Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

通过 TLS 配置系统日志

了解如何配置设备以通过传输层安全性 (TLS) 协议安全地传输系统日志消息(也称为系统日志消息)。

控制平面日志

Control plane logs, also called system logs, include events that occur on the routing platform. The system sends control plane events to the eventd process on the Routing Engine, which then handles the events by using Junos OS policies, by generating system log messages, or by doing both. You can choose to send control plane logs to a file, user terminal, routing platform console, or remote machine. To generate control plane logs, use the syslog statement at the [system] hierarchy level.

示例:通过 TLS 配置系统日志

此示例说明如何配置瞻博网络设备以通过 TLS 安全地传输系统日志消息(控制平面日志)。

要求

此示例使用以下硬件和软件组件:

  • Junos OS 21.2R1 或更高版本

  • Junos OS 演化版 23.4R1 或更高版本

  • 运行 Junos OS 或 Junos OS 演化版的设备(系统日志客户端)

  • 系统日志服务器

概述

您可以使用 TLS 协议实现系统日志消息(控制平面日志)从系统日志客户端到系统日志服务器的安全传输。TLS 使用证书对通信进行身份验证和加密。

  • 服务器身份验证(或单向 TLS)— 客户端验证服务器的身份并信任服务器。
  • 相互身份验证 — 服务器和客户端相互信任。

您可以选择服务器身份验证或相互身份验证,具体取决于您的网络。要快速访问所需信息,请单击 表 1 中的链接。

表 1: TLS 身份验证模式

身份验证模式

程序

信息所在的部分

服务器身份验证

配置 PKI

配置设备

服务器身份验证

配置

在以下示例中,我们使用 TLS 协议将系统日志消息(控制平面日志)从瞻博网络设备安全地传输到远程系统日志服务器。图 1 显示了此示例中使用的基本拓扑。

图 1: TLS 上的系统日志TLS 上的系统日志
公钥基础结构 (PKI) 配置概述

要在设备上配置 PKI,请执行以下操作:

  1. 创建证书颁发机构 (CA) 配置文件,并将 CA 标识符与 CA 配置文件关联。请参阅 示例:配置 CA 配置文件
  2. (可选)创建吊销检查以指定验证证书的方法。可以使用证书吊销列表 (CRL) 或联机证书状态协议 (OCSP)。请参阅 证书吊销
  3. (可选)创建受信任的 CA 组,并将 CA 配置文件添加到受信任的组。请参阅 配置受信任的 CA 组
  4. 在设备上加载 CA 证书。您可以手动加载证书。请参阅 示例:手动加载 CA 和本地证书。根据您的部署环境,可以使用证书管理协议版本 2 (CMPv2) 或简单证书注册协议 (SCEP) 进行联机证书注册。请参阅 使用 SCEP 联机注册 CA 证书了解使用 CMPv2 注册证书
  5. (对于相互身份验证是可选的)在设备上加载本地证书。您可以手动加载本地证书。根据您的部署环境,可以使用 CMPv2 或 SCEP 进行联机证书注册。请参阅 使用 SCEP 联机注册本地证书了解使用 CMPv2 注册证书
  6. 验证证书是否已成功加载。使用 请求安全 pki CA 证书验证 命令检查 CA 证书是否已成功加载。使用 请求安全 pki 本地证书验证 命令验证本地证书是否已成功加载。
在设备上配置服务器身份验证
分步过程

以下过程要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置设备:

  1. 指定接收系统日志消息的系统日志服务器。您可以指定系统日志服务器的 IP 地址或完全限定的主机名。在此示例中,使用 10.102.70.233 作为系统日志服务器的 IP 地址。

  2. 指定系统日志服务器的端口号。

  3. 指定设备的系统日志传输协议。在此示例中,使用 TLS 作为传输协议。

  4. 指定受信任的证书颁发机构 (CA) 组的名称,或指定要使用的 CA 配置文件的名称。在此示例中,使用 example-ca 作为 CA 配置文件。

  5. 将设备配置为发送所有日志消息。

  6. 提交配置。

结果

在配置模式下,使用 show system syslog 命令确认您的配置。

验证

要验证配置是否正常工作,请在系统日志服务器上输入 show log 命令。

另请参阅

数据平面日志

Data plane logs, also called security logs, include security events that are handled inside the data plane. Security logs can be in text or binary format, and you can save them locally (event mode) or configure your device to send the logs to an external server (stream mode). You require binary format for stream mode. We recommend binary format to conserve log space in event mode.

示例:在 SRX 系列防火墙上配置 TLS 系统日志协议

此示例说明如何在 SRX 系列防火墙上配置传输层安全性 (TLS) 系统日志协议,以便从支持 TLS 系统日志事件转发的网络设备接收加密的系统日志事件。

要求

在开始之前,请启用服务器证书验证和加密或解密功能。

概述

TLS 系统日志协议使日志源能够从支持 TLS 系统日志事件转发的网络设备接收加密的系统日志事件。日志源创建侦听端口 用于传入的 TLS 系统日志事件,并为网络设备生成证书文件。

在此示例中,您将配置与一个 SSL-I 配置文件关联的系统日志收集器。每个 SSL-I 配置文件都允许用户指定首选密码套件和受信任的 CA 证书等内容。您可以配置多个 SSL-I 配置文件,并将这些配置文件与不同的收集器服务器相关联。

配置

程序
CLI 快速配置

要快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的“在配置模式下使用 CLI 编辑器”。

要配置 TLS 系统日志协议,请执行以下操作:

  1. 将日志模式设置为流。

  2. 指定用于远程安全消息日志记录的结构化系统日志 (sd-syslog) 格式。

  3. 设置主机源接口号。

  4. 指定 TLS 作为用于记录数据的安全日志传输协议。

  5. 指定 TLS 配置文件名称。

  6. 将日志流设置为使用结构化系统日志格式将日志发送到服务器 1。

  7. 将服务器 1 日志记录的类别设置为全部。

  8. 通过输入服务器名称或 IP 地址来指定服务器主机参数。

  9. 为 SSL 初始访问配置文件定义协议版本 全部

  10. 将所有 CA 配置文件组附加到 SSL 初始配置文件,以便在从对等方请求证书时使用。

  11. 配置 SSL 初始访问配置文件以忽略服务器身份验证失败。

结果

在配置模式下,使用 show security log 命令验证配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

要验证配置是否正常工作,请在系统日志服务器上输入 show log 命令。