Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

瞻博网络 Junos OS

瞻博网络 Junos OS 平台 DSM for JSA 接受使用系统日志、结构化数据系统日志或 PCAP 的事件(仅限 SRX 系列)。 JSA 记录所有有效的系统日志或结构化数据系统日志事件。

瞻博网络 Junos OS 平台 DSM 支持以下运行 Junos OS 的瞻博网络设备:

  • 瞻博网络 M Series 多服务边缘路由

  • 瞻博网络 MX 系列以太网服务路由器

  • 瞻博网络 T Series 核心平台

  • 瞻博网络 SRX 系列服务网关

有关配置使用瞻博网络 SRX 系列设备的 PCAP 数据的信息,请参阅 配置 PCAP 协议

注意:

有关结构化数据系统日志的详细信息,请参阅 RFC 5424,网址为互联网工程任务组: http://www.ietf.org/

在配置 JSA 与瞻博网络设备集成之前,必须使用 syslog 或结构化数据系统日志将数据转发到 JSA

  1. 登录瞻博网络平台命令行界面 (CLI)。

  2. set system 层次结构级别包括以下 syslog 语句:

    [set system] syslog {host (hostname) {facility <severity>; explicit-priority; any any; authorization any; firewall any;

    } source-address source-address; structured-data {brief;} }

    下表列出并描述了要在 syslog 语句中输入的配置设置变量。

    参数

    描述

    主机

    键入 JSA 的 IP 地址或完全限定主机名。

    设备

    定义属于与之配对的命名设施的消息的严重性。有效的严重性级别为:

    • 任何

    • 没有

    • 紧急

    • 警报

    • 危急

    • 错误

    • 警告

    • 通知

    • 信息

    将记录具有指定严重性级别和更高级别的消息。从紧急到信息的级别按从最高严重性到最低的顺序排列。

    源地址

    键入在其中一个路由器接口上配置的有效 IP 地址,以便进行系统记录。

    源地址被记录为发送至 JSA 的系统日志消息的来源。此 IP 地址在 主机 名语句 set system syslog 层次结构级别中指定;但是,这不适用于定向到其他路由引擎或路由矩阵中的 TX Matrix 平台的消息。

    结构化数据

    将结构化数据系统日志插入到数据中。

    您现在可以在 JSA 中配置日志源。

    JSA 会自动发现以下设备作为瞻博网络 Junos OS 平台设备:

    • 瞻博网络 M Series 多服务边缘路由

    • 瞻博网络 MX 系列以太网服务路由器

    • 瞻博网络 SRX 系列

    • 瞻博网络 EX 系列以太网交换机

    • 瞻博网络 T Series 核心平台

    注意:

    由于 Junos OS 系列中各种设备的日志记录相似性,当自动发现您的设备时,正确的日志源类型可能无法接收预期事件。查看为设备自动创建的日志源,然后手动调整配置。您可以添加任何错过的日志源类型,或删除任何错误添加的日志源类型。

Juniper Junos OS 的 Syslog 日志源参数

如果 JSA 未自动检测日志源,请使用 Syslog 协议在 JSA 控制台添加瞻博网络 Junos OS 日志源。

使用 syslog 协议时,您必须使用一些特定参数。

下表描述了需要特定值才能从瞻博网络 Junos OS 收集 Syslog 事件的参数:

表 1:Juniper Junos OS DSM 的 Syslog 日志源参数

参数

价值

日志源类型

  • 瞻博网络 Junos OS 平台

  • 瞻博网络 M Series 多服务边缘路由

  • 瞻博网络 MX 系列以太网服务路由器

  • 瞻博网络 SRX 系列服务网关

  • 瞻博网络 T Series 核心平台

协议配置

系统日志

有关瞻博网络设备的更多信息,请参阅供应商文档。

配置 PCAP 协议

瞻博网络 SRX 系列设备支持将数据包捕获 (PCAP) 和系统日志数据转发到 JSA。

Syslog 数据通过端口 514 转发至 JSA。IP 地址和传出 PCAP 端口号在瞻博网络 SRX 系列设备接口上配置。瞻博网络 SRX 系列设备必须按以下格式进行配置,才能转发 PCAP 数据:

<IP Address><Port>

哪里

  • <IP Address>是 JSA 的 IP 地址。

  • <Port>是 PCAP 数据的传出端口地址。

有关配置数据包捕获的更多信息,请参阅 瞻博网络 Junos OS 文档

现在,您已准备好在 JSA 中使用 PCAP 协议配置新的瞻博网络 SRX 日志源。

瞻博网络 SRX 系列的 PCAP 系统日志组合日志源参数

如果 JSA 未自动检测到日志源,请使用 PCAP 系统日志组合协议,在 JSA 控制台上添加瞻博网络 SRX 系列日志源。

JSA 会检测系统日志数据并自动添加日志源。使用 PCAP 系统日志组合协议,可将 PCAP 数据作为瞻博网络 SRX 系列服务网关日志源添加到 JSA在 JSA 自动发现 Junos OS 系统日志数据后添加 PCAP 系统日志组合协议会将日志源添加到现有日志源限制中。删除现有系统日志条目,然后添加 PCAP 系统日志组合协议,将系统日志和 PCAP 数据添加为单个日志源。

使用 PCAP Syslog 组合协议时,您必须使用特定参数。

下表介绍了需要特定值才能从瞻博网络 SRX 系列收集 PCAP 系统日志组合事件的参数:

表 2:瞻博网络 SRX 系列 DSM 的 PCAP 系统日志组合日志源参数

参数

价值

日志源类型

瞻博网络 SRX 系列服务网关

瞻博网络 Junos OS 示例事件消息

使用此示例事件消息验证是否成功与 JSA 集成。

注意:

由于格式问题,请将邮件格式粘贴到文本编辑器中,然后删除所有回车符或换行符。

瞻博网络 MX 系列以太网服务路由器使用 Syslog 协议时的示例消息

以下示例事件消息显示成员已成功添加到组中。

表 3:突出显示的字段

JSA 字段名称

突出显示的有效负载字段名称

日志源时间

10 月 14 日 10:16:59

事件 ID

JSERVICES_SESSION_CLOSE

IP地址

10.253.200.191

源端口

39718