事件日志记录概述
评估的配置需要通过系统日志审核配置更改。
此外,Junos OS 还可以:
发送对审计事件的自动响应(创建系统日志条目)。
允许授权经理检查审核日志。
将审核文件发送到外部服务器。
允许授权经理将系统返回到已知状态。
已评估配置的日志记录必须捕获事件。下面列出了日志记录事件:
表 1 显示了 NDcPPv2 的系统日志审核示例:
要求 |
可审核事件 |
其他审计记录内容 |
如何生成事件 |
|---|---|---|---|
FAU_GEN.1 |
没有 |
没有 |
|
FAU_GEN.2 |
没有 |
没有 |
|
FAU_STG_EXT.1 |
没有 |
没有 |
|
FAU_STG.1 |
没有 |
没有 |
|
FCS_CKM.1 |
没有 |
没有 |
|
FCS_CKM.2 |
没有 |
没有 |
|
FCS_CKM.4 |
没有 |
没有 |
|
FCS_COP.1/ 数据加密 |
没有 |
没有 |
|
FCS_COP.1/锡格根 |
没有 |
没有 |
|
FCS_COP.1/哈希 |
没有 |
没有 |
|
FCS_COP.1/KeyedHash |
没有 |
没有 |
|
FCS_RBG_EXT.1 |
没有 |
没有 |
|
FDP_RIP.2 |
没有 |
没有 |
|
FIA_AFL.1 |
达到或超过登录尝试失败限制。 |
尝试的来源(例如 IP 地址)。 |
sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.164 limit=“3” 用户名=“root”] 用户“root”达到的身份验证尝试失败阈值 (3) |
FIA_PMG_EXT.1 |
没有 |
没有 |
|
FIA_UIA_EXT.1 |
所有使用识别和认证机制。 |
提供的用户身份、尝试来源(例如 IP 地址)。 |
成功的远程登录 mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.1.2.164 用户名=“根” 身份验证级别=“超级用户”] 经过身份验证的用户“root”分配给类“超级用户” MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 用户名=“根” 类名=“超级用户” 本地对等方=“” pid=“70652” ssh-connection=“10.223.5.251 53476 10.204.134.54 22” 客户端模式=“cli”] 用户“root”登录,类“超级用户”[70652],ssh 连接“10.223.5.251 53476 10.204.134.54 22',客户端模式”CLI” 远程登录失败 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 用户名=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 成功本地登录 登录 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 用户名=“根” 主机名=“[未知\]” tty-name=“ttyu0”] 用户 root 从设备 ttyu0 上的主机 [未知] 登录 登录 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 用户名=“根” 主机名=“[未知\]” tty-name=“ttyu0”] 用户 root 以 root 身份从设备 ttyu0 上的主机 [未知] 登录 本地登录失败 登录 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.1.2.164 用户名=“root” 错误消息=“服务模块中的错误”] 验证用户 root 时失败:服务模块中的错误 登录 70818 LOGIN_FAILED [junos@2636.1.1.1.1.2.164 用户名=“根” 源地址=“ttyu0”] 从主机 ttyu0 登录用户 root 失败 |
FIA_UAU_EXT.2 |
所有使用识别和认证机制。 |
尝试的来源(例如 IP 地址)。 |
成功的远程登录 mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.1.2.164 用户名=“根” 身份验证级别=“超级用户”] 经过身份验证的用户“root”分配给类“超级用户” MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 用户名=“根” 类名=“超级用户” 本地对等方=“” pid=“70652” ssh-connection=“10.223.5.251 53476 10.204.134.54 22” 客户端模式=“cli”] 用户“root”登录,类“超级用户”[70652],ssh 连接“10.223.5.251 53476 10.204.134.54 22',客户端模式”CLI” 远程登录失败 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 用户名=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 成功本地登录 登录 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 用户名=“根” 主机名=“[未知\]” tty-name=“ttyu0”] 用户 root 从设备 ttyu0 上的主机 [未知] 登录 登录 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 用户名=“根” 主机名=“[未知\]” tty-name=“ttyu0”] 用户 root 以 root 身份从设备 ttyu0 上的主机 [未知] 登录 本地登录失败 登录 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.1.2.164 用户名=“root” 错误消息=“服务模块中的错误”] 验证用户 root 时失败:服务模块中的错误 登录 70818 LOGIN_FAILED [junos@2636.1.1.1.1.2.164 用户名=“根” 源地址=“ttyu0”] 从主机 ttyu0 登录用户 root 失败 |
FIA_UAU.7 |
没有 |
没有 |
|
FMT_MOF.1/ 手动更新 |
任何启动手动更新的尝试。 |
没有 |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.1.2.164 用户名=“sec-officer” command=“request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ”] User 'sec-officer', 命令 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FMT_MTD.1/核心数据 |
TSF 数据的所有管理活动 |
没有 |
请参阅此表中列出的审核事件。 |
FMT_SMF.1/IPS |
没有 |
没有 |
没有 |
FMT_SMF.1/ND |
没有 |
没有 |
没有 |
FMT_SMF.1/FFW |
TSF 数据的所有管理活动(包括防火墙规则的创建、修改和删除)。 |
没有 |
<30>1 2020-08-11T11:15:00.025-07:00 卡地亚NSD 2095 NSD_SYS_TIME_CHANGE - 系统时间已更改。<38>1 2020-08-11T11:15:25.214-07:00 卡地亚初始化 - - - 机箱控制 (PID 2059) 退出,状态 = 69 <38>1 2020-08-11T11:15:25.217-07:00 卡地亚初始化 - - - 机箱控制 (PID 47908) 开始 <29>1 2020-08-11T11:16:08.805-07:00 卡地亚机箱 47908 CHASSISD_RECONNECT_SUCCESSFUL - 软重启时成功重新连接 |
FMT_SMR.2 |
没有 |
没有 |
|
FPT_SKP_EXT.1 |
没有 |
没有 |
|
FPT_APW_EXT.1 |
没有 |
没有 |
|
FPT_TST_EXT.1 |
没有 |
没有 |
|
FPT_TUD_EXT.1 |
开始更新;更新尝试的结果(成功或失败) |
没有 |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.1.2.164 用户名=“sec-officer” command=“request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ”] User 'sec-officer', 命令 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FPT_STM_EXT.1 |
时间的不连续更改 - 管理员启动或通过自动化过程更改。 |
对于时间的不连续变化:时间的旧值和新值。尝试更改成功和失败时间的来源(例如,IP 地址)。 |
mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.1.2.164 用户名=“root” 命令=“设置日期 202005201815.00 ”] 用户 'root',命令 'set date 202005201815.00 ' mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 消息=“信令'网络安全守护程序',PID 2641,信号 31,状态 0,启用通知错误”] 正在进行提交操作:发出信号“网络安全守护程序”,pid 2641,信号 31,状态 0,启用通知错误 nsd 2641 NSD_SYS_TIME_CHANGE - 系统时间已更改 |
FTA_SSL_EXT.1(如果选择了 终止会话 ) |
通过会话锁定机制终止本地交互式会话。 |
没有 |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 用户名=“root”] 超出用户“root”的空闲超时,会话已终止 |
FTA_SSL.3 |
通过会话锁定机制终止远程会话。 |
没有 |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 用户名=“root”] 超出用户“root”的空闲超时,会话已终止 |
FTA_SSL.4 |
交互式会话的终止。 |
没有 |
mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.1.2.164 用户名=“root”] 用户“root”注销 |
FTA_TAB.1 |
没有 |
没有 |
|
FCS_SSHS_EXT.1 |
无法建立 SSH 会话 |
失败原因 |
sshd 72404 - - 无法与 1.1.1.2 端口 42168 协商:未找到匹配的密码。 他们的报价: chacha20-poly1305@openssh.com, AES128-ctr, AES192-CTR,AES256-CTR, aes128-gcm@openssh.com, aes256-gcm@openssh.com, AES128-CBC, AES192-CBC, AES256-CBC |
FTP_ITC.1 |
启动可信通道。终止受信任通道。可信通道功能失败 |
识别可信通道建立尝试失败的启动方和目标 |
启动可信路径 sshd 72418 - - 接受来自 10.223.5.251 端口 42482 ssh2 的根键盘交互/PAM 终止可信路径 sshd 72418 - - 与用户根用户断开连接 10.223.5.251 端口 42482 可信路径失败 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 用户名=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 |
FTP_TRP.1/管理员 |
启动可信路径。终止可信路径。可信路径功能失败。 |
没有 |
启动可信路径 sshd 72418 - - 接受来自 10.223.5.251 端口 42482 ssh2 的根键盘交互/PAM 终止可信路径 sshd 72418 - - 与用户根 10.223.5.251 端口 42482 断开连接 可信路径失败 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 用户名=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 |
FCS_SSHS_EXT.1 |
无法建立 SSH 会话 |
失败原因 |
sshd 72404 - - 无法与 1.1.1.2 端口 42168 协商:未找到匹配的密码。 他们的报价: chacha20-poly1305@openssh.com, AES128-ctr,aes192-ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, AES128-CBC, AES192-CBC, AES256-CBC |
FIA_X509_EXT.1/修订版 |
尝试验证证书失败 |
失败原因 |
verify-sig 72830 - - 无法验证 ecerts.pem:主题颁发者不匹配:/C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/emailAddress =ca@juniper.net |
FIA_X509_EXT.2 |
没有 |
没有 |
|
FIA_X509_EXT.3 |
没有 |
没有 |
|
FMT_MOF.1/函数 |
修改将审计数据传输到外部IT实体的行为,处理审计数据,本地审计存储空间已满时的审计功能。 |
没有 |
mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.1.2.164 用户名=“根” 进程名称=“网络安全守护程序” description=“ 立即”] 用户“root”重新启动守护程序“网络安全守护程序”立即初始化 - - - 网络安全 (PID 72907) 由信号编号 9 终止!初始化 - - - 网络安全 (PID 72929) 已启动 |
FMT_MOF.1/服务 |
启动和停止服务。 |
没有 |
|
FMT_MTD.1/ 密码 |
管理加密密钥。 |
没有 |
SSH 密钥 ssh-keygen 2706 - - 生成的带有指纹的 SSH 密钥文件 /root/.ssh/id_rsa.pub SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 - - 生成的带有指纹的 SSH 密钥文件 /root/.ssh/id_ecdsa.pub SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0 IPSEC 密钥 pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 参数1=“384” 参数2=“ECDSA” 参数3=“cert1”] 已为 cert1 生成 384 位 ECDSA 密钥对 pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 参数1=“4096” 参数2=“RSA” 参数3=“cert2”] 已为 cert2 生成 4096 位 RSA 密钥对 |
FFW_RUL_EXT.1 |
应用配置了“日志”操作的规则 |
源地址和目标地址。源端口和目标端口。传输层协议 TOE 接口 |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 源地址=“1.1. 1.2” 源端口=“10001” 目的地地址=“2.2.2.2” 目的地端口=“21” 连接标签=“0” 服务名称=“junos-ftp” nat-source-address=“1.1.1.2” nat-source-port=“10001” nat-de stination-address=“2.2.2.2” nat-destination-port=“21” nat-connection-tag=“0” src-nat-rule-type=“N/A” src-nat-rule-name=“N/A” dst-nat-rule-type=“N/A” dst-nat-rule-name=“N/A” protoco l-id=“6” policy-name=“p1” source-zone-name=“ZO_A” destination-zone-name=“ZO_B” session-id-32=“5” username=“N/A” roles=“N/A” packet-incoming-interface=“ge-0/0/0.0” application=“UNKN OWN” nested-application=“UNKNOWN” encrypted=“UNKNOWN“ 应用程序类别=”N/A“ 应用程序子类别=”N/A“ 应用程序风险=”-1“ 应用程序特征=”N/A“ src-vrf-grp= ”N/A“ dst-vrf-grp=”N/A“] 会话创建 1.1.1.2/10001->2.2.2.2/21 0x0 Junos-FTP 1.1.1.2/10001->2.2.2.2/21 0x0 N/A N/A N/A N/A 6 P1 ZO_A ZO_B 5 N/A(N/A) ge-0/0/0.0 未知 未知 未知 N/A N/A -1 N/A N/A N/A |
指示由于网络流量过多而丢弃的数据包 |
无法处理数据包的 TOE 接口。导致丢包的规则标识符 |
RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 源地址=“1.1.1. 2” 源端口=“10001” 目标地址=“2.2.2.2” 目标端口=“21” 连接标记=“0” 服务名称=“Junos-FTP” 协议 ID=“6” ICMP 类型=“0” 策略名称=“P2” 源区域NA ME=“ZO_A” 目标区域名称=“ZO_B” 应用程序=“未知” 嵌套应用程序=”未知“ 用户名=”N/A“ 角色=”N/A“ 数据包传入接口=”ge-0/0/0.0“ 加密=”否“ 原因=”D 按策略执行“ 会话 ID-32=”3“ 应用程序类别=”N/A“ 应用程序子类别=”N/A“ 应用程序风险=”-1“ 应用程序特征=”N/A“ src-vrf-grp=”N/A“ dst-vrf-grp=” N/A“] 会话被拒绝 1.1.1.2/10001->2.2.2.2/21 0x0 Junos-FTP 6(0) P2 ZO_A ZO_B 未知 未知 N/A(N/A) ge-0/0/0.0 否 被策略拒绝 3 N/A N/A -1 N/A N/A N/A N/A |
|
FFW_RUL_EXT.2 |
没有 |
没有 |
|
FCS_IPSEC_EXT.1 |
与对等方建立会话 |
会话建立期间传输/接收的数据包的全部数据包内容 |
KMD 6619 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name=“vpn1” 远程地址=“5.5.5.1” 本地地址=“11.11.11.1” GA Teway-name=“GW1” 组名称=“VPN1” 隧道 ID=“131073” 接口名称=“st0.0” 内部 ip=“不可用” 名称=“11.11.11.1” 对等名称=“5.5.5.1” 客户端名称=“不适用” vrrp-gro up-id=“0” traffic-selector-name=“"traffic-selector-cfg-local-id= “ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)” traffic-selector-cfg-remote-id= “ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)” argume nt1=“Static”] 来自 5.5.5.1 的 VPN vpn1 已启动。本地 IP: 11.11.11.1, 网关名称: GW1, VPN 名称: vpn1, 隧道 ID: 131073, 本地隧道如果: st0.0, 远程隧道 IP: 不可用, 位置 l IKE-ID: 11.11.11.1, 远程 IKE-ID: 5.5.5.1, AAA 用户名: 不适用, VR ID: 0, 流量选择器: , 流量选择器本地 ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), 流量服务远程 ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), SA 类型: 静态 |
FIA_X509_EXT.1 |
通过 CA 建立会话 |
会话建立期间传输/接收的数据包的全部数据包内容 |
kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name=“”vpn1“” 远程地址=“”5.5.5.1“” local-address=“”11.11.11.1“” ga teway-name=“”GW1“” 组名称=“”VPN1“” 隧道 ID=“”131073“” 接口名称=“”st0.0“” 内部 ip=“”不可用“” 名称=“”11.11.11.1“” 对等名称=”“5.5.5.1”“ client-name=”“不适用”“ vrrp-group-id=”“0”“ 流量选择器名称= ”“”“ 流量选择器-cfg-local-id=”“ipv4_subnet(any:0, [0..7\]=0.0.0.0/0)”“ traffic-selector-cfg-remote-id= ”“ipv4_subnet(any: 0,[0..7\]=0.0.0.0/0)”“ argument1= ”“静态”“] 5.5.5.1 中的 VPN vpn1 已启动。本地 IP:11.11.11.1,网关名称:GW1,VPN 名称:vpn1,隧道 ID:131073,本地隧道 IF:st0.0,远程隧道 IP:不可用,本地 IKE-ID:11.11.11.1,远程 IKE-ID:5.5.5.1,AAA 用户名:不适用,VR ID:0,流量选择器:,流量选择器本地 ID:ipv4_subnet(任意:0,[0..7]=0.0.0.0/0),流量选择器远程 ID:ipv4_subnet(任意:0,[0..7]=0.0.0.0/0),SA 类型:静态 |
FPF_RUL_EXT.1 |
应用配置了“日志”操作的规则 |
源地址和目标地址。 源端口和目标端口。传输层协议 TOE 接口 |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 源地址=“1.1. 1.2” 源端口=“10001” 目的地地址=“2.2.2.2” 目的地端口=“53” 连接标签=“0” 服务名称=“junos-dns-udp” nat-source-address=“1.1.1.2” nat-source-port=“10001” na t-destination-address=“2.2.2.2” nat-destination-port=“53” nat-connection-tag=“0” src-nat-rule-type=“N/A” src-nat-rule-name=“N/A” dst-nat-rule-type=“N/A” dst-nat-rule-name=“N/A” pro tocol-id=“17” policy-name=“p1” source-zone-name=“A” destination-zone-name=“B” session-id-32=“1” username=“N/A” roles=“N/A” packet-incoming-interface=“ge-0/0/0.0” application=“UNKNO WN” nested-application=“UNKNOWN” encrypted=“UNKNOWN”application-category=“N/A” application-sub-category=“N/A” application-risk=“-1” application-features=“N/A” src-vrf-grp=“ N/A” dst-vrf-grp=“N/A”] 会话创建 1.1.1.2/10001->2.2.2.2/53 0x0 junos-dns-udp 1.1.1.2/10001->2.2.2.2/53 0x0 N/A N/A N/A N/A 17 P1 A B 1 N/A(N/A) ge-0/0/0.0 未知 未知 未知 未知 N/A N/A -1 N/A N/A N/A N/A |
指示由于网络流量过多而丢弃的数据包 |
无法处理数据包的 TOE 接口 |
“”“PERF_MON - RTPERF_CPU_UTIL_MAX [junos@2636.1.1.1.2.164 fpc-slot=”“”“”0“”“” pic-slot=“”0“] FPC 0 PIC 0 CPU 利用率大于 99,预计数据包丢失”“ ”“PERF_MON - RTPERF_CPU_THRESHOLD_EXCEEDED [junos@2636.1.1.1.1.2.164 fpc-slot=”“0” pic-slot=“”“0”“””当前值=“”93“”“”] FPC 0 PIC 0 CPU 利用率超过阈值,当前值 = 93“” “”RT_FLOW - FLOW_RESOURCE_CHANGE [junos@2636.1.1.1.2.164 资源名称=“”“”会话表“”“” 原因=“”已满“”“] 流资源会话表已满”“” |
此外,瞻博网络建议:
捕获对配置的所有更改。
远程存储日志记录信息。
有关日志详细信息的详细信息,请参阅 指定日志文件大小、编号和存档属性