SRX 系列机箱群集的日志消息
会话和数据包流概述
您可以获取有关设备上活动的会话和数据包流的信息,包括有关特定会话的详细信息。(SRX 系列设备还显示有关失败会话的信息。)可以显示此信息以观察活动和进行调试。
例如,使用命令执行以下操作 show security flow session
:
显示传入和传出 IP 流(包括服务)的列表。
显示与流关联的安全属性,例如,应用于属于该流的流量的策略。
显示会话超时值、会话变为活动状态的时间、处于活动状态的时间以及会话上是否有活动流量。
有关此命令的详细信息,请参阅 Junos OS CLI 参考。
如果相关策略配置包含日志记录选项,则还可以记录会话信息。会话日志记录基础结构会在创建、关闭、拒绝或拒绝会话时记录会话日志消息。在 SRX3000 和 SRX5000 行中,日志消息将绕过路由引擎直接流式传输到外部系统日志服务器/存储库。SRX 系列设备支持传统和结构化系统日志。SRX3000 和 SRX5000 行支持每秒 1000 条日志消息,管理站必须配备处理此容量。有关这些日志的配置示例和详细信息,请参阅 Junos OS 安全配置指南 。日志可通过主节点和辅助节点的管理界面获得。确保接收这些日志消息的外部服务器可由两个节点访问。
高端 SRX 系列设备具有分布式处理架构,可处理流量并生成日志消息。在 SRX 系列设备中,防火墙处理机箱中每个 SPU 上的流量会话。创建每个会话后,将由机箱中的同一 SPU 处理,该 SPU 也是生成日志消息的 SPU。
生成日志消息的标准方法是让每个 SPU 将消息生成为 UDP 系统日志消息,并将其直接从数据平面发送到系统日志服务器。SRX 系列设备可以记录极高的流量速率。它们每秒最多可以记录 750 MB 的日志消息,这超出了控制平面的限制。因此,除非在某些情况下,否则我们不建议将消息记录到控制平面。
对于运行 Junos OS 9.6 版及更高版本的 SRX 系列分支设备以及运行 Junos OS 10.0 版及更高版本的高端 SRX 系列设备,设备可以以有限的最大速率(每秒 1000 条日志消息)将消息记录到控制平面,而不是记录到数据平面。如果使用 syslog 通过数据平面发送日志消息,则必须使用系统日志收集器(如瞻博网络安全威胁响应管理器 (STRM))来收集日志以供查看、报告和发出警报。在运行 Junos OS 9.6 版及更高版本的 SRX 系列分支设备以及运行 Junos OS 10.0 版及更高版本的高端 SRX 系列设备中,设备只能向数据平面或控制平面发送日志消息,而不能同时向两者发送日志消息。
配置高端 SRX 系列设备日志记录
配置高端 SRX 系列设备数据平面到控制平面的日志记录
如果管理站无法从数据平面接收日志消息,请将其配置为通过管理连接发送消息。如果登录到控制平面,SRX 系列设备也可以从 fxp0 接口发送这些系统日志消息。如果配置了事件日志记录,那么来自数据平面的所有日志消息都将转到控制平面。
配置事件日志记录。
user@host#
set security log mode event
对事件日志消息进行速率限制。
由于控制平面上的资源有限,因此可能需要对从数据平面到控制平面的事件日志消息进行速率限制,无法处理大量日志消息。如果控制平面忙于处理动态路由协议(如 BGP 或大规模路由实现),则此功能尤其适用。以下命令对日志消息进行速率限制,以便它们不会使控制平面不堪重负。受速率限制的日志消息将被丢弃。高端 SRX 系列设备的最佳实践是每秒向控制平面记录不超过 1000 条日志消息。
user@host#
set security log mode event event-rate logs per second
配置 SRX 系列分支设备以通过数据平面发送流量日志消息
SRX 系列分支设备流量日志消息可以在流模式下通过数据平面安全日志发送。请注意,这只能使用流模式。下面是一个示例配置和日志输出。
配置
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
示例日志消息输出
Sep 06 16:54:22 10.204.225.164 1 2010-09-06T04:24:22.094 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="62736" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="62736" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="206" packets-from-client="64" bytes-from-client="3525" packets-from-server="55" bytes-from-server="3146" elapsed-time="21"]
Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]
Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]
在这种情况下,SRX 系列设备流量日志消息通过数据平面发送到外部系统日志服务器。这可确保路由引擎不是日志记录的瓶颈。它还可确保路由引擎在过度日志记录期间不会受到影响。除了流量日志消息外,发送到路由引擎的控制平面和日志消息也会写入闪存中的文件中。以下是启用此类日志记录的示例配置。
配置
系统日志(自日志)— 可以根据所需的 self 日志记录自定义此配置。
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file messages kernel info
流量日志(使用数据平面)
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
在这种情况下,发送到路由引擎的信息流日志消息和日志消息都将发送到 syslog 服务器。以下是启用此类日志记录的示例配置。
配置
系统日志(系统日志服务器)
set system syslog host 10.204.225.218 any notice
set system syslog host 10.204.225.218 authorization info
set system syslog host 10.204.225.218 kernel info
流量日志
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
配置控制平面日志
SRX 系列设备控制平面负责 SRX 系列平台的整体控制,同时运行多个软件进程来执行路由协议操作、路由表计算、管理管理员、管理 SNMP、身份验证和许多其他任务关键型功能等任务。控制平面上生成的日志消息范围很广,控制平面为定义应写入两个文件以及发送到 syslog 服务器的日志消息提供了精细支持。本主题概述了如何在控制平面上配置各种 syslog 选项。本节仅介绍通过系统日志服务发送日志消息。
配置 SRX 系列分支设备以进行日志记录
您可以将 SRX 系列设备配置为仅使用控制平面将流量日志发送到系统日志服务器。
在此配置中:
未配置安全日志。
未收到控制平面日志。
使用语句正 match
则表达式仅发送流量日志消息。这些日志消息直接发送到系统日志服务器,而不会将它们写入闪存。此配置不会将通常发送到路由引擎的日志消息发送到 syslog 服务器。但是,可以创建一个单独的文件并将控制平面日志消息写入路由引擎上的文件,如图所示。
配置
set system syslog host 10.204.225.218 any any
set system syslog host 10.204.225.218 match RT_FLOW_SESSION
set system syslog file messages any any
日志消息示例:
Sep 06 15:22:29 10.204.225.164 Sep 6 02:52:30 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 Sep 06 15:22:43 10.204.225.220 Sep 6 02:52:30 last message repeated 10 times Sep 06 15:23:49 10.204.225.164 Sep 6 02:53:49 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 60(3307) 46(2784) 79
以下配置会将流量和控制日志消息发送到系统日志服务器,但可能会使系统日志服务器不堪重负并导致集群不稳定。我们不建议使用此配置。
配置
set system syslog host 10.204.225.218 any any
set system syslog file messages any any
安全日志事件模式是 SRX 系列分支设备上的默认模式,不建议使用这些设备。我们建议更改默认行为。
在本地闪存上进行大量日志记录可能会对设备产生不良影响,例如控制平面不稳定。
使用与 fxp0 接口位于同一子网中的 IP 地址发送数据平面日志消息
您可能需要部署故障管理和性能管理应用程序和系统,例如瞻博网络安全威胁响应管理器 (STRM)。STRM 通过管理网络收集日志消息,并通过 fxp0 接口进行连接。故障管理和性能管理应用程序通过 fxp0 接口管理 SRX 系列设备,但 SRX 系列设备还需要将数据平面日志消息发送到同一网络上的 STRM。例如,如果日志消息的速率将大于每秒 1000 条日志消息,则不支持登录到控制平面。问题是同一虚拟路由器中的两个接口不能位于同一子网中,并且 fxp0 接口不能移动到 inet.0 以外的任何虚拟路由器。
要变通解决此问题,请将数据平面接口放置在默认虚拟路由器 inet.0 以外的虚拟路由器中,并在 inet.0 路由表中放置一个路由,以通过该虚拟路由器将流量路由到 STRM。以下配置示例演示如何执行此操作。
在此示例中:
fxp0 的 IP 地址为 172.19.200.164/24。
应用程序 A (AppA) 的 IP 地址为 172.19.200.175。
STRM 的 IP 地址为 172.19.200.176。
ge-0/0/7 接口是一个数据平面接口,IP 地址为 172.19.200.177/24(与 fxp0 接口位于同一子网中)。
要配置此示例,请包含以下语句:
set interfaces fxp0 unit 0 family inet address 172.19.200.164/24 set system syslog host 172.19.200.176 any any set system syslog host 172.19.200.176 source-address 172.19.200.177 set interface ge-0/0/7 unit 0 family inet address 172.19.200.177/24 set security log format sd-syslog set security log source-address 172.19.200.177 set security log stream Log host 172.19.200.176 set routing-instances Logging instance-type virtual-router set routing-instances Logging interface ge-0/0/7.0 set routing-options static route 172.19.200.176/32 next-table Logging.inet.0
AppA 现在可以管理 ge-0/0/7 接口,因为 AppA 使用默认路由实例中的 fxp0 接口管理设备。为此,AppA 必须使用 Logging@<snmp-community-string-name> 消息格式通过 SNMP 访问 ge-0/0/7 接口数据。