforma de roteamento. Tais eventos são registrados em mensagens de log do sistema. Para gerar mensagens de log do sistema, use a syslog declaração no nível de [system] hierarquia.

Mensagens de registro de plano de dados, referidas como mensagens de log de segurança, registram eventos de segurança que o sistema lida diretamente dentro do plano de dados. Para gerar mensagens de log de segurança, use a log declaração no nível de [security] hierarquia.

As mensagens de log do sistema são mantidas em arquivos de log em formatos baseados em texto, como BSD Syslog, Structured Syslog e WebTrends Enhanced Log Format (WELF).

As mensagens de log de segurança também podem ser mantidas em formatos baseados em texto. Como o registro de segurança pode produzir grandes quantidades de dados, no entanto, arquivos de log baseados em texto podem consumir rapidamente recursos de armazenamento e CPU. Dependendo da implementação do registro de segurança, um arquivo de log em um formato binário baseado em binário pode fornecer um uso mais eficiente do armazenamento on-box ou off-box e uma melhor utilização da CPU. O formato binário para mensagens de log de segurança está disponível em todos os firewalls da Série SRX.

Quando configuradas no modo de evento, as mensagens de log de segurança geradas no plano de dados são direcionadas para o plano de controle e armazenadas localmente no dispositivo. As mensagens de log de segurança armazenadas em formato binário são mantidas em um arquivo de log separado do usado para manter mensagens de log do sistema. Eventos armazenados em um arquivo de log binário não são acessíveis com comandos avançados de script de log destinados a arquivos de log baseados em texto. Um comando operacional CLI separado oferece suporte à decodagem, conversão e visualização de arquivos de log binários que são armazenados localmente no dispositivo.

Quando configuradas no modo de fluxo, as mensagens de log de segurança geradas no plano de dados são transmitidas para um dispositivo remoto. Quando essas mensagens são armazenadas em formato binário, elas são transmitidas diretamente para um servidor externo de coleta de log em um formato binário específico da Juniper. Os arquivos de log binário armazenados externamente só podem ser lidos usando o Juniper Secure Analytics (JSA) ou o Security Threat Response Manager (STRM).

A partir do Junos OS Release 17.4R2 e posterior, no SRX300, SRX320, SRX340, dispositivos da Série SRX345 e instâncias de firewall virtual vSRX, quando o dispositivo está configurado no modo stream, você pode configurar o máximo de oito hosts de log do sistema. No Junos OS Release 17.4R2 e versões anteriores, você pode configurar apenas três hosts de log de sistema no modo stream. Se você configurar mais de três hosts de log do sistema, a mensagem de erro a seguir será exibida error: configuration check-out failed.

Para obter informações sobre a configuração de logs de segurança binários na caixa (modo evento), consulte a configuração de arquivos de log de segurança binários on-box. Para obter informações sobre a configuração de logs de segurança binários fora da caixa (modo stream), consulte a configuração de arquivos de log de segurança binários off-box.

Registro e relatórios on-box

Este tópico descreve a funcionalidade CLI de registro e relatórios on-box e os aspectos de design de relatórios on-box para os dispositivos SRX.

Visão geral

O registro de tráfego on-box em unidades de estado sólido (SSDs) oferece suporte a oito servidores ou arquivos de log externos.

Um arquivo XML completo é adicionado que contém todas as informações de logs de tráfego. O arquivo XML também gera todos os arquivos de cabeçalho de registro e documentos relacionados ao log de tráfego.

Um novo processo (daemon) chamado daemon de gerenciamento de log local (llmd) é suportado em placas de processamento de serviços 0 (SPCs0) para lidar com o registro de tráfego na caixa. O tráfego produzido por SPCs fluído está listado em logs de tráfego. A llmd economiza esses logs para o SSD local. Os logs de tráfego são salvos nos quatro formatos diferentes. Saiba Tabela 1 mais sobre os formatos de log.

Tabela 1: Formatos de log
Formato de log Descrição Inadimplência
Syslog
  • Formato de log tradicional para salvar logs.
Sim
Sd-syslog
  • Formato de arquivo de log de sistema estruturado.
  • Mais descritivo e demorado, portanto, requer mais espaço para armazenar.
  • Leva mais tempo para transferir logs salvos neste formato devido ao tamanho.
-
Welf
  • O formato de arquivo de log aprimorado do WebTrends é um formato padrão de troca de arquivos de log do setor.
  • Compatível com o Firewall Suite 2.0 e posterior, a Firewall Reporting Center 1.0 e posterior, e a Security Reporting Center 2.0 e posteriores.
-
Binário
  • Formato proprietário da Juniper.
  • Menos descritivo entre todos os outros formatos de log e ocupa o menor espaço em comparação com outros formatos de log.
-
protobuf
  • Mecanismo extensível e neutro em linguagem do Google para serialização de dados estruturados.

  • Um método diferente é usado para codificar os dados.

  • O tamanho do arquivo é pequeno em comparação com syslog e sd-syslog.

 

O mecanismo de relatórios on-box é um aprimoramento da funcionalidade de registro existente. A funcionalidade de registro existente é modificada para coletar logs de tráfego do sistema, analisar os logs e gerar relatórios desses logs na forma de tabelas usando o CLI. O recurso de relatórios on-box destina-se a fornecer uma interface simples e fácil de usar para visualizar logs de segurança. Os relatórios on-box são fáceis de usar páginas J-Web de vários eventos de segurança na forma de tabelas e gráficos. Os relatórios permitem que o gerenciamento de segurança de TI identifique informações de segurança rapidamente e decida rapidamente que as ações serão tomadas. A análise completa dos logs é realizada (com base em tipos de sessão) para recursos como tela, IDP, segurança de conteúdo e IPSec.

Você pode definir filtros para os dados de log relatados com base nos seguintes critérios:

Nota:

As condições superiores, detalhadas e em intervalo não podem ser usadas ao mesmo tempo.

  • top <number>— Essa opção permite que você gere relatórios para eventos de segurança superiores conforme especificado no comando. por exemplo: 5 ataques IPS superiores ou 6 URLs superiores detectados pela segurança de conteúdo.

  • in-detail <number>— Essa opção permite que você gere conteúdo de log detalhado.

  • in-interval <time-period>— Essa opção permite que você gere os eventos registrados entre determinados intervalos de tempo.

  • summary— Essa opção permite que você gere o resumo dos eventos. Dessa forma, você pode ajustar o relatório às suas necessidades e exibir apenas os dados que deseja usar.

O número máximo no intervalo que mostra a contagem em intervalos é de 30. Se uma grande duração for especificada, os contadores serão montados para garantir que o intervalo máximo seja inferior a 30.

Tanto em detalhes quanto em resumo têm a opção "todos", uma vez que uma tabela diferente tem atributos diferentes (como a tabela de sessão não tem o atributo "razão", mas a segurança de conteúdo tem), a opção "todos" não tem nenhum filtro, exceto o tempo de início e o tempo de parada. Se houver outro filtro que não seja hora de iniciar e interromper o tempo, então um erro será exibido.

Por exemplo: root@host> mostrar detalhadamente todo o motivo do registro de segurança1

Os logs de firewall de aplicativos para visibilidade de aplicativos e usuários listarão aplicativos e aplicativos aninhados. Quando os logs desses recursos listam aplicativos aninhados, os aplicativos aninhados são listados na J-Web. Quando os logs listam aplicativos aninhados como não aplicáveis ou desconhecidos, então apenas os aplicativos estão listados na J-Web.

Use os seguintes comandos CLI para visibilidade de aplicativos e usuários para todos os aplicativos e lista de aplicativos aninhados:

  • Para o melhor aplicativo aninhado por contagem,show security log report top session-close top-number <number> group-by application order-by count with user

  • Para o melhor aplicativo aninhado por volume,show security log report top session-close top-number <number> group-by application order-by volume with user

  • Para o usuário superior, por contagem, com aplicativo aninhado,show security log report top session-close top-number <number> group-by user order-by count with application

O recurso de relatórios on-box é habilitado por padrão quando você carrega as configurações padrão de fábrica no firewall da Série SRX com o Junos OS Release 15.1X49-D100 ou posterior.

Se você estiver atualizando seu firewall da Série SRX de uma versão do Junos OS antes do Junos OS 15.1X49-D100, então o firewall da Série SRX herda a configuração existente e o recurso de relatórios on-box é desativado por padrão. Você precisa configurar o set security log report comando e o set security log mode stream comando para habilitar o recurso de relatórios on-box no dispositivo que é atualizado.

A partir do Junos OS Release 19.3R1 , a configuração padrão de fábrica não inclui a configuração de relatórios on-box para aumentar a vida útil da unidade de estado sólido (SSD). Você pode habilitar o recurso de relatórios on-box configurando o set security log report comando CLI na [edit security log] hierarquia.

Consulte o Guia do usuário J-Web para dispositivos da Série SRX para realizar esta tarefa na interface de usuário J-Web.

A partir do Junos OS Release 21.3R1, os logs de relatórios na caixa são armazenados no sistema de arquivos de memória (MFS) se não houver SSD externo. O número máximo de logs que você pode salvar no MFS é menor do que o que você pode economizar em um SSD externo. Isso evita o esgotamento e o fracasso da memória. Os logs salvos no MFS não são retidos após a reinicialização ou falha de energia do dispositivo. Veja Tabela 2 o número de logs registrados em relatórios on-box e relatórios off-box.

Tabela 2: Número de logs
Modo de relatórios Sessão Tela IDP Segurança de conteúdo IPsec-VPN CÉU
Off-box 1200,000 120,000 120,000 120,000 40.000 120,000
On-box 500,000 50,000 50,000 50,000 20,000 50,000
Nota:

Você deve configurar a política de segurança para a sessão usando o set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close comando para listar todos os aplicativos e aplicativos aninhados no rastreamento de aplicativos na J-Web usando o recurso de relatórios on-box. Veja mais log (Políticas de segurança) para obter mais detalhes.

Após a gravação da mensagem de log, o log é armazenado em um arquivo de log que é então armazenado na tabela de banco de dados do RE para análise posterior (em dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550M) ou na placa SSD para análise posterior (em dispositivos SRX1500, SRX4100 e SRX4200).

Nota:

Esse recurso oferece suporte ao recebimento da maioria dos relatórios com base na contagem ou volume da sessão ou do tipo de log, captura eventos que ocorrem em cada segundo dentro de um intervalo de tempo especificado, captura conteúdo de log para uma condição CLI especificada. Várias condições de CLI, como "resumo", top", "detalhadamente" e "em intervalo" são usadas para gerar relatórios. Você só pode gerar um relatório ao mesmo tempo usando a CLI. Todas as condições de CLI não podem ser usadas ao mesmo tempo. Você só pode gerar um relatório ao mesmo tempo usando a CLI.

Os benefícios desse recurso são:

  • Os relatórios são armazenados localmente no firewall da Série SRX e não há necessidade de dispositivos ou ferramentas separados para armazenamento de logs e relatórios.

  • Os relatórios on-box são páginas J-Web fáceis de usar de vários eventos de segurança na forma de tabelas e gráficos.

  • Oferece uma interface simples e fácil de usar para visualizar logs de segurança.

  • Os relatórios gerados permitem que a equipe de gerenciamento de segurança de TI identifique informações de segurança rapidamente e decida rapidamente as ações a serem tomadas.

O recurso de reportagem on-box oferece suporte:

  • Gerando relatórios com base nos requisitos. Por exemplo: contagem ou volume da sessão, tipos de logs para atividades como IDP, Segurança de conteúdo, VPN IPsec.

  • Capturando eventos em tempo real em um intervalo de tempo especificado.

  • Capturando todas as atividades de rede em um formato lógico, organizado e de fácil compreensão com base em várias condições especificadas da CLI.

Recursos de relatórios on-box

O recurso de reportagem on-box oferece suporte:

  • Sqlite3 support as a library— o sqlite3 não tinha suporte antes do lançamento do Junos OS 15.1X49-D100. Começando pelo Junos OS Release 15.1X49-D100, um banco de dados de log SQL (SQLite Versão 3) é usado pelos daemons em execução no RE, bem como outros módulos potenciais para armazenar logs em firewalls da Série SRX.

    No Junos OS Release 19.4R1, atualizamos o banco de dados de registro on-box para melhorar o desempenho das consultas.

  • Running llmd in both Junos OS and Linux OS— O daemon de encaminhamento (fluído) decodifica o índice de banco de dados de logs binários e envia o índice e o log para o daemon de gerenciamento de log local (llmd).

    No SRX300, SRX320, SRX340, SRX345 e SRX550M dispositivos, a llmd funciona no Junos OS. Em dispositivos de SRX1500, SRX4100 e SRX4200, a llmd é operada no Linux. Assim, para que a llmd seja executada tanto no Junos OS quanto no Linux OS, o diretório de código llmd é movido do lado linux para o lado junos OS.

  • Storing of logs into specified table of the sqlite3 database by llmd— Um novo daemon de syslog é introduzido para coletar logs locais em firewalls da Série SRX e salvá-los no banco de dados.

    A partir do Junos OS Release 19.3R1, o Junos OS armazena logs em várias tabelas em vez de uma única tabela em um arquivo de banco de dados. Cada tabela contém o data-tempo dos logs mais antigos e mais recentes. Quando você inicia uma consulta com base no horário de início e fim, a llmd encontra a tabela mais recente para gerar relatórios.

    Por exemplo, se houver 5 milhões de logs em uma tabela de um arquivo de banco de dados gerados nas últimas 10 horas, e se você quiser fazer um relatório, você deve gastar mais de meia hora. Do Junos OS Release 19.3R1, uma tabela é separada em várias tabelas, e cada tabela tem 0,5 milhão de logs. Para gerar o mesmo relatório, basta uma informação de tabela.

    Recomendamos que você faça uma consulta com um tempo mais curto para obter um melhor desempenho.

    • Database table definition— Para logs de sessão, os tipos de dados são endereço de origem, endereço de destino, aplicativo, usuário etc. Para logs relacionados a recursos de segurança, os tipos de dados são nome de ataque, URL, protocolo de perfil e assim por diante. Portanto, diferentes tabelas são projetadas para armazenar diferentes tipos de logs para ajudar a melhorar o desempenho e economizar espaço no disco. O firewall da Série SRX cria uma tabela de banco de dados para cada tipo de log, quando os dados de log são registrados.

      Cada tipo de tabela de banco de dados tem seu número recorde máximo que é específico do dispositivo. Quando o número recorde da tabela atinge a limitação, novos logs substituem os logs mais antigos. As lojas Junos OS fazem login em um firewall da Série SRX no qual o tráfego ativo é passado.

      A partir do Junos OS Release 19.3R1, você pode criar várias tabelas em um arquivo de banco de dados para armazenar logs. Você pode definir a capacidade de armazenar logs em uma mesa.

      Se o limite de número de log exceder a capacidade da tabela, o Junos OS armazena os logs na segunda tabela. Por exemplo, se o limite de logs na tabela 1 exceder a capacidade da tabela, o Junos OS armazena logs na tabela 2.

      Se o limite do número de log exceder a última tabela do arquivo 1, o Junos OS armazena os logs na tabela 1 do arquivo 2. Por exemplo, a tabela n é a última tabela do arquivo 1. Quando os logs excedem a capacidade da tabela, o Junos OS armazena os logs na tabela 1 do arquivo 2.

      Para fazer efeito imediato após alterar o número da tabela, use clear security log report o comando operacional.

    • Database table rotation— Cada tipo de tabela de banco de dados tem seu número recorde máximo que é específico do dispositivo. Quando o número recorde da tabela atinge a limitação, novos logs substituem os logs mais antigos.

      A seguir Tabela 3 , descreve a capacidade do tamanho do arquivo do banco de dados:

      Tabela 3: Capacidade do tamanho do arquivo do banco de dados

      Dispositivos

      Sessão

      Tela

      IDP

      Segurança de conteúdo

      IPsec-VPN

      CÉU

      SRX300, SRX320, SRX340, SRX345 e SRX550M

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

      SRX1500

      12G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4100 e SRX4200

      15G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4600

      22,5G

      6G

      6G

      6G

      0.75G

      2.25G

      Firewall virtual vSRX

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

  • Calculating and displaying the reports that are triggered by CLI— Os relatórios do banco de dados são recebidos da CLI como interface. Usando a CLI, você pode calcular e exibir os detalhes da reportagem.

Seleção da tabela

Quando você deseja gerar um relatório de várias tabelas, a llmd classifica tabelas com base no temporizador e seleciona tabelas de acordo com o tempo de início e o tempo de parada solicitados.

Por exemplo, existem três tabelas que são a tabela 1 (1 a 3), a tabela 2 (3 a 5) e a tabela 3 (6 a 8). 1 a 3, 3 a 6 e 6 a 8 denota o carimbo de tempo dos logs mais recentes e antigos. Se você solicitar um relatório de 4 a 6, o Junos OS gera relatório da tabela 2 e da tabela 3.

Vida útil da tabela

Você pode decidir a vida útil da tabela configurando set security log report table-lifetime o comando. O Junos OS remove a tabela após a tabela identificar que o tempo excede a vida útil da tabela. Por exemplo, se você configurar a vida útil da tabela como 2, e a data atual for 26-julho-2019, isso significa que em 24-julho-2019 00:00:00 logs são removidos.

Se você alterar manualmente a data e a hora em um dispositivo, a vida útil da tabela muda. Por exemplo, se uma tabela identificar o tempo de 19 de julho a 2019 e configurar a vida útil da tabela como 10, o Junos OS deve remover a tabela de 29 a julho de 2019. Se você alterar a data do dispositivo como 18-julho-2019, a vida real da tabela passa a ser de 30 de julho a 2019.

Modo denso da tabela

No Junos OS Release 19.4R1, atualizamos o mecanismo padrão de armazenamento e pesquisa no banco de dados de registro on-box para gerenciar logs. Agora, você pode personalizar os resultados do mecanismo de armazenamento de log e pesquisa. Por exemplo, se você espera menos logs de tráfego, você pode usar a configuração padrão com um tempo de início e um tempo de parada.

No entanto, se você espera um grande número de logs de tráfego e maiores intervalos de tempo para os quais os logs serão gerados, então habilite um modo denso. Para habilitar o modo denso, use o comando de set security log report table-mode dense configuração.

Cenário de cluster de chassi

Para relatórios on-box em um cluster de chassi, os logs são armazenados no disco local no qual o dispositivo está processando tráfego ativo. Esses logs não são sincronizados com o peer de cluster do chassi.

Cada nó é responsável por armazenar logs quando cada nó está processando o tráfego ativo. No caso do modo ativo/passivo, apenas o nó ativo processa o tráfego e os logs também são armazenados apenas no nó ativo. Em caso de falha, o novo nó ativo processa o tráfego e armazena logs em seu disco local. Em caso de modo ativo/ativo, cada nó processa seu próprio tráfego e os logs são armazenados nos respectivos nós.

Monitore relatórios

Os relatórios on-box oferecem uma ampla instalação de relatórios onde sua equipe de gerenciamento de segurança pode detectar um evento de segurança quando ocorre, acessar e revisar imediatamente detalhes pertinentes sobre o evento e decidir rapidamente as medidas corretivas apropriadas. O recurso de relatórios J-Web fornece relatórios de uma ou duas páginas que equivalem a uma compilação de inúmeras entradas de log.

Esta seção contém os seguintes tópicos:

Relatório de monitoramento de ameaças

Propósito

Use o Relatório de Ameaças para monitorar estatísticas gerais e relatórios de atividades de ameaças atuais à rede. Você pode analisar dados de registro para obter detalhes do tipo de ameaças, fonte e destino, além de informações de frequência de ameaças. O relatório calcula, exibe e atualiza as estatísticas, fornecendo apresentações gráficas do estado atual da rede.

Ação

Para ver o relatório de ameaças:

  1. Clique Threats Report na parte inferior direita do Painel ou selecione Monitor>Reports>Threats na interface de usuário J-Web. O Relatório de Ameaças aparece.

  2. Selecione uma das seguintes guias:

    • Statistics guia. Veja Tabela 4 a descrição do conteúdo da página.

    • Activities guia. Veja Tabela 5 a descrição do conteúdo da página.

Tabela 4: Relatório de saída de guias de estatísticas no relatório de ameaças

Campo

Descrição

Painel geral de estatísticas

Categoria de ameaças

Uma das seguintes categorias de ameaças:

  • Tráfego

  • IDP

  • Segurança de conteúdo

    • Antivírus

    • Antispam

    • Filtro da Web — Clique na categoria de filtro da Web para exibir contadores para 39 subcategorias.

    • Filtro de conteúdo

  • Evento de firewall

  • DNS

Severidade

Nível de gravidade da ameaça:

  • emergentes

  • alerta

  • Crit

  • errar

  • aviso

  • notar

  • informação

  • depurar

Hits nas últimas 24 horas

Número de ameaças encontradas por categoria nas últimas 24 horas.

Hits na hora atual

Número de ameaças encontradas por categoria na última hora.

Contagem de ameaças nas últimas 24 horas

Por gravidade

Gráfico que representa o número de ameaças recebidas a cada hora nas últimas 24 horas classificadas pelo nível de gravidade.

Por categoria

Gráfico que representa o número de ameaças recebidas a cada hora nas últimas 24 horas classificadas por categoria.

X Eixo

24 horas de duração com a hora atual ocupando a coluna mais correta do display. O gráfico muda para a esquerda a cada hora.

Eixo Y

Número de ameaças encontradas. O eixo é dimensionado automaticamente com base no número de ameaças encontradas.

Ameaças mais recentes

Nome de ameaça

Nomes das ameaças mais recentes. Dependendo da categoria de ameaças, você pode clicar no nome da ameaça para acessar um site do mecanismo de digitalização para obter uma descrição de ameaças.

Categoria

Categoria de cada ameaça:

  • Tráfego

  • IDP

  • Segurança de conteúdo

    • Antivírus

    • Antispam

    • Filtro web

    • Filtro de conteúdo

  • Evento de firewall

  • DNS

IP/porta de origem

Endereço IP de origem (e número de porta, se aplicável) da ameaça.

IP/porta de destino

Endereço IP de destino (e número de porta, se aplicável) da ameaça.

Protocolo

Nome do protocolo da ameaça.

Descrição

Identificação de ameaças com base no tipo de categoria:

  • Antivírus — URL

  • Filtro de Web — categoria

  • Filtro de conteúdo — motivo

  • Antispam — e-mail do remetente

Ação

Medidas tomadas em resposta à ameaça.

Tempo de acerto

Hora da ameaça ocorrer.

Tendência de ameaças nas últimas 24 horas

Categoria

Gráfico do gráfico do pie representando a contagem comparativa de ameaças por categoria:

  • Tráfego

  • IDP

  • Segurança de conteúdo

    • Antivírus

    • Antispam

    • Filtro web

    • Filtro de conteúdo

  • Evento de firewall

  • DNS

Resumo dos contadores de filtros web

Categoria

Contagem de filtros de Web dividida em até 39 subcategorias. Clicar na lista de filtros da Web no painel Estatísticas Gerais abre o painel Resumo dos contadores de filtros da Web.

Hits nas últimas 24 horas

Número de ameaças por subcategoria nas últimas 24 horas.

Hits na hora atual

Número de ameaças por subcategoria na última hora.

Tabela 5: Relatório de saída de guia de atividades no relatório de ameaças

Campo

Função

Hits mais recentes do vírus

Nome de ameaça

Nome da ameaça do vírus. Os vírus podem ser baseados em serviços, como Web, FTP, ou e-mail, ou com base no nível de gravidade.

Severidade

Nível de gravidade de cada ameaça:

  • emergentes

  • alerta

  • Crit

  • errar

  • aviso

  • notar

  • informação

  • depurar

IP/porta de origem

Endereço IP (e número de porta, se aplicável) da fonte da ameaça.

IP/porta de destino

Endereço IP (e número de porta, se aplicável) do destino da ameaça.

Protocolo

Nome do protocolo da ameaça.

Descrição

Identificação de ameaças com base no tipo de categoria:

  • Antivírus — URL

  • Filtro de Web — categoria

  • Filtro de conteúdo — motivo

  • Antispam — e-mail do remetente

Ação

Medidas tomadas em resposta à ameaça.

Última hora de sucesso

Da última vez que a ameaça ocorreu.

Remetentes de e-mail de spam mais recentes

Por e-mail

Endereço de e-mail que era a fonte do spam.

Severidade

Nível de gravidade da ameaça:

  • emergentes

  • alerta

  • Crit

  • errar

  • aviso

  • notar

  • informação

  • depurar

IP de origem

Endereço IP da origem da ameaça.

Ação

Medidas tomadas em resposta à ameaça.

Última hora de envio

Da última vez que o e-mail de spam foi enviado.

Solicitações de URL bloqueadas recentemente

URL

Solicitação de URL bloqueada.

IP/porta de origem

Endereço IP (e número de porta, se aplicável) da fonte.

IP/porta de destino

Endereço IP (e número de porta, se aplicável) do destino.

Hits na hora atual

Número de ameaças encontradas na última hora.

Ataques IDP mais recentes

Atacar

Severidade

Gravidade de cada ameaça:

  • emergentes

  • alerta

  • Crit

  • errar

  • aviso

  • notar

  • informação

  • depurar

IP/porta de origem

Endereço IP (e número de porta, se aplicável) da fonte.

IP/porta de destino

Endereço IP (e número de porta, se aplicável) do destino.

Protocolo

Nome do protocolo da ameaça.

Ação

Medidas tomadas em resposta à ameaça.

Última hora de envio

Da última vez que a ameaça de IDP foi enviada.

Relatório de monitoramento de tráfego

Propósito

Monitore o tráfego de rede analisando relatórios de sessões de fluxo nas últimas 24 horas. Você pode analisar dados de registro para estatísticas de conexão e uso de sessão por um protocolo de transporte.

Ação

Para ver o tráfego de rede nas últimas 24 horas, selecione Monitor>Reports>Traffic na interface de usuário J-Web. Veja Tabela 6 a descrição do relatório.

Tabela 6: Saída de relatório de tráfego

Campo

Descrição

Sessões nas últimas 24 horas por protocolo

Nome do protocolo

Nome do protocolo. Para ver atividade por hora por protocolo, clique no nome do protocolo e analise o "gráfico de atividades de protocolo" no painel inferior.

  • TCP

  • UDP

  • ICMP

Sessão total

Número total de sessões para o protocolo nas últimas 24 horas.

Bytes in (KB)

Número total de bytes de entrada no KB.

Bytes out (KB)

Número total de bytes de saída em KB.

Pacotes em

Número total de pacotes recebidos.

Pacotes fora

Número total de pacotes de saída.

Sessões fechadas mais recentemente

IP/porta de origem

Endereço IP de origem (e número de porta, se aplicável) da sessão fechada.

IP/porta de destino

Endereço IP de destino (e número de porta, se aplicável) da sessão fechada.

Protocolo

Protocolo da sessão fechada.

  • TCP

  • UDP

  • ICMP

Bytes in (KB)

Número total de bytes de entrada no KB.

Bytes out (KB)

Número total de bytes de saída em KB.

Pacotes em

Número total de pacotes recebidos.

Pacotes fora

Número total de pacotes de saída.

Timestamp

O horário da sessão foi fechado.

Gráfico de atividades de protocolo

Bytes In/Out

Representação gráfica do tráfego como bytes de entrada e saída por hora. A contagem de byte é para o protocolo selecionado nas sessões nas últimas 24 horas por painel de protocolo. Mudar a seleção faz com que este gráfico se atualize imediatamente.

Pacotes in/out

Representação gráfica do tráfego como pacotes de entrada e saída por hora. A contagem de pacotes é para o protocolo selecionado nas sessões nas últimas 24 horas por painel de protocolo. Mudar a seleção faz com que este gráfico se atualize imediatamente.

Sessões

Representação gráfica do tráfego como o número de sessões por hora. A contagem de sessões é para o protocolo selecionado nas sessões nas últimas 24 horas por painel de protocolo. Mudar a seleção faz com que este gráfico se atualize imediatamente.

X Eixo

Uma hora por coluna por 24 horas.

Eixo Y

Byte, pacote ou contagem de sessões.

Gráfico de sessão de protocolo

Sessões por protocolo

Representação gráfica do tráfego como a contagem de sessão atual por protocolo. Os protocolos exibidos são TCP, UDP e ICMP.

Configure arquivos de log de segurança binário on-box

Os firewalls da Série SRX usam dois tipos de logs — logs de sistema e logs de segurança — para registrar eventos do sistema. Logs de sistema registram eventos de plano de controle — por exemplo, quando um usuário administrador faz login. Os logs de segurança, também conhecidos como logs de tráfego, registram eventos de plano de dados sobre o manuseio de tráfego específico. Por exemplo, o Junos OS gera um log de segurança se uma política de segurança negar determinado tráfego por causa de uma violação da política. Para obter mais informações sobre logs do sistema, veja a visão geral do log do sistema Junos OS. Para obter mais informações sobre logs de segurança, veja Entenda o registro do sistema para dispositivos de segurança.

Você pode coletar e salvar logs de sistema e segurança em formato binário, seja na caixa (ou seja, armazenado localmente no firewall da Série SRX) ou off-box (transmitido para um dispositivo remoto). O uso de formato binário garante que os arquivos de log sejam armazenados de forma eficiente, o que por sua vez melhora a utilização da CPU.

Você pode configurar arquivos de segurança em formato binário usando a log declaração no nível de [security] hierarquia.

O registro na caixa também é conhecido como registro em modo de evento. Para registro de segurança no modo stream e off-box, veja configuração de arquivos de log de segurança binários off-box. Ao configurar logs de segurança em formato binário para registro em modo de evento, você pode definir opcionalmente o nome de arquivo de log, o caminho do arquivo e outras características, conforme detalhado no seguinte procedimento:

  1. Especifique o modo e o formato de registro para registro na caixa.
    Nota:

    Se você configurar o registro do sistema para enviar logs do sistema para um destino externo (ou seja, fora da caixa ou modo stream), os logs de segurança também serão enviados para esse destino, mesmo se você estiver usando o registro de segurança no modo de evento. Para obter mais informações sobre o envio de logs de sistema para um destino externo, veja Exemplos: Configuração do registro do sistema.

    Nota:

    Os modos de registro de segurança off-box e on-box não podem ser habilitados simultaneamente.

  2. (Opcional) Definir um nome e um caminho para o arquivo de log.
    Nota:

    O nome de arquivo de log de segurança não é obrigatório. Se o nome de arquivo de log de segurança não estiver configurado, por padrão o arquivo bin_messages será criado no /var/log directory.

  3. (Opcional) Altere o tamanho máximo do arquivo de log e o número máximo de arquivos de log que podem ser arquivados.
    Nota:

    Por padrão, o tamanho máximo do arquivo de log é de 3 MB, e um total de três arquivos de log podem ser arquivados.

    Nos comandos de amostra a seguir, você define um valor de 5 MB e 5 arquivos arquivados, respectivamente:

  4. (Opcional) Configure a bandeira hpl para permitir rastreamentos de diagnóstico para os arquivos de log de segurança binários. O prefixo smf_hpl identifica todos os vestígios de registro binários.
  5. Para a política de segurança de permissão padrão, os logs de tráfego são gerados RT_FLOW quando uma sessão termina.
  6. (Opcional) Os logs de tráfego são RT_FlOW gerados quando uma sessão começa.

Visualize o conteúdo do arquivo de log do modo evento armazenado no dispositivo usando show security log file comando e comando de uso clear security log file para limpar o conteúdo do arquivo de log de segurança do modo de evento binário.

Nota:

O show security log comando exibe mensagens de log de segurança do modo evento se estiverem em um formato baseado em texto e o show security log file comando exibir mensagens de log de segurança no modo evento se estiverem em formato binário (on-box). O registro binário off-box é lido pela Juniper Secure Analytics (JSA).

Configure arquivos de log de segurança binários off-box

Os firewalls da Série SRX têm dois tipos de log: logs de sistema e logs de segurança. Logs de sistema registram eventos de plano de controle, por exemplo, login administrativo no dispositivo. Para saber mais sobre logs do sistema, consulte a visão geral do log do sistema Junos OS. Os logs de segurança, também conhecidos como logs de tráfego, registram eventos de plano de dados sobre o manuseio de tráfego específico, por exemplo, quando uma política de segurança nega determinado tráfego devido a alguma violação da política. Para obter mais informações sobre logs de segurança, consulte Entenda o registro do sistema para dispositivos de segurança.

Os dois tipos de log podem ser coletados e salvos dentro ou fora da caixa. O procedimento abaixo explica como configurar logs de segurança em formato binário para registro off-box (modo fluxo).

Você pode configurar arquivos de segurança em formato binário usando a log declaração no nível de [security] hierarquia.

O procedimento a seguir especifica o formato binário para registro de segurança no modo de fluxo e define as características do nome de arquivo de log, caminho e registro de arquivos. Para registro de segurança no modo de evento e na caixa, consulte Configuração de arquivos de log de segurança binários on-box.

  1. Especifique o modo de registro e o formato para o arquivo de log. Para registro em modo de fluxo off-box:
    Nota:

    Os modos de registro de segurança off-box e on-box não podem ser habilitados simultaneamente.

  2. Para registrar a segurança fora da caixa, especifique o endereço de origem, que identifica o firewall da Série SRX que gerou as mensagens de log. O endereço fonte é necessário.
  3. Opcionalmente, defina um nome de arquivo de log e um caminho.
    Nota:

    O nome de arquivo de log de segurança não é obrigatório. Se o nome de arquivo de log de segurança não estiver configurado, por padrão o arquivo bin_messages será criado no /var/log directory.

  4. Opcionalmente, altere o tamanho máximo do arquivo de log e o número máximo de arquivos de log que podem ser arquivados. Por padrão, o tamanho máximo do arquivo de log é de 3 MB, e um total de três arquivos de log podem ser arquivados.
  5. Opcionalmente, selecione a bandeira hpl para permitir rastreamentos de diagnóstico para registro binário. O prefixo smf_hpl identifica todos os vestígios de registro binários.
  6. Veja o conteúdo do arquivo de log do modo de evento armazenado no dispositivo usando o Juniper Secure Analytics (JSA) ou o Security Threat Response Manager (STRM).

Configure arquivos de log de segurança no protobuf on-box no modo de evento

Protocol Buffers (Protobuf) is a data format used to serialize structured security logs. You can configure the security log using protobuf format. Data plane use the Protobuf to encode the log and send the log to rtlog process. The rtlog process saves the log file based on the device configuration. By default, the log files are stored in /var/log/filename.pb directory. You can decode the file data using rtlog process.
Para configurar o formato Protobuf no modo de evento:
  1. Especifique o modo e o formato de registro para registro na caixa.
  2. Definir um nome e um caminho para o arquivo de log.
  3. Altere o tamanho máximo do arquivo de log e o número máximo de arquivos de log que podem ser arquivados.

Visualize o conteúdo do arquivo de log protobuf armazenado no dispositivo usando o show security log file file1.pb comando.

user@host> show security log file file1.pb

Configure arquivos de log de segurança no protobuf on-box no modo stream

Data plane use the Protobuf to encode the log and send the log to llmd process. The llmd process saves the log file based on the device configuration. By default, the log files are stored in /var/traffic-log/filename.pb directory. You can decode the log file data using uspinfo process.
Para configurar o formato Protobuf no modo de fluxo para arquivar:
  1. Especifique o modo e o formato de registro para registro na caixa.
  2. Definir um nome para o arquivo de log.
  3. Altere o tamanho máximo do arquivo de log que pode ser arquivado.

Visualize o conteúdo do arquivo de log protobuf armazenado no dispositivo usando o show security log stream file file2.pb comando.

user@host> show security log file file2.pb

Configure arquivos de log de segurança off-box protobuf

O plano de dados usa o formato stream e stream-event o modo protobuf para codificar o log e enviar o log para hospedar. Os dados de log de segurança são enviados para o host usando diferentes protocolos de transporte e número de porta. O host recebe o log protobuf e o salva em um arquivo. Copiar hplc_collect.pye hplc_view.pysecurity_log.xml arquivar protobuflog.proto para o host. O hplc_collect.py é usado para coletar e salvar os arquivos de log no host. O protobuflog.proto é usado para decodificar os dados do arquivo no host e você pode visualizar os dados usando hplc_view.py. Os arquivos são publicados /share/juniper e copiados para hospedar. O e hplc_view.py os hplc_collect.py arquivos oferecem suporte à versão 3 mais recente do Python.

Para configurar o formato Protobuf no modo stream-event para hospedar:
  1. Especifique o modo de registro e o formato de fluxo de log para registro off-box. A Stream-event combinação entre fluxo e modo de evento.
  2. Para registrar a segurança fora da caixa, especifique o endereço de origem, que identifica o firewall da Série SRX que gerou as mensagens de log.
  3. Definir um nome e um caminho para o arquivo de log.
  4. Configure o fluxo de log s1 com configurações de host e porta.
  5. Altere o tamanho máximo do arquivo de log e o número máximo de arquivos de log que podem ser arquivados.
  6. Configure o arquivo log.trace para decodificar e visualizar o conteúdo do log.

Enviar mensagens de log do sistema para um arquivo

Você pode direcionar mensagens de log do sistema para um arquivo na placa CompactFlash (CF). O diretório padrão para arquivos de log é /var/log. Para especificar um diretório diferente na placa CF, inclua o nome completo do caminho.

Crie um arquivo com o nome securitye envie mensagens de log da authorization classe no nível info de gravidade para o arquivo.

Para definir o nome do arquivo, a instalação e o nível de gravidade:

Configure o sistema para enviar todas as mensagens de log por meio de eventuais

O eventd processo de configuração de registro é mais comumente usado para o Junos OS. Nesta configuração, logs de plano de controle e plano de dados, ou segurança, os logs são encaminhados do plano de dados para o processo de plano rtlogd de controle do Mecanismo de Roteamento. Em rtlogd seguida, o processo encaminha logs formatados por syslog ou sd-syslog para o eventd processo ou os logs formatados por WELF para o coletor de log WELF externo ou remoto.

Para enviar todas as mensagens de log por eventd:

  1. Defina o eventd processo para lidar com logs de segurança e envie-os para um servidor remoto.
  2. Configure o servidor que receberá as mensagens de log do sistema.

    onde hostname está o nome de host ou endereço IP totalmente qualificado do servidor que receberá os logs.

Nota:

Para enviar logs duplicados para um segundo servidor remoto, repita o comando com um novo nome de host totalmente qualificado ou endereço IP de um segundo servidor.

Se sua implantação for um cluster ativo/ativo do chassi, você também pode configurar o registro de segurança no nó ativo a ser enviado a servidores remotos separados para obter redundância de registro.

Para renomear ou redirecionar uma das configurações de registro, você precisa deletá-la e recriá-la. Para excluir uma configuração:

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
15.1X49-D100
Começando pelo Junos OS Release 15.1X49-D100, o modo padrão para SRX1500 dispositivo é o modo de fluxo. Antes do Junos OS Release 15.1X49-D100, o modo padrão para SRX1500 dispositivo era o modo de evento.
17.4R2
A partir do Junos OS Release 17.4R2 e posterior, no SRX300, SRX320, SRX340, dispositivos da Série SRX345 e instâncias de firewall virtual vSRX, quando o dispositivo está configurado no modo stream, você pode configurar o máximo de oito hosts de log do sistema. No Junos OS Release 17.4R2 e versões anteriores, você pode configurar apenas três hosts de log de sistema no modo stream. Se você configurar mais de três hosts de log do sistema, a mensagem de erro a seguir será exibida error: configuration check-out failed.
Junos OS Release 15.1X49-D100
O recurso de relatórios on-box é habilitado por padrão quando você carrega as configurações padrão de fábrica no firewall da Série SRX com o Junos OS Release 15.1X49-D100 ou posterior.
Junos OS Release 19.3R1
A partir do Junos OS Release 19.3R1, SRX300, SRX320, SRX340, SRX345, SRX550 e SRX550M dispositivos padrão ao modo de fluxo.
Junos OS Release 19.3R1
A partir do Junos OS Release 19.3R1 , a configuração padrão de fábrica não inclui a configuração de relatórios on-box para aumentar a vida útil da unidade de estado sólido (SSD).