FIPS 模式下的事件日志
了解如何在 FIPS 模式下分析事件日志。
FIPS 模式中的事件日志概述
事件日志是信息系统中发生的安全相关事件的详细记录。事件日志捕获各种信息,例如系统消息、安全事件、应用程序事件和用户活动。事件日志对于监控、诊断和排除问题以及确保安全性和合规性至关重要。
评估的配置需要通过系统日志审核配置更改。此外,Junos OS 可以:
-
发送对审核事件的自动响应(创建系统日志条目)。
-
允许授权经理检查审核日志。
-
将审核文件发送到外部服务器。
-
允许授权经理将系统返回到已知状态。
评估配置的日志必须捕获系统事件。 表 1 显示了 NDcPPv2.2e 的系统日志审计示例:
| 要求 |
可审核事件 |
其他审计记录 |
事件的生成方式 |
|---|---|---|---|
| FAU_GEN.1 |
没有 |
没有 |
— |
| FAU_GEN.2 |
没有 |
没有 |
— |
| FAU_STG_EXT.1 |
没有 |
没有 |
— |
| FAU_STG.1 |
没有 |
没有 |
— |
| FCS_CKM.1 |
没有 |
没有 |
— |
| FCS_CKM.2 |
没有 |
没有 |
— |
| FCS_CKM.4 |
没有 |
没有 |
— |
| FCS_COP.1/ 数据加密 |
没有 |
没有 |
— |
| FCS_COP.1/SigGen |
没有 |
没有 |
— |
| FCS_COP.1/哈希 |
没有 |
没有 |
— |
| FCS_COP.1/KeyedHash |
没有 |
没有 |
— |
| FCS_RBG_EXT.1 |
没有 |
没有 |
— |
| FDP_RIP.2 |
没有 |
没有 |
— |
| FIA_AFL.1 |
未成功的登录尝试次数已达到或超过限制。 |
尝试的来源(例如,IP 地址) |
sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD:用户“security-administrator”达到的身份验证尝试失败阈值 (3) 登录锁定配置详细信息: [edit] root@host:fips# run show system login lockout User Lockout start Lockout end security-administrator 2023-01-10 15:03:26 IST 2023-01-10 15:04:26 IST 登录锁定配置的日志: Jan 10 15:03:26 host sshd[63687]:LIBJNX_LOGIN_ACCOUNT_LOCKED:用户“security-administrator”的帐户已被锁定登录 锁定期过后会话已关闭的状态: ssh security-administrator@host Password: Connection closed by 10.209.21.170 port 22 锁定期后已关闭会话的日志: Jan 10 15:04:10 host sshd[63694]:PAM_USER_LOCK_ACCOUNT_LOCKED:用户 security-administrator 的帐户被锁定。 在锁定期间通过控制台以 root 用户身份建立会话: login: security-administrator Password: Last login: Tue Jan 10 15:01:43 on ttyu0 --- JUNOS 22.4R2.8 Kernel 64-bit JNPR-12.1-20230321.be5f9c0_buil security-administrator@bm-a:fips> [edit] root@host:fips# run show system users 3:04PM up 4 days, 3:59, 2 users, load averages: 0.28, 0.21, 0.22 USER TTY FROM LOGIN@ IDLE WHAT security-a u0 - 3:03PM - -cli (cli) 在锁定期间以 root 用户身份通过控制台建立的会话的日志: Jan 10 15:03:52 host login[63625]: LOGIN_INFORMATION:用户 security-administrator 从设备 ttyu0 上的主机 [unknown] 登录 |
| FIA_PMG_EXT.1 |
没有 |
没有 |
— |
| FIA_UIA_EXT.1 |
全部使用标识和身份验证机制。 |
提供用户身份、尝试来源(例如,IP 地址)。 |
成功远程登录 MGD 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username=“root” authentication-level=“super-user”] 已分配给类“super-user”的经过身份验证的用户“root” MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username=“root” class-name=“super-user” local-peer=“” pid=“70652” ssh-connection=“10.223.5.251 53476 10.204.134.54 22” client-mode=“cli”] 用户“root”登录,类“super-user”[70652],ssh-connection '10.223.5.251 53476 10.204.134.54 22',客户端模式“cli” 远程登录失败 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 本地登录成功 login 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username=“root” hostname=“[unknown\]” tty-name=“ttyu0”] 用户 root 从设备 ttyu0 上的主机 [unknown] 登录 login 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username=“root” hostname=“[unknown\]” tty-name=“ttyu0”] 用户 root 从设备 ttyu0 上的主机 [unknown] 以 root 身份登录 本地登录失败 login 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 username=“root” error-message=“service module” error in service module“] 验证用户 root 时失败:服务模块中出错 login 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username=“root” source-address=“ttyu0”] 用户 root 从主机 ttyu0 登录失败 |
| FIA_UAU_EXT.2 |
全部使用标识和身份验证机制。 |
尝试的来源(例如,IP 地址)。 |
成功远程登录 MGD 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username=“root” authentication-level=“super-user”] 已分配给类“super-user”的经过身份验证的用户“root” MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username=“root” class-name=“super-user” local-peer=“” pid=“70652” ssh-connection=“10.223.5.251 53476 10.204.134.54 22” client-mode=“cli”] 用户“root”登录,类“super-user”[70652],ssh-connection '10.223.5.251 53476 10.204.134.54 22',客户端模式“cli” 远程登录失败 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 本地登录成功 login 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username=“root” hostname=“[unknown\]” tty-name=“ttyu0”] 用户 root 从设备 ttyu0 上的主机 [unknown] 登录 login 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username=“root” hostname=“[unknown\]” tty-name=“ttyu0”] 用户 root 从设备 ttyu0 上的主机 [unknown] 以 root 身份登录 本地登录失败 login 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 username=“root” error-message=“service module” error in service module“] 验证用户 root 时失败:服务模块中出错 login 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username=“root” source-address=“ttyu0”] 用户 root 从主机 ttyu0 登录失败 |
| FIA_UAU.7 |
没有 |
没有 |
|
| FMT_MOF.1/ 手动更新 |
任何启动手动更新的尝试。 |
没有 |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username=“sec-officer” command=“request vmhost software add junos-vmhost-install-mx-x86-64-22.4R1.10.tgz no-validate ”] User 'sec-officer', command 'request vmhost software add junos-vmhost-install-mx-x86-64-22.4R1.10.tgz no-validate' |
| FMT_MTD.1/CoreData |
TSF数据的所有管理活动。 |
没有 |
请参阅此表中列出的审核事件。 |
| FMT_SMF.1/IPS |
没有 |
没有 |
没有 |
| FMT_SMF.1/ND |
没有 |
没有 |
没有 |
| FMT_SMR.2 |
没有 |
没有 |
— |
| FPT_SKP_EXT.1 |
没有 |
没有 |
— |
| FPT_APW_EXT.1 |
没有 |
没有 |
— |
| FPT_TST_EXT.1 |
没有 |
没有 |
在命令行输入 |
| FPT_TUD_EXT.1 |
启动更新;更新尝试的结果(成功或失败) |
没有 |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username=“sec-officer” command=“request vmhost software add junos-vmhost-install-mx-x86-64-22.4R1.10.tgz no-validate ”] User 'sec-officer', command request vmhost software add junos-vmhost-install-mx-x86-64-22.4R1.10.tgz no-validate ' |
| FPT_STM_EXT.1
注意:
我们不会将网络时间协议 (NTP) 声明为 FPT_STM_EXT.1 SFR 的一部分。但是,根据本文档,您可以激活或停用 NTP 服务来验证 MACsec 容差和 MACsec 密钥串。 |
|
|
MGD 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username=“root” command=“set date 202005201815.00 ”] User 'root', command 'set date 202005201815.00 ' MGD 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 message=“信号 '网络安全守护程序',pid 2641,信号 31,状态 0,启用通知错误”] 正在执行提交作:信号“网络安全守护程序”,pid 2641,信号 31,状态 0,启用通知错误 nsd 2641 NSD_SYS_TIME_CHANGE - 系统时间已更改 |
| FTA_SSL_EXT.1(如果选择 终止会话 ) |
通过会话锁定机制终止本地交互式会话 |
没有 |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username=“root”] 超过用户“root”的空闲超时且会话已终止 |
| FTA_SSL.3 |
通过会话锁定机制终止远程会话 |
没有 |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username=“root”] 超过用户“root”的空闲超时且会话已终止 |
| FTA_SSL.4 |
交互式会话的终止 |
没有 |
MGD 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 username=“root”] 用户“root”注销 |
| FTA_TAB.1 |
没有 |
没有 |
— |
| FCS_SSHS_EXT.1 |
无法建立 SSH 会话 |
失败原因 |
sshd 72404 - - 无法与 1.1.1.2 端口 42168 协商:未找到匹配的密码。 他们的报价:chacha20-poly1305@openssh.com、AES128-CTR、AES192-CTR、AES256-CTR、aes128-gcm@openssh.com、aes256-gcm@openssh.com、AES128-CBC、AES192-CBC、AES256-CBC |
| FTP_ITC.1 |
|
识别失败的可信信道建立尝试的发起方和目标 |
启动可信路径 sshd 72418 - - 从 10.223.5.251 端口 42482 ssh2 接受 root 的 keyboard-interactive/pam 终止可信路径 sshd 72418 - - 与用户 root 10.223.5.251 端口 42482 断开连接 可信路径故障 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 |
| FTP_TRP.1/管理员 |
|
没有 |
启动可信路径 sshd 72418 - - 从 10.223.5.251 端口 42482 ssh2 接受 root 的 keyboard-interactive/pam 终止可信路径 sshd 72418 - - 已从用户 root 10.223.5.251 端口 42482 断开连接 可信路径故障 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username=“root” source-address=“10.223.5.251”] 用户“root”从主机“10.223.5.251”登录失败 |
| FCS_SSHS_EXT.1 |
无法建立 SSH 会话 |
失败原因 |
sshd 72404 - - 无法与 1.1.1.2 端口 42168 协商:未找到匹配的密码。 他们的产品:chacha20-poly1305@openssh.com、AES128-CTR、AES192-CTR、AES256-CTR、aes128-gcm@openssh.com、aes256-gcm@openssh.com、AES128-CBC、AES192-CBC、AES256-CBC |
| FIA_X509_EXT.1/修订版 |
尝试验证证书失败 |
失败原因 |
verify-sig 72830 - - 无法验证 ecerts.pem:主题颁发者不匹配:/C=US/ST=CA/L=Sunnyvale/O=瞻博网络/OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/emailAddress =ca@juniper.net |
| FIA_X509_EXT.2 |
没有 |
没有 |
— |
| FIA_X509_EXT.3 |
没有 |
没有 |
— |
| FMT_MOF.1/函数 |
修改审计数据到外部IT实体的传输行为,处理审计数据,本地审计存储空间已满时的审计功能。 |
没有 |
MGD 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 username=“root” process-name=“网络安全守护程序” description=“ immediately”] 用户“root”重新启动守护程序“网络安全守护程序”立即初始化 - - - 网络安全 (PID 72907) 由信号编号 9 终止!init - - - network-security (PID 72929) 已启动 |
| FMT_MOF.1/服务 |
服务的启动和停止 |
没有 |
— |
| FMT_MTD.1/ 加密密钥 |
管理加密密钥。 |
没有 |
SSH 密钥 ssh-keygen 2706 - - 生成带有指纹的 SSH 密钥文件 /root/.ssh/id_rsa.pub SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 - - 生成带有指纹的 SSH 密钥文件 /root/.ssh/id_ecdsa.pub SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0 IPsec 密钥 pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1=“384” argument2=“ECDSA” argument3=“cert1”] 已为 cert1 生成 384 位 ECDSA 密钥对 pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1=“4096” argument2=“RSA” argument3=“cert2”] 已为 cert2 生成 4096 位 RSA 密钥对 |
| FCS_IPSEC_EXT.1 |
与对等方建立会话 |
会话建立期间传输或接收的数据包的整个数据包内容。 |
user@host:FIPS# 运行 show log iked |不再 |GREP VPN Jun 14 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] 成功为 SPI 选择 IPsec-SA (0x8a45e874) 本地 IP (20.1.1.1) 远程 IP (20.1.1.2) VPN (IPSEC_VPN) user@host:FIPS# 运行 show log iked |不再 |GREP 成功 6 月 14 日 10:40:49.278061 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate 收到的 ipc-index=45109,local-ip=none,remote-ip=none 的成功响应 6 月 14 日 10:40:49.290742 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] 用于 ED 的 ATEC-验证-迁移 (0x2c09028) 远程 ID 验证成功 6 月 14 日 10:40:49.291392 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi:ts-match 的流量选择器匹配 成功,C:ipv4(0.0.0.0-255.255.255.255) R:ipv4(10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255) 6 月 14 日 10:40:49.291656 [EXT] [TUNL] [20.1.1.1 <-> 20.1.1.2] ike_tunnel_anchor_node_tunnel_add:为隧道500009添加锚点隧道:成功 隧道添加总数:9 6 月 14 日 10:40:49.291682 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] 使用本地 SPI 成功添加 tunnel-sadb-add (0x8a45e874) Jun 14 10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] 成功为 SPI 选择 IPsec-SA (0x8a45e874) 本地 IP (20.1.1.1) 远程 IP (20.1.1.2) VPN (IPSEC_VPN) Jun 14 10:40:49.292404 [TER] [PEER] [20.1.1.1 <-> 20.1.1.2] IKE:网关 N:IKE_GW L:20.1.1.1:500 R:20.1.1.2:500 成功 ike-id:20.1.1.2 U:N/A IKE:IKEv2 角色:R Jun 14 10:40:49.294256 [DET] [DIST] [20.1.1.1 <-> 20.1.1.2] ike_dist_ipsec_tunnel_info_add:IPsec 分配 隧道信息 添加到数据库成功 隧道 ID:500009 客户端 ID:20 实例:0 6 月 14 日 10:40:49.295072 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:已成功将 IPC 消息标记 4 从 iked 发送到 SPU.0.20 Jun 14 10:40:49.295292 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:已成功将 IPC 消息标记 4 从 iked 发送到 SPU.0.21 Jun 14 10:40:49.296004 [DET] [STER] [20.1.1.1 <-> 20.1.1.2] 成功修改隧道500009的 st0 下一跳元数据 6 月 14 日 10:40:49.297336 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:已成功将 IPC 消息标记 4 从 iked 发送到 SPU.0.20 6 月 14 日 10:42:24.328902 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate 收到的 ipc-index=45111,local-ip=none,remote-ip=none 的成功响应 6 月 14 日 10:42:24.332381 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute 收到的 ipc-index=0 响应成功 Jun 14 10:42:24.333295 [DET] [PUBL] [20.1.1.1 <-> 20.1.1.2] IKE-SA-INDEX 11282 成功发布 IKE-SA 0x21dec24 6 月 14 日 10:42:29.316880 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi:ts-match 的流量选择器匹配成功,C:ipv4(0.0.0.0-255.255.255.255) R:ipv4(10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255) 6 月 14 日 10:42:29.316889 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSr:ts-match 的流量选择器匹配 成功,C:ipv4(0.0.0.0-255.255.255.255) R:ipv4(30.1.1.0-30.1.1.255) N:ipv4(30.1.1.0-30.1.1.255) 6 月 14 日 10:42:29.317147 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] 使用 local-spi 成功添加 tunnel-sadb-add (0x80eeab18) Jun 14 10:42:29.317178 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] SPI (0x80eeab18) 本地 IP (20.1.1.1) 远程 IP (20.1.1.2) VPN (IPSEC_VPN) 成功选择 IPsec-SA 6 月 14 日 10:42:29.320369 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate 为 ipc-index=45113,local-ip=none,remote-ip=none 收到成功响应 6 月 14 日 10:42:29.323800 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute 收到的 ipc-index=0 响应成功 Jun 14 10:42:29.325513 [EXT] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:已成功将 IPC 消息标记 4 从 iked 发送到 SPU.0.20 |
| FIA_X509_EXT.1 |
与 CA 建立会话 |
会话建立期间传输或接收的数据包的整个数据包内容 |
kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name=“”vpn1“” remote-address=“”5.5.5.1“” local-address=“”11.11.11.1“” ga teway-name=“”gw1“” group-name=“”vpn1“” tunnel-id=“”131073“” interface-name=“”st0.0“” internal-ip=“”not-available“” name=“”11.11.11.1.1“” peer-name=”“5.5.5.1”“ client-name=”“不适用”“ vrrp-group-id=”“0”“ traffic-selector-name= ”“”“ traffic-selector-cfg-local-id=”“ipv4_subnet(any:0, [0..7\]=0.0.0.0/0)”“ traffic-selector-cfg-remote-id= ”“ipv4_subnet(any: 0,[0..7\]=0.0.0.0/0)”“ argument1= ”“静态”“] 5.5.5.1 开始的 VPN VPN1 已启动。本地 IP:11.11.11.1,网关名称:GW1,VPN 名称:VPN1,隧道 ID:131073,本地隧道 IF:st0.0,远程隧道 IP:不可用,本地 IKE ID:11.11.11.1,远程 IKE ID:5.5.5.1,AAA 用户名:不适用,VR ID:0,流量选择器:,流量选择器本地 ID:ipv4_subnet(any:0,[0..7]=0.0.0.0/0),流量选择器远程 ID:ipv4_subnet(any:0,[0..7]=0.0.0.0/0),SA 类型:静态 |
| FPF_RUL_EXT.1 |
应用使用 |
|
[edit] root@host:fips# run show firewall Filter: __default_bpdu_filter__ Filter: fw_filter1 Counters: Name Bytes Packets inc1 0 0 inc2 840 10 [edit] root@host:fips# [edit] root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 11:05:31 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 11:05:30 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 11:05:29 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 11:05:28 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 11:19:59 pfe R st0.1 TCP 30.1.1.1 10.1.1.1 root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:00:18 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 13:00:17 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 13:00:16 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 13:00:15 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:00:45 pfe A ge-0/0/4.0 TCP 30.1.1.5 10.1.1.1 |
| 由于网络高流量而丢弃的数据包的指示 |
无法处理数据包的 TOE 接口 |
RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 sourceaddress=" 1.1.1. 2" source-port="10001" destination-address="2.2.2.2" destinationport=" 21" connection-tag="0" servicename=" junos-ftp" protocol-id="6" icmptype=" 0" policy-name="p2" source-zone-na me="ZO_A" destination-zone-name="ZO_B" application="UNKNOWN" nestedapplication=" UNKNOWN" username="N/A" roles="N/A" packet-incominginterface=" ge-0/0/0.0" encrypted="No" reason="D enied by policy" sessionid- 32="3" application-category="N/A" application-sub-category="N/A" applicationrisk="- 1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp=" N/A"] session denied 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6(0) p2 ZO_A ZO_B UNKNOWN UNKNOWN N/A(N/A) ge-0/0/0.0 No Denied by policy 3 N/A N/A -1 N/A N/A N/A |
最佳做法是捕获对配置的所有更改,并远程存储日志信息。
有关日志详细信息的详细信息,请参阅 指定日志文件大小、编号和存档属性
解释事件消息
以下输出显示了示例事件消息。
Feb 27 02:33:04 bm-a mgd[6520]: UI_LOGIN_EVENT: User 'security-officer' login, class 'j-super-user' [6520], ssh-connection '', client-mode 'cli' Feb 27 02:33:49 bm-a mgd[6520]: UI_DBASE_LOGIN_EVENT: User 'security-officer' entering configuration mode Feb 27 02:38:29 bm-a mgd[6520]: UI_CMDLINE_READ_LINE: User 'security-officer', command 'run show log Audit_log | grep LOGIN
表 2 描述了事件消息的字段。如果系统日志记录实用程序无法确定特定字段中的值,则会改为显示连字符 (-)。
| 字段 | 描述 | 示例 |
|---|---|---|
|
|
消息生成时间,格式为以下格式之一:
|
Feb 27 02:33:04 is the timestamp expressed as local time in the United States. 2012-02-27T09:17:15.719Z is 2:33 AM UTC on 27 Feb 2012. |
|
|
最初生成消息的主机的名称。 |
router1 |
|
|
生成消息的 Junos OS 进程的名称。 |
mgd |
|
|
生成消息的 Junos OS 进程的 UNIX 进程 ID (PID)。 |
4153 |
|
|
Junos OS 系统日志消息标记,用于唯一标识消息。 |
UI_DBASE_LOGOUT_EVENT |
|
|
发起事件的用户的用户名 |
“admin” |
|
|
事件的英文描述 |
set: [system radius-server 1.2.3.4 secret] |
记录对机密数据的更改
以下示例显示了更改机密数据的事件的审核日志。每当发生配置更改时,syslog 事件都会捕获类似于以下示例的日志:
Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system radius-server 1.2.3.4 secret] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system login user admin authentication encrypted-password] Jul 24 17:43:28 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' set: [system login user admin2 authentication encrypted-password]
每当发生配置更新时,syslog 事件都会捕获类似于以下示例的日志:
Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' replace: [system radius-server 1.2.3.4 secret] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' replace: [system login user admin authentication encrypted-password] Jul 24 18:29:09 router1 mgd[4163]: UI_CFG_AUDIT_SET_SECRET: User 'admin' replace: [system login user admin authentication encrypted-password]
使用 SSH 登录和注销事件
每当用户成功或失败地尝试使用 SSH 登录或注销时,系统都会生成系统日志消息。例如,以下日志显示两次失败的登录尝试,一次成功,最后一次注销事件。
Dec 20 23:17:35 bilbo sshd[16645]: Failed password for op from 172.17.58.45 port 1673 ssh2 Dec 20 23:17:42 bilbo sshd[16645]: Failed password for op from 172.17.58.45 port 1673 ssh2 Dec 20 23:17:53 bilbo sshd[16645]: Accepted password for op from 172.17.58.45 port 1673 ssh2 Dec 20 23:17:53 bilbo mgd[16648]: UI_AUTH_EVENT: Authenticated user 'op' at permission level 'j-operator' Dec 20 23:17:53 bilbo mgd[16648]: UI_LOGIN_EVENT: User 'op' login, class 'j-operator' [16648] Dec 20 23:17:56 bilbo mgd[16648]: UI_CMDLINE_READ_LINE: User 'op', command 'quit ' Dec 20 23:17:56 bilbo mgd[16648]: UI_LOGOUT_EVENT: User 'op' logout
审计启动的日志记录
记录的审核信息包括 Junos OS 启动的实例。这些日志标识审核系统的启动事件,您不能单独禁用或启用这些事件。例如,重新启动 Junos OS 时,审核日志包含类似于以下示例的信息:
Dec 20 23:17:35 bilbo syslogd: exiting on signal 14 Dec 20 23:17:35 bilbo syslogd: restart Dec 20 23:17:35 bilbo syslogd /kernel: Dec 20 23:17:35 init: syslogd (PID 19128) exited with status=1 Dec 20 23:17:42 bilbo /kernel: Dec 20 23:17:53 init: syslogd (PID 19200) started