为安全设备配置系统日志记录

控制平面和数据平面日志

Junos OS 会生成单独的日志消息，以记录在系统的控制平面和数据平面上发生的事件。

• 控制平面日志（也称为系统日志）包括在路由平台上发生的事件。系统将控制平面事件发送到 eventd 路由引擎上的进程，然后路由引擎通过使用 Junos OS 策略和/或生成系统日志消息来处理这些事件。您可以选择将控制平面日志发送到文件、用户终端、路由平台控制台或远程计算机。要生成控制平面日志，请在层次结构级别使用该syslog[system]语句。

• 数据平面日志（也称为 安全日志）主要包括在数据平面内处理的安全事件。

  安全日志可以是文本或二进制格式，并且可以保存在本地（事件模式）或发送到外部服务器（流模式）。

  对于流模式，您可以将日志格式配置为二进制、protobuf、sd-syslog 或 syslog。建议使用二进制格式在事件模式下节省日志空间。

  请注意以下几点：

  • 安全日志可以同时保存在本地（机上）、外部（机外）或两者同时保存。

  • 默认日志记录模式为流模式。数据平面事件以类似于控制平面事件的方式写入系统日志文件。要指定安全日志的二进制格式，请参阅 配置异机二进制安全日志文件

    注：

    如果在 SRX 系列防火墙上配置事件模式日志记录，设备可能会删除日志。

  我们支持流日志转发和本机报告中的转义，以避免解析错误。流模式支持日志未发送到eventd进程时的转义sd-syslog和binary 格式。对于发送到 eventd 进程的日志，建议不要启用某个 escape 选项，因为 eventd 该进程已启用结构日志的转义。事件模式仅支持格式转 binary 义。默认情况下，该 escape 选项处于禁用状态。您必须使用命令启用set security log escape该escape选项。

冗余系统日志服务器

用于远程服务器的安全系统日志记录流量通过网络接口端口发送，这些端口支持两个同时的系统日志目标。必须单独配置每个系统日志记录目标。配置两个系统日志目标地址时，会将相同的日志发送到两个目标。虽然可以在支持该功能的任何设备上配置两个目标，但添加第二个目标主要用作独立和主动/备份配置 机箱群集 部署的冗余备份。

以下冗余服务器信息可用：

• 设备： cron

• 说明：cron 调度进程

• 严重性级别（从最高到最低严重性）： debug

• 说明：软件调试消息

概述

固态硬盘 （SSD） 的本机流量日志记录支持八个外部日志服务器或文件。

将添加一个包含所有流量日志信息的一体化 XML 文件。XML 文件还会生成所有日志记录头文件和流量日志相关文档。

服务处理卡 0 （SPCs0） 支持称为 本地日志管理守护程序 （llmd） 的新进程（守护程序）来处理本机流量日志记录。SPC 中流产生的流量列在流量日志中。llmd 将这些日志保存到本地 SSD。流量日志以四种不同的格式保存。请参阅 表 1 以了解日志格式。

本机报告机制是对现有日志记录功能的增强。修改现有日志记录功能以收集系统流量日志、分析日志并使用 CLI 以表的形式生成这些日志的报告。本机报告功能旨在提供一个简单易用的界面来查看安全日志。本机报告以表格和图形的形式简单易用各种安全事件的 J-Web 页面。这些报告使 IT 安全管理人员能够一目了然地识别安全信息，并快速决定要采取的措施。对日志执行全面分析（基于会话类型），以获取屏幕、IDP、内容安全和 IPSec 等功能。

您可以根据以下条件为报告的日志数据定义筛选器：

• top <number>- 此选项允许您为命令中指定的热门安全事件生成报告。例如：通过内容安全检测到的前 5 个 IPS 攻击或前 6 个 URL。

• in-detail <number>- 此选项允许您生成详细日志内容。

• in-interval <time-period>- 此选项允许您生成在特定时间间隔之间记录的事件。

• summary- 此选项允许您生成事件的摘要。这样，您可以根据需要微调报表，并仅显示要使用的数据。

显示间隔计数的最大间隔数为 30。如果指定了较大的持续时间，则会组装计数器以确保最大间隔小于 30。

详细和摘要都有“全部”选项，因为不同的表有不同的属性（如会话表没有属性“原因”，但内容安全有），“全部”选项除了开始时间和停止时间之外没有任何过滤器。如果除了开始时间和停止时间之外还有其他过滤器，则会显示错误。

例如：root@host>详细显示安全日志报告所有原因1

用于应用程序和用户可见性的应用程序防火墙日志将列出应用程序和嵌套应用程序。当这些功能的日志列出嵌套应用程序时，嵌套应用程序将在 J-Web 中列出。当日志将嵌套的应用程序列为不适用或未知时，J-Web 中仅列出这些应用程序。

使用以下 CLI 命令对所有应用程序和嵌套应用程序列表实现应用程序和用户可见性：

• 对于按计数排名靠前的嵌套应用程序—show security log report top session-close top-number <number> group-by application order-by count with user

• 对于按卷排列的顶级嵌套应用程序—show security log report top session-close top-number <number> group-by application order-by volume with user

• 对于具有嵌套应用程序的计数排名靠前的用户—show security log report top session-close top-number <number> group-by user order-by count with application

默认情况下，当您在设备上加载出厂默认配置时，本机报告功能处于启用状态。

出厂默认配置不包括用于延长固态硬盘 （SSD） 寿命的本机报告配置。您可以通过在层次结构中[edit security log]配置 set security log report CLI 命令来启用本机报告功能。

请参阅 SRX 系列设备的 J-Web 用户指南 ，在 J-Web 用户界面上执行此任务。

如果没有外部 SSD，则本机报告日志将存储在内存文件系统 （MFS） 上。您可以在 MFS 上保存的最大日志数小于您可以在外部 SSD 上保存的日志数。这可以防止内存耗尽和故障。保存在 MFS 中的日志不会在设备重新启动或电源故障后保留。请参阅以了解 表 2 本机报告和本机报告中记录的日志数。

记录日志消息后，日志存储在日志文件中，然后将该文件存储在路由引擎的数据库表中以供进一步分析，或存储在 SSD 卡上以供进一步分析。

此功能的好处是：

• 报告本地存储在 SRX 系列防火墙上，无需单独的设备或工具来存储日志和报告。

• 本机报告是易于使用的 J-Web 页面，以表格和图形的形式包含各种安全事件。

• 提供简单易用的界面，用于查看安全日志。

• 生成的报告使 IT 安全管理团队能够一目了然地识别安全信息，并快速决定要采取的措施。

本机报告功能支持：

• 根据要求生成报告。例如：会话的计数或数量、IDP、内容安全、IPsec VPN 等活动的日志类型。

• 捕获指定时间范围内的实时事件。

• 根据各种 CLI 指定条件，以逻辑、有组织且易于理解的格式捕获所有网络活动。

本机报告功能

本机报告功能支持：

• Sqlite3 support as a library- 在 RE 上运行的守护程序以及其他潜在模块使用 SQL 日志数据库（SQLite 版本 3）在 SRX 系列防火墙上存储日志。

• Running llmd in both Junos OS and Linux OS— 转发守护程序 （flowd） 从二进制日志解码数据库索引，并将索引和日志发送到本地日志管理守护程序 （llmd）。

• Storing of logs into specified table of the sqlite3 database by llmd— 引入了新的系统日志守护程序，用于收集 SRX 系列防火墙上的本地日志并将其保存到数据库中。

  Junos OS 将日志存储在多个表中，而不是将单个表存储在数据库文件中。每个表都包含最早和最新日志的时间戳。当您根据开始和结束时间启动查询时，llmd 会找到最新的表来生成报告。

  如果数据库表包含过去 10 小时内生成的 500 万条日志，则从该表生成报告可能需要半小时以上。为了提高性能，大表被分成多个较小的表，每个表包含 50 万条日志，因此生成相同的报告只需要查询一个较小的表。

  建议使用较短的查询时间以获得更好的性能。

  • Database table definition- 对于会话日志，数据类型包括源地址、目标地址、应用程序、用户等。对于与安全功能相关的日志，数据类型包括攻击名称、URL、配置文件协议等。因此，不同的表旨在存储不同类型的日志，以帮助提高性能并节省磁盘空间。SRX 系列防火墙在记录日志数据时为每种日志类型创建一个数据库表。

    每种类型的数据库表都有其特定于设备的最大记录数。当表记录数达到限制时，新日志将替换最旧的日志。Junos OS 存储在传递活动流量的设备中的登录名。

    您可以在数据库文件中创建多个表来存储日志。您可以定义在表中存储日志的容量。

    如果日志编号限制超过表容量，Junos OS 会将日志存储在第二个表中。例如，如果表 1 中的日志限制超过表容量，Junos OS 会将日志存储在表 2 中。

    如果日志编号的限制超过文件 1 的最后一个表，Junos OS 会将日志存储在文件 2 的表 1 中。例如，表 n 是文件 1 的最后一个表。当日志超出表容量时，Junos OS 会将日志存储在文件 2 的表 1 中。

    若要在更改表号后立即生效， clear security log report 请使用操作命令。

  • Database table rotation- 每种类型的数据库表都有其特定于设备的最大记录号。当表记录数达到限制时，新日志将替换最旧的日志。

    其他平台信息 描述数据库文件大小容量。

• Calculating and displaying the reports that are triggered by CLI— 来自数据库的报告作为接口从 CLI 接收。使用 CLI，您可以计算和显示报告详细信息。

表选择

当您要从多个表生成报告时，llmd 会根据时间戳对表进行排序，并根据请求的开始时间和停止时间选择表。

例如，有三个表，即表 1（1 到 3）、表 2（3 到 5）和表 3（6 到 8）。1 到 3、3 到 6 和 6 到 8 表示最新和最早日志的时间戳。如果请求从 4 到 6 的报告，Junos OS 将根据表 2 和表 3 生成报告。

表生存期

您可以通过配置 set security log report table-lifetime 命令来决定表生存期。在表识别时间超过表生存期后，Junos OS 将删除表。例如，如果将表生存期配置为 2，并且当前日期为 2019 年 7 月 26 日，则意味着在 2019 年 7 月 24 日 00：00：00 将删除日志。

如果在设备上手动更改日期和时间，表生存期会更改。例如，如果表标识时间为 2019 年 7 月 19 日，而您将表生存期配置为 10，则 Junos OS 应在 2019 年 7 月 29 日删除该表。如果将设备日期更改为 2019 年 7 月 18 日，则表实际生存期将变为 2019 年 7 月 30 日。

表密集模式

我们升级了本机日志记录数据库中的默认存储和搜索机制来管理日志。您现在可以自定义日志存储和搜索机制结果。例如，如果您预计流量日志会减少，则可以使用包含开始时间和停止时间的默认配置。

但是，如果您预计会产生大量流量日志和更长的生成日志的时间间隔，请启用密集模式。要启用密集模式，请使用 set security log report table-mode dense 配置命令。

机箱群集方案

对于机箱群集中的本机报告，日志存储在设备处理活动流量的本地磁盘中。这些日志不会同步到机箱群集对等方。

当每个节点处理活动流量时，每个节点负责存储日志。在主动/被动模式下，只有主动节点处理流量，日志也仅存储在主动节点中。发生故障转移时，新的主动节点将处理流量并将日志存储在其本地磁盘中。在主动/主动模式下，每个节点处理自己的流量，日志存储在相应的节点中。