租户系统的安全性日志
租户系统的安全性日志包括用于控制系统数据平面的安全事件。安全性日志以二进制格式从租户系统接口发送到外部服务器。安全性日志是按租户系统生成的。
了解租户系统的安全性日志
Junos OS 会生成单独的日志消息来记录系统控制平面和数据平面上发生的事件。数据平面日志(也称为安全日志)主要包括在数据平面内处理的安全事件。安全性日志可以是文本或二进制格式,它们可以保存在本地(事件模式)或发送到外部服务器(流模式)。流模式需要二进制格式,建议在事件模式下节省日志空间。
如果为每个租户配置安全日志,则为每个租户生成安全日志。
租户系统的安全性日志从租户系统接口发送。您可以配置分配的路由实例以及属于租户系统内路由表的接口。
为租户系统配置流编号时,应使用最大策略和保留策略的数量来定义安全配置文件。主管理员可以使用安全配置文件来指定资源分配。
如果租户系统需要的资源超过其预留量允许的资源,则它可以利用为全局最大数量配置的资源(如果这些资源可用且未分配给其他租户系统)。流号的最大允许配额指定租户系统可以使用的可用全局资源部分。允许的最大配额不能确保安全配置文件中为资源指定的数量可用。预留配额可确保指定的资源量始终可供租户系统使用。 表 1 显示了日志流号容量的比较。
平台 |
租户系统 + 逻辑系统的日志记录流号容量 |
租户系统的预留日志记录流号配额 |
租户系统允许的最大流号配额 |
全局最大允许流数配额 |
SRX5400、SRX5600 和 SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100 和 4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
如果为租户系统配置了设备,则在上下文中生成的安全日志的日志名称中会带有 _LS 后缀,与逻辑系统相同。以下安全日志显示为租户系统配置的设备的RT_FLOW_SESSION_CLOSE_LS日志的属性:
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
在上述示例中,安全日志将 TSYS1 作为第一个属性。
从 Junos OS 19.1R1 版开始,每个租户系统都支持本机报告配置,并根据这些配置处理日志。配置 and set security log report set security log mode stream 命令以启用本机报告。租户系统还支持具有流模式的本机报告功能。
您可以在 系统日志资源管理器中查看系统日志消息。
示例:为租户系统配置安全性日志
此示例说明如何为租户系统配置安全日志。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙。
Junos OS 18.3R1 及更高版本。
开始之前:
了解如何使用主逻辑系统和两个租户系统的安全配置文件配置租户系统。请参阅 示例:创建租户系统、租户系统管理员和互连 VPLS 交换机。
概述
SRX 系列防火墙包含两种类型的日志:系统日志和安全日志。系统日志会记录控制平面事件,例如管理员登录到设备。安全性日志(也称为流量日志)记录与特定流量处理相关的数据平面事件,例如,当安全策略因某些违反策略而拒绝某些流量时。
这两种类型的日志可以在机内或机外收集和保存。以下过程说明如何为异机(流模式)日志记录配置二进制格式的安全日志。
对于异机日志记录,租户系统的安全日志从租户系统接口发送。如果已在路由实例中配置租户系统接口,则按层次结构进行edit tenants tenant-name security log stream log-stream-name host配置routing-instance routing-instance-name。如果未在路由实例中配置接口,则不应在层次结构中set tenants tenant-name security log stream log-stream-name host配置任何路由实例。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
过程
分步程序
以下过程指定如何为租户系统配置安全日志。
指定日志记录模式和日志文件的格式。用于异机流模式日志记录。
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
对于异机安全日志记录,请指定源地址,用于标识生成日志消息的 SRX 系列防火墙。源地址为必填项。
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
指定路由实例并定义接口。
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
为租户系统定义路由实例。如果接口已在路由实例中配置,则按层次结构进行
edit tenants tenant-name security log stream log-stream-name host配置routing-instance routing-instance-name。如果未在路由实例中配置接口,则不应在层次结构中set tenants tenant-name security log stream log-stream-name host配置任何路由实例。[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
指定设备的安全日志传输协议。
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
过程
分步程序
以下过程指定如何为租户系统配置安全配置文件。
配置安全配置文件并指定最大策略和保留策略的数量。
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
将配置的安全配置文件分配给 TSYS1。
[edit ] user@host# set system security-profile p1 tenant TSYS1
结果
在配置模式下,输入 show system security-profile、 show tenants TSYS1 security log和 show tenants TSYS1 routing-instances 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show tenants TSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream TN1_s {
format binary;
host {
1.3.54.22;
routing-instance TN1_ri;
}
}
[edit]
user@host# show tenants TSYS1 routing-instances
TN1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
tenant TSYS1;
}
如果完成设备配置,请从配置模式进入。commit
了解租户系统的本机报告
从 Junos OS 19.1R1 版开始,租户系统支持本机报告配置,并根据这些配置处理日志。
流模式是一组日志记录服务,包括:
异机日志记录(SRX 系列)
本机记录和报告(SRX1500、SRX4100、SRX4200 和 SRX4600 系列)
异机日志记录支持按租户系统配置,并根据这些配置处理日志。用于异机日志记录的租户系统日志只能从租户系统接口生成。
本机报告机制是对现有日志记录功能的增强。修改了现有日志记录功能,可以收集系统流量日志、分析日志并生成这些日志的报告。本机报告功能旨在提供一个简单易用的界面来查看安全日志。
配置 set security log report 和 set security log mode stream 命令,以在设备上为租户系统启用本机报告功能。租户系统还支持具有流模式的本机报告功能。
本机报告功能支持:
根据要求生成报告。例如:会话计数或数量、活动日志类型,例如 IDP、内容安全性和 IPsec VPN。
捕获指定时间范围内的实时事件。
基于各种 CLI 指定条件,以逻辑、有组织且易于理解的格式捕获所有网络活动。
为租户系统配置本机报告
SRX 系列防火墙支持租户系统用户使用不同类型的报告。
报告存储在 SRX 系列防火墙本地,无需单独的设备或工具来存储日志和报告。本机报告提供了一个简单易用的界面来查看安全日志。
开始之前:
了解如何为租户系统配置安全日志。请参阅示例:为租户系统配置安全性日志。
要为租户系统配置本机报告:
默认情况下,该 report 选项处于禁用状态。
了解租户系统的本机和异机日志记录
SRX 系列设备具有两种类型的日志:系统日志和安全日志。系统日志会记录控制平面事件,例如管理员登录到设备。安全性日志(也称为流量日志)记录与特定流量处理相关的数据平面事件,例如,当安全策略因某些违反策略而拒绝某些流量时。
从 Junos OS 19.2R1 版开始,每个租户系统都支持本机日志记录配置,并根据这些配置处理日志记录。
这两种类型的日志可以在机内或机外收集和保存。
流模式是一组日志记录服务,包括:
异机日志记录(SRX 系列)
本机日志记录(SRX1500、SRX4100、SRX4200 和 SRX4600 系列)
异机日志记录支持按租户系统配置,并根据这些配置处理日志。用于异机日志记录的租户系统日志只能从租户系统接口生成。
通过在层次结构级别使用 [set tenants TSYS1 security] log 语句配置流模式的二进制/系统日志/sd-syslog/welf 格式和事件模式的二进制格式的安全文件。
您无法为租户系统配置安全日志文件路径。
对于使用二进制格式日志的流模式的本机日志记录,命令set security log stream stream-name file按租户系统配置。文件名必须以.bin结尾。例如,租户系统 TSYS1 中的TSYS1_f1.bin。将在 /var/traffic-log/tenant-systems/TSYS1 目录中创建一个新文件TSYS1_f1.bin。
对于使用流模式和其他格式日志的本机日志记录, set security log stream stream-name file 命令按租户系统配置。例如,租户系统 TSYS1。将在 /var/traffic-log/tenant-systems/TSYS1 目录中创建一个具有已配置名称的新文件。
为租户系统配置本机二进制安全性日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
系统会收集并保存这两种类型的日志,无论是在机上还是在机外。以下过程说明如何为租户系统的本机(事件模式和流模式)日志记录配置二进制格式的安全日志。
以下过程指定事件模式安全日志记录的二进制格式,并定义租户系统的日志文件名、路径和日志文件特征。
指定日志记录模式和日志文件的格式。对于本机事件模式日志记录:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(选答)指定日志文件名。
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
注意:安全性日志文件名不是必需的。如果未配置安全日志文件名,则默认情况下将在 /var/log 目录中创建文件bin_messages。
输入命令以
show tenants TSYS1确认您的配置。[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
以下过程指定流模式安全日志记录的二进制格式,并定义租户系统的日志文件名和日志文件特征。
指定日志记录模式和日志文件的格式。对于本机流模式日志记录:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(选答)指定日志文件名。
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
输入命令以
show tenants TSYS1确认您的配置。[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
为租户系统配置异机二进制安全性日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
这两种类型的日志可以在机内或机外收集和保存。以下过程说明如何为异机(流模式)日志记录配置二进制格式的安全日志。
以下过程指定流模式安全日志记录的二进制格式,并定义租户系统的日志记录模式、源地址和主机名特征。
指定日志记录模式和日志文件的格式。对于异机流模式日志记录:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
指定异机安全日志记录的源地址。
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
指定主机名。
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
输入命令以
show tenants TSYS1确认您的配置。[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。