Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置安全设备的系统日志记录

了解安全设备的系统日志记录

Junos OS 支持配置和监控系统日志消息(也称为syslog 消息)。您可以将文件配置为记录系统消息,同时为消息分配严重性级别等属性。重新启动请求将记录到系统日志文件中,您可以使用show log命令查看它们。

本部分包含以下主题:

控制平面和数据平面记录

Junos OS可生成单独的日志消息,以记录在系统控制平面和数据平面上发生的事件。

  • 控制平面日志也称为系统日志,包括在路由平台上发生的事件。系统会将控制平面事件发送至eventd路由引擎上的进程,然后通过使用 Junos OS 策略、生成系统日志消息或同时通过这两者来处理事件。您可以选择将控制平面日志发送到文件、用户终端、路由平台控制台或远程机器。要生成控制平面日志,请使用syslog[system]层次结构级别的语句。

  • 数据平面日志也称为安全日志,主要包括在数据平面内处理的安全事件。安全日志可以是文本或二进制格式,可以保存在本地(事件模式)或发送至外部服务器(流模式)。二进制格式是流模式所必需的,建议在事件模式下节省日志空间。

    请注意以下几点:

    • 安全日志可保存在本地(开箱)或外部(开箱),但不能两者兼有。

    • SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600 和 SRX5800 设备默认为流模式。要指定二进制格式和外部服务器,请参阅配置脱机二进制安全日志文件

      注:

      如果在这些设备上配置事件模式日志记录,则可能会丢弃日志。

      从 Junos OS Release 15.1 X 49-D100)开始,SRX1500 设备的默认模式为流模式。在 Junos OS Release 15.1 X 49-D100 之前,SRX1500 设备的默认模式是事件模式。

    • 从 Junos OS Release 19.3 R1 开始, SRX300、SRX320、SRX340、SRX345、SRX550 和 SRX550M 设备默认为流模式。数据平面事件以与控制平面事件相同的方式写入系统日志文件。要指定安全日志的二进制格式,请参阅配置脱机二进制安全日志文件

    从Junos OS版本20.2R1,我们支持流中转义日志转发和箱内报告以避免解析错误。当日志不发送至 sd-syslog 进程时,流模式支持 binary 转义格式和 eventd 格式。对于发送到进程的日志,建议不启用选项,因为进程为结构日志启用了转 eventdescapeeventd 义。事件模式仅支持格式转 binary 义。默认情况下 escape ,选项将被禁用。您必须使用 escape 命令启用 set security log escape 选项。

冗余系统日志服务器

用于远程服务器的安全系统日志记录通过网络接口端口发送,支持两个同时发生的系统日志目标。每个系统日志目标都必须单独配置。配置两个系统日志目标地址时,将相同的日志发送到两个目的地。虽然可在支持该功能的任何设备上配置两个目标,但添加第二个目标主要是作为独立、主动/备份配置的机箱集群部署的冗余备份。

提供以下冗余服务器信息:

  • 部门 cron

  • 说明:cron 计划流程

  • 严重性级别(从最高到最低严重性): debug

  • 说明:软件调试消息

了解安全设备的流日志记录

了解安全日志的二进制格式

Junos OS可生成单独的日志消息,以记录在系统控制平面和数据平面上发生的事件。控制平面监控路由平台上发生的事件。此类事件记录在系统日志消息中。要生成系统日志消息,请使用syslog[system]层次结构级别的语句。

数据平面日志消息称为安全日志消息,记录系统直接在数据平面内部处理的安全事件。要生成安全日志消息,请在log[security]层次结构级别使用语句。

系统日志消息以基于文本的格式在日志文件中维护,例如 BSD Syslog、结构化 Syslog 和 WebTrends 增强型日志格式(WELF)。

安全日志消息也可采用基于文本的格式进行维护。但是,由于安全日志可能会产生大量的数据,因此基于文本的日志文件可以快速消耗存储和 CPU 资源。根据安全日志的实施,基于二进制格式的日志文件可提供对机箱内或开箱存储的更有效使用,并提高 CPU 利用率。所有 SRX 系列设备上均提供了安全日志消息的二进制格式。

在事件模式下配置时,在数据平面中生成的安全日志消息将定向到控制平面,并存储在设备上本地。以二进制格式存储的安全日志消息将保留在与用于维护系统日志消息的日志文件分开。使用面向基于文本的日志文件的高级日志脚本命令无法访问二进制日志文件中存储的事件。单独的 CLI 操作命令支持解码、转换和查看在设备上本地存储的二进制日志文件。

如果在流模式中配置,则在数据平面中生成的安全日志消息将传输到远程设备。当这些消息以二进制格式存储时,它们将以 Juniper 特定的二进制格式直接流到外部日志收集服务器。只有使用 瞻博网络安全分析(JSA)或安全威胁响应管理器(STRM)才能读取外部存储的二进制日志文件。

从 Junos OS Release 17.4 r 和更高版本开始在 SRX300、SRX320、SRX340、SRX345 系列设备和 vSRX 实例上,当设备以流模式配置时,最多可以配置八个系统日志主机。在Junos OS版本17.4R2,在流模式下,只能配置三个系统日志主机。如果配置了三台以上系统日志主机,则显示以下错误消息 error: configuration check-out failed

有关配置开箱(事件模式)二进制安全日志的信息,请参阅配置基于机箱的二进制安全日志文件。有关配置非盒式(流模式)二进制安全日志的信息,请参阅配置脱机二进制安全日志文件

了解机箱式日志记录和报告

本主题介绍了 SRX 设备的开箱日志记录和报告 CLI 功能以及机箱内报告的设计方面。

概述

在固态驱动器(Ssd)上记录的开箱即用支持八个外部日志服务器或文件。

添加了一个包含所有信息流日志信息的一体化 XML 文件。该 XML 文件还会生成所有日志记录头文件和流量日志相关文档。

服务处理卡(SPCs0)中支持称为本地日志管理守护程序(llmd)的新进程(守护程序),用于处理机箱内流量记录。Traffics 日志中列出了 flowd 在 Spc 中产生的流量。Llmd 将这些日志保存到本地 SSD。流量日志以以下四种不同的格式保存:

  • syslog

  • sd-syslog

  • welf

  • 形式

开箱即用的报告机制是对现有记录功能的增强。已修改现有记录功能以收集系统流量日志,分析日志,并使用 CLI 以表的形式生成这些日志的报告。开箱即用式报告功能旨在提供简单易用的界面,用于查看安全日志。使用表和图形形式的各种安全事件的 J Web 页面很容易采用 "开箱" 报告。这些报告允许 IT 安全管理快速识别安全信息,并迅速决定采取的措施。

使用 Junos OS Release 15.1 X 49-D100 或更高版本在 SRX 系列设备上加载出厂默认配置时,默认情况下将启用开箱即用报告功能。

如果您在 Junos OS 15.1 X 49-D100 之前从 Junos OS 版本升级 SRX 系列设备,则 SRX 设备将继承现有配置,并且默认情况下禁用开箱即用报告功能。您需要配置set security log report命令和set security log mode stream命令,以便在升级的设备上启用开箱即用报告功能。

从 Junos OS Release 19.3 R1 开始,出厂默认配置不包括开箱即用报告配置,以增加固态驱动器(SSD)的生存期。您可通过在set security log report[edit security log]层次结构中配置 CLI 命令来启用机箱式报告功能。

注:

您必须使用set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close命令在 J-Web 上的应用程序跟踪中列出所有应用程序和嵌套应用程序,并使用开箱即用式报告功能来为会话配置安全策略。有关详细信息,请参阅获取更多日志(安全策略)

记录日志消息后,日志存储在日志文件中,然后将其存储在 RE 的数据库表中,以便进一步分析(在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备)或 SSD 卡上进行进一步分析(SRX1500、SRX4100 和 SRX4200 设备)。

注:

此功能支持根据会话的计数或数量或日志类型来接收最多报告,并捕获指定时间范围内每秒发生的事件,捕获指定 CLI 条件的日志内容。用于CLI"summary"、"top"、"详细"和"间隔时间"等各种数据条件生成报告。使用 CLI 时,一次只能生成一份报告。不能同时使用所有 CLI 条件。使用 CLI 时,一次只能生成一份报告。

此功能的优势包括:

  • 报告存储在本地 SRX 系列设备上,不需要单独的设备或日志和报告存储工具。

  • 开箱即用表和图形形式的各种安全事件的 J Web 页面易于使用。

  • 提供简单易用的界面,用于查看安全日志。

  • 生成的报告使 IT 安全管理团队能够一目了然地识别安全信息,并快速决定采取的措施。

开箱即用报告功能支持:

  • 根据要求生成报告。例如:会话的数量或数量、IDP、UTM、IPsec VPN 等活动的日志类型。

  • 在指定时间范围内捕获实时事件。

  • 根据各种 CLI 指定条件,以逻辑、有组织且易于理解的格式捕获所有网络活动。

了解机箱式日志记录和报告

在开箱即用式报告机制中,CLI 用于从设备中获取报告数据。SRX 系列设备收集并保存所有所需日志。这些记录的日志随后将用于进一步分析,使用 CLI 以表的形式计算和生成报告。以 J 格式报告的方式使用 CLI 生成的数据可以以 J-phone 形式的表格和图形格式进一步检索。生成的报告是 J # Web 中易于理解的表和图形。对屏幕、IDP、UTM 和 IPSec 等功能执行日志的彻底分析(基于会话类型)。

您可以根据以下标准为报告的日志数据定义过滤器:

注:

不能同时使用上、详细和时间间隔条件。

  • top <number>—此选项允许您为命令中指定的顶级安全事件生成报告。例如:通过 UTM 检测到的前 5 IPS 攻击或前6个 Url。

  • in-detail <number>—此选项允许您生成详细日志内容。

  • in-interval <time-period>— 此选项允许您生成在特定时间间隔之间记录的事件。

  • summary— 此选项允许您生成事件的摘要。通过这种方式,您可以根据需要微调报告,并仅显示您想要使用的数据。

以间隔显示计数的最大间隔数为30。如果指定了大持续时间,则会对计数器进行汇编,以确保最大间隔不到30。

详细和汇总都有"all"选项,因为不同的表有不同的属性(比如会话表没有属性"原因",但 UTM 有),"all"选项除了启动时间和停止时间之外,没有任何过滤器。如果存在除开始时间和停止时间以外的其他任何筛选器,则会显示错误。

例如:root@kujang>显示安全日志报告,其中详述了所有原因 1

应用程序和用户可见性的应用程序防火墙日志将列出应用程序和嵌套应用程序。当这些功能的日志列出嵌套的应用程序时,J-Web 中将列出嵌套的应用程序。如果日志列出的嵌套应用程序不适用或未知,则 J-Web 中仅列出了这些应用程序。

将以下 CLI 命令用于应用程序和用户可见性,适用于列出的所有应用程序和嵌套应用程序:

  • 对于按计数排名前一的嵌套应用程序 —show security log report top session-close top-number <number> group-by application order-by count with user

  • 对于按容量排名的顶层应用程序 —show security log report top session-close top-number <number> group-by application order-by volume with user

  • 按嵌套应用程序计数排名第一的用户 —show security log report top session-close top-number <number> group-by user order-by count with application

开箱即用报告功能

开箱即用报告功能支持:

  • Sqlite3 support as a library—Junos OS之前不支持 sqlite3 15.1X49-D100。从 Junos OS Release 15.1 X 49-D100 中开始,RE 上运行的守护程序和其他潜在模块都将使用 SQL 日志数据库(SQLite 版本3),以在 SRX 系列设备上存储日志。

    在 Junos OS 版本19.4R1,我们升级了箱内日志记录数据库以提高查询性能。

  • Running llmd in both Junos OS and Linux OS—转发守护程序 (flowd) 对来自二进制日志的数据库索引进行解码,并将索引和日志都发送到本地日志管理守护程序 (llmd)。

    在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备上,llmd 在 Junos OS 中运行。在 SRX1500、SRX4100 和 SRX4200 设备上,llmd 在 Linux 中运行。因此,为了支持 llmd 在 Junos OS 和 Linux OS 中运行,llmd 代码目录从 Linux 端移至 Junos OS 侧。

  • Storing of logs into specified table of the sqlite3 database by llmd— 引入了一个新的系统日志守护程序,用于收集 SRX 系列设备上的本地日志并保存至数据库中。

    从 Junos OS Release 19.3 R1 开始,Junos OS 将日志存储在多个表中,而不是数据库文件中的一个表。每个表都包含最旧和最新日志的时间戳。根据开始和结束时间启动查询时,llmd 将查找最新表以生成报告。

    例如,如果在最近10小时内生成的数据库文件的一个表中有5000000日志,并且您希望获取报告,则应花费一半多个小时的时间。从 Junos OS Release 19.3 R1 中,一个表分为多个表,每个表都有500000日志。要生成相同的报告,一张表信息就足够了。

    我们建议您先查询更短的时间以获得更好的性能。

    • Database table definition—对于会话日志,数据类型包括源地址、目标地址、应用程序、用户等。对于与安全功能相关的日志,数据类型为攻击名称、URL、配置文件协议等。因此,不同的表设计为存储不同类型的日志,以帮助提高性能和节省磁盘空间。记录日志数据时,SRX 设备将为每种日志类型创建一个数据库表。

      每种类型的数据库表都具有特定于设备的最大记录编号。当表记录编号达到限制时,新日志将替换最旧的日志。Junos OS 将日志存储在传递有活动信息流的 SRX 系列设备中。

      从 Junos OS Release 19.3 R1 开始,您可以在一个数据库文件中创建多个表以存储日志。您可以在表中定义存储日志的容量。

      如果日志编号的限制超过了表容量,Junos OS 会将日志存储在第二个表中。例如,如果表1中的日志限制超过表容量,Junos OS 将日志存储在表2中。

      如果日志编号的限制超过文件1的最后一个表,Junos OS 会将日志存储在文件2的表1中。例如,表 n 是文件1的最后一个表。当日志超过表容量时,Junos OS 将日志存储在文件2的表1中。

      要在更改表编号后立即生效,请使用clear security log report操作命令。

    • Database table rotation— 每种类型的数据库表都有特定于设备的最大记录编号。当表记录编号达到限制时,新日志将替换最旧的日志。

      以下表 1内容介绍数据库文件大小容量:

      表 1: 数据库文件大小容量

      外设

      授课

      筛选

      IDP

      统一威胁管理 (UTM)

      IPsec-VPN

      SRX300、SRX320、SRX340、SRX345 和 SRX550M

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

      SRX1500

      12G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4100 和 SRX4200

      15G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4600

      22.5G

      6G

      6G

      6G

      0.75G

      2.25G

      vSRX

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

  • Calculating and displaying the reports that are triggered by CLI—从数据库接收的报告CLI作为接口。通过使用 CLI,您可以计算和显示报告详细信息。

表选择

当您想要从多个表生成报告时,llmd 将根据时间戳对表进行排序,并根据请求的启动时间和停止时间选择表。

例如,有三个表是表1(1到3)、表2(3到5)和表3(6到8)。1到3、3到6、6到8表示最新和最旧日志的时间戳。如果您请求从4到6的报告,Junos OS 将从表2和表3生成报告。

表生存期

您可以通过配置set security log report table-lifetime命令来决定表的生存期。Junos OS 在表识别时间超过表的生存期后,将表删除。例如,如果将 "表生存期" 配置为2,而当前日期为 26-7 月-2019,则表示从 24-7 月-2019 00:00:00 日志。

如果手动更改设备上的日期和时间,则表的生存期将发生变化。例如,如果表识别时间为 19-7 月-2019,而将表的生存期配置为10,Junos OS 应在 29-2019 上删除表。如果将设备日期更改为 18-七月-2019,则表的实际生存期将为 30-7 月-2019。

表密集模式

在Junos OS版本19.4R1,我们升级了箱内日志记录数据库中的默认存储和搜索机制,以管理日志。您现在可以自定义日志存储和搜索机制结果。例如,如果您预计流量日志较少,则可以使用具有开始时间和停止时间的默认配置。

但是,如果您期望大量流量日志和更长的日志将生成的时间间隔,则启用密集模式。要启用密集模式,请使用set security log report table-mode dense configuration 命令。

机箱集群方案

对于机箱集群中的开箱内报告,日志存储在设备处理活动信息流的本地磁盘中。这些日志未同步到机箱集群对等方。

每个节点都有责任在每个节点处理活动信息流时存储日志。在主动/被动模式下,只有活动节点处理流量,日志也仅存储在主动节点中。在故障转移的情况下,新主动节点将处理流量并将日志存储在其本地磁盘中。在主动/主动模式下,每个节点处理自己的流量,日志存储在各自的节点中。

监控报告

开箱即用报告提供了一个全面的报告工具,您的安全管理团队可在其中发现安全事件,立即访问并查看有关该事件的相关详细信息,并快速确定适当的补救措施。J-Web 报告功能提供与多个日志条目的编译等效的单页或双页面报告。

本部分包含以下主题:

威胁监控报告

用途

使用威胁报告可监控对网络当前威胁的一般统计数据和活动报告。您可以分析威胁类型、来源和目标详细信息以及威胁频率信息的日志记录数据。该报告将计算、显示和刷新统计数据,提供当前网络状态的图形演示。

行动

要查看威胁报告:

  1. 单击 Threats Report 仪表板右下角,或在 Monitor>Reports>Threats J-Web 用户界面中选择。出现威胁报告。

  2. 选择以下选项卡之一:

    • Statistics r. 有关表 2页面内容的说明,请参阅。

    • Activities r. 有关表 3页面内容的说明,请参阅。

表 2: 威胁报告中的统计标识栏输出

字段

Description

常规统计窗格

威胁类别

以下威胁类别之一:

  • 红绿灯

  • IDP

  • 内容安全

    • 防病毒

    • 反垃圾邮件

    • Web 过滤器 — 单击 Web 过滤器类别以显示 39 个子类别的计数器。

    • 内容过滤器

  • 防火墙事件

Severity

威胁的严重性级别:

  • emerg

  • 警报

  • crit

  • err

  • 警告

  • 信息

  • 调试

过去24小时内的点击次数

在过去24小时内每个类别遇到的威胁数量。

当前小时点击数

在过去一个小时内每个类别遇到的威胁数量。

过去24小时内的威胁计数

按严重性

该图表示过去24小时内每小时收到、按严重性级别排序的威胁数量。

按类别

该图表示过去24小时内按类别排序的每小时收到的威胁数。

X 轴

24小时跨度,当前小时占用显示最右侧的列。图每小时向左移动。

Y 轴

遇到的威胁数量。轴根据遇到的威胁数量自动扩展。

最新威胁

威胁名称

最新威胁的名称。根据威胁类别,您可以单击威胁名称转到扫描引擎站点以获取威胁说明。

类别

每种威胁的类别:

  • 红绿灯

  • IDP

  • 内容安全

    • 防病毒

    • 反垃圾邮件

    • Web 过滤器

    • 内容过滤器

  • 防火墙事件

来源 IP/端口

威胁的源 IP 地址(以及端口号(如果适用)。

目标 IP/端口

威胁的目标 IP 地址(以及端口号(如果适用)。

Protocol

威胁的协议名称。

Description

基于类别类型的威胁识别:

  • 防病毒 — URL

  • Web 过滤器 — 类别

  • 内容过滤器 — 原因

  • 反垃圾邮件 — 发送者电子邮件

行动

响应威胁所采取的措施。

点击时间

威胁发生的时间。

过去24小时内的威胁趋势

类别

按类别表示的比较威胁计数的饼形图图形:

  • 红绿灯

  • IDP

  • 内容安全

    • 防病毒

    • 反垃圾邮件

    • Web 过滤器

    • 内容过滤器

  • 防火墙事件

Web 筛选计数器摘要

类别

由最多39个子类别细分的 Web 过滤器计数。单击常规统计窗格中的 Web 过滤器列表,将打开 Web 过滤器计数器汇总窗格。

过去24小时内的点击次数

过去24小时内每个子类别的威胁数量。

当前小时点击数

过去一小时内每个子类别的威胁数量。

表 3: 威胁报告中的活动选项卡输出

字段

功能

最近的病毒点击

威胁名称

病毒威胁的名称。病毒可能基于 Web、FTP 或电子邮件等服务,或者基于严重性级别。

Severity

每个威胁的严重级别:

  • emerg

  • 警报

  • crit

  • err

  • 警告

  • 信息

  • 调试

来源 IP/端口

威胁来源的 IP 地址(以及端口号(如果适用)。

目标 IP/端口

威胁目标的 IP 地址(以及端口号(如果适用)。

Protocol

威胁的协议名称。

Description

基于类别类型的威胁识别:

  • 防病毒 — URL

  • Web 过滤器 — 类别

  • 内容过滤器 — 原因

  • 反垃圾邮件 — 发送者电子邮件

行动

响应威胁所采取的措施。

上次点击时间

上次威胁发生的时间。

最新垃圾电子邮件发件人

从电子邮件

垃圾邮件地址。

Severity

威胁的严重性级别:

  • emerg

  • 警报

  • crit

  • err

  • 警告

  • 信息

  • 调试

来源 IP

威胁来源的 IP 地址。

操作

响应威胁所采取的措施。

上次发送时间

最后一次发送垃圾电子邮件的时间。

最近阻止的 URL 请求

URL

阻止的 URL 请求。

来源 IP/端口

来源的 IP 地址(以及端口号(如果适用)。

目标 IP/端口

目标的 IP 地址(以及端口号(如果适用)。

当前小时点击数

在过去一小时内遇到的威胁数量。

最新 IDP 攻击

攻击性

Severity

每个威胁的严重性:

  • emerg

  • 警报

  • crit

  • err

  • 警告

  • 信息

  • 调试

来源 IP/端口

来源的 IP 地址(以及端口号(如果适用)。

目标 IP/端口

目标的 IP 地址(以及端口号(如果适用)。

Protocol

威胁的协议名称。

操作

响应威胁所采取的措施。

上次发送时间

上次发送 IDP 威胁的时间。

流量监控报告

用途

通过查看过去24小时内的流会话报告来监控网络流量。您可以通过传输协议来分析连接统计信息和会话使用情况的日志记录数据。

行动

要查看过去 24 小时内的网络流量,请在 Monitor>Reports>Traffic J-Web 用户界面中选择 。有关表 4报告的说明,请参阅。

表 4: 流量报告输出

字段

Description

过去24小时内每个协议的会话

协议名称

协议名称。要查看按协议进行的每小时活动,请单击协议名称并查看下部窗格中的"协议活动图表"。

  • TCP

  • UDP

  • ICMP

总会话

过去24小时内协议的会话总数。

字节(KB)

传入字节的总数量(KB)。

传出字节数(KB)

KB 中传出字节的总数。

中的数据包

传入数据包的总数。

传出数据包

传出数据包总数。

最近关闭的会话

来源 IP/端口

已关闭会话的源 IP 地址(如果适用,则为端口号)。

目标 IP/端口

已关闭会话的目标 IP 地址(如果适用,则为端口号)。

Protocol

已关闭会话的协议。

  • TCP

  • UDP

  • ICMP

字节(KB)

传入字节的总数量(KB)。

传出字节数(KB)

KB 中传出字节的总数。

中的数据包

传入数据包的总数。

传出数据包

传出数据包总数。

Timestamp

会话关闭的时间。

协议活动图

字节入/出

信息流的图形表示形式,即每小时的传入和传出字节数。字节计数是针对在每个协议窗格过去24小时内的会话中选择的协议。更改选择将导致此图表立即刷新。

流入/传出数据包

以传入和传出数据包数/小时为单位的信息流的图形表示。数据包计数是针对在每个协议窗格过去24小时内的会话中选择的协议。更改选择将导致此图表立即刷新。

信息流的图形表示形式,即每小时的会话数。会话计数是针对在每个协议窗格过去24小时内的会话中选择的协议。更改选择将导致此图表立即刷新。

X 轴

24小时每列一小时。

Y 轴

字节、数据包或会话计数。

协议会话图

按协议的会话

流量的图形表示形式,即每个协议的当前会话计数。显示的协议为 TCP、UDP 和 ICMP。

配置开箱即用的二进制安全日志文件

SRX 系列设备使用两种类型的日志(系统日志和安全日志)来记录系统事件。系统记录控制平面事件 — 例如,管理员用户登录时。安全日志也称为流量日志,记录有关特定信息流处理的数据平面事件。例如,如果安全策略由于违反策略而拒绝某些流量,Junos OS 将生成安全日志。有关系统日志的详细信息,请参阅Junos OS 系统日志概述。有关安全日志的详细信息,请参阅了解安全设备的系统日志

您可以将系统和安全日志以二进制格式收集并保存到机箱上(即本地存储在 SRX 系列设备上)或开箱即用(流到远程设备)。使用二进制格式可确保日志文件的存储效率,进而提高 CPU 利用率。

您可以使用log[security]层次结构级别的语句,以二进制格式配置安全文件。

开箱即用日志记录也称为事件模式日志记录。对于流模式、开箱安全日志记录,请参阅配置脱机二进制安全日志文件。为事件模式日志记录配置二进制格式的安全日志时,您可以选择定义日志文件名、文件路径和其他特性,详见以下过程中的详细说明:

  1. 指定开箱即用日志记录的记录模式和格式:
    注:

    如果将系统日志记录配置为将系统日志发送至外部目标(即开箱即用模式),即使您使用事件模式安全日志记录,也会将安全日志发送至该目的地。有关将系统日志发送至外部目标的详细信息,请参阅示例:配置系统日志记录。

    注:

    不能同时启用开箱式和开箱即用的安全记录模式。

  2. 必定义日志文件的名称和路径。
    注:

    默认情况下,bin_messages 文件在/var/log 目录中创建。

  3. 必更改日志文件的最大大小以及可存档的日志文件的最大数量。
    注:

    默认情况下,日志文件的最大大小为 3 MB,并且总共可以存档三个日志文件。

    在以下示例命令中,分别设置了 5 MB 和5个存档文件的值:

  4. 必配置 hpl 标志以启用二进制安全日志文件的诊断跟踪。Smf_hpl 前缀标识所有二进制日志记录跟踪。
  5. 对于默认允许安全策略,会话结束时RT_FLOW将生成流量日志。
  6. 必在会话启动RT_FlOW时生成的信息流日志。

使用show security log file命令并使用clear security log file命令清除二进制事件模式安全日志文件的内容,查看设备上存储的事件模式日志文件的内容。

注:

show security log命令显示事件模式安全日志消息(如果它们采用基于文本的格式),如果命令show security log file为二进制格式,则显示事件模式安全日志消息(开箱)。开箱即用二进制日志记录由 瞻博网络安全分析(JSA)读取。

配置开箱即用二进制安全日志文件

SRX 系列设备有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如对设备的管理员登录。有关系统日志的详细信息,请参阅Junos OS 系统日志概述。安全日志也称为流量日志,记录有关特定信息流处理的数据平面事件,例如当安全策略因违反策略而拒绝某些流量时。有关安全日志的详细信息,请参阅了解安全设备的系统日志

这两种类型的日志可被收集并保存在盒上或箱内。下面的过程介绍了如何以脱机(流模式)日志记录的二进制格式配置安全日志。

您可以使用log[security]层次结构级别的语句,以二进制格式配置安全文件。

以下过程指定流模式安全日志记录的二进制格式,并定义日志文件名、路径和日志文件特性。有关事件模式的开箱安全日志记录,请参阅配置基于机箱的二进制安全日志文件

  1. 指定日志文件的日志记录模式和格式。对于开箱即用模式日志记录:
    注:

    不能同时启用开箱式和开箱即用的安全记录模式。

  2. 对于开箱安全日志记录,请指定源地址,以识别生成日志消息的 SRX 系列设备。源地址是必需的。
  3. (可选)定义日志文件名和路径。默认情况下,将在/var/log 目录中创建文件 bin_messages。
  4. (可选)更改日志文件的最大大小以及可存档的日志文件的最大数量。默认情况下,日志文件的最大大小为 3 MB,并且总共可以存档三个日志文件。
  5. (可选)选择 hpl 标志以启用二进制日志记录的诊断跟踪。前缀 smf_hpl 标识所有二进制日志记录跟踪。
  6. 使用 瞻博网络安全分析(JSA)或安全威胁响应管理器(STRM)查看设备上存储的事件模式日志文件的内容。

将系统日志消息发送至文件

您可将系统日志消息定向到 CompactFlash (CF)卡上的文件。日志文件的默认目录为/var/log。要指定 CF 卡上的其他目录,请包含完整路径名。

在严重性级别securityauthorizationinfo上为类创建名为和发送日志消息的文件。

要设置文件名、设施和严重性级别:

将系统设置为通过 eventd 发送所有日志消息

记录eventd配置过程最常用于 Junos OS。在此配置中,控制平面日志和数据平面或安全性,日志从数据平面转发至路由引擎控制平面rtlogd流程。然后rtlogd ,该进程将系统日志或 sd syslog 格式的日志转发至eventd进程或 WELF 格式的日志到外部或远程 WELF 日志收集器。

要通过eventd以下内容发送所有日志消息:

  1. 设置处理eventd安全日志并将其发送到远程服务器的进程。
  2. 配置将接收系统日志消息的服务器。

    其中hostname是将接收日志的服务器的完全合格主机名或 IP 地址。

注:

要将重复日志发送至第二台远程服务器,请使用另一个服务器的新完全限定主机名或 IP 地址来重复该命令。

如果您的部署是主动/主动机箱集群,您还可以在要发送到不同远程服务器的活动节点上配置安全日志,以实现日志冗余。

要重命名或重定向某个日志记录配置,您需要将其删除并重新创建。要删除配置:

发布历史记录表
版本
说明
15.1X49-D100
从 Junos OS Release 15.1 X 49-D100)开始,SRX1500 设备的默认模式为流模式。在 Junos OS Release 15.1 X 49-D100 之前,SRX1500 设备的默认模式是事件模式。
17.4R2
从 Junos OS Release 17.4 r 和更高版本开始在 SRX300、SRX320、SRX340、SRX345 系列设备和 vSRX 实例上,当设备以流模式配置时,最多可以配置八个系统日志主机。在Junos OS版本17.4R2,在流模式下,只能配置三个系统日志主机。如果配置了三台以上系统日志主机,则显示以下错误消息 error: configuration check-out failed 。
17.4R2
从 Junos OS Release 17.4 r 和更高版本开始在 SRX300、SRX320、SRX340、SRX345 系列设备和 vSRX 实例上,当设备以流模式配置时,最多可以配置八个系统日志主机。在Junos OS版本17.4R2,在流模式下,只能配置三个系统日志主机。如果配置了三台以上系统日志主机,则显示以下错误消息 error: configuration check-out failed 。
Junos OS Release 15.1X49-D100
使用 Junos OS Release 15.1 X 49-D100 或更高版本在 SRX 系列设备上加载出厂默认配置时,默认情况下将启用开箱即用报告功能。
Junos OS Release 19.3R1
从 Junos OS Release 19.3 R1 开始, SRX300、SRX320、SRX340、SRX345、SRX550 和 SRX550M 设备默认为流模式。
Junos OS Release 19.3R1
从 Junos OS Release 19.3 R1 开始,出厂默认配置不包括开箱即用报告配置,以增加固态驱动器(SSD)的生存期。