为安全设备配置系统日志记录
安全设备的系统日志记录概述
Junos OS 支持配置和监控系统日志消息(也称为 系统日志消息)。您可以配置文件来记录系统消息,还可以为消息分配属性(如严重性级别)。重新启动请求将记录到系统日志文件中,您可以使用命令查看 这些文件。show log
本节包含以下主题:
控制平面和数据平面日志
Junos OS 会生成单独的日志消息,以记录在系统的控制平面和数据平面上发生的事件。
控制平面日志(也称为系统日志)包括在路由平台上发生的事件。系统将控制平面事件发送到 路由引擎上的进程,然后路由引擎通过使用 Junos OS 策略和/或生成系统日志消息来处理这些事件。
eventd您可以选择将控制平面日志发送到文件、用户终端、路由平台控制台或远程计算机。要生成控制平面日志,请在层次结构级别使用该语句。syslog[system]数据平面日志(也称为 安全日志)主要包括在数据平面内处理的安全事件。安全日志可以是文本或二进制格式,并且可以保存在本地(事件模式)或发送到外部服务器(流模式)。流模式需要二进制格式,建议在事件模式下节省日志空间。
请注意以下几点:
安全日志可以保存在本地(本机上)或外部(本机下),但不能同时保存两者。
SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600和SRX5800设备默认为流模式。若要指定二进制格式和外部服务器,请参阅 配置外部二进制安全日志文件。配置异机二进制安全日志文件
注:如果在这些设备上配置事件模式日志记录,则日志可能会被删除。
从 Junos OS 版本 15.1X49-D100 开始,SRX1500设备的默认模式为流模式。在 Junos OS 15.1X49-D100 版本之前,SRX1500设备的默认模式是事件模式。
除了 Junos OS 版本 18.4R1、18、4R2、19.1 和 19.2R1 之外,在从 Junos OS 版本 18.3R3 开始的所有其他版本中,SRX300、SRX320、SRX340、SRX345、SRX550 和SRX550M设备的默认日志记录模式是流模式。数据平面事件以类似于控制平面事件的方式写入系统日志文件。若要指定安全日志的二进制格式,请参阅 配置外部二进制安全日志文件。配置异机二进制安全日志文件
从 Junos OS 20.2R1 版开始,我们支持流中转义日志转发和本机报告,以避免解析错误。流模式支持日志未发送到进程时的转义和格式。
sd-syslogbinaryeventd对于发送到 进程的日志,建议不要启用某个 选项,因为 该进程已启用结构日志的转义。eventdescapeeventd事件模式仅支持格式转 义。binary默认情况下,该 选项处于禁用状态。escape您必须使用命令启用该选项。escapeset security log escape
冗余系统日志服务器
用于远程服务器的安全系统日志记录流量通过网络接口端口发送,这些端口支持两个同时的系统日志目标。必须单独配置每个系统日志记录目标。配置两个系统日志目标地址时,会将相同的日志发送到两个目标。虽然可以在支持该功能的任何设备上配置两个目标,但添加第二个目标主要用作独立和主动/备份配置 机箱群集 部署的冗余备份。
以下冗余服务器信息可用:
设施:
cron说明:cron 调度进程
严重性级别(从最高到最低严重性):
debug说明:软件调试消息
安全日志的二进制格式
Junos OS 会生成单独的日志消息,用于记录系统控制平面和数据平面上发生的事件。控制平面监控路由平台上发生的事件。此类事件记录在系统日志消息中。要生成系统日志消息,请在层次结构级别使用该语句。syslog[system]
数据平面日志消息(也称为安全日志消息)记录系统直接在数据平面内处理的安全事件。要生成安全日志消息,请在层次结构级别使用该语句。log[security]
系统日志消息以基于文本的格式在日志文件中维护,例如 BSD Syslog、结构化系统日志和 WebTrends 增强型日志格式 (WELF)。
还可以以基于文本的格式维护安全日志消息。但是,由于安全日志记录可以生成大量数据,因此基于文本的日志文件会快速消耗存储和 CPU 资源。根据安全日志记录的实现,基于二进制格式的日志文件可以更有效地使用本机或机外存储,并提高 CPU 利用率。所有 SRX 系列防火墙均提供安全日志消息的二进制格式。
在事件模式下配置时,数据平面中生成的安全日志消息将定向到控制平面并本地存储在设备上。以二进制格式存储的安全日志消息保存在与用于维护系统日志消息的日志文件分开的日志文件中。存储在二进制日志文件中的事件无法使用用于基于文本的日志文件的高级日志脚本命令进行访问。单独的 CLI 操作命令支持解码、转换和查看存储在设备上本地的二进制日志文件。
在流模式下配置时,数据平面中生成的安全日志消息将流式传输到远程设备。当这些消息以二进制格式存储时,它们会以瞻博网络特定的二进制格式直接流式传输到外部日志收集服务器。外部存储的二进制日志文件只能使用瞻博网络安全分析 (JSA) 或安全威胁响应管理器 (STRM) 读取。
从 Junos OS 版本 17.4R2 及更高版本开始,在 SRX300、SRX320、SRX340、SRX345 系列设备和 vSRX 虚拟防火墙实例上,当设备配置为流模式时,您最多可以配置八个系统日志主机。在 Junos OS 17.4R2 版及更早版本中,流模式下只能配置三个系统日志主机。如果配置三个以上的系统日志主机,则会显示 以下错误消息。error: configuration check-out failed
有关配置本机(事件模式)二进制安全日志的信息,请参阅 配置本机二进制安全日志文件。配置本机二进制安全日志文件有关配置外部(流模式)二进制安全日志的信息,请参阅 配置外部二进制安全日志文件。配置异机二进制安全日志文件
本机日志记录和报告
本主题介绍本机日志记录和报告 CLI 功能,以及 SRX 设备本机报告的设计方面。
概述
固态硬盘 (SSD) 的本机流量日志记录支持八个外部日志服务器或文件。
将添加一个包含所有流量日志信息的一体化 XML 文件。XML 文件还会生成所有日志记录头文件和流量日志相关文档。
服务处理卡 0 (SPCs0) 支持称为 本地日志管理守护程序 (llmd ) 的新进程(守护程序)来处理本机流量日志记录。SPC 中流产生的流量列在流量日志中。llmd 将这些日志保存到本地 SSD。流量日志以四种不同的格式保存。请参阅以了解日志格式。表 1
| 日志格式 | Description | 默认 |
|---|---|---|
| 系统日志 |
|
是 |
| SD-syslog |
|
- |
| 韦尔夫 |
|
- |
| 二 进 制 |
|
- |
| 普罗托布夫 |
|
本机报告机制是对现有日志记录功能的增强。修改现有日志记录功能以收集系统流量日志、分析日志并使用 CLI 以表的形式生成这些日志的报告。本机报告功能旨在提供一个简单易用的界面来查看安全日志。本机报告以表格和图形的形式简单易用各种安全事件的 J-Web 页面。这些报告使 IT 安全管理人员能够一目了然地识别安全信息,并快速决定要采取的措施。对日志执行全面分析(基于会话类型),以获取屏幕、IDP、内容安全和 IPSec 等功能。
您可以根据以下条件为报告的日志数据定义筛选器:
顶部、详细和间隔条件不能同时使用。
-
top <number>- 此选项允许您为命令中指定的热门安全事件生成报告。例如:通过内容安全检测到的前 5 个 IPS 攻击或前 6 个 URL。 -
in-detail <number>- 此选项允许您生成详细日志内容。 -
in-interval <time-period>- 此选项允许您生成在特定时间间隔之间记录的事件。 -
summary- 此选项允许您生成事件的摘要。这样,您可以根据需要微调报表,并仅显示要使用的数据。
显示间隔计数的最大间隔数为 30。如果指定了较大的持续时间,则会组装计数器以确保最大间隔小于 30。
详细和摘要都有“全部”选项,因为不同的表有不同的属性(如会话表没有属性“原因”,但内容安全有),“全部”选项除了开始时间和停止时间之外没有任何过滤器。如果除了开始时间和停止时间之外还有其他过滤器,则会显示错误。
例如:root@host>详细显示安全日志报告所有原因1
error: "query condition error"
用于应用程序和用户可见性的应用程序防火墙日志将列出应用程序和嵌套应用程序。当这些功能的日志列出嵌套应用程序时,嵌套应用程序将在 J-Web 中列出。当日志将嵌套的应用程序列为不适用或未知时,J-Web 中仅列出这些应用程序。
使用以下 CLI 命令对所有应用程序和嵌套应用程序列表实现应用程序和用户可见性:
-
对于按计数排名靠前的嵌套应用程序—
show security log report top session-close top-number <number> group-by application order-by count with user -
对于按卷排列的顶级嵌套应用程序—
show security log report top session-close top-number <number> group-by application order-by volume with user -
对于具有嵌套应用程序的计数排名靠前的用户—
show security log report top session-close top-number <number> group-by user order-by count with application
在装有 Junos OS 15.1X49-D100 或更高版本的 SRX 系列防火墙上加载出厂默认配置时,默认情况下会启用本机报告功能。
如果要从 Junos OS 15.1X49-D100 之前的 Junos OS 版本升级 SRX 系列防火墙,则 SRX 系列防火墙将继承现有配置,并且默认情况下禁用本机报告功能。您需要配置 命令和命令, 以便在升级的设备上启用本机报告功能。set security log reportset security log mode stream
从 Junos OS 19.3R1 版开始,出厂默认配置不包括用于延长固态硬盘 (SSD) 使用寿命的本机报告配置。您可以通过在层次结构中配置 CLI 命令来启用本机报告功能。set security log report[edit security log]
请参阅 SRX 系列设备的 J-Web 用户指南,在 J-Web 用户界面上执行此任务。https://www.juniper.net/documentation/us/en/software/jweb-srx21.2/jweb-srx/index.html
从 Junos OS 21.3R1 版开始,如果没有外部 SSD,本机报告日志将存储在内存文件系统 (MFS) 上。您可以在 MFS 上保存的最大日志数小于您可以在外部 SSD 上保存的日志数。这可以防止内存耗尽和故障。保存在 MFS 中的日志不会在设备重新启动或电源故障后保留。请参阅以了解本机报告和本机报告中记录的日志数。表 2
| 报告模式 | 会话 | 筛选 | IDP | 内容安全 | IPsec-VPN | 天空 |
|---|---|---|---|---|---|---|
| 异箱 | 1200,000 | 120,000 | 120,000 | 120,000 | 40000 | 120,000 |
| 本机 | 500000 | 50000 | 50000 | 50000 | 20,000 | 50000 |
您必须使用命令为 会话配置安全策略,以使用本机报告功能在 J-Web 上的应用程序跟踪中列出所有应用程序和嵌套应用程序。set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close 有关详细信息,请参阅更多日志(安全策略)。log (Security Policies)
记录日志消息后,日志存储在日志文件中,然后存储在 RE 的数据库表中以供进一步分析(在 SRX300、SRX320、SRX340、SRX345 和SRX550M设备上)或存储在 SSD 卡上以进行进一步分析(在 SRX1500、SRX4100 和 SRX4200 设备上)。
此功能支持根据会话的计数或数量或日志类型接收最靠前的报告,捕获指定时间范围内每秒发生的事件,捕获指定 CLI 条件的日志内容。各种 CLI 条件(如“摘要”、“顶部”、“详细”和“间隔”)用于生成报告。使用 CLI 一次只能生成一个报告。不能同时使用所有 CLI 条件。使用 CLI 一次只能生成一个报告。
此功能的好处是:
-
报告本地存储在 SRX 系列防火墙上,无需单独的设备或工具来存储日志和报告。
-
本机报告是易于使用的 J-Web 页面,以表格和图形的形式包含各种安全事件。
-
提供简单易用的界面,用于查看安全日志。
-
生成的报告使 IT 安全管理团队能够一目了然地识别安全信息,并快速决定要采取的措施。
本机报告功能支持:
-
根据要求生成报告。例如:会话的计数或数量、IDP、内容安全、IPsec VPN 等活动的日志类型。
-
捕获指定时间范围内的实时事件。
-
根据各种 CLI 指定条件,以逻辑、有组织且易于理解的格式捕获所有网络活动。
本机报告功能
本机报告功能支持:
-
Sqlite3 support as a library—在 Junos OS 版本 15.1X49-D100 之前不支持 sqlite3。从 Junos OS 版本 15.1X49-D100 开始,在 RE 上运行的守护程序以及其他潜在模块使用 SQL 日志数据库(SQLite 版本 3)在 SRX 系列防火墙上存储日志。
在 Junos OS 19.4R1 版中,我们升级了本机日志记录数据库以提高查询性能。
-
Running llmd in both Junos OS and Linux OS— 转发守护程序 (flowd) 从二进制日志解码数据库索引,并将索引和日志发送到本地日志管理守护程序 (llmd)。
在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备上,llmd 在 Junos OS 中运行。在 SRX1500、SRX4100 和 SRX4200 设备上,llmd 在 Linux 中运行。因此,为了支持 llmd 在 Junos OS 和 Linux OS 中运行,llmd 代码目录从 Linux 端移至 Junos OS 端。
-
Storing of logs into specified table of the sqlite3 database by llmd— 引入了新的系统日志守护程序,用于收集 SRX 系列防火墙上的本地日志并将其保存到数据库中。
从 Junos OS 19.3R1 版开始,Junos OS 将日志存储在多个表中,而不是数据库文件中的单个表中。每个表都包含最早和最新日志的时间戳。当您根据开始和结束时间启动查询时,llmd 会找到最新的表来生成报告。
例如,如果最近 10 小时内生成的数据库文件的一个表中有 500 万条日志,并且如果要获取报告,则应花费半小时以上。从 Junos OS 19.3R1 版开始,一个表分为多个表,每个表有 50 万条日志。要生成相同的报告,一个表信息就足够了。
建议使用较短的查询时间以获得更好的性能。
-
Database table definition- 对于会话日志,数据类型包括源地址、目标地址、应用程序、用户等。对于与安全功能相关的日志,数据类型包括攻击名称、URL、配置文件协议等。因此,不同的表旨在存储不同类型的日志,以帮助提高性能并节省磁盘空间。SRX 系列防火墙在记录日志数据时为每种日志类型创建一个数据库表。
每种类型的数据库表都有其特定于设备的最大记录数。当表记录数达到限制时,新日志将替换最旧的日志。Junos OS 将日志存储在传递活动流量的 SRX 系列防火墙中。
从 Junos OS 19.3R1 版开始,您可以在数据库文件中创建多个表来存储日志。您可以定义在表中存储日志的容量。
如果日志编号限制超过表容量,Junos OS 会将日志存储在第二个表中。例如,如果表 1 中的日志限制超过表容量,Junos OS 会将日志存储在表 2 中。
如果日志编号的限制超过文件 1 的最后一个表,Junos OS 会将日志存储在文件 2 的表 1 中。例如,表 n 是文件 1 的最后一个表。当日志超出表容量时,Junos OS 会将日志存储在文件 2 的表 1 中。
若要在更改表号后立即生效, 请使用操作命令。
clear security log report -
Database table rotation- 每种类型的数据库表都有其特定于设备的最大记录号。当表记录数达到限制时,新日志将替换最旧的日志。
数据库文件大小容量介绍如下 :表 3
表 3: 数据库文件大小容量 设备
会话
筛选
IDP
内容安全
IPsec-VPN
天空
SRX300、SRX320、SRX340、SRX345 和 SRX550M
1.8G
0.18G
0.18克
0.18克
0.06G
0.18克
SRX1500
12G
2.25G
2.25G
2.25G
0.75G
2.25G
SRX4100和SRX4200
15G
2.25G
2.25G
2.25G
0.75克
2.25G
SRX4600
22.5G
6G
6G
6G
0.75克
2.25G
vSRX 虚拟防火墙
1.8G
0.18克
0.18克
0.18克
0.06克
0.18克
-
-
Calculating and displaying the reports that are triggered by CLI— 来自数据库的报告作为接口从 CLI 接收。使用 CLI,您可以计算和显示报告详细信息。
表选择
当您要从多个表生成报告时,llmd 会根据时间戳对表进行排序,并根据请求的开始时间和停止时间选择表。
例如,有三个表,即表 1(1 到 3)、表 2(3 到 5)和表 3(6 到 8)。1 到 3、3 到 6 和 6 到 8 表示最新和最早日志的时间戳。如果请求从 4 到 6 的报告,Junos OS 将根据表 2 和表 3 生成报告。
表生存期
您可以通过配置 命令来决定表生存期。set security log report table-lifetime 在表识别时间超过表生存期后,Junos OS 将删除表。例如,如果将表生存期配置为 2,并且当前日期为 2019 年 7 月 26 日,则意味着在 2019 年 7 月 24 日 00:00:00 将删除日志。
如果在设备上手动更改日期和时间,表生存期会更改。例如,如果表标识时间为 2019 年 7 月 19 日,而您将表生存期配置为 10,则 Junos OS 应在 2019 年 7 月 29 日删除该表。如果将设备日期更改为 2019 年 7 月 18 日,则表实际生存期将变为 2019 年 7 月 30 日。
表密集模式
在 Junos OS 19.4R1 版中,我们升级了本机日志记录数据库中的默认存储和搜索机制来管理日志。您现在可以自定义日志存储和搜索机制结果。例如,如果您预计流量日志会减少,则可以使用包含开始时间和停止时间的默认配置。
但是,如果您预计会产生大量流量日志和更长的生成日志的时间间隔,请启用密集模式。要启用密集模式,请使用 配置命令。set security log report table-mode dense
机箱群集方案
对于机箱群集中的本机报告,日志存储在设备处理活动流量的本地磁盘中。这些日志不会同步到机箱群集对等方。
当每个节点处理活动流量时,每个节点负责存储日志。在主动/被动模式下,只有主动节点处理流量,日志也仅存储在主动节点中。发生故障转移时,新的主动节点将处理流量并将日志存储在其本地磁盘中。在主动/主动模式下,每个节点处理自己的流量,日志存储在相应的节点中。
另请参阅
监控报告
本机报告提供了一个全面的报告功能,您的安全管理团队可以在发生安全事件时发现它,立即访问和查看有关事件的相关详细信息,并快速决定适当的补救措施。J-Web 报告功能提供一页或两页的报告,相当于大量日志条目的汇编。
本节包含以下主题:
威胁监控报告
目的
使用威胁报告可以监控当前网络威胁的一般统计信息和活动报告。您可以分析日志记录数据以获取威胁类型、来源和目标详细信息以及威胁频率信息。该报告计算、显示和刷新统计数据,提供网络当前状态的图形显示。
操作
要查看威胁报告,请执行以下操作:
单击 仪表板右下角,或在 J-Web 用户界面中选择 。Threats ReportMonitor>Reports>Threats 此时将显示威胁报告。
选择以下选项卡之一:
领域 |
Description |
|---|---|
| 常规统计信息窗格 | |
威胁类别 |
以下威胁类别之一:
|
严重性 |
威胁的严重性级别:
|
过去 24 小时内的点击数 |
过去 24 小时内每个类别遇到的威胁数。 |
当前小时内的点击数 |
过去一小时内每个类别遇到的威胁数。 |
| 过去 24 小时内的威胁计数 | |
按严重性 |
表示过去 24 小时内每小时收到的威胁数的图表,按严重性级别排序。 |
按类别 |
表示过去 24 小时内每小时收到的威胁数的图表,按类别排序。 |
X 轴 |
24 小时跨度,当前小时占据显示屏最右侧的列。图形每小时向左移动一次。 |
Y 轴 |
遇到的威胁数。轴会根据遇到的威胁数量自动缩放。 |
| 最新威胁 | |
威胁名称 |
最近威胁的名称。根据威胁类别,您可以单击威胁名称以转到扫描引擎站点以获取威胁描述。 |
类别 |
每种威胁的类别:
|
源 IP/端口 |
威胁的源 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
威胁的目标 IP 地址(和端口号,如果适用)。 |
协议 |
威胁的协议名称。 |
Description |
基于类别类型的威胁识别:
|
操作 |
为应对威胁而采取的行动。 |
命中时间 |
威胁发生的时间。 |
| 过去 24 小时内的威胁趋势 | |
类别 |
按类别表示比较威胁计数的饼图图形:
|
Web 筛选器计数器摘要 |
|
类别 |
Web 过滤器计数最多按 39 个子类别细分。单击“常规统计信息”窗格中的“Web 筛选器列表”将打开“Web 筛选器计数器摘要”窗格。 |
过去 24 小时内的点击数 |
过去 24 小时内每个子类别的威胁数。 |
当前小时内的点击数 |
过去一小时内每个子类别的威胁数。 |
领域 |
功能 |
|---|---|
| 最近病毒攻击 | |
威胁名称 |
病毒威胁的名称。病毒可以基于服务(如 Web、FTP 或电子邮件),也可以基于严重性级别。 |
严重性 |
每个威胁的严重性级别:
|
源 IP/端口 |
威胁源的 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
威胁目标的 IP 地址(和端口号,如果适用)。 |
协议 |
威胁的协议名称。 |
Description |
基于类别类型的威胁识别:
|
操作 |
为应对威胁而采取的行动。 |
上次命中时间 |
上次发生威胁的时间。 |
| 最新的垃圾邮件发件人 | |
从电子邮件 |
作为垃圾邮件来源的电子邮件地址。 |
严重性 |
威胁的严重性级别:
|
源 IP |
威胁源的 IP 地址。 |
操作 |
为应对威胁而采取的行动。 |
上次发送时间 |
上次发送垃圾邮件的时间。 |
| 最近阻止的 URL 请求 | |
URL |
被阻止的 URL 请求。 |
源 IP/端口 |
源的 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
目标的 IP 地址(和端口号,如果适用)。 |
当前小时内的点击数 |
过去一小时内遇到的威胁数。 |
| 最近的 IDP 攻击 | |
攻击 |
|
严重性 |
每个威胁的严重性:
|
源 IP/端口 |
源的 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
目标的 IP 地址(和端口号,如果适用)。 |
协议 |
威胁的协议名称。 |
操作 |
为应对威胁而采取的行动。 |
上次发送时间 |
上次发送 IDP 威胁时。 |
流量监控报告
目的
通过查看过去 24 小时内的流会话报告来监控网络流量。您可以按传输协议分析连接统计信息和会话使用情况的日志记录数据。
操作
要查看过去 24 小时的网络流量,请在 J-Web 用户界面中选择 。Monitor>Reports>Traffic 有关报告的说明,请参阅 。表 6
领域 |
Description |
|---|---|
| 每个协议过去 24 小时内的会话数 | |
协议名称 |
协议的名称。若要按协议查看每小时活动,请单击协议名称并查看下部窗格中的“协议活动图表”。
|
会话总数 |
过去 24 小时内协议的会话总数。 |
字节数 (KB) |
传入字节总数(以 KB 为单位)。 |
输出字节数 (KB) |
传出字节总数(以 KB 为单位)。 |
数据包输入 |
传入数据包的总数。 |
数据包输出 |
传出数据包的总数。 |
| 最近结束的会议 | |
源 IP/端口 |
已关闭会话的源 IP 地址(和端口号,如果适用)。 |
目标 IP/端口 |
已关闭会话的目标 IP 地址(和端口号,如果适用)。 |
协议 |
非公开会议的协议。
|
字节数 (KB) |
传入字节总数(以 KB 为单位)。 |
输出字节数 (KB) |
传出字节总数(以 KB 为单位)。 |
数据包输入 |
传入数据包的总数。 |
数据包输出 |
传出数据包的总数。 |
时间 戳 |
会话关闭的时间。 |
| 协议活动图表 | |
输入/输出字节数 |
以每小时传入和传出字节数表示流量的图形形式。字节计数适用于在“每个协议过去 24 小时内的会话”窗格中选择的协议。更改所选内容会导致此图表立即刷新。 |
数据包输入/输出 |
流量的图形表示为每小时传入和传出数据包。数据包计数适用于在“每个协议过去 24 小时内的会话”窗格中选择的协议。更改所选内容会导致此图表立即刷新。 |
会话 |
以每小时会话数表示流量的图形形式。会话计数适用于在“每个协议过去 24 小时内的会话”窗格中选择的协议。更改所选内容会导致此图表立即刷新。 |
X 轴 |
每列1小时,持续24小时。 |
Y 轴 |
字节、数据包或会话计数。 |
| 协议会话图 | |
按协议分类的会话数 |
流量的图形表示为每个协议的当前会话计数。显示的协议包括 TCP、UDP 和 ICMP。 |
配置本机二进制安全日志文件
SRX 系列防火墙使用两种类型的日志(系统日志和安全日志)来记录系统事件。系统日志记录控制平面事件,例如,当管理员用户登录时。安全日志(也称为流量日志)记录有关特定流量处理的数据平面事件。例如,如果安全策略因违反策略而拒绝某些流量,Junos OS 会生成安全日志。有关系统日志的详细信息,请参阅 Junos OS 系统日志概述。有关安全日志的详细信息,请参阅 了解安全设备的系统日志记录。安全设备的系统日志记录概述
您可以以二进制格式收集和保存系统和安全日志,可以是本机(即本地存储在 SRX 系列防火墙上)还是异机(流式传输到远程设备)。使用二进制格式可确保有效地存储日志文件,从而提高 CPU 利用率。
您可以使用语句在 层次结构级别配置 二进制格式的安全文件。log[security]
本机日志记录也称为事件模式日志记录。有关流模式的外部安全日志记录,请参阅 配置外部二进制安全日志文件。配置异机二进制安全日志文件为事件模式日志记录配置二进制格式的安全日志时,可以选择定义日志文件名、文件路径和其他特征,如以下过程中所述:
使用命令查看 存储在设备上的事件模式日志文件的内容,并使用 命令清除二进制事件模式安全日志文件的内容。show security log fileclear security log file
如果事件模式安全日志消息采用基于文本的格式,则该命令显示事件模式安全日志消息(如果 采用二进制格式( 本机)。show security logshow security log file 异机二进制日志记录由瞻博网络安全分析 (JSA) 读取。
配置异机二进制安全日志文件
SRX 系列防火墙有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如管理员登录设备。有关系统日志的更多信息,请参阅 Junos OS 系统日志概述。安全日志(也称为流量日志)记录有关特定流量处理的数据平面事件,例如,当安全策略因某些违反策略而拒绝某些流量时。有关安全日志的更多信息,请参阅 了解安全设备的系统日志记录。安全设备的系统日志记录概述
这两种类型的日志可以在本机或本机下收集和保存。以下过程说明如何以二进制格式为外部(流模式)日志记录配置安全日志。
您可以使用语句在 层次结构级别配置 二进制格式的安全文件。log[security]
以下过程指定流模式安全日志记录的二进制格式,并定义日志文件名、路径和日志文件特征。有关事件模式的本机安全日志记录,请参阅 配置本机二进制安全日志文件。配置本机二进制安全日志文件
在事件模式下配置本机 Protobuf 安全日志文件
使用命令查看 存储在设备上的 protobuf 日志文件的内容。show security log file file1.pb
user@host> show security log file file1.pb<14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - SECINTEL_ACTION_LOG [junos@2636.1.1.1.2.129 category="secintel" sub-category="CC" action="block" action-detail="test" http-host="test" threat-severity="5" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" feed-name="test" policy-name="test" profile-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" occur-count="3"] <14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - AAMW_ACTION_LOG [junos@2636.1.1.1.2.129 hostname="test" file-category="virus" verdict-number="5" malware-info="Test-File" action="block" list-hit="test" file-hash-lookup="test" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" policy-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" sample-sha256="da26ba1e13ce4702bd5154789ce1a699ba206c12021d9823380febd795f5b002" file-name="test_name" url="www.test.com"] ...
在流模式下配置本机 Protobuf 安全日志文件
llmd process. The llmd process saves the log file
based on the device configuration. By default, the log files are stored in
/var/traffic-log/filename.pb directory.
You can decode the log file data using uspinfo process.使用命令查看 存储在设备上的 protobuf 日志文件的内容。show security log stream file file2.pb
user@host> show security log file file2.pb<14>1 2023-03-15T22:27:34 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="HTTP" nested-application="BING" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" source-tenant="N/A" destination-service="N/A"] <14>1 2023-03-15T22:27:57 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" packets-from-client="11129" bytes-from-client="583566" packets-from-server="154153" bytes-from-server="218074629" elapsed-time="23" application="HTTP" nested-application="BING" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" secure-web-proxy-session-type="NA" peer-session-id="0" peer-source-address="0.0.0.0" peer-source-port="0" peer-destination-address="0.0.0.0" peer-destination-port="0" hostname="NA NA" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" session-flag="0" source-tenant="N/A" destination-service="N/A" user-type="N/A"] ...
配置异机原型安全日志文件
数据平面在和模式下使用 Protobuf 格式对日志进行编码并将日志发送到主机。streamstream-event 安全日志数据使用不同的传输协议和端口号发送到主机。主机接收 protobuf 日志并将其保存到文件中。将 、 和文件复制到主机。hplc_collect.pyhplc_view.pysecurity_log.xmlprotobuflog.proto 用于 收集日志文件并将其保存在主机上。hplc_collect.py 用于 解码主机上的文件数据,您可以使用 查看数据 。protobuflog.protohplc_view.py 这些文件将发布到 主机并复制到主机。/share/juniper 和文件支持最新的 python 版本 3。hplc_collect.pyhplc_view.py
将系统日志消息发送到文件
您可以将系统日志消息定向到CF卡上的文件。日志文件的默认目录为 。/var/log 要在 CF 卡上指定其他目录,请包含完整的路径名。
创建一个名为 的文件,并将严重性级别的类的日志消息发送到该文件。securityauthorizationinfo
要设置文件名、设施和严重性级别,请执行以下操作:
{primary:node0}
user@host# set system syslog file security authorization info
将系统配置为通过 eventd 发送所有日志消息
日志记录配置过程最常用于 Junos OS。eventd 在此配置中,控制平面日志和数据平面或安全日志从数据平面转发到路由引擎控制平面 进程。rtlogd 然后, 进程将系统日志或 sd-syslog 格式的日志转发到进程, 或将 WELF 格式的日志转发到外部或远程 WELF 日志收集器。rtlogdeventd
要通过以下方式 发送所有日志消息:eventd
要将重复的日志发送到第二个远程服务器,请使用第二个服务器的新完全限定 主机名 或 IP 地址重复该命令。
如果您的部署是主动/主动机箱群集,您还可以在主动节点上配置安全日志记录,将其发送到单独的远程服务器,以实现日志记录冗余。
要重命名或重定向其中一个日志记录配置,您需要删除并重新创建它。要删除配置:
{primary:node0}
user@host# delete security log mode event
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。