Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ações de registro de filtro de firewall

Para filtros de firewall IPv4 e IPv6, você pode configurar o filtro para escrever um resumo dos cabeçalhos de pacote correspondentes ao log ou syslog especificando a ação ou a ação.sysloglog A principal diferença entre os dois é a permanência do registro. Os logs só são buffered na memória, e quando esse buffer está cheio, os registros mais antigos são substituídos por novos quando chegam. Os syslogs, por outro lado, podem ser salvos em disco ou encaminhados a um servidor de syslog remoto. Em ambos os casos, um resumo do cabeçalho do pacote é registrado (não uma cópia do pacote em si). Filtros de serviço e filtros simples não suportam nem a ação.logsyslog

Nota:

Tanto a e quanto as ações podem consumir espaço significativo de CPU e/ou disco no dispositivo.sysloglog A Juniper recomenda que você desconecte logs escrevendo-os em um servidor de syslog remoto, e que você restrinja o registro usando-o apenas para diagnósticos.

Syslog

Como observado, os logs do sistema podem ser escritos em disco e/ou enviados a um servidor remoto. Os logs salvos estão escritos no diretório./var/log Você pode visualizar uma lista de todos os arquivos de log disponíveis no dispositivo executando o comando sem opções.show log Observe que, em um determinado arquivo de log, os logs de ação do firewall podem ser intercalados com mensagens de evento.

A configuração a seguir mostra logs de sistema sendo enviados a um servidor remoto em 172.27.1.1, e também os salva em um arquivo chamado "firewall" no dispositivo local.syslog

Para visualizar logs do sistema, execute o comando.show syslog message

Para visualizar o conteúdo de um determinado arquivo de log do sistema, execute o comando ou o comando.show log filenamefile show /var/log/filename

Para limpar o conteúdo do arquivo de log do sistema, execute o comando.clear log filename Você pode incluir a opção de excluir todos os logs salvos, incluindo registros que estão sendo escritos no arquivo de log atual.all

Os detalhes da configuração são mostrados aqui:

Log

A ação escreve informações de log para um buffer.log Não há opção de escrever logs em um servidor remoto ou para ecriá-los em disco. Assim que o buffer disponível estiver cheio, novos logs substituirão os mais antigos, para que um registro histórico não seja mantido. Os logs são liberados sempre que o dispositivo ou o PFE são reiniciados.

Os detalhes da configuração são mostrados aqui:

Para ver os logs, execute o comando.show firewall log

Detalhes de log

O seguinte mostra que tipo de informação normalmente está incluída nas entradas de syslog e log:

Os campos são explicados aqui:

  • Date and Time— Data e hora em que o pacote foi recebido (não mostrado no padrão).

    Hostname— Nome do dispositivo em que a correspondência ocorreu..

    Interface— Interface física que o pacote atravessava.

  • Filtrar a ação. No exemplo acima, é A.

    • A— Aceite (ou no próximo termo)

    • D— Descarte

    • R— Rejeitar

  • Protocol— Protocolo de pacotes. Pode ser um nome ou número, e também pode incluir as portas de origem e destino. No exemplo acima, o protocolo é o ICMP, que pode então incluir o tipo e o código ICMP.

  • Source address— Endereço IP de origem do pacote.

  • Destination address— Endereço IP de destino do pacote.

  • Source port— Porta de origem do pacote (apenas pacotes TCP e UDP). No exemplo acima, a porta é 0.

  • Destination port— Porta de destino do pacote (apenas pacotes TCP e UDP). No exemplo acima, a porta é 0.

  • Packets in sample interval— Este exemplo mostra que apenas um pacote correspondente foi detectado no intervalo de amostra (cerca de um segundo). Se os pacotes chegarem a uma taxa mais rápida, o log do sistema comprime automaticamente as informações para que menos saída seja gerada.

Tópicos relacionados