Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Registrar mensagens para clusters de chassi da Série SRX

Visão geral das sessões e fluxos de pacotes

Você pode obter informações sobre as sessões e fluxos de pacotes ativos em seu dispositivo, incluindo informações detalhadas sobre sessões específicas. (O dispositivo da Série SRX também exibe informações sobre sessões com falha.) Você pode exibir essas informações para observar a atividade e para fins de depuração.

Por exemplo, use o show security flow session comando para:

  • Exibir uma lista de fluxos IP de entrada e saída, incluindo serviços.

  • Mostre os atributos de segurança associados a um fluxo, por exemplo, as políticas aplicáveis ao tráfego que pertencem a esse fluxo.

  • Exibir o valor do tempo limite da sessão, quando a sessão estiver ativa, por quanto tempo ela está ativa e se houver tráfego ativo na sessão.

Para obter informações detalhadas sobre este comando, veja a referência CLI do Junos OS.

As informações da sessão também podem ser registradas se uma configuração de política relacionada incluir a opção de registro. A infraestrutura de registro de sessão registra as mensagens de log de sessão quando uma sessão é criada, fechada, negada ou recusada. Nas linhas de SRX3000 e SRX5000, as mensagens de log são transmitidas diretamente para um servidor/repositório externo de syslog, ignorando o Mecanismo de Roteamento. Os dispositivos da Série SRX oferecem suporte ao syslog tradicional e estruturado. As linhas de SRX3000 e SRX5000 oferecem suporte a 1000 mensagens de log por segundo, e a estação de gerenciamento deve ser equipada para lidar com esse volume. Consulte o Guia de configuração de segurança do Junos OS para obter exemplos de configuração e detalhes sobre esses logs. Os logs estão disponíveis por meio da interface de gerenciamento dos nós primários e secundários. Certifique-se de que o servidor externo que recebe essas mensagens de log seja acessível por ambos os nós.

Os dispositivos de ponta da Série SRX têm uma arquitetura de processamento distribuída que processa o tráfego, bem como gera mensagens de log. Nos dispositivos da Série SRX, o firewall processa as sessões de tráfego em cada uma das SPUs no chassi. Após a criação de cada sessão, ela é processada pela mesma SPU no chassi, que também é a SPU que gera a mensagem de log.

O método padrão de geração de mensagens de log é fazer com que cada SPU gere a mensagem como uma mensagem de syslog UDP e envie-a diretamente para o servidor do syslog. Os dispositivos da Série SRX podem registrar taxas de tráfego extremamente altas. Eles podem registrar até 750 MB por segundo de mensagens de log, o que supera os limites do plano de controle. Portanto, não recomendamos registrar mensagens no plano de controle, exceto em determinadas circunstâncias.

Para dispositivos de filial da Série SRX que executam o Junos OS Release 9.6 e dispositivos posteriores e de ponta da Série SRX que executam o Junos OS Release 10.0 e posteriores, os dispositivos podem registrar mensagens no plano de controle a uma taxa máxima limitada (1000 mensagens de log por segundo) em vez de fazer login no plano de dados. Se as mensagens de log forem enviadas pelo plano de dados usando syslog, um coletor de syslog — como o Juniper Security Threat Response Manager (STRM) — deve ser usado para coletar os logs para visualização, relatórios e alertas. Em dispositivos de filial da Série SRX que executam o Junos OS Release 9.6 e dispositivos posteriores e de ponta da Série SRX que executam o Junos OS Release 10.0 e posteriores, os dispositivos só podem enviar mensagens de log para o plano de dados ou para o plano de controle, mas não para ambos ao mesmo tempo.

Configuração de registro de dispositivos da série SRX de ponta

  1. Configure o formato de registro.

    Existem dois formatos suportados para mensagens de log do sistema: estruturados e padrão. O syslog estruturado é geralmente preferido porque prepara os campos com um título. Por exemplo, o campo de endereço IP de origem é o endereço-fonte="10.102.110.52" em vez de apenas o endereço IP 10.102.110.52. No comando a seguir, a opção format sd-syslog configura o syslog estruturado, enquanto a opção configura o format syslog syslog padrão.

    user@host# set security log format sd-syslog

  2. Configure o endereço fonte do syslog.

    O endereço fonte do syslog pode ser qualquer endereço IP arbitrário. Ele não precisa ser um endereço IP atribuído ao dispositivo. Em vez disso, este endereço IP é usado no coletor de syslog para identificar a fonte do syslog. A melhor prática é configurar o endereço de origem como o endereço IP da interface em que o tráfego é enviado.

    user@host# set security log source-address ip-address

  3. Configure o fluxo de log do sistema.

    O fluxo de log do sistema identifica o endereço IP de destino a que as mensagens de syslog são enviadas. Nos dispositivos de ponta da Série SRX que executam o Junos OS Release 9.5 e posteriores, até dois fluxos de syslog podem ser definidos (todas as mensagens são enviadas para os fluxos de syslog). Observe que você deve dar um nome ao fluxo. Este nome é arbitrário, mas é uma prática recomendada usar o nome do coletor de syslog para fácil identificação na configuração.

    Você também pode definir a porta UDP à qual as mensagens de log são enviadas. Por padrão, as mensagens de log são enviadas para a porta UDP 1514.

    Para configurar o endereço IP do servidor de log do sistema:

    user@host# set security log stream name host ip-address

    Para configurar o endereço IP do servidor de log do sistema e especificar o número da porta UDP:

    user@host# set security log stream name host ip-address port port

Configuração do plano de dados de dispositivos da série SRX de ponta fazendo login no plano de controle

Se a estação de gerenciamento não puder receber mensagens de log do plano de dados, configure-a para enviar mensagens através da conexão de gerenciamento. Se você fizer login no plano de controle, os dispositivos da Série SRX também podem enviar essas mensagens de syslog para fora da interface do fxp0. Se o registro de eventos estiver configurado, todas as mensagens de log do plano de dados vão para o plano de controle.

  1. Configure o registro de eventos.

    user@host# set security log mode event

  2. Limite a taxa das mensagens de log de eventos.

    Pode ser necessário limitar a taxa das mensagens de log de eventos do plano de dados para o plano de controle devido a recursos limitados no plano de controle para processar altos volumes de mensagens de log. Isso é especialmente aplicável se o plano de controle estiver ocupado processando protocolos de roteamento dinâmico, como BGP ou implementações de roteamento em grande escala. A taxa de comando a seguir limita as mensagens de log para que elas não sobrecarregem o plano de controle. Mensagens de log que são limitadas por taxa são descartadas. A melhor prática para dispositivos de ponta da Série SRX é registrar não mais do que 1000 mensagens de log por segundo no plano de controle.

    user@host# set security log mode event event-rate logs per second

Configuração de dispositivos de filiais da Série SRX para enviar mensagens de registro de tráfego pelo plano de dados

As mensagens de log de tráfego de dispositivos de filial da Série SRX podem ser enviadas através dos logs de segurança do plano de dados no modo de fluxo. Observe que isso só é possível usando o modo stream. O seguinte é uma configuração de amostra e saída de log.

Configuração

Saída de mensagem de log de amostra

Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]

Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]

Neste caso, as mensagens de log de tráfego de dispositivos da Série SRX são enviadas a um servidor externo de syslog por meio do plano de dados. Isso garante que o mecanismo de roteamento não seja um gargalo para o registro. Ele também garante que o mecanismo de roteamento não seja afetado durante o registro excessivo. Além de mensagens de registro de tráfego, o plano de controle e as mensagens de log enviadas ao Mecanismo de Roteamento são escritas em um arquivo em memória flash. A seguir, uma configuração de amostra para permitir esse tipo de registro.

Configuração

Syslog (self logs) — Essa configuração pode ser personalizada conforme o registro necessário self .

Logs de tráfego (usando dataplane)

Neste caso, tanto as mensagens de log de tráfego quanto as mensagens de log enviadas ao Mecanismo de Roteamento são enviadas para um servidor syslog. A seguir, uma configuração de amostra para permitir esse tipo de registro.

Configuração

Syslog (servidor de syslog)

Logs de tráfego

Configuração de logs de plano de controle

O plano de controle de dispositivos da Série SRX é responsável pelo controle geral da plataforma da Série SRX, além de executar uma série de processos de software para realizar tarefas como operações de protocolo de roteamento, cálculos de tabela de roteamento, gerenciamento de administradores, gerenciamento de SNMP, autenticação e muitas outras funções de missão crítica. Existem uma ampla gama de mensagens de log que são geradas no plano de controle, e o plano de controle oferece suporte granular para definir quais mensagens de log devem ser escritas para ambos os arquivos, bem como enviadas para servidores de syslog. Este tópico fornece uma visão geral de como configurar várias opções de syslog no plano de controle. O envio apenas de mensagens de log por serviços de syslog é coberto nesta seção.

  1. Configure o servidor de syslog e as mensagens de log selecionadas.

    Para configurar o servidor de syslog para receber mensagens de log do dispositivo da Série SRX, defina quais hosts de syslog recebem os fluxos junto com quais instalações e gravidades enviar. Observe que várias instalações e prioridades podem ser configuradas para enviar vários tipos de mensagens de log. Para enviar todos os tipos de mensagem, especifique a opção any pela instalação e gravidade.

    user@host# set system syslog host syslog server facility severity

  2. Configure o endereço IP de origem do syslog.

    O endereço IP de origem do fluxo de syslog é necessário porque o dispositivo da Série SRX pode enviar a mensagem de syslog com qualquer endereço. O mesmo endereço IP deve ser usado independentemente de qual interface seja selecionada.

    user@host# set system syslog host syslog server source-address source-address

  3. (Opcional) Configure a correspondência de expressão regular.

    Às vezes, um administrador pode querer filtrar as mensagens de log que são enviadas para o servidor do syslog. A filtragem de log pode ser especificada com a match declaração. Neste exemplo, apenas logs definidos na expressão regular de match declaração (IDP) são enviados ao servidor syslog.

    user@host# set system syslog host syslog server facility severity match IDP

Configuração de dispositivos de filial da Série SRX para registro

Você pode configurar o dispositivo da Série SRX para enviar apenas logs de tráfego para o servidor de syslog usando o plano de controle.

Nesta configuração:

  • Nenhum log de segurança está configurado.

  • Nenhum registro de plano de controle é recebido.

Use a expressão regular da match declaração para enviar apenas mensagens de log de tráfego. Essas mensagens de log são enviadas diretamente para o servidor de syslog sem escrevendo-as para a memória flash. Essa configuração não envia mensagens de log normalmente enviadas ao mecanismo de roteamento para o servidor syslog. No entanto, é possível criar um arquivo separado e escrever mensagens de log de plano de controle em um arquivo no Mecanismo de Roteamento, conforme mostrado.

Configuração

Mensagens de registro de exemplo:

A configuração a seguir envia mensagens de log de tráfego e controle para o servidor syslog, mas pode sobrecarregar o servidor de syslog e causar instabilidade no cluster. Não recomendamos usar essa configuração.

Configuração

O modo de evento de log de segurança é o modo padrão em dispositivos de filiais da Série SRX, e não é aconselhável para esses dispositivos. Recomendamos mudar o comportamento padrão.

Nota:

O registro extensivo em flash local pode ter um impacto indesejado no dispositivo, como a instabilidade no plano de controle.

Envio de mensagens de log de plano de dados com um endereço IP na mesma sub-rede que a interface do fxp0

Você pode querer implantar aplicativos e sistemas de gerenciamento de desempenho e gerenciamento de falhas, como o Juniper Networks Security Threat Response Manager (STRM). O STRM coleta mensagens de log pela rede de gerenciamento e é conectado por meio da interface do fxp0. Os aplicativos de gerenciamento de falhas e gerenciamento de desempenho gerenciam o dispositivo da Série SRX por meio da interface da Série SRX, mas o dispositivo da Série SRX também precisa enviar mensagens de log do plano de dados para o STRM na mesma rede. Por exemplo, se a taxa de mensagens de log for superior a 1000 mensagens de log por segundo, então o registro no plano de controle não será suportado. O problema é que duas interfaces no mesmo roteador virtual não podem estar na mesma sub-rede, e a interface do fxp0 não pode ser movida para nenhum roteador virtual que não seja o inet.0.

Para resolver esses problemas, coloque uma interface de plano de dados em um roteador virtual que não seja o roteador virtual padrão inet.0 e coloque uma rota na tabela de roteamento inet.0 para rotear o tráfego para o STRM por esse roteador virtual. O exemplo de configuração a seguir mostra como fazer isso.

Neste exemplo:

  • o switchp0 tem um endereço IP de 172.19.200.164/24.

  • O aplicativo A (AppA) tem um endereço IP de 172.19.200.175.

  • O STRM tem um endereço IP de 172.19.200.176.

  • A interface ge-0/0/7 é uma interface de plano de dados, com um endereço IP de 172.19.200.177/24 (que está na mesma sub-rede que a interface do fxp0).

Para configurar este exemplo, inclua as seguintes declarações:

Nota:

O AppA agora é capaz de gerenciar a interface ge-0/0/7, já que o AppA gerencia o dispositivo usando a interface do switch na instância de roteamento padrão. Para isso, o AppA deve usar o formato de mensagem Logging@<snmp-community-string> para acessar os dados da interface ge-0/0/7 usando SNMP.