租户系统的安全日志
租户系统的安全日志包括用于控制系统数据平面的安全事件。安全日志将从租户系统接口以二进制格式发送到外部服务器。每个租户系统会生成安全日志。
了解租户系统的安全日志
Junos OS 会生成单独的日志消息,以记录发生在系统控制平面和数据平面上的事件。数据平面日志也称为安全日志,主要包括在数据平面内处理的安全事件。安全日志可以是文本或二进制格式,可以保存在本地(事件模式)或发送至外部服务器(流模式)。流模式需要使用二进制格式,建议在事件模式下节省日志空间。
如果配置每个租户的安全日志,则按租户生成安全日志。
租户系统的安全日志从租户系统接口发送。您可以配置租户系统中分配的路由实例和属于路由表的接口。
为租户系统配置流编号时,应使用最大和保留策略数来定义安全配置文件。主管理员可以使用安全配置文件指定资源分配。
如果租户系统需要的资源数量多于其保留数量所允许的资源,则它可以利用为全局最大数量配置的资源(如果这些资源可用且未分配给其他租户系统)。流编号允许的最大配额指定租户系统可以使用的免费全局资源部分。允许的最大配额无法确保为安全配置文件中的资源指定数量可用。保留的配额可确保指定的资源量始终可供租户系统使用。 表 1 显示了日志记录流编号容量的比较。
平台 |
租户系统 + 逻辑系统的日志记录流编号容量 |
租户系统的保留日志记录流编号配额 |
租户系统允许的最大流编号配额 |
全局允许的最大流编号配额 |
SRX5400、SRX5600 和SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100 和 4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
如果为租户系统配置了设备,则在该上下文中生成的安全日志的日志名称中带有 _LS 后缀,与逻辑系统相同。以下安全日志显示为租户系统配置的设备RT_FLOW_SESSION_CLOSE_LS日志的属性:
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
在上述示例中,安全日志将 TSYS1 作为第一个属性。
从 Junos OS 19.1R1 版开始,每个租户系统都支持本机报告配置,并根据这些配置处理日志。 set security log report
配置 and set security log mode stream
命令以启用本机报告。租户系统还支持具有流模式的本机报告功能。
您可以在系统日志浏览器上查看 Syslog 消息。
示例:配置租户系统的安全日志
此示例说明如何为租户系统配置安全日志。
要求
概述
SRX 系列防火墙有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如,管理员登录到设备。安全日志(也称为流量日志)记录有关特定流量处理的数据平面事件,例如,当安全策略因某种违反策略而拒绝某些流量时。
这两种类型的日志可以在本机或异机中收集并保存。下面的过程介绍如何为异机(流模式)日志记录配置二进制格式的安全日志。
对于异机日志记录,租户系统的安全日志将从租户系统接口发送。如果租户系统接口已在路由实例中配置,则在层次结构中edit tenants tenant-name security log stream log-stream-name host
配置routing-instance routing-instance-name
。如果未在路由实例中配置接口,则不应在层次结构中set tenants tenant-name security log stream log-stream-name host
配置路由实例。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
程序
逐步过程
以下过程指定如何为租户系统配置安全日志。
指定日志文件的日志记录模式和格式。对于异机流模式日志记录。
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
对于异机安全日志记录,请指定源地址,用于识别生成日志消息的 SRX 系列防火墙。需要源地址。
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
指定路由实例并定义接口。
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
为租户系统定义路由实例。如果接口已在路由实例中配置,则在层次结构中
edit tenants tenant-name security log stream log-stream-name host
配置routing-instance routing-instance-name
。如果未在路由实例中配置接口,则不应在层次结构中set tenants tenant-name security log stream log-stream-name host
配置路由实例。[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
指定设备的安全日志传输协议。
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
程序
逐步过程
以下过程指定如何为租户系统配置安全配置文件。
配置安全配置文件并指定最大策略和保留策略的数量。
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
将配置的安全配置文件分配给 TSYS1。
[edit ] user@host# set system security-profile p1 tenant TSYS1
结果
在配置模式下,输入 、 show tenants TSYS1 security log
和show tenants TSYS1 routing-instances
命令,show system security-profile
以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show tenants TSYS1 security log mode stream; source-address 2.3.45.66; transport { protocol tls; } stream TN1_s { format binary; host { 1.3.54.22; routing-instance TN1_ri; } }
[edit] user@host# show tenants TSYS1 routing-instances TN1_ri { instance-type virtual-router; interface ge-0/0/3.0; }
[edit] user@host# show system security-profile p1 { security-log-stream-number { maximum 2; reserved 1; } tenant TSYS1; }
完成设备配置后,请从配置模式进入 commit
。
了解租户系统的本机报告
从 Junos OS 19.1R1 版开始,租户系统支持本机报告配置,并根据这些配置处理日志。
流模式是一组日志记录服务,包括:
异机日志记录(SRX 系列)
本机日志记录和报告(SRX1500、SRX4100、SRX4200和SRX4600系列)
每个租户的系统配置支持异机日志记录,并基于这些配置处理日志。用于异机日志记录的租户系统日志只能从租户系统接口生成。
本机报告机制是对现有日志记录功能的增强。对现有日志记录功能进行修改,以收集系统流量日志,分析日志并生成这些日志的报告。本机报告功能旨在为查看安全日志提供一个简单易用的界面。
set security log report
配置 and set security log mode stream
命令,以在设备上为租户系统启用本机报告功能。租户系统还支持具有流模式的本机报告功能。
本机报告功能支持:
根据需求生成报告。例如:会话计数或数量、IDP、内容安全和 IPsec VPN 等活动的日志类型。
捕获指定时间范围内的实时事件。
根据各种 CLI 指定条件,以逻辑、有条理且易于理解的格式捕获所有网络活动。
为租户系统配置本机报告
SRX 系列防火墙支持租户系统用户的不同类型的报告。
报告存储在 SRX 系列防火墙本地,不需要单独的设备或工具来存储日志和报告。本机报告提供了一个简单且易于使用的界面,用于查看安全日志。
开始之前:
了解如何为租户系统配置安全日志。请参阅示例:为租户系统配置安全日志。
要为租户系统配置本机报告:
默认情况下, report
选项处于禁用状态。
了解租户系统的本机和异机日志记录
SRX 系列设备有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如管理员登录到设备。安全日志(也称为流量日志)记录有关特定流量处理的数据平面事件,例如,当安全策略因某种违反策略而拒绝某些流量时。
从 Junos OS 19.2R1 版开始,每个租户系统都支持本机日志记录配置,并根据这些配置处理日志。
这两种类型的日志可以在本机或异机中收集并保存。
流模式是一组日志记录服务,包括:
异机日志记录(SRX 系列)
本机日志记录(SRX1500、SRX4100、SRX4200和SRX4600系列)
每个租户的系统配置支持异机日志记录,并基于这些配置处理日志。用于异机日志记录的租户系统日志只能从租户系统接口生成。
使用层次结构级别上的 log 语句[set tenants TSYS1 security]
,以二进制/syslog/sd-syslog/welf 格式配置安全文件,以流模式配置二进制格式,为事件模式配置二进制格式。
您无法为租户系统配置安全日志文件路径。
对于具有二进制格式日志的流模式的本机日志记录,按set security log stream stream-name file
租户系统配置命令。文件名必须以 .bin 结尾。例如,租户系统 TSYS1 中的 TSYS1_f1.bin。在 /var/traffic-log/tenant-systems/TSYS1 目录中创建一个新文件 TSYS1_f1.bin。
对于使用其他格式日志的流模式进行本机日志记录,按 set security log stream stream-name file
租户系统配置命令。例如租户系统 TSYS1。配置了名称的新文件在 /var/traffic-log/tenant-systems/TSYS1 目录中创建。
为租户系统配置本机二进制安全日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
收集这两种类型的日志,然后从本机或异机保存。以下过程介绍如何为租户系统的本机(事件模式和流模式)日志记录配置二进制格式的安全日志。
以下过程为事件模式安全日志记录指定二进制格式,并定义租户系统的日志文件名、路径和日志文件特征。
指定日志文件的日志记录模式和格式。对于本机事件模式日志记录:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(可选)指定日志文件名。
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
注意:安全日志文件名不是必需的。如果未配置安全日志文件名,则默认情况下,在 /var/log 目录中创建bin_messages文件。
输入命令以确认
show tenants TSYS1
您的配置。[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
以下过程为流模式安全日志记录指定二进制格式,并定义租户系统的日志文件名和日志文件特征。
指定日志文件的日志记录模式和格式。对于本机流模式日志记录:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(可选)指定日志文件名。
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
输入命令以确认
show tenants TSYS1
您的配置。[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
为租户系统配置异机二进制安全日志文件
SRX 系列设备支持两种类型的日志:系统日志和安全日志。
这两种类型的日志可以在本机或异机中收集并保存。下面的过程介绍如何为异机(流模式)日志记录配置二进制格式的安全日志。
以下过程为流模式安全日志记录指定二进制格式,并定义租户系统的日志记录模式、源地址和主机名特征。
指定日志文件的日志记录模式和格式。对于异机流模式日志记录:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
指定异机安全日志记录的源地址。
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
指定主机名。
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
输入命令以确认
show tenants TSYS1
您的配置。[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }