Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

租户系统的安全日志

租户系统的安全日志包括用于控制系统数据平面的安全事件。安全日志将从租户系统接口以二进制格式发送到外部服务器。每个租户系统会生成安全日志。

了解租户系统的安全日志

Junos OS 会生成单独的日志消息,以记录发生在系统控制平面和数据平面上的事件。数据平面日志也称为安全日志,主要包括在数据平面内处理的安全事件。安全日志可以是文本或二进制格式,可以保存在本地(事件模式)或发送至外部服务器(流模式)。流模式需要使用二进制格式,建议在事件模式下节省日志空间。

如果配置每个租户的安全日志,则按租户生成安全日志。

租户系统的安全日志从租户系统接口发送。您可以配置租户系统中分配的路由实例和属于路由表的接口。

为租户系统配置流编号时,应使用最大和保留策略数来定义安全配置文件。主管理员可以使用安全配置文件指定资源分配。

如果租户系统需要的资源数量多于其保留数量所允许的资源,则它可以利用为全局最大数量配置的资源(如果这些资源可用且未分配给其他租户系统)。流编号允许的最大配额指定租户系统可以使用的免费全局资源部分。允许的最大配额无法确保为安全配置文件中的资源指定数量可用。保留的配额可确保指定的资源量始终可供租户系统使用。 表 1 显示了日志记录流编号容量的比较。

表 1:日志记录流编号的比较

平台

租户系统 + 逻辑系统的日志记录流编号容量

租户系统的保留日志记录流编号配额

租户系统允许的最大流编号配额

全局允许的最大流编号配额

SRX5400、SRX5600 和SRX5800

64

0

8

64

SRX4600

300

0

8

600

SRX4100 和 4200

200

0

8

400

SRX1500

50

0

8

100

如果为租户系统配置了设备,则在该上下文中生成的安全日志的日志名称中带有 _LS 后缀,与逻辑系统相同。以下安全日志显示为租户系统配置的设备RT_FLOW_SESSION_CLOSE_LS日志的属性:

在上述示例中,安全日志将 TSYS1 作为第一个属性。

从 Junos OS 19.1R1 版开始,每个租户系统都支持本机报告配置,并根据这些配置处理日志。 set security log report 配置 and set security log mode stream 命令以启用本机报告。租户系统还支持具有流模式的本机报告功能。

您可以在系统日志浏览器上查看 Syslog 消息。

示例:配置租户系统的安全日志

此示例说明如何为租户系统配置安全日志。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙。

  • Junos OS 18.3R1 及更高版本。

开始之前:

  • 了解如何使用主逻辑系统和两个租户系统的安全配置文件来配置租户系统。参见 图 1

概述

SRX 系列防火墙有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如,管理员登录到设备。安全日志(也称为流量日志)记录有关特定流量处理的数据平面事件,例如,当安全策略因某种违反策略而拒绝某些流量时。

这两种类型的日志可以在本机或异机中收集并保存。下面的过程介绍如何为异机(流模式)日志记录配置二进制格式的安全日志。

对于异机日志记录,租户系统的安全日志将从租户系统接口发送。如果租户系统接口已在路由实例中配置,则在层次结构中edit tenants tenant-name security log stream log-stream-name host配置routing-instance routing-instance-name。如果未在路由实例中配置接口,则不应在层次结构中set tenants tenant-name security log stream log-stream-name host配置路由实例。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

程序

逐步过程

以下过程指定如何为租户系统配置安全日志。

  1. 指定日志文件的日志记录模式和格式。对于异机流模式日志记录。

  2. 对于异机安全日志记录,请指定源地址,用于识别生成日志消息的 SRX 系列防火墙。需要源地址。

  3. 指定路由实例并定义接口。

  4. 为租户系统定义路由实例。如果接口已在路由实例中配置,则在层次结构中edit tenants tenant-name security log stream log-stream-name host配置routing-instance routing-instance-name。如果未在路由实例中配置接口,则不应在层次结构中set tenants tenant-name security log stream log-stream-name host配置路由实例。

  5. 指定设备的安全日志传输协议。

程序

逐步过程

以下过程指定如何为租户系统配置安全配置文件。

  1. 配置安全配置文件并指定最大策略和保留策略的数量。

  2. 将配置的安全配置文件分配给 TSYS1。

结果

在配置模式下,输入 、 show tenants TSYS1 security logshow tenants TSYS1 routing-instances命令,show system security-profile以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

验证安全日志的详细输出

目的

验证输出是否显示所有租户系统的资源信息。

行动

在操作模式下,输入 show system security-profile security-log-stream-number tenant all 命令。

意义

输出显示租户系统的资源信息。

了解租户系统的本机报告

从 Junos OS 19.1R1 版开始,租户系统支持本机报告配置,并根据这些配置处理日志。

流模式是一组日志记录服务,包括:

  • 异机日志记录(SRX 系列)

  • 本机日志记录和报告(SRX1500、SRX4100、SRX4200和SRX4600系列)

每个租户的系统配置支持异机日志记录,并基于这些配置处理日志。用于异机日志记录的租户系统日志只能从租户系统接口生成。

本机报告机制是对现有日志记录功能的增强。对现有日志记录功能进行修改,以收集系统流量日志,分析日志并生成这些日志的报告。本机报告功能旨在为查看安全日志提供一个简单易用的界面。

set security log report配置 and set security log mode stream 命令,以在设备上为租户系统启用本机报告功能。租户系统还支持具有流模式的本机报告功能。

本机报告功能支持:

  • 根据需求生成报告。例如:会话计数或数量、IDP、内容安全和 IPsec VPN 等活动的日志类型。

  • 捕获指定时间范围内的实时事件。

  • 根据各种 CLI 指定条件,以逻辑、有条理且易于理解的格式捕获所有网络活动。

为租户系统配置本机报告

SRX 系列防火墙支持租户系统用户的不同类型的报告。

报告存储在 SRX 系列防火墙本地,不需要单独的设备或工具来存储日志和报告。本机报告提供了一个简单且易于使用的界面,用于查看安全日志。

开始之前:

  • 了解如何为租户系统配置安全日志。请参阅示例:为租户系统配置安全日志。

要为租户系统配置本机报告:

  1. 将租户系统名称定义为 TSYS1。
  2. 在每个租户系统的安全日志中创建报告。
  3. 输入命令以确认 show tenants TSYS1 您的配置。
注意:

默认情况下, report 选项处于禁用状态。

了解租户系统的本机和异机日志记录

SRX 系列设备有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如管理员登录到设备。安全日志(也称为流量日志)记录有关特定流量处理的数据平面事件,例如,当安全策略因某种违反策略而拒绝某些流量时。

从 Junos OS 19.2R1 版开始,每个租户系统都支持本机日志记录配置,并根据这些配置处理日志。

这两种类型的日志可以在本机或异机中收集并保存。

流模式是一组日志记录服务,包括:

  • 异机日志记录(SRX 系列)

  • 本机日志记录(SRX1500、SRX4100、SRX4200和SRX4600系列)

每个租户的系统配置支持异机日志记录,并基于这些配置处理日志。用于异机日志记录的租户系统日志只能从租户系统接口生成。

使用层次结构级别上的 log 语句[set tenants TSYS1 security],以二进制/syslog/sd-syslog/welf 格式配置安全文件,以流模式配置二进制格式,为事件模式配置二进制格式。

注意:

您无法为租户系统配置安全日志文件路径。

对于具有二进制格式日志的流模式的本机日志记录,按set security log stream stream-name file租户系统配置命令。文件名必须以 .bin 结尾。例如,租户系统 TSYS1 中的 TSYS1_f1.bin。在 /var/traffic-log/tenant-systems/TSYS1 目录中创建一个新文件 TSYS1_f1.bin

对于使用其他格式日志的流模式进行本机日志记录,按 set security log stream stream-name file 租户系统配置命令。例如租户系统 TSYS1。配置了名称的新文件在 /var/traffic-log/tenant-systems/TSYS1 目录中创建。

为租户系统配置本机二进制安全日志文件

SRX 系列设备支持两种类型的日志:系统日志和安全日志。

收集这两种类型的日志,然后从本机或异机保存。以下过程介绍如何为租户系统的本机(事件模式和流模式)日志记录配置二进制格式的安全日志。

以下过程为事件模式安全日志记录指定二进制格式,并定义租户系统的日志文件名、路径和日志文件特征。

  1. 指定日志文件的日志记录模式和格式。对于本机事件模式日志记录:

  2. (可选)指定日志文件名。

    注意:

    安全日志文件名不是必需的。如果未配置安全日志文件名,则默认情况下,在 /var/log 目录中创建bin_messages文件。

  3. 输入命令以确认 show tenants TSYS1 您的配置。

以下过程为流模式安全日志记录指定二进制格式,并定义租户系统的日志文件名和日志文件特征。

  1. 指定日志文件的日志记录模式和格式。对于本机流模式日志记录:

  2. (可选)指定日志文件名。

  3. 输入命令以确认 show tenants TSYS1 您的配置。

为租户系统配置异机二进制安全日志文件

SRX 系列设备支持两种类型的日志:系统日志和安全日志。

这两种类型的日志可以在本机或异机中收集并保存。下面的过程介绍如何为异机(流模式)日志记录配置二进制格式的安全日志。

以下过程为流模式安全日志记录指定二进制格式,并定义租户系统的日志记录模式、源地址和主机名特征。

  1. 指定日志文件的日志记录模式和格式。对于异机流模式日志记录:

  2. 指定异机安全日志记录的源地址。

  3. 指定主机名。

  4. 输入命令以确认 show tenants TSYS1 您的配置。

版本历史记录表
释放
描述
19.2R1
从 Junos OS 19.2R1 版开始,每个租户系统都支持本机日志记录配置,并根据这些配置处理日志