Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ações de registro de filtro de firewall

Para filtros de firewall IPv4 e IPv6, você pode configurar o filtro para escrever um resumo de headers de pacotes correspondentes ao log ou syslog especificando a ação ou a sysloglog ação. A principal diferença entre os dois é a permanência do recorde. Os logs só são buffer na memória, e quando esse buffer está cheio, os registros mais antigos são substituídos por novos conforme eles chegam. Os Syslogs, por outro lado, podem ser salvos em disco ou encaminhados para um servidor de syslog remoto. Em ambos os casos, um resumo do header de pacotes é registrado (e não uma cópia do pacote). Filtros de serviço e filtros simples não suportam a log ação syslog ou a ação.

Nota:

Ambas as syslog ações podem consumir espaço significativo de CPU log e/ou disco no dispositivo. Juniper recomenda que você não carregue logs ao escrever para um servidor de syslog remoto e restringir o registro usando-o apenas para diagnósticos.

Syslog

Como notado, os logs do sistema podem ser escritos em disco e/ou enviados para um servidor remoto. Os logs salvos são escritos no /var/log diretório. Você pode ver uma lista de todos os arquivos de log disponíveis no dispositivo executando o show log comando sem opções. Observe que, dentro de um determinado arquivo de log, os logs de ação do firewall podem ser intercalados com mensagens de evento.

A configuração a seguir mostra logs de sistema sendo enviados para um servidor remoto em 172.27.1.1, e também os salvarão em um arquivo chamado syslog "firewall" no dispositivo local.

Para exibir registros do sistema, execute o show syslog message comando.

Para exibir o conteúdo de um determinado arquivo de log do sistema, execute show log filename o ou o file show /var/log/filename comando.

Para limpar o conteúdo do arquivo de log do sistema, execute o clear log filename comando. Você pode incluir a all opção de excluir todos os logs salvo, incluindo registros sendo escritos no arquivo de log atual.

Os detalhes da configuração são mostrados aqui:

Log

A log ação grava informações de log em um buffer. Não há opção de escrever logs em um servidor remoto ou de escrevê-los em disco. Uma vez que o buffer disponível está completo, novos logs substituirão os mais antigos, de forma que um registro histórico não seja mantido. Os logs são limpos sempre que o dispositivo ou O PFE é reinicializado.

Os detalhes da configuração são mostrados aqui:

Para exibir os logs, execute o show firewall log comando.

Detalhes do log

As informações a seguir mostram que tipo de informação costuma ser incluída em entradas de syslog e log:

Os campos são explicados aqui:

  • Date and Time— Data e hora em que o pacote foi recebido (não exibido no padrão).

    Hostname— Nome do dispositivo no qual ocorreu a combinação..

    Interface— interface física pelada do pacote.

  • Ação de filtragem. No exemplo acima, ele é A.

    • A— Aceite (ou no próximo semestre)

    • D— Descartar

    • R— Recusar

  • Protocol— Protocolo de pacotes. Pode ser um nome ou número e também incluir as portas de origem e destino. No exemplo acima, o protocolo é o ICMP, que pode incluir o tipo e o código ICMP.

  • Source address— Endereço IP de origem do pacote.

  • Destination address— Endereço IP de destino do pacote.

  • Source port— Porta de origem do pacote (apenas pacotes TCP e UDP). No exemplo acima, a porta é 0.

  • Destination port— Porta de destino do pacote (apenas pacotes TCP e UDP). No exemplo acima, a porta é 0.

  • Packets in sample interval— Este exemplo mostra que apenas um pacote correspondente foi detectado no intervalo da amostra (cerca de um segundo). Se os pacotes chegam com taxa mais rápida, o log do sistema compacta automaticamente as informações para que menos saída seja gerada.