逻辑系统故障排除
使用以下功能监控逻辑系统并排除软件问题。有关更多信息,请参阅以下主题:
了解安全日志和逻辑系统
安全日志是包括安全事件的系统日志消息。如果为逻辑系统配置了设备,那么在逻辑系统上下文中生成的安全日志将使用名称 logname_LS (例如 ,IDP_ATTACK_LOG_EVENT_LS)。日志的逻辑系统版本与未为逻辑系统配置的设备的日志具有相同的属性集。逻辑系统日志将逻辑系统名称作为第一个属性。
以下安全日志显示了 未 为逻辑系统配置的设备的 IDP_ATTACK_LOG_EVENT 日志的属性:
IDP_ATTACK_LOG_EVENT {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
以下安全日志显示为逻辑系统配置的设备的 IDP_ATTACK_LOG_EVENT_LS 日志的属性(请注意,逻辑系统名称是第一个属性):
IDP_ATTACK_LOG_EVENT_LS {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
如果为逻辑系统配置了设备,则日志解析脚本可能需要修改,因为日志名称包括 _LS 后缀,而逻辑系统 name 属性可用于按逻辑系统隔离日志。
如果未为逻辑系统配置设备,则安全日志保持不变,而为解析日志而构建的脚本也不需要修改。
只有主管理员才能在 [edit security log] 层次结构级别配置日志记录。用户逻辑系统管理员无法为其逻辑系统配置日志记录。
流模式是一组日志记录服务,包括:
异机日志记录(SRX 系列)
本机日志记录和报告(SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500、SRX4100、SRX4200和SRX4600系列)
异机日志记录支持按逻辑系统配置,并基于这些配置处理日志。以前,用户逻辑系统日志是从根逻辑系统生成的。对于异机日志记录,只能从逻辑系统接口生成逻辑系统日志。
限制
在 Junos OS 18.2R1 版本中,每个 SPU 只能为独立设备支持最多 1000 个连接,群集SRX5400、SRX5600和SRX5800设备最多支持 500 个连接。如果所有连接都用尽,则用户逻辑系统可能无法建立某些连接。
系统会在 系统日志浏览器上捕获该错误消息。
为逻辑系统配置本机报告
SRX 系列防火墙支持为逻辑系统用户提供不同类型的报告。
报告存储在 SRX 系列防火墙本地,不需要单独的设备或工具来存储日志和报告。本机报告提供了一个简单且易于使用的界面,用于查看安全日志。
开始之前:
了解如何为逻辑系统配置安全日志。请参阅示例:配置逻辑系统的安全日志
要为逻辑系统配置本机报告:
默认情况下, report 选项处于禁用状态。命令 set logical-systems LSYS1 security log mode stream 默认处于启用状态。
示例:为逻辑系统配置安全日志
此示例说明如何为逻辑系统配置安全日志。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙。
Junos OS 18.3R1 及更高版本。
开始之前:
了解如何配置逻辑系统。
了解如何为主逻辑系统创建安全配置文件。请参阅 了解逻辑系统安全配置文件(仅限主管理员)。
概述
SRX 系列防火墙有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如,管理员登录到设备。安全日志(也称为流量日志)记录有关特定流量处理的数据平面事件,例如,当安全策略因某种违反策略而拒绝某些流量时。
这两种类型的日志可以在本机或异机中收集并保存。下面的过程介绍如何为异机(流模式)日志记录配置二进制格式的安全日志。
对于异机日志记录,逻辑系统的安全日志将从逻辑系统接口发送。如果逻辑系统接口已在路由实例中配置,则按edit logical-systems logical-system-name security log stream log-stream-name host层次结构进行配置routing-instance routing-instance-name。如果未在路由实例中配置接口,则不应在层次结构中edit logical-systems logical-system-name security log stream log-stream-name host配置路由实例。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
程序
逐步过程
以下过程指定如何为逻辑系统配置安全日志。
指定日志文件的日志记录模式和格式。对于异机流模式日志记录。
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
对于异机安全日志记录,请指定源地址,用于识别生成日志消息的 SRX 系列防火墙。需要源地址。
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
指定路由实例并定义接口。
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
为逻辑系统定义路由实例。
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
指定设备的安全日志传输协议。
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
程序
逐步过程
以下过程指定如何为逻辑系统配置安全配置文件。
配置安全配置文件并指定最大策略和保留策略的数量。
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
将配置的安全配置文件分配给 TSYS1。
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
结果
在配置模式下,输入 、 show logical-systems LSYS1 security log和show logical-systems LSYS1 routing-instances命令,show system security-profile以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show system security-profile
LSYS1_profile {
logical-system LSYS1;
}
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
}
[edit]
user@host# show logical-systems LSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream LSYS1_s {
format binary;
host {
1.3.54.22;
}
}
[edit]
user@host# show logical-systems LSYS1 routing-instances
LSYS1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
完成设备配置后,请从配置模式进入 commit 。
为逻辑系统配置本机二进制安全日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
收集这两种类型的日志,然后从本机或异机保存。以下过程介绍如何为逻辑系统的本机(事件模式)日志记录配置二进制格式的安全日志。
以下过程为事件模式安全日志记录指定二进制格式,并定义逻辑系统的日志文件名、路径和日志文件特征。
指定日志文件的日志记录模式和格式。对于本机事件模式日志记录:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(可选)指定日志文件名。
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
注意:安全日志文件名不是必需的。如果未配置安全日志文件名,则默认情况下,在 /var/log 目录中创建bin_messages文件。
输入命令以确认
show logical-systems LSYS1您的配置。[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
以下过程为流模式安全日志记录指定二进制格式,并定义逻辑系统的日志文件名和日志文件特征。
指定日志文件的日志记录模式和格式。对于本机流模式日志记录:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(可选)指定日志文件名。
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
输入命令以确认
show logical-systems LSYS1您的配置。[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
为逻辑系统配置异机二进制安全日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
这两种类型的日志可以在本机或异机中收集并保存。下面的过程介绍如何为异机(流模式)日志记录配置二进制格式的安全日志。
以下过程为流模式安全日志记录指定二进制格式,并定义逻辑系统的日志记录模式、源地址和主机名特征。
指定日志文件的日志记录模式和格式。对于异机流模式日志记录:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
指定异机安全日志记录的源地址。
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
指定主机名。
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
输入命令以确认
show logical-systems LSYS1您的配置。[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
了解逻辑系统的数据路径调试
数据路径调试在数据包处理路径上的多个处理单元提供跟踪和调试。还可以对逻辑系统之间的流量执行数据路径调试。
只有主管理员才能在 [编辑安全数据路径-调试] 级别为逻辑系统配置数据路径调试。用户逻辑系统管理员无法为其逻辑系统配置数据路径调试。
端到端事件跟踪可跟踪数据包从进入设备到离开设备时的路径。当主管理员配置端到端事件跟踪时,追踪输出将包含逻辑系统信息。
主管理员还可以为逻辑系统之间的流量配置跟踪。追踪输出显示进入和离开逻辑系统之间的逻辑隧道的流量。配置 保留追踪顺序 选项后,追踪消息将按时间顺序排序。除了跟踪操作外,还可以为逻辑系统之间的流量配置数据包转储和数据包摘要等其他操作。
SRX1400、SRX3400、SRX3600、SRX5400、SRX5600和SRX5800支持数据路径调试。
另请参阅
对逻辑系统执行跟踪(仅限主管理员)
只有主管理员才能在根级别为逻辑系统配置数据路径调试。
要为追踪或数据包捕获配置操作配置文件:
要捕获逻辑系统的跟踪消息:
配置追踪捕获文件。
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
在操作模式下显示捕获的追踪。
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
清除日志。
user@host> clear log e2e.trace
要为逻辑系统执行数据包捕获:
配置数据包捕获文件。
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
进入操作模式以开始并停止数据包捕获。
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
注意:可以使用 tcpdump 或任何识别 libpcap 格式的数据包分析器脱机打开和分析数据包捕获文件。您还可以使用 FTP 或会话控制协议 (SCP) 将数据包捕获文件传输到外部设备。
从配置模式禁用数据包捕获。
注意:在打开文件进行分析之前禁用数据包捕获,或者使用 FTP 或 SCP 将文件传输到外部设备。禁用数据包捕获可确保内部文件缓冲区被刷新,并将捕获的所有数据包都写到文件中。
[edit forwarding-options] user@host# set packet-capture disable
显示数据包捕获。
要显示使用 tcpdump 实用程序捕获的数据包:
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
要显示从 CLI 操作模式捕获的数据包:
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
另请参阅
对逻辑系统安全策略中的 DNS 名称解析进行故障排除(仅限主管理员)
问题
描述
用于安全策略的通讯簿条目中主机名的地址可能无法正确解析。
原因
通常,包含动态主机名的通讯簿条目会自动刷新 SRX 系列防火墙。与 DNS 条目关联的 TTL 字段表示策略缓存中刷新条目的时间。TTL 值到期后,SRX 系列防火墙会自动刷新地址簿条目的 DNS 条目。
但是,如果 SRX 系列防火墙无法从 DNS 服务器获得响应(例如,DNS 请求或响应数据包在网络中丢失或 DNS 服务器无法发送响应),则通讯簿条目中主机名的地址可能无法正确解析。这可能会导致流量丢失,因为未找到任何安全策略或会话匹配。
解决 方案
主管理员可以使用 show security dns-cache 命令在 SRX 系列防火墙上显示 DNS 缓存信息。如果需要刷新 DNS 缓存信息,主管理员可以使用 clear security dns-cache 命令。
这些命令仅对为逻辑系统配置的设备上的主管理员可用。此命令在用户逻辑系统或未为逻辑系统配置的设备上不可用。