配置安全性设备的系统日志记录
使用 功能资源管理器 确认平台和版本对特定功能的支持。
查看 特定于平台的系统日志记录行为 部分,了解与您的平台相关的注意事项。
安全性设备的系统日志记录概述
Junos OS 支持配置和监控系统日志消息(也称为 系统日志消息)。您可以配置文件来记录系统消息,还可以为消息分配属性,例如严重性级别。重新启动请求会记录到系统日志文件中,您可以使用命令查看 show log 这些文件。
本节包含以下主题:
控制平面和数据平面日志
Junos OS 会生成单独的日志消息来记录系统控制平面和数据平面上发生的事件。
控制平面日志(也称为系统日志)包括路由平台上发生的事件。系统将控制平面事件发送到
eventd路由引擎上的进程,然后进程使用 Junos OS 策略和/或生成系统日志消息来处理事件。您可以选择将控制平面日志发送到文件、用户终端、路由平台控制台或远程计算机。要生成控制平面日志,请在层次结构级别使用[system]该syslog语句。-
数据平面日志(也称为 安全日志)主要包括在数据平面内处理的安全事件。
安全性日志可以是文本或二进制格式,它们可以保存在本地(事件模式)或发送到外部服务器(流模式)。
对于流模式,您可以将日志格式配置为二进制、protobuf、sd-syslog 或 syslog。我们建议使用二进制格式,以便在事件模式下节省日志空间。
请注意以下几点:
-
安全性日志可以同时保存在本地(机上)、外部(机外)或两者兼而有之。
-
默认日志记录模式为流模式。数据平面事件以与控制平面事件类似的方式写入系统日志文件。要为安全日志指定二进制格式,请参阅 配置异机二进制安全性日志文件
注意:如果在 SRX 系列防火墙上配置事件模式日志记录,设备可能会丢弃日志。
我们支持流日志转发和本机报告中的转义,以避免解析错误。流模式支持在未发送
eventd日志进行处理时进行转义sd-syslog和binary格式化。对于发送到eventd进程的日志,我们建议不要启用某个escape选项,因为该eventd进程已启用结构日志的转义。事件模式仅支持格式转binary义。默认情况下,该escape选项处于禁用状态。您必须使用命令set security log escape启用该escape选项。 -
冗余系统日志服务器
用于远程服务器的安全性系统日志记录流量通过支持两个同步系统日志目标的网络接口端口发送。必须单独配置每个系统日志记录目标。配置了两个系统日志目的地址时,会向这两个目标发送相同的日志。虽然可以在支持该功能的任何设备上配置两个目标,但添加第二个目标主要用作独立和主动/备份配置的 机箱群集 部署的冗余备份。
提供以下冗余服务器信息:
- 设施:
cron描述:cron 调度过程
严重性级别(从最高到最低严重性):
debug说明:软件调试消息
安全性日志的二进制格式
Junos OS 会生成单独的日志消息来记录系统控制平面和数据平面上发生的事件。控制平面监控路由平台上发生的事件。此类事件记录在系统日志消息中。要生成系统日志消息,请在层次结构级别使用[system]该syslog语句。
数据平面日志消息(称为安全日志消息)记录系统直接在数据平面内处理的安全事件。要生成安全日志消息,请在层次结构级别使用[security]该log语句。
系统日志消息以基于文本的格式保存在日志文件中,例如 BSD 系统日志、结构化系统日志和 WebTrends 增强日志格式 (WELF)。
安全性日志消息也可以以基于文本的格式进行维护。但是,由于安全日志记录可以产生大量数据,因此基于文本的日志文件会快速消耗存储和 CPU 资源。根据安全日志记录的实现,基于二进制格式的日志文件可以更有效地利用本机或异机存储,并提高 CPU 利用率。所有 SRX 系列防火墙均提供安全日志消息的二进制格式。
在事件模式下配置时,在数据平面中生成的安全日志消息将被定向至控制平面并存储在本地设备上。以二进制格式存储的安全性日志消息维护在与用于维护系统日志消息的日志文件分开的日志文件中。存储在二进制日志文件中的事件无法使用用于基于文本的日志文件的高级日志脚本命令进行访问。单独的 CLI 操作命令支持解码、转换和查看存储在设备本地的二进制日志文件。
在流模式下配置时,数据平面中生成的安全日志消息将流式传输到远程设备。当这些消息以二进制格式存储时,它们将以瞻博网络特定的二进制格式直接流式传输到外部日志收集服务器。只能使用瞻博网络安全分析 (JSA) 或安全性威胁响应管理器 (STRM) 读取外部存储的二进制日志文件。
将设备配置为流模式时,您最多可以配置八个系统日志主机。
有关配置本机(事件模式)二进制安全日志的信息,请参阅 配置本机二进制安全性日志文件。有关配置异机(流模式)二进制安全日志的信息,请参阅 配置异机二进制安全性日志文件。
本机记录和报告
本主题介绍本机日志记录和报告 CLI 功能,以及 SRX 设备本机报告的设计方面。
概述
到固态硬盘 (SSD) 的本机流量日志记录支持 8 个外部日志服务器或文件。
将添加一个包含所有流量日志信息的一体化 XML 文件。XML 文件还会生成所有日志记录头文件和流量日志相关文档。
服务处理卡 0 (SPCs0) 中支持称为 本地日志管理守护程序 (llmd) 的新进程(守护程序),用于处理本机流量日志记录。SPC 中流动产生的流量会列在流量日志中。llmd 将这些日志保存到本地 SSD。流量日志以四种不同的格式保存。请参阅 表 1 以了解日志格式。
| 日志格式 | 描述 | 默认 |
|---|---|---|
| 系统日志 |
|
是 |
| SD-syslog |
|
- |
| 福利 |
|
- |
| 二进制 |
|
- |
| protobuf |
|
本机报告机制是对现有日志记录功能的增强。对现有日志记录功能进行了修改,可以收集系统流量日志、分析日志并使用 CLI 以表的形式生成这些日志的报告。本机报告功能旨在提供一个简单易用的界面来查看安全日志。本机报告以表格和图表的形式提供易于使用的各种安全事件的 J-Web 页面。通过这些报告,IT 安全管理人员能够一目了然地识别安全信息,并快速决定要采取的行动。对屏幕、IDP、内容安全性和 IPSec 等功能的日志进行彻底分析(基于会话类型)。
您可以根据以下条件为报告的日志数据定义过滤器:
顶部、详细和间隔内条件不能同时使用。
-
top <number>- 此选项允许您按照命令中指定的方式为顶级安全事件生成报告。例如:通过内容安全性检测到的前 5 个 IPS 攻击或前 6 个 URL。 -
in-detail <number>- 此选项允许您生成详细日志内容。 -
in-interval <time-period>- 此选项允许您生成在特定时间间隔之间记录的事件。 -
summary- 此选项允许您生成事件的摘要。这样,您可以根据需要微调报表,并仅显示要使用的数据。
以间隔为单位显示计数的最大间隔内数字为 30。如果指定了较长的持续时间,则组合计数器以确保最大间隔小于 30。
in-detail 和 summary 都有“all”选项,因为不同的表具有不同的属性(例如会话表没有属性“reason”,但内容安全性有),“all”选项除了开始时间和停止时间外没有任何过滤器。如果除了开始时间和停止时间之外还有任何其他过滤器,则会显示错误。
例如: root@host> show security log report in-detail all reason reason1
error: "query condition error"
用于了解应用和用户可见性的应用防火墙日志将列出应用和嵌套应用。当这些功能的日志列出嵌套应用程序时,嵌套应用程序将在 J-Web 中列出。当日志将嵌套应用列为不适用或未知时,J-Web 中只会列出这些应用。
使用以下 CLI 命令为所有应用程序和嵌套应用程序列表提供应用程序和用户可见性:
-
对于按计数排名靠前的嵌套应用程序 —
show security log report top session-close top-number <number> group-by application order-by count with user -
对于按体积排名靠前的嵌套应用程序 —
show security log report top session-close top-number <number> group-by application order-by volume with user -
对于具有嵌套应用程序的按计数排名靠前的用户 —
show security log report top session-close top-number <number> group-by user order-by count with application
默认情况下,当您在设备上加载出厂默认配置时,会启用本机报告功能。
出厂默认配置不包括用于延长固态硬盘 (SSD) 使用寿命的本机报告配置。您可以通过在层次结构中[edit security log]配置 set security log report CLI 命令来启用本机报告功能。
请参阅 SRX 系列设备 J-Web 用户指南 ,在 J-Web 用户界面上执行此任务。
如果没有外部 SSD,则机上报告日志存储在内存文件系统 (MFS) 上。您可以在 MFS 上保存的最大日志数小于您可以在外部 SSD 上保存的最大日志数。这可以防止内存耗尽和失败。设备重新启动或电源中断后,不会保留保存在 MFS 中的日志。请参阅 表 2 以了解在机报告和机外报告中记录的日志数。
| 报告模式 | 会议 | 筛选 | IDP | 内容安全性 | IPsec-VPN | 天空 |
|---|---|---|---|---|---|---|
| 异机 | 1200,000 | 120,000 | 120,000 | 120,000 | 40,000 | 120,000 |
| 本机 | 500,000 | 50,000 | 50,000 | 50,000 | 20,000 | 50,000 |
您必须使用命令为set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close会话配置安全策略,以使用本机报告功能在 J-Web 上的应用程序跟踪中列出所有应用程序和嵌套应用程序。有关详细信息,请参阅更多日志(安全性策略)。
记录日志消息后,日志将存储在日志文件中,然后将其存储在路由引擎的数据库表中以供进一步分析,或存储在 SSD 卡上以供进一步分析。
此功能支持根据会话的计数或数量或日志类型接收排名靠前的报告,捕获指定时间范围内每秒发生的事件,捕获指定 CLI 条件的日志内容。各种 CLI 条件(如“摘要”、“顶部”、“详细”和“间隔内”)用于生成报告。使用 CLI 一次只能生成一个报告。不能同时使用所有 CLI 条件。使用 CLI 一次只能生成一个报告。
此功能的好处是:
-
报告存储在 SRX 系列防火墙本地,无需单独的设备或工具来存储日志和报告。
-
本机报告以表格和图表的形式提供易于使用的各种安全事件 J-Web 页面。
-
提供简单易用的界面,用于查看安全日志。
-
生成的报告使 IT 安全管理团队能够一目了然地识别安全信息,并快速决定要采取的行动。
本机报告功能支持:
-
根据要求生成报告。例如:会话计数或数量、活动日志类型,例如 IDP、内容安全性、IPsec VPN。
-
捕获指定时间范围内的实时事件。
-
基于各种 CLI 指定条件,以逻辑、有组织且易于理解的格式捕获所有网络活动。
本机报告功能
本机报告功能支持:
-
Sqlite3 support as a library— 在 RE 上运行的守护程序以及其他潜在模块使用 SQL 日志数据库(SQLite 版本 3)将日志存储在 SRX 系列防火墙上。
-
Running llmd in both Junos OS and Linux OS— 转发守护程序 (flowd) 从二进制日志解码数据库索引,并将索引和日志发送到本地日志管理守护程序 (llmd)。
-
Storing of logs into specified table of the sqlite3 database by llmd— 引入了新的系统日志守护程序,用于收集有关 SRX 系列防火墙的本地日志并将其保存到数据库中。
Junos OS 将日志存储在多个表中,而不是将单个表存储在数据库文件中。每个表都包含最旧和最新日志的时间戳。当您根据开始和结束时间发起查询时,llmd 会找到最新的表来生成报告。
如果一个数据库表包含过去 10 小时内生成的 500 万个日志,则从该表生成报告可能需要半小时以上的时间。为了提高性能,大表被划分为多个较小的表,每个表包含 050 万个日志,因此生成相同的报表只需要查询一个较小的表。
我们建议您使用更短的时间进行查询,以获得更好的性能。
-
Database table definition—对于会话日志,数据类型为源-地址、目标-地址、应用程序、用户等。对于与安全功能相关的日志,数据类型包括攻击名称、URL、配置文件协议等。因此,不同的表被设计用于存储不同类型的日志,以帮助提高性能和节省磁盘空间。记录日志数据时,SRX 系列防火墙会为每种日志类型创建一个数据库表。
每种类型的数据库表都有其特定于设备的最大记录数。当表记录数达到限制时,新日志将替换最旧的日志。Junos OS 将登录信息存储在传递活动流量的设备中。
您可以在数据库文件中创建多个表来存储日志。您可以定义在表中存储日志的容量。
如果日志数量限制超过表容量,Junos OS 会将日志存储在第二个表中。例如,如果表 1 中的日志限制超过表容量,则 Junos OS 会将日志存储在表 2 中。
如果日志数的限制超过文件 1 的最后一个表,Junos OS 会将日志存储在文件 2 的表 1 中。例如,表 n 是文件 1 的最后一个表。当日志超过表容量时,Junos OS 会将日志存储在文件 2 的表 1 中。
要在更改表号后立即生效,请使用
clear security log report操作命令。 -
Database table rotation- 每种类型的数据库表都有其特定于设备的最大记录数。当表记录数达到限制时,新日志将替换最旧的日志。
其他平台信息描述 了数据库文件大小的容量。
-
-
Calculating and displaying the reports that are triggered by CLI— 来自数据库的报告作为接口从 CLI 接收。使用 CLI,您可以计算和显示报告详细信息。
表格选择
当您想要从多个表生成报告时,llmd 会根据时间戳对表进行排序,并根据请求的开始时间和停止时间选择表。
例如,有三个表,即表 1(1 到 3)、表 2(3 到 5)和表 3(6 到 8)。1 到 3、3 到 6 和 6 到 8 表示最新和最旧日志的时间戳。如果请求 4 到 6 的报告,Junos OS 会根据表 2 和表 3 生成报告。
表生存期
您可以通过配置 set security log report table-lifetime 命令来决定表的生存期。当表识别时间超过表生存期后,Junos OS 将移除该表。例如,如果将表生存期配置为 2,当前日期为 2019 年 7 月 26 日,则意味着在 2019 年 7 月 24 日 00:00:00 删除日志。
如果在设备上手动更改日期和时间,则表生存期会发生变化。例如,如果表识别时间为 2019 年 7 月 19 日,而您将表生存期配置为 10,则 Junos OS 应在 2019 年 7 月 29 日删除该表。如果将设备日期更改为 18-July-2019,则表实际生存期将变为 30-July-2019。
表密集模式
我们升级了本机日志记录数据库中的默认存储和搜索机制来管理日志。您现在可以自定义日志存储和搜索机制结果。例如,如果您希望流量日志较少,则可以使用带有开始时间和停止时间的默认配置。
但是,如果您预计会有大量流量日志和生成日志的时间间隔较长,请启用密集模式。要启用密集模式,请使用 set security log report table-mode dense 配置命令。
从 Junos OS 22.4 或更低版本升级到 Junos OS 23.2 或更高版本之前,必须删除配置 set security log report table-mode dense 。
机箱群集方案
对于机箱群集中的本机报告,日志存储在设备处理活动流量的本地磁盘中。这些日志不会同步到机箱群集对等方。
当每个节点处理活动流量时,每个节点负责存储日志。在主动/被动模式下,只有主动节点处理流量,日志也仅存储在主动节点中。在发生故障切换时,新的活动节点将处理流量并将日志存储在其本地磁盘中。在主动/主动模式下,每个节点处理自己的流量,日志存储在相应的节点中。
也可以看看
监控报告
本机报告提供了一个全面的报告工具,您的安全管理团队可以在安全事件发生时发现它,立即访问并查看有关该事件的相关详细信息,并快速决定适当的补救措施。J-Web 报告功能提供一页或两页的报告,相当于大量日志条目的汇编。
本节包含以下主题:
威胁监控报告
目的
使用威胁报告可以监控当前网络威胁的常规统计数据和活动报告。您可以分析日志记录数据,了解威胁类型、来源和目标详细信息以及威胁频率信息。该报告计算、显示和刷新统计信息,以图形方式显示网络的当前状态。
行动
要查看威胁报告:
单击仪表板右下角的 威胁报告 ,或在 J-Web 用户界面中选择 监控>报告>威胁 。此时将显示“威胁报告”。
选择以下选项卡之一:
字段 |
描述 |
|---|---|
| 常规统计信息窗格 | |
威胁类别 |
以下威胁类别之一:
|
严重性 |
威胁的严重性级别:
|
过去 24 小时内的点击次数 |
过去 24 小时内按类别遇到的威胁数。 |
当前小时内的命中数 |
过去一小时内按类别遇到的威胁数。 |
| 过去 24 小时内的威胁计数 | |
按严重性 |
表示过去 24 小时内每小时收到的威胁数的图表,按严重性级别排序。 |
按类别 |
表示过去 24 小时内每小时收到的威胁数的图表,按类别排序。 |
X 轴 |
24 小时跨度,当前小时占据显示屏最右侧列。图表每小时向左移动一次。 |
Y 轴 |
遇到的威胁数量。该轴会根据遇到的威胁数量自动缩放。 |
| 最近的威胁 | |
威胁名称 |
最近威胁的名称。根据威胁类别,您可以单击威胁名称以转到扫描引擎站点以获取威胁描述。 |
类别 |
每种威胁的类别:
|
源 IP/端口 |
威胁的源 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
威胁的目标 IP 地址(和端口号,如果适用)。 |
协议 |
威胁的协议名称。 |
描述 |
基于类别类型的威胁识别:
|
行动 |
为应对威胁而采取的措施。 |
命中时间 |
威胁发生的时间。 |
| 过去 24 小时内的威胁趋势 | |
类别 |
按类别表示比较威胁计数的饼图:
|
Web 过滤器计数器摘要 |
|
类别 |
Web 过滤器计数按多达 39 个子类别细分。单击“常规统计信息”窗格中的“Web 过滤器”列表将打开“Web 过滤器计数器摘要”窗格。 |
过去 24 小时内的点击次数 |
过去 24 小时内每个子类别的威胁数。 |
当前小时内的命中数 |
过去一小时内每个子类别的威胁数。 |
字段 |
功能 |
|---|---|
| 最近的病毒攻击 | |
威胁名称 |
病毒威胁的名称。病毒可以基于 Web、FTP 或电子邮件等服务,也可能基于严重性级别。 |
严重性 |
每种威胁的严重性级别:
|
源 IP/端口 |
威胁源的 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
威胁目标的 IP 地址(和端口号,如果适用)。 |
协议 |
威胁的协议名称。 |
描述 |
基于类别类型的威胁识别:
|
行动 |
为应对威胁而采取的措施。 |
最后点击时间 |
上次发生威胁的时间。 |
| 最近的垃圾邮件发件人 | |
来自电子邮件 |
垃圾邮件的来源电子邮件地址。 |
严重性 |
威胁的严重性级别:
|
源 IP |
威胁来源的 IP 地址。 |
行动 |
为应对威胁而采取的措施。 |
上次发送时间 |
上次发送垃圾邮件的时间。 |
| 最近阻止的 URL 请求 | |
URL |
被阻止的 URL 请求。 |
源 IP/端口 |
源的 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
目标的 IP 地址(和端口号,如果适用)。 |
当前小时内的命中数 |
过去一小时内遇到的威胁数。 |
| 最近的 IDP 攻击 | |
攻击 |
|
严重性 |
每种威胁的严重性:
|
源 IP/端口 |
源的 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
目标的 IP 地址(和端口号,如果适用)。 |
协议 |
威胁的协议名称。 |
行动 |
为应对威胁而采取的措施。 |
上次发送时间 |
上次发送 IDP 威胁。 |
流量监控报告
目的
通过查看过去 24 小时内的流量会话报告来监控网络流量。您可以通过传输协议分析日志记录数据,以获取连接统计信息和会话使用情况。
行动
要查看过去 24 小时内的网络流量,请在 J-Web 用户界面中选择 监控>报告>流量 。有关报告的说明,请参阅 表 5 。
字段 |
描述 |
|---|---|
| 每个协议过去 24 小时内的会话数 | |
协议名称 |
协议的名称。要按协议查看每小时的活动,请单击协议名称并查看下窗格中的“协议活动图表”。
|
总会话数 |
过去 24 小时内协议的会话总数。 |
输入字节数 (KB) |
传入字节总数(以 KB 为单位)。 |
字节输出 (KB) |
传出字节总数(以 KB 为单位)。 |
数据包传入 |
传入数据包总数。 |
数据包输出 |
传出数据包总数。 |
| 最近闭门会议 | |
源 IP/端口 |
已关闭会话的源 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
已关闭会话的目标 IP 地址(和端口号,如果适用)。 |
协议 |
闭门会议的议定书。
|
输入字节数 (KB) |
传入字节总数(以 KB 为单位)。 |
字节输出 (KB) |
传出字节总数(以 KB 为单位)。 |
数据包传入 |
传入数据包总数。 |
数据包输出 |
传出数据包总数。 |
时间戳 |
会话结束的时间。 |
| 协议活动图表 | |
输入/输出字节数 |
以每小时传入和传出字节数表示流量的图形表示形式。字节计数适用于在“过去 24 小时内的每个协议”窗格中选择的协议。更改选择会导致此图表立即刷新。 |
数据包输入/输出 |
以图形方式表示流量每小时传入和传出数据包数。数据包计数适用于在每个协议过去 24 小时内的会话数窗格中选择的协议。更改选择会导致此图表立即刷新。 |
会议 |
以每小时会话数表示流量的图形表示。会话计数适用于在“每个协议过去 24 小时内的会话数”窗格中选择的协议。更改选择会导致此图表立即刷新。 |
X 轴 |
每根色谱柱一小时,持续 24 小时。 |
Y 轴 |
字节、数据包或会话计数。 |
| 协议会话图表 | |
按协议划分的会话 |
将流量以图形方式表示为每个协议的当前会话计数。显示的协议为 TCP、UDP 和 ICMP。 |
配置本机二进制安全性日志文件
SRX 系列防火墙使用两种类型的日志(系统日志和安全日志)来记录系统事件。系统日志会记录控制平面事件,例如当管理员用户登录时。安全性日志(也称为流量日志)记录与特定流量处理相关的数据平面事件。例如,如果安全策略因违反策略而拒绝某些流量,则 Junos OS 将生成安全日志。有关系统日志的更多信息,请参阅 Junos OS 系统日志概述。有关安全日志的详细信息,请参阅 了解安全性设备的系统日志记录。
您可以收集并保存系统日志和安全日志,采用二进制格式:本机(即存储在 SRX 系列防火墙本地上)或异机(流式传输到远程设备)。使用二进制格式可确保日志文件得到有效存储,从而提高 CPU 利用率。
您可以在层次结构级别使用[security]语log句配置二进制格式的安全文件。
本机日志记录也称为事件模式日志记录。有关流模式的异机安全日志记录,请参阅 配置异机二进制安全性日志文件。为事件模式日志记录配置二进制格式的安全日志时,您可以选择性地定义日志文件名、文件路径和其他特征,具体如以下过程所示:
使用 show security log file 命令查看存储在设备上的事件模式日志文件的内容,并使用命令清除 clear security log file 二进制事件模式安全日志文件的内容。
show security log如果命令采用基于文本的格式,则显示事件模式安全日志消息,show security log file如果命令采用二进制格式(本机),则显示事件模式安全日志消息。异机二进制日志记录由瞻博网络安全分析 (JSA) 读取。
配置异机二进制安全性日志文件
SRX 系列防火墙包含两种类型的日志:系统日志和安全日志。系统日志会记录控制平面事件,例如管理员登录到设备。有关系统日志的更多信息,请参阅 Junos OS 系统日志概述。安全性日志(也称为流量日志)记录与特定流量处理相关的数据平面事件,例如,当安全策略因某些违反策略而拒绝某些流量时。有关安全日志的更多信息,请参阅 了解安全性设备的系统日志记录。
这两种类型的日志可以在机内或机外收集和保存。以下过程说明如何为异机(流模式)日志记录配置二进制格式的安全日志。
您可以在层次结构级别使用[security]语log句配置二进制格式的安全文件。
以下过程指定流模式安全日志记录的二进制格式,并定义日志文件名、路径和日志文件特征。有关事件模式的本机安全日志记录,请参阅 配置本机二进制安全性日志文件。
在事件模式下配置本机 Protobuf 安全性日志文件
使用命令 show security log file file1.pb 查看存储在设备上的 protobuf 日志文件的内容。
user@host> show security log file file1.pb
<14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - SECINTEL_ACTION_LOG [junos@2636.1.1.1.2.129 category="secintel" sub-category="CC" action="block" action-detail="test" http-host="test" threat-severity="5" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" feed-name="test" policy-name="test" profile-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" occur-count="3"] <14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - AAMW_ACTION_LOG [junos@2636.1.1.1.2.129 hostname="test" file-category="virus" verdict-number="5" malware-info="Test-File" action="block" list-hit="test" file-hash-lookup="test" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" policy-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" sample-sha256="da26ba1e13ce4702bd5154789ce1a699ba206c12021d9823380febd795f5b002" file-name="test_name" url="www.test.com"] ...
在流模式下配置本机 Protobuf 安全性日志文件
llmd 。该
llmd 过程将根据设备配置保存日志文件。默认情况下,日志文件存储在
/var/traffic-log/filename.pb 目录中。您可以使用进程对
uspinfo 日志文件数据进行解码。
使用命令 show security log stream file file2.pb 查看存储在设备上的 protobuf 日志文件的内容。
user@host> show security log file file2.pb
<14>1 2023-03-15T22:27:34 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="HTTP" nested-application="BING" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" source-tenant="N/A" destination-service="N/A"] <14>1 2023-03-15T22:27:57 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" packets-from-client="11129" bytes-from-client="583566" packets-from-server="154153" bytes-from-server="218074629" elapsed-time="23" application="HTTP" nested-application="BING" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" secure-web-proxy-session-type="NA" peer-session-id="0" peer-source-address="0.0.0.0" peer-source-port="0" peer-destination-address="0.0.0.0" peer-destination-port="0" hostname="NA NA" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" session-flag="0" source-tenant="N/A" destination-service="N/A" user-type="N/A"] ...
配置异机 Protobuf 安全性日志文件
数据平面 在stream和stream-event模式下使用 Protobuf 格式对日志进行编码,并将日志发送到主机。安全日志数据使用不同的传输协议和端口号发送到主机。主机接收 protobuf 日志并将其保存到文件中。将 、 hplc_view.pysecurity_log.xml 和protobuflog.proto文件复制hplc_collect.py到主机。用于hplc_collect.py在主机上收集和保存日志文件。用于protobuflog.proto解码主机上的文件数据,您可以使用 查看数据hplc_view.py。这些文件将发布到 /share/juniper 并复制到主机。hplc_collect.py和hplc_view.py文件支持最新的 python 版本 3。
将系统日志消息发送到文件
您可以将系统日志消息定向到 CompactFlash (CF) 卡上的文件。日志文件的默认目录是 /var/log。要在 CF 卡上指定其他目录,请包含完整的路径名。
创建一个名为 security的文件,并将严重 authorization 性级别 info 的类的日志消息发送到该文件。
要设置文件名、设施和严重性级别:
{primary:node0}
user@host# set system syslog file security authorization info
将系统配置为通过 eventd 发送所有日志消息
eventd记录配置过程最常用于 Junos OS。在此配置中,控制平面日志和数据平面或安全日志从数据平面转发到路由引擎控制平面rtlogd进程。然后,该rtlogd进程将 syslog 或 sd-syslog 格式的日志转发给eventd进程,或将 WELF 格式的日志转发至外部或远程 WELF 日志收集器。
要通过以下方式 eventd发送所有日志消息:
要将重复的日志发送到第二个远程服务器,请使用第二个服务器的新完全限定 主机名 或 IP 地址重复该命令。
如果您的部署是主动/主动机箱群集,您还可以在活动节点上配置安全日志记录,以将该日志记录发送到单独的远程服务器,以实现日志记录冗余。
要重命名或重定向其中一个日志记录配置,您需要将其删除并重新创建。要删除配置:
{primary:node0}
user@host# delete security log mode event
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。
dense 默认情况下会启用模式。