Anwendungsverfolgung
Application Tracking (AppTrack) ist ein Protokollierungs- und Berichterstellungstool, mit dem Informationen zur Anwendungssichtbarkeit freigegeben werden können. AppTrack sendet Protokollmeldungen über Syslog, die Meldungen zur Aktualisierung der Anwendungsaktivität bereitstellen. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur Anwendungsverfolgung
AppTrack, ein Tool zur Anwendungsverfolgung, bietet Statistiken zur Analyse der Bandbreitennutzung Ihres Netzwerks. Wenn diese Option aktiviert ist, sammelt AppTrack Byte-, Paket- und Dauerstatistiken für Anwendungsflüsse in der angegebenen Zone. Standardmäßig generiert AppTrack beim Schließen jeder Sitzung eine Nachricht, die die Anzahl der Bytes und Pakete sowie die Dauer der Sitzung angibt, und sendet sie an das Hostgerät. Juniper Secure Analytics (ehemals STRM) ruft die Daten ab und bietet ablaufbasierte Anwendungstransparenz.
AppTrack-Meldungen ähneln Sitzungsprotokollen und verwenden Syslog- oder strukturierte Syslog-Formate. Die Nachricht enthält auch ein Anwendungsfeld für die Sitzung. Wenn AppTrack eine benutzerdefinierte Anwendung identifiziert und einen geeigneten Namen zurückgibt, wird der Name der benutzerdefinierten Anwendung in die Protokollmeldung aufgenommen. (Wenn der Anwendungsidentifikationsprozess fehlschlägt oder noch nicht abgeschlossen ist, wenn eine Verbuchungsmeldung ausgelöst wird, wird die Meldung im Anwendungsfeld angegeben none .)
AppTrack unterstützt sowohl IPv4- als auch IPv6-Adressierung. Verwandte Nachrichten zeigen Adressen im entsprechenden IPv4- oder IPv6-Format an.
Details zur Benutzeridentität wie der Benutzername und die Benutzerrolle wurden den Protokollen zum Erstellen von AppTrack-Sitzungen, zum Schließen von Sitzungen und zur Volumenaktualisierung hinzugefügt. Diese Felder enthalten den Benutzernamen und die Rolle, die der Richtlinienübereinstimmung zugeordnet sind. Die Protokollierung von Benutzernamen und Rollen ist nur für Sicherheitsrichtlinien aktiviert, die die Erzwingung der Benutzerkontensteuerung ermöglichen. Bei Sicherheitsrichtlinien ohne UAC-Erzwingung werden die Felder "Benutzername" und "Benutzerrolle" als "N/A" angezeigt. Der Benutzername wird als nicht authentifizierter Benutzer und die Benutzerrolle als N/A angezeigt, wenn das Gerät keine Informationen für diese Sitzung abrufen kann, weil für diese Sitzung kein Eintrag in der Authentifizierungstabelle vorhanden ist oder weil die Protokollierung dieser Informationen deaktiviert ist. Das Feld "Benutzerrolle" im Protokoll enthält die Liste aller Rollen, die vom Benutzer ausgeführt werden, wenn die Übereinstimmungskriterien "Spezifisch", "Authentifizierter Benutzer" oder "Beliebig" sind, und das Feld "Benutzername" im Protokoll enthält den richtigen Benutzernamen. Das Feld "Benutzerrolle" im Protokoll enthält "N/A", wenn die Übereinstimmungskriterien und das Feld "Benutzername" im Protokoll einen nicht authentifizierten Benutzer oder einen unbekannten Benutzer enthalten.
Wenn Sie AppTrack für eine Zone aktivieren und eine session-update-interval Uhrzeit angeben, prüft AppTrack jedes Mal, wenn ein Paket empfangen wird, ob die Zeit seit dem Beginn der Sitzung oder seit der letzten Aktualisierung größer als das Aktualisierungsintervall ist. Wenn dies der Fall ist, aktualisiert AppTrack die Anzahl und sendet eine Aktualisierungsnachricht an den Host. Wenn eine kurzlebige Sitzung innerhalb des Aktualisierungsintervalls beginnt und endet, generiert AppTrack erst beim Schließen der Sitzung eine Meldung.
Wenn Sie möchten, dass die erste Aktualisierungsnachricht vor dem angegebenen Aktualisierungsintervall gesendet wird, verwenden Sie die . first-update-interval Hier first-update-interval können Sie ein kürzeres Intervall nur für die erste Aktualisierung eingeben.
Die Schließmeldung aktualisiert die Statistik zum letzten Mal und liefert eine Erklärung für das Schließen der Sitzung. Folgende Codes werden verwendet:
TCP RST |
RST von beiden Seiten empfangen. |
TCP FIN |
FIN von beiden Enden erhalten. |
Response received |
Antwort auf eine Paketanforderung (z. B |
ICMP error |
ICMP-Fehler empfangen (z. B |
Aged out |
Die Sitzung ist veraltet. |
ALG |
ALG schließt die Sitzung. |
IDP |
IDP beendete die Sitzung. |
Parent closed |
Die übergeordnete Sitzung ist geschlossen. |
CLI |
Die Sitzung wurde durch eine CLI-Anweisung gelöscht. |
Policy delete |
Richtlinie, die zum Löschen markiert ist. |
Vorteile der Anwendungsverfolgung
Bietet Einblick in die Arten von Anwendungen, die Ihr Sicherheitsgerät durchlaufen.
Ermöglicht es Ihnen, Einblicke in zulässige Anwendungen und das Risiko, das sie darstellen könnten, zu erhalten.
Hilft bei der Verwaltung der Bandbreite, meldet aktive Benutzer und Anwendungen.
Felder für Anwendungsverfolgungsprotokollmeldungen
Ab Junos OS Version 15.1X49-D100 enthalten AppTrack-Protokolle zum Erstellen von Sitzungen, zum Schließen von Sitzungen und zum Volume-Update ein neues Feld namens Zielschnittstelle. Sie können das destination interface Feld verwenden, um zu sehen, welche Ausgangsschnittstelle für die Sitzung ausgewählt ist, wenn ein erweitertes richtlinienbasiertes Routing (APBR) auf diese Sitzung angewendet wird und AppTrack in einem beliebigen logischen System aktiviert und konfiguriert ist.
Ab Junos OS Version 15.1X49-D100 wird ein neues AppTrack-Protokoll für die Routenaktualisierung hinzugefügt, das Details zu APBR-Profilen, Regeln und Routing-Instanzen enthält. Wenn APBR auf eine Sitzung angewendet wird, wird das neue Protokoll generiert und der AppTrack-Sitzungszähler aktualisiert, um anzugeben, wie oft ein neues Routenaktualisierungsprotokoll generiert wird. Das Protokoll zum Schließen der AppTrack-Sitzung wird ebenfalls aktualisiert und enthält nun Details zum APBR-Profil, zur Regel und zur Routing-Instanz.
Ab Junos OS Version 17.4R1 enthalten die AppTrack-Protokolle zum Erstellen von Sitzungen, zum Schließen von Sitzungen und zur Volumenaktualisierung die neuen Felder category und subcategory. Diese Felder enthalten allgemeine Informationen zu den Anwendungsattributen. Das category Feld gibt z. B. die Technologie der Anwendung (Web, Infrastruktur) und subcategory das Feld die Unterkategorie der Anwendung an (z. B. soziale Netzwerke, Nachrichten und Werbung).
Da Kategorie und Unterkategorie für eine benutzerdefinierte Anwendung nicht anwendbar sind, wird in den AppTrack-Protokollmeldungen die Kategorie als custom application und die Unterkategorie als angezeigt N/A.
Bei unbekannten Anwendungen werden sowohl Kategorie als auch Unterkategorien als N/Aprotokolliert.
Beispiele für Protokollmeldungen im strukturierten Syslog-Format:
APPTRACK_SESSION_CREATE user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" username="user1" roles="DEPT1" encrypted="UNKNOWN" destination-interface-name=”ge-0/0/0” category=”N/A” sub-category=”N/A”]
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" routing-instance=“default” destination-interface-name=”st0.0” category=” Web” sub-category=”N/A”]
APPTRACK_SESSION_VOL_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” category=” Web” sub-category=”Social-Networking”]
APPTRACK_SESSION_ROUTE_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” category=”Web” sub-category=”Social-Networking”]
Ab Junos OS Version 18.4R1 und Junos OS Version 18.3R2 zeigt das encrypted Feld im APPTRACK_SESSION_ROUTE_UPDATE Protokoll den Wert wie N/A im folgenden Beispiel gezeigt an:
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="251" destination-address="5.0.0.1" destination-port="250" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="251" nat-destination-address="5.0.0.1" nat-destination-port="250" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="866" username="N/A" roles="N/A" encrypted="N/A" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/2.0" category="Web" subcategory="N/A" apbr-policy-name="sla1" webfilter-category="N/A"]
Ab Junos OS Version 18.4R1 enthält das APPTRACK_SESSION_CLOSE und APPTRACK_SESSION_CLOSE_LS Protokoll den Namen der Multipath-Regel, wie im folgenden Beispiel gezeigt:
2018-10-25T01:00:18.179-07:00 multihome-spoke RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="idle Timeout" source-address="19.0.0.2" source-port="34880" destination-address="9.0.0.2" destination-port="80" service-name="junos-http" application="HTTP" nested-application="GOOGLE-GEN" nat-source-address="19.0.0.2" nat-source-port="34880" nat-destination-address="9.0.0.2" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust1" session-id-32="9625" packets-from-client="347" bytes-from-client="18199" packets-from-server="388" bytes-from-server="131928" elapsed-time="411" username="N/A" roles="N/A" encrypted="No" profile-name="apbr1" rule-name="rule1" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.4" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="multi1"]
Ab Junos OS Version 18.2R1 enthalten AppTrack-Sitzungsabschlussprotokolle neue Felder zum Aufzeichnen der Paketbytes, die über die Uplink-Schnittstellen übertragen und empfangen werden. Die Paketbytes, die über die Uplink-Schnittstellen übertragen und empfangen werden, werden von uplink-tx-bytesden Feldern , uplink-rx-bytesund uplink-incoming-interface-name gemeldet.
Beispiel:
APPTRACK_SESSION_CLOSE [user@host.1.1.1.2.137 reason="TCP FIN" source-address="4.0.0.1" source-port="40297" destination-address="5.0.0.1" destination-port="110" service-name="junos-pop3" application="POP3" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="40297" nat-destination-address="5.0.0.1" nat-destination-port="110" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="UNTRUST" destination-zone-name="TRUST" session-id-32="81" packets-from-client="7" bytes-from-client="1959" packets-from-server="6" bytes-from-server="68643" elapsed-time="130" username="N/A" roles="N/A" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name="gr-0/0/0.0" uplink-tx-bytes="1959" uplink-rx-bytes="68643" uplink-incoming-interface-name="gr-0/0/0.0"]
Ab Junos OS Version 18.2R1 werden die folgenden neuen Meldungen hinzugefügt. Diese Meldungen enthalten Informationen wie aktive und passive Metrikberichte, das Umschalten des Datenverkehrspfads der Anwendung, wie in den folgenden Beispielen gezeigt:
APPQOE_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" elapsed-time="2" bytes-from-client="675" bytes-from-server="0" packets-from-client="7" packets-from-server="0" previous-interface="gr-0/0/0.2" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="0" egress-jitter="0" rtt-jitter="0" rtt="0" pkt-loss="0" bytes-from-client="1073" bytes-from-server="6011" packets-from-client="12" packets-from-server="13" monitoring-time="990" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="35264" destination-address="151.101.193.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="614" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="104" egress-jitter="7" rtt-jitter="97" rtt="1142" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="500" target-pkt-loss="1" violation-reason="1" jitter-violation-count="0" pkt-loss-violation-count="0" rtt-violation-count="1" violation-duration="0" bytes-from-client="2476" bytes-from-server="163993" packets-from-client="48" packets-from-server="150" monitoring-time="948" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="6.1.1.2" source-port="36051" destination-address="6.1.1.1" destination-port="36050" application="UDP" protocol-id="17" destination-zone-name="untrust" routing-instance="ri3" destination-interface-name="gr-0/0/0.3" ip-dscp="128" ingress-jitter="26" egress-jitter="31" rtt-jitter="8" rtt="2383" pkt-loss="0" bytes-from-client="870240" bytes-from-server="425280" packets-from-client="4440" packets-from-server="4430" monitoring-time="30" active-probe-params="PP1" destination-group-name="p1"]
Ab Junos OS Version 15.1X49-D170 wurden die AppTrack-Protokolle zum Erstellen von Sitzungen, zum Schließen von Sitzungen, zur Routenaktualisierung und zur Volumeaktualisierung erweitert, um den VRF-Namen sowohl für die Quell-VRF als auch für die Ziel-VRF einzuschließen.
RT_FLOW - APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" profile-name="p2" rule-name="r1" routing-instance="Default_VPN_LAN2" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
RT_FLOW - APPTRACK_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A’"]
RT_FLOW - APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
Ab Junos OS Version 19.1R1 enthalten die Protokolle zum Schließen von Sitzungen eine neue Feldquellenidentität, um das Protokoll zum Erstellen von Sitzungen und das Protokoll zum Schließen von Sitzungen mit Benutzernamen und Rollen zu überprüfen. Die neuen Nachrichten enthalten Informationen wie Benutzername und Rollen, wie im folgenden Beispiel dargestellt:
RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="N/A" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
Eine neue Syslog-Meldung RT_FLOW_NEXTHOP_CHANGE wird immer dann generiert, wenn es eine Änderung in der Route oder im nächsten Hop in den APBR- und AppTrack-fähigen Sitzungen gibt.
Wenn in Junos OS-Versionen vor 20.2R3, 20.3R2, 20.4R2 und 21.1R1 eine Anwendung nicht durch APBR (APBR-Interessenprüfung) und später durch JDPI für das erste Paket der Sitzung identifiziert wird, wird ein Syslog (RT_FLOW_NEXTHOP_CHANGE Protokoll) generiert. Sie können die Protokollmeldung ignorieren.
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.1.0.1" source-port="43540" destination-address="5.1.0.1" destination-port="7000" service-name="None" application="JNPR-UDPSVR-ADDR" nested-application="UNKNOWN" nat-source-address="4.1.0.1" nat-source-port="43540" nat-destination-address="5.1.0.1" nat-destination-port="7000" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="17" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="2" packets-from-client="1" bytes-from-client="105" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="N/A" dscp-value="N/A" apbr-rule-type="application"]
Ab Junos OS Version 19.3R1 werden AppTrack-Sitzungsprotokolle wie Sitzungsabschluss, Volumenaktualisierung, Routenaktualisierung sowie RT_FLOW_NEXTHOP_CHANGE Einschließen und apbr-rule-type Optionen verwendetdscp-value.
-
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”dscp”] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”application-dscp”] -
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”application-dscp”] -
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="1999" destination-address="157.240.23.35" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="1999" nat-destination-address="157.240.23.35" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="3287" packets-from-client="1" bytes-from-client="60" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="sla1"dscp-value=”13”apbr-rule-type=”dscp”]
Ab Junos OS Version 20.1R1 enthalten AppTrack-Sitzungsprotokolle, wie z. B. Sitzungsabschluss, Volumenaktualisierung, Routenaktualisierung, Optionen apbr-rule-type .
-
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” apbr-rule-type=”default”] -
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”]
Ab Junos OS Version 20.4R1 werden AppTrack-Sitzungsprotokolle für AppQoE, wie z. B. ausgewählter bester Pfad, SLA-Metrikverletzung, SLA-Metrikberichte, aktualisiert.
-
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="N/A" destination-interface-name="gr-0/0/0.0" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="app detected" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria=“default” "server-ip=”10.1.1.1” url=”salesforce.com”] -
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile=" apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.0" sla-rule="SLA1" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1355" rtt="5537" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="1000" target-pkt-loss="1" violation-reason="1" violation-duration="20" active-probe-params="PP1" destination-group-name="p1" "server-ip=”10.1.1.1” url=”salesforce.com”] -
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="40.1.1.2" source-port="10001" destination-address="40.1.1.1" destination-port="80" destination-zone-name="untrust1" routing-instance="transit" destination-interface-name="" ip-dscp="6" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1345" rtt="4294967295" pkt-loss="100" monitoring-time="29126" active-probe-params="probe1" destination-group-name="site1" forwarding-class="network-control" loss-priority="low" active-probe-type="http head"]
Ab Junos OS Version 21.2R1 generiert die AppQoE für ein Anwendungsprofil ohne SLA-Metrik nur das APPQOE_APP_BEST_PATH_SELECTED Protokoll. Im Protokoll wird das active-probe-params Feld und N/A das Feld für die Dauer des APPQOE_APP_BEST_PATH_SELECTED Verstoßes angezeigtN/A. Das APPQOE_APP_BEST_PATH_SELECTED Protokoll enthält die neuen Felder wie previous-link-tag, previous-link-priority, destination-link-tagund destination-link-priority wie in den folgenden Beispielen gezeigt. Wenn das reason istapp detected, dann wird das previous-link-tag Feld angezeigt N/A und das previous-link-priority Feld wird angezeigt0.
-
Anwendungsunabhängiges Profil ohne Überlegungen zu SLA-Metriken.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”]Für anwendungsunabhängige Profile wird das Anwendungsfeld als
ANYangezeigt. -
Anwendungsbasiertes Profil ohne Überlegungen zu SLA-Metriken.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”] -
Anwendungsunabhängiges Profil mit SLA-Metriküberlegungen und ohne gemeldete Verstöße.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”] -
Anwendungsunabhängiges Profil mit Überlegungen zu SLA-Metriken und mit gemeldeten Verstößen.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”]APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"]APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"] -
Anwendungsbasiertes Profil mit SLA-Metriküberlegungen und ohne gemeldete Verstöße.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]Anwendungsbasiertes Profil mit Überlegungen zu SLA-Metriken und mit gemeldeten Verstößen.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]Stellen Sie sich ein Szenario vor, in dem eine Firewall der SRX-Serie im Chassis-Cluster-Modus betrieben wird und die AppQoE-Konfiguration SaaS-Tests und einen auf 1 konfigurierten Wert für die Anzahl der Verstöße enthält. Wenn der Anwendungsdatenverkehr den Routenpfad über den Knoten wechselt, wird sowohl auf dem primären als auch auf dem Backup-Knoten eine Syslog-Meldung über einen Verstoß generiert. Sie können das Syslog ignorieren, das auf dem Knoten generiert wurde, auf dem der aktuelle Pfad gehostet wird.
-
Wenn die Link-Affinität als "lose" konfiguriert ist und der Anwendungsdatenverkehr von einer bevorzugten Verbindung zu einer nicht bevorzugten Verbindung wechselt und diese Nicht-bevorzugte Verbindung die höhere Priorität hat, wird der Grund in der Systemprotokollmeldung als "Wechsel zu höherer Priorität" protokolliert.
Beispiel:
RT_FLOW - APPQOE_APP_BEST_PATH_SELECTED [apbr-profile="apbr1" apbr-rule="rule1" application="YAHOO" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.0" destination-interface-name="gr-0/0/0.2" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to higher priority link" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262149" server-ip="0.0.0.0" server-url="N/A" previous-link-tag="ISP1" previous-link-priority="10" destination-link-tag="ISP3" destination-link-priority="3"]
Siehe auch
Beispiel: Konfigurieren der Anwendungsverfolgung
In diesem Beispiel wird gezeigt, wie Sie das AppTrack-Tracking-Tool konfigurieren, damit Sie die Bandbreitennutzung Ihres Netzwerks analysieren können.
Anforderungen
Bevor Sie AppTrack konfigurieren, stellen Sie sicher, dass Sie das Anwendungssignaturpaket heruntergeladen, installiert und überprüft haben, ob die Konfiguration der Anwendungsidentifikation ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Manuelles Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets oder Herunterladen und Installieren des Junos OS-Anwendungssignaturpakets als Teil des IDP-Sicherheitspakets. Verwenden Sie den Befehl show services application-identification status , um den Status zu überprüfen.
Übersicht
Die Anwendungsidentifizierung ist standardmäßig aktiviert und wird automatisch aktiviert, wenn Sie den AppTrack-, AppFW- oder IDP-Dienst konfigurieren. Juniper Secure Analytics (JSA) ruft die Daten ab und bietet eine ablaufbasierte Anwendungstransparenz. STRM bietet Unterstützung für AppTrack-Berichte und enthält mehrere vordefinierte Suchvorlagen und Berichte.
Beachten Sie ab Junos OS 21.1R1 die Änderungen in den folgenden Protokollen:
AppTrack-Sitzungserstellungsprotokolle (APPTRACK_SESSION_CREATE) sind standardmäßig deaktiviert. Verwenden Sie den folgenden Befehl, um es zu aktivieren:
user@host# set security application-tracking log-session-create
AppTrack-Protokolle zum Schließen von Sitzungen (APPTRACK_SESSION_CLOSE) sind standardmäßig deaktiviert. Verwenden Sie die folgende Anweisung, um es zu aktivieren:
user@host# set security application-tracking log-session-close
Sie können AppTrack-Sitzungsvolumen-Updateprotokolle (APPTRACK_SESSSION_VOL_UPDATE) mit der folgenden Anweisung deaktivieren:
user@host# set security application-tracking no-volume-updates
Konfiguration
In diesem Beispiel wird gezeigt, wie die Anwendungsverfolgung für die Sicherheitszone mit dem Namen "Vertrauen" aktiviert wird. Die erste Protokollmeldung muss beim Start der Sitzung generiert werden, und danach sollten alle 4 Minuten Aktualisierungsmeldungen gesendet werden. Am Ende der Sitzung sollte eine letzte Nachricht gesendet werden.
Das Beispiel zeigt auch, wie Sie die Remote-Syslog-Gerätekonfiguration hinzufügen, um AppTrack-Protokollmeldungen im sd-syslog-Format zu empfangen. Die Quell-IP-Adresse, die beim Exportieren von Sicherheitsprotokollen verwendet wird, lautet 192.0.2.1, und die Sicherheitsprotokolle werden an den Host mit der Adresse 192.0.2.2 gesendet.
J-Web-Seiten für AppSecure-Dienste sind vorläufig. Es wird empfohlen, die CLI für die Konfiguration von AppSecure-Funktionen zu verwenden.
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Das Ändern von und session-update-interval das first-update-interval ist in den meisten Fällen nicht erforderlich. Die Befehle sind in diesem Beispiel enthalten, um ihre Verwendung zu veranschaulichen.
user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2 user@host# set security zones security-zone trust application-tracking user@host# set security application-tracking session-update-interval 4 user@host# set security application-tracking first-update-interval 1
Wenn auf SRX5600 und SRX5800 Geräten in der Syslog-Konfiguration kein Zielport angegeben ist, ist der Standardzielport der Syslog-Port. Wenn Sie in der Syslog-Konfiguration einen Zielport angeben, wird stattdessen dieser Port verwendet.
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im CLI-Benutzerhandbuch.
So konfigurieren Sie AppTrack:
Fügen Sie die Remote-Syslog-Gerätekonfiguration hinzu, um Apptrack-Meldungen im sd-syslog-Format zu empfangen.
[edit] user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2
Aktivieren Sie AppTrack für die Vertrauenswürdigkeit der Sicherheitszone.
[edit] user@host# set security zones security-zone trust application-tracking
(Optional) Generieren Sie in diesem Beispiel alle 4 Minuten Aktualisierungsmeldungen.
[edit] user@host# set security application-tracking session-update-interval 4
Das Standardintervall zwischen den Nachrichten beträgt 5 Minuten. Wenn eine Sitzung innerhalb dieses Aktualisierungsintervalls beginnt und endet, generiert AppTrack am Ende der Sitzung eine Meldung. Wenn die Sitzung jedoch langlebig ist, wird alle 5 Minuten eine Updatemeldung gesendet. Das
session-update-interval minutesist konfigurierbar, wie in diesem Schritt gezeigt.(Optional) Generieren Sie in diesem Beispiel die erste Nachricht nach einer Minute.
[edit] user@host# set security application-tracking first-update-interval 1
Standardmäßig wird die erste Nachricht generiert, nachdem das Intervall für die erste Sitzungsaktualisierung abgelaufen ist. Um die erste Nachricht zu einem anderen Zeitpunkt als diesem zu generieren, verwenden Sie
first-update-interval minutesdie Option (generieren Sie die erste Nachricht nach den angegebenen Minuten).Hinweis:Die
first-updateOption und diefirst-update-interval minutesOption schließen sich gegenseitig aus. Wenn Sie beide angeben, wird derfirst-update-intervalWert ignoriert.Ab Junos OS 21.1R1 ist die Anweisung veraltet und wird nicht sofort entfernt, sondern aus Gründen der
first-updateAbwärtskompatibilität.Nachdem die erste Nachricht generiert wurde, wird jedes Mal eine Aktualisierungsmeldung generiert, wenn das Sitzungsaktualisierungsintervall erreicht ist.
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
[edit] user@host# show security
...
application-tracking {
first-update-interval 1;
session-update-interval 4;
}
log {
mode stream;
format sd-syslog;
source-address192.0.2.2;
stream app-track-logs {
host {
192.0.2.1;
}
}
}
...
[edit]
user@host# show security zones
...
security-zone trust {
...
application-tracking;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Verwenden Sie das JSA-Produkt auf dem Remoteprotokollierungsgerät, um die AppTrack-Protokollmeldungen anzuzeigen.
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, können Sie diese Aufgaben auch auf dem Gerät ausführen.
- Überprüfen von AppTrack-Statistiken
- Überprüfen von AppTrack-Zählerwerten
- Überprüfen der Sitzungsstatistiken für den Sicherheitsdatenfluss
- Überprüfen der Cache-Statistiken des Anwendungssystems
- Überprüfen des Status von Indikatorwerten für die Anwendungsidentifikation
Überprüfen von AppTrack-Statistiken
Zweck
Überprüfen Sie die AppTrack-Statistiken, um die Merkmale des verfolgten Datenverkehrs anzuzeigen.
Aktion
Geben Sie im Betriebsmodus den show services application-identification statistics applications Befehl ein.
user@host> show services application-identification statistics applications
Last Reset: 2012-02-14 21:23:45 UTC Application Sessions Bytes Encrypted HTTP 1 2291 Yes HTTP 1 942 No SSL 1 2291 Yes unknown 1 100 No unknown 1 100 Yes
Weitere Informationen zu diesem show services application-identification statistics applications Befehl finden Sie unter show services application-identification statistics applications.
Überprüfen von AppTrack-Zählerwerten
Zweck
Zeigen Sie die AppTrack-Leistungsindikatoren regelmäßig an, um die Protokollierungsaktivität zu überwachen.
Aktion
Geben Sie im Betriebsmodus den show security application-tracking counters Befehl ein.
user@host> show security application-tracking counters
AVT counters: Value Session create messages 1 Session close messages 1 Session volume updates 0 Failed messages 0
Überprüfen der Sitzungsstatistiken für den Sicherheitsdatenfluss
Zweck
Vergleichen Sie die Byte- und Paketanzahl in protokollierten Nachrichten mit den Sitzungsstatistiken aus der show security flow session Befehlsausgabe.
Aktion
Geben Sie im Betriebsmodus den show security flow session Befehl ein.
user@host> show security flow session
Flow Sessions on FPC6 PIC0: Session ID: 120000044, Policy name: policy-in-out/4, Timeout: 1796, Valid In: 192.0.2.1/24 --> 198.51.100.0/21;tcp, If: ge-0/0/0.0, Pkts: 22, Bytes: 1032 Out: 198.51.100.0/24 --> 192.0.2.1//39075;tcp, If: ge-0/0/1.0, Pkts: 24, Bytes: 1442 Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1
Byte- und Paketsummen in den Sitzungsstatistiken sollten ungefähr den von AppTrack protokollierten Zählungen entsprechen, sind aber möglicherweise nicht genau identisch. AppTrack zählt nur eingehende Bytes und Pakete. Vom System generierte Pakete sind nicht in der Gesamtzahl enthalten, und verworfene Pakete werden nicht abgezogen.
Überprüfen der Cache-Statistiken des Anwendungssystems
Zweck
Vergleichen Sie Cachestatistiken wie IP-Adresse, Port, Protokoll und Dienst für eine Anwendung anhand der show services application-identification application-system-cache Befehlsausgabe.
Aktion
Geben Sie im Betriebsmodus den show services application-identification application-system-cache Befehl ein.
Überprüfen des Status von Indikatorwerten für die Anwendungsidentifikation
Zweck
Vergleichen Sie Sitzungsstatistiken auf Zählerwerte für die Anwendungsidentifikation aus der show services application-identification counter Befehlsausgabe.
Aktion
Geben Sie im Betriebsmodus den show services application-identification counter Befehl ein.
Beispiel: Konfigurieren der Anwendungsverfolgung bei aktiviertem SSL-Proxy
In diesem Beispiel wird beschrieben, wie AppTrack die AppID-Funktionalität unterstützt, wenn der SSL-Proxy aktiviert ist.
Anforderungen
Bevor Sie beginnen:
Erstellen Sie Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Erstellen Sie ein SSL-Proxyprofil, das den SSL-Proxy mithilfe einer Richtlinie aktiviert. Weitere Informationen finden Sie unter Konfigurieren des SSL-Forward-Proxys.
Übersicht
Sie können AppTrack entweder in der Bis- oder in der Von-Zone konfigurieren. In diesem Beispiel wird gezeigt, wie AppTrack in einer Bis-Zone in einer Richtlinienregel konfiguriert wird, wenn der SSL-Proxy aktiviert ist.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone Z_1 application-tracking set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
In diesem Beispiel konfigurieren Sie die Anwendungsverfolgung und lassen Anwendungsdienste in einer SSL-Proxyprofilkonfiguration zu.
Konfigurieren Sie die Anwendungsverfolgung in einer Bis-Zone (Sie können die Konfiguration auch mithilfe einer Von-Zone vornehmen).
[edit security policies] user@host# set security zones security-zone Z_1 application-tracking
Konfigurieren Sie das SSL-Proxyprofil.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1] set match source-address any set match destination-address any set match application junos-https set then permit application-services ssl-proxy profile-name ssl-profile-1 set then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
from-zone Z_1 to-zone Z_2 {
policy policy1 {
match {
source-address any;
destination-address any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-profile-1;
}
}
}
}
}
}
Überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert. Die Verifizierung in AppTrack funktioniert ähnlich wie die Verifizierung in AppFW. Weitere Informationen finden Sie im Abschnitt zur Überprüfung unter Beispiel: Konfigurieren der Application Firewall bei aktiviertem SSL-Proxy.
Deaktivieren der Anwendungsverfolgung
Die Anwendungsverfolgung ist standardmäßig aktiviert. Sie können die Anwendungsverfolgung deaktivieren, ohne die Zonenkonfiguration zu löschen.
So deaktivieren Sie die Anwendungsverfolgung:
user@host# set security application-tracking disable
Wenn die Anwendungsverfolgung zuvor deaktiviert wurde und Sie sie erneut aktivieren möchten, löschen Sie die Konfigurationsanweisung, die die Deaktivierung der Anwendungsverfolgung angibt:
user@host# delete security application-tracking disable
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
Um die Konfiguration zu überprüfen, geben Sie den show security application-tracking Befehl ein.
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.
apbr-rule-type Optionen einschließen
dscp-value.
apbr-rule-type .
category und
subcategory