Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP 事件日志

启用入侵检测和防御 (IDP) 后,基本 Junos OS 系统日志记录继续起作用。

有关更多信息,请参阅以下主题:

了解 IDP 日志记录

支持 IDP 的设备将继续记录由于例行操作(例如用户登录到配置数据库)而发生的事件。它会记录故障和错误情况,例如无法访问配置文件。您可以配置文件来记录系统消息,还可以为消息分配属性,如严重级别。除了常规的系统日志消息外,IDP 还生成攻击事件日志。

当事件与启用了日志记录的 IDP 策略规则匹配时,IDP 会生成事件日志。配置日志记录规则时,设备将为与该规则匹配的每个事件创建一个日志条目。您可以使用 CLI 或 J-Web 配置策略规则以生成事件日志。

注意:

在 IDP 攻击检测事件日志消息 (IDP_ATTACK_LOG_EVENT_LS) 中,不填充时间、字节、出字节、inpackets 和 outpackets 字段。

由于 IDP 事件日志是在攻击期间生成的,因此日志生成会突发,因此在攻击期间会生成大量消息。与其他事件消息相比,攻击生成的消息的消息大小也大得多。日志数量和消息大小是日志管理的重要问题。为了更好地管理日志消息数量,IDP 支持日志抑制。

通过配置日志抑制,您可以抑制在同一时间段内从相同或类似会话发生的同一日志的多个实例。启用日志抑制可确保为多次发生的相同事件或攻击生成最少的日志数量。

了解 IDP 日志抑制属性

日志抑制可确保为多次发生的相同事件或攻击生成最少数量的日志。默认情况下,日志抑制处于启用状态。您可以根据需要配置某些日志抑制属性来抑制日志。配置日志抑制时,请记住,如果报告间隔设置过高,则日志抑制会对传感器性能产生负面影响。

您可以配置以下日志抑制属性:

  • 在执行日志抑制时包括目标地址 — 您可以选择将事件的日志记录与匹配的源地址组合在一起。默认情况下,IDP 传感器在匹配事件以抑制日志时不考虑目标。

  • 开始日志抑制之后的日志出现次数 — 您可以指定在日志抑制开始之前必须发生的特定事件的实例数。默认情况下,第一次出现后就开始了日志抑制。

  • 日志抑制可操作的最大日志数 — 启用日志抑制后,入侵检测和防御 (IDP) 必须缓存日志记录,以便识别发生同一事件的多次事件。您可以指定 IDP 同时跟踪多少条日志记录。默认情况下,IDP 可操作的最大日志记录数为 16,384。

  • 报告抑制日志的时间之后 — 启用日志抑制后,IDP 会保留同一事件的发生次数。超过指定的秒数后,IDP 会编写一个日志条目,其中包含出现次数。默认情况下,IDP 会在 5 秒后报告抑制的日志。

示例:配置 IDP 日志抑制属性

此示例说明如何配置日志抑制属性。

要求

开始之前:

概述

日志抑制可确保为多次发生的相同事件或攻击生成最少数量的日志。默认情况下,日志抑制处于启用状态。您可以根据需要配置某些日志抑制属性来抑制日志。

在此示例中,您将将日志抑制配置为在事件第二次出现后开始,并指定在 20 秒后报告日志。

配置

程序

逐步过程

要配置日志抑制属性:

  1. 指定希望开始日志抑制的日志编号。

  2. 指定报告抑制日志的最大时间。

  3. 完成设备配置后,提交配置。

验证

要验证日志统计信息,请输入 show security idp counters log 命令。

了解 IC 系列 UAC 设备上的 IDP 日志信息使用情况

适用于统一访问控制 (UAC) 设备的 IC 系列 UAC 设备可以使用从瞻博网络设备发送的入侵检测和防御 (IDP) 攻击日志信息,为 IDP 日志指示已检测到攻击的流量应用访问策略。通过使用安全的通信通道,这些 IDP 日志将直接安全地发送到 IC 系列设备。IDP 攻击日志通过 JUEP 通信通道发送到 IC 系列设备。

本主题包含以下部分:

将消息过滤到 IC 系列 UAC 设备

将 IC 系列 UAC 设备配置为接收 IDP 日志消息时,可在 IC 系列设备上设置某些过滤参数。如果没有这种过滤,IC 系列设备可能会收到太多日志消息。过滤参数可能包括以下内容:

  • IC 系列设备应仅从 IDP 接收已验证会话的通信。有关详细信息,请参阅 统一访问控制管理指南

  • 您可以创建 IC 系列设备过滤器,根据 IDP 日志文件的严重性接收 IDP 日志文件。例如,如果在 IC 系列设备上将严重性设置为高,则 IDP 仅发送严重性大于或等于高的日志。有关详细信息,请参阅 统一访问控制管理指南

  • 通过 IC 系列设备,您可以禁用所有 IDP 日志的接收。有关详细信息,请参阅 统一访问控制管理指南

配置 IC 系列 UAC 设备日志记录

接收和过滤 IDP 日志的所有配置都在 IC 系列 UAC 设备上完成。有关接收 IDP 日志的配置信息以及 JUEP 通信通道上的详细信息,请参阅 《统一访问控制管理指南 》。

IDP 报警和审计

默认情况下,IDP 会记录事件的发生,而不会向管理员发出警报。将系统配置为记录事件并 potential-violation 设置选项后,数据包转发引擎上的 IDP 日志将被转发到路由引擎。然后,路由引擎解析 IDP 攻击日志,并在必要时发出 IDP 告警。

  • 要启用 IDP 告警,请使用 set security alarms potential-violation idp 命令。

  • 要验证配置是否工作正常,请使用 show security alarms 命令。

注意:

在 Junos OS 11.2 版之前的版本中,IDP 攻击日志包含有关攻击事件的信息,但不会向管理员发出警报。