逻辑系统故障排除
了解安全性日志和逻辑系统
安全性日志是包含安全事件的系统日志消息。如果为逻辑系统配置了设备,则在逻辑系统上下文中生成的安全日志将使用名称 logname_LS (例如, IDP_ATTACK_LOG_EVENT_LS)。日志的逻辑系统版本与未针对逻辑系统进行配置的设备的日志具有相同的属性集。逻辑系统日志将 logical-system-name 作为第一个属性。
以下安全日志显示了 未 为逻辑系统配置的设备的 IDP_ATTACK_LOG_EVENT 日志的属性:
IDP_ATTACK_LOG_EVENT {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
以下安全日志显示了为逻辑系统配置的设备的 IDP_ATTACK_LOG_EVENT_LS 日志的属性(请注意,logical-system-name 是第一个属性):
IDP_ATTACK_LOG_EVENT_LS {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
如果设备配置为逻辑系统,则可能需要修改日志解析脚本,因为日志名称包含 _LS 后缀,并且 logical-system-name 属性可用于按逻辑系统隔离日志。
如果设备未为逻辑系统配置,则安全日志保持不变,并且为解析日志而构建的脚本不需要任何修改。
只有主管理员才能在 [edit security log] 层级配置日志记录。用户逻辑系统管理员无法为其逻辑系统配置日志记录。
异机日志记录支持按逻辑系统配置,并根据这些配置处理日志。以前,用户逻辑系统日志是从根逻辑系统生成的。对于异机日志记录,只能从逻辑系统接口生成逻辑系统日志。
为逻辑系统配置本机报告
SRX 系列防火墙支持逻辑系统用户使用不同类型的报告。
报告存储在 SRX 系列防火墙本地,无需单独的设备或工具来存储日志和报告。本机报告提供了一个简单易用的界面来查看安全日志。
开始之前:
了解如何为逻辑系统配置安全日志。请参阅示例:为逻辑系统配置安全性日志
要为逻辑系统配置本机报告:
默认情况下,该 report 选项处于禁用状态。默认情况下,该 set logical-systems LSYS1 security log mode stream 命令处于启用状态。
示例:为逻辑系统配置安全性日志
此示例说明如何为逻辑系统配置安全日志。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙。
Junos OS 18.3R1 及更高版本。
开始之前:
了解如何配置逻辑系统。
了解如何为主逻辑系统创建安全配置文件。请参阅了解逻辑系统安全性配置文件(仅限主管理员)。
概述
SRX 系列防火墙包含两种类型的日志:系统日志和安全日志。系统日志会记录控制平面事件,例如管理员登录到设备。安全性日志(也称为流量日志)记录与特定流量处理相关的数据平面事件,例如,当安全策略因某些违反策略而拒绝某些流量时。
这两种类型的日志可以在机内或机外收集和保存。以下过程说明如何为异机(流模式)日志记录配置二进制格式的安全日志。
对于异机日志记录,逻辑系统的安全日志从逻辑系统接口发送。如果已在路由实例中配置逻辑系统接口,则按层次结构进行edit logical-systems logical-system-name security log stream log-stream-name host配置routing-instance routing-instance-name。如果未在路由实例中配置接口,则不应在层次结构中edit logical-systems logical-system-name security log stream log-stream-name host配置任何路由实例。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
过程
分步程序
以下过程指定如何为逻辑系统配置安全日志。
指定日志记录模式和日志文件的格式。用于异机流模式日志记录。
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
对于异机安全日志记录,请指定源地址,用于标识生成日志消息的 SRX 系列防火墙。源地址为必填项。
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
指定路由实例并定义接口。
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
定义逻辑系统的路由实例。
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
指定设备的安全日志传输协议。
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
过程
分步程序
以下过程指定如何为逻辑系统配置安全配置文件。
配置安全配置文件并指定最大策略和保留策略的数量。
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
将配置的安全配置文件分配给 TSYS1。
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
结果
在配置模式下,输入 show system security-profile、 show logical-systems LSYS1 security log和 show logical-systems LSYS1 routing-instances 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show system security-profile
LSYS1_profile {
logical-system LSYS1;
}
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
}
[edit]
user@host# show logical-systems LSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream LSYS1_s {
format binary;
host {
1.3.54.22;
}
}
[edit]
user@host# show logical-systems LSYS1 routing-instances
LSYS1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
如果完成设备配置,请从配置模式进入。commit
为逻辑系统配置本机二进制安全性日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
系统会收集并保存这两种类型的日志,无论是在机上还是在机外。以下过程说明如何为逻辑系统的本机(事件模式)日志记录配置二进制格式的安全日志。
以下过程指定事件模式安全日志记录的二进制格式,并为逻辑系统定义日志文件名、路径和日志文件特征。
指定日志记录模式和日志文件的格式。对于本机事件模式日志记录:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(选答)指定日志文件名。
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
注意:安全性日志文件名不是必需的。如果未配置安全日志文件名,则默认情况下将在 /var/log 目录中创建文件bin_messages。
输入命令以
show logical-systems LSYS1确认您的配置。[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
以下过程指定流模式安全日志记录的二进制格式,并定义逻辑系统的日志文件名和日志文件特征。
指定日志记录模式和日志文件的格式。对于本机流模式日志记录:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(选答)指定日志文件名。
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
输入命令以
show logical-systems LSYS1确认您的配置。[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
为逻辑系统配置异机二进制安全性日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
这两种类型的日志可以在机内或机外收集和保存。以下过程说明如何为异机(流模式)日志记录配置二进制格式的安全日志。
以下过程指定流模式安全日志记录的二进制格式,并定义逻辑系统的日志记录模式、源地址和主机名特征。
指定日志记录模式和日志文件的格式。对于异机流模式日志记录:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
指定异机安全日志记录的源地址。
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
指定主机名。
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
输入命令以
show logical-systems LSYS1确认您的配置。[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
了解逻辑系统的数据路径调试
数据路径调试可在数据包处理路径上的多个处理单元上提供跟踪和调试。还可以对逻辑系统之间的流量执行数据路径调试。
只有主管理员才能在 [edit security datapath-debug] 级别为逻辑系统配置数据路径调试。用户逻辑系统管理员无法为其逻辑系统配置数据路径调试。
端到端事件跟踪数据包从进入设备到离开设备的路径。当主管理员配置端到端事件跟踪时,跟踪输出包含逻辑系统信息。
主管理员还可以配置逻辑系统之间的流量跟踪。追踪输出显示进出逻辑系统之间的逻辑隧道的流量。配置 preserve-trace-order 选项后,追踪消息将按时间顺序排序。除了跟踪作,还可以为逻辑系统之间的流量配置其他作,如数据包转储和数据包汇总。
也可以看看
对逻辑系统执行跟踪(仅限主管理员)
只有主管理员才能在根级别为逻辑系统配置数据路径调试。
要为跟踪或数据包捕获配置作配置文件:
要捕获逻辑系统的跟踪消息:
配置跟踪捕获文件。
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
在作模式下显示捕获的跟踪。
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
清除日志。
user@host> clear log e2e.trace
要对逻辑系统执行数据包捕获:
配置数据包捕获文件。
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
进入作模式以启动和停止数据包捕获。
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
注意:可以使用 tcpdump 或任何识别 libpcap 格式的数据包分析器离线打开和分析数据包捕获文件。您还可以使用 FTP 或会话控制协议 (SCP) 将数据包捕获文件传输到外部设备。
从配置模式禁用数据包捕获。
注意:在打开文件进行分析或使用 FTP 或 SCP 将文件传输到外部设备之前,禁用数据包捕获。禁用数据包捕获可确保刷新内部文件缓冲区,并将所有捕获的数据包写入文件。
[edit forwarding-options] user@host# set packet-capture disable
显示数据包捕获。
要显示使用 tcpdump 实用程序捕获的数据包:
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
要显示从 CLI作模式捕获的数据包:
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
也可以看看
对逻辑系统安全性策略中的 DNS 名称解析进行故障排除(仅限主管理员)
问题
描述
安全策略中使用的通讯簿条目中的主机名地址可能无法正确解析。
原因
通常,包含动态主机名的地址簿条目会为 SRX 系列防火墙自动刷新。与 DNS 条目关联的 TTL 字段指示应在策略缓存中刷新条目的时间。TTL 值过期后,SRX 系列防火墙会自动刷新地址簿条目的 DNS 条目。
但是,如果 SRX 系列防火墙无法从 DNS 服务器获得响应(例如,DNS 请求或响应数据包在网络中丢失或 DNS 服务器无法发送响应),则通讯簿条目中的主机名地址可能无法正确解析。这可能会导致流量丢失,因为未找到匹配的安全策略或会话。
解决方案
主管理员可以使用该 show security dns-cache 命令在 SRX 系列防火墙上显示 DNS 缓存信息。如果需要刷新 DNS 缓存信息,主管理员可以使用该 clear security dns-cache 命令。
这些命令仅对为逻辑系统配置的设备上的主管理员可用。此命令在用户逻辑系统或未针对逻辑系统配置的设备上不可用。
也可以看看
特定于平台的安全性日志行为
使用 功能资源管理器 确认平台和版本对特定功能的支持。
使用下表查看平台的特定于平台的行为:
| 平台 |
差异 |
|---|---|
| SRX 系列 |
|