AUF DIESER SEITE
Beispiel: Konfigurieren des Sicherheitsprotokolls für logische Systeme
Konfigurieren von integrierten binären Sicherheitsprotokolldateien für logisches System
Konfigurieren von externen binären Sicherheits-Protokolldateien für ein logisches System
Grundlegendes zum Debugging von Datenpfaden für logische Systeme
Ausführen der Ablaufverfolgung für logische Systeme (nur primäre Administratoren)
Fehlerbehebung bei logischen Systemen
Verwenden Sie die folgenden Funktionen, um logische Systeme zu überwachen und Softwareprobleme zu beheben. Weitere Informationen finden Sie in den folgenden Themen:
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
Im Abschnitt Verhalten der plattformspezifischen Sicherheitsprotokolle finden Sie Hinweise zu Ihrer Plattform.
Sicherheitsprotokolle und logische Systeme verstehen
Sicherheitsprotokolle sind Systemprotokollmeldungen, die Sicherheitsereignisse enthalten. Wenn ein Gerät für logische Systeme konfiguriert ist, verwenden Sicherheitsprotokolle, die im Kontext eines logischen Systems generiert werden, den Namen logname_LS (z. B. IDP_ATTACK_LOG_EVENT_LS). Die logische Systemversion eines Protokolls verfügt über die gleichen Attribute wie das Protokoll für Geräte, die nicht für logische Systeme konfiguriert sind. Das logische Systemprotokoll enthält logical-system-name als erstes Attribut.
Das folgende Sicherheitsprotokoll zeigt die Attribute für das Protokoll IDP_ATTACK_LOG_EVENT für ein Gerät, das nicht für logische Systeme konfiguriert ist:
IDP_ATTACK_LOG_EVENT {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Das folgende Sicherheitsprotokoll zeigt die Attribute für das Protokoll IDP_ATTACK_LOG_EVENT_LS für ein Gerät, das für logische Systeme konfiguriert ist (beachten Sie, dass logischer Systemname das erste Attribut ist):
IDP_ATTACK_LOG_EVENT_LS {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Wenn ein Gerät für logische Systeme konfiguriert ist, müssen Protokollanalyseskripts möglicherweise geändert werden, da der Protokollname das Suffix _LS enthält und das Attribut logical-system-name verwendet werden kann, um Protokolle nach logischem System zu trennen.
Wenn ein Gerät nicht für logische Systeme konfiguriert ist, bleiben die Sicherheitsprotokolle unverändert und Skripts, die zum Analysieren von Protokollen erstellt wurden, müssen nicht geändert werden.
Nur der primäre Administrator kann die Protokollierung auf der Hierarchieebene [edit security log] konfigurieren. Logische Systemadministratoren von Benutzern können die Protokollierung für ihre logischen Systeme nicht konfigurieren.
Die Konfiguration pro logischem System wird für die Off-Box-Protokollierung unterstützt, und Protokolle werden basierend auf diesen Konfigurationen verarbeitet. Bisher wurden die logischen Systemprotokolle des Benutzers aus dem logischen Root-System generiert. Für die Off-Box-Protokollierung können die logischen Systemprotokolle nur über die logische Systemschnittstelle generiert werden.
Konfigurieren von On-Box-Berichten für logische Systeme
Firewalls der SRX-Serie unterstützen verschiedene Arten von Berichten für Benutzer logischer Systeme.
Berichte werden lokal auf der Firewall der SRX-Serie gespeichert. Es sind keine separaten Geräte oder Tools für die Speicherung von Protokollen und Berichten erforderlich. Die On-Box-Berichte bieten eine einfache und leicht zu bedienende Oberfläche zum Anzeigen der Sicherheitsprotokolle.
Bevor Sie beginnen:
Erfahren Sie, wie Sie das Sicherheitsprotokoll für logische Systeme konfigurieren. Siehe Beispiel: Konfigurieren des Sicherheitsprotokolls für logische Systeme
So konfigurieren Sie die On-Box-Berichterstellung für ein logisches System:
Standardmäßig ist die report Option deaktiviert. Der set logical-systems LSYS1 security log mode stream Befehl ist standardmäßig aktiviert.
Beispiel: Konfigurieren des Sicherheitsprotokolls für logische Systeme
In diesem Beispiel wird gezeigt, wie Sicherheitsprotokolle für ein logisches System konfiguriert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
eine Firewall der SRX-Serie.
Junos OS Version 18.3R1 und höher.
Bevor Sie beginnen:
Verstehen, wie man ein logisches System konfiguriert.
Erfahren Sie, wie Sie Sicherheitsprofile für das primäre logische System erstellen. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitsprofilen für logische Systeme (nur primäre Administratoren).
Überblick
Firewalls der SRX-Serie verfügen über zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle. Systemprotokolle zeichnen Ereignisse der Steuerungsebene auf, z. B. die Anmeldung des Administrators beim Gerät. Sicherheitsprotokolle, auch bekannt als Datenverkehrsprotokolle, zeichnen Ereignisse auf der Datenebene in Bezug auf eine bestimmte Datenverkehrsverarbeitung auf, z. B. wenn eine Sicherheitsrichtlinie bestimmten Datenverkehr aufgrund eines Verstoßes gegen die Richtlinie ablehnt.
Die beiden Arten von Protokollen können entweder On-Box oder Off-Box gesammelt und gespeichert werden. Im folgenden Verfahren wird erläutert, wie Sicherheitsprotokolle im Binärformat für die Off-Box-Protokollierung (Streammodus) konfiguriert werden.
Bei der Off-Box-Protokollierung werden Sicherheitsprotokolle für ein logisches System von einer logischen Systemschnittstelle gesendet. Wenn die logische Systemschnittstelle bereits in einer Routing-Instanz konfiguriert ist, konfigurieren routing-instance routing-instance-name Sie sie in edit logical-systems logical-system-name security log stream log-stream-name host der Hierarchie. Wenn die Schnittstelle nicht in der Routing-Instanz konfiguriert ist, sollte keine Routing-Instanz in edit logical-systems logical-system-name security log stream log-stream-name host der Hierarchie konfiguriert werden.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
Vorgehensweise
Schritt-für-Schritt-Anleitung
Im folgenden Verfahren wird angegeben, wie Sicherheitsprotokolle für ein logisches System konfiguriert werden.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die Off-Box-Protokollierung im Stream-Modus.
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
Geben Sie für die externe Sicherheitsprotokollierung die Quelladresse an, die die Firewall der SRX-Serie identifiziert, die die Protokollmeldungen generiert hat. Die Quelladresse ist erforderlich.
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
Geben Sie die Routing-Instanz und die Schnittstelle an.
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
Definieren Sie eine Routinginstanz für ein logisches System.
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
Geben Sie das Sicherheitsprotokoll-Transportprotokoll für das Gerät an.
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
Vorgehensweise
Schritt-für-Schritt-Anleitung
Im folgenden Verfahren wird angegeben, wie ein Sicherheitsprofil für ein logisches System konfiguriert wird.
Konfigurieren Sie ein Sicherheitsprofil und geben Sie die Anzahl der maximalen und reservierten Richtlinien an.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Weisen Sie das konfigurierte Sicherheitsprofil TSYS1 zu.
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show system security-profileBefehle , show logical-systems LSYS1 security logund show logical-systems LSYS1 routing-instances . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show system security-profile
LSYS1_profile {
logical-system LSYS1;
}
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
}
[edit]
user@host# show logical-systems LSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream LSYS1_s {
format binary;
host {
1.3.54.22;
}
}
[edit]
user@host# show logical-systems LSYS1 routing-instances
LSYS1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfung der detaillierten Ausgabe für das Sicherheits-Log
Zweck
Stellen Sie sicher, dass die Ausgabe die Ressourceninformationen für alle logischen Systeme anzeigt.
Aktion
Geben Sie im Betriebsmodus den show system security-profile security-log-stream-number tenant all Befehl ein.
logical-system name security profile name usage reserved maximum
root-logical-system Default-Profile 0 0
Bedeutung
Die Ausgabe zeigt die Ressourceninformationen für logische Systeme an.
Konfigurieren von integrierten binären Sicherheitsprotokolldateien für logisches System
Geräte der SRX-Serie unterstützen zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle.
Die beiden Arten von Protokollen werden entweder On-Box oder Off-Box gesammelt und gespeichert. Im folgenden Verfahren wird erläutert, wie Sicherheitsprotokolle im Binärformat für die On-Box-Protokollierung (Ereignismodus) für logische Systeme konfiguriert werden.
Im folgenden Verfahren wird das Binärformat für die Sicherheitsprotokollierung im Ereignismodus angegeben und der Protokolldateiname, der Pfad und die Protokolldateimerkmale für das logische System definiert.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die On-Box-Protokollierung im Ereignismodus:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(Optional) Geben Sie einen Namen für die Protokolldatei an.
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
Hinweis:Der Dateiname des Sicherheits-Protokolls ist nicht obligatorisch. Wenn der Dateiname des Sicherheitsprotokolls nicht konfiguriert ist, wird die bin_messages Datei standardmäßig im Verzeichnis /var/log erstellt.
Bestätigen Sie Ihre Konfiguration durch Eingabe des
show logical-systems LSYS1Befehls.[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
Das folgende Verfahren gibt das Binärformat für die Sicherheitsprotokollierung im Streammodus an und definiert den Protokolldateinamen und die Protokolldateimerkmale für das logische System.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die On-Box-Protokollierung im Stream-Modus:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(Optional) Geben Sie einen Namen für die Protokolldatei an.
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
Bestätigen Sie Ihre Konfiguration durch Eingabe des
show logical-systems LSYS1Befehls.[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Konfigurieren von externen binären Sicherheits-Protokolldateien für ein logisches System
Geräte der SRX-Serie unterstützen zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle.
Die beiden Arten von Protokollen können entweder On-Box oder Off-Box gesammelt und gespeichert werden. Im folgenden Verfahren wird erläutert, wie Sicherheitsprotokolle im Binärformat für die Off-Box-Protokollierung (Streammodus) konfiguriert werden.
Im folgenden Verfahren wird das Binärformat für die Sicherheitsprotokollierung im Streammodus angegeben und der Protokollierungsmodus, die Quelladresse und der Hostname für das logische System definiert.
Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die Off-Box-Protokollierung im Stream-Modus:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
Geben Sie die Quelladresse für die externe Sicherheitsprotokollierung an.
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
Geben Sie den Hostnamen an.
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
Bestätigen Sie Ihre Konfiguration durch Eingabe des
show logical-systems LSYS1Befehls.[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
Grundlegendes zum Debugging von Datenpfaden für logische Systeme
Das Debuggen von Datenpfaden ermöglicht das Nachverfolgen und Debuggen an mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads. Das Debuggen von Datenpfaden kann auch für Datenverkehr zwischen logischen Systemen durchgeführt werden.
Nur der primäre Administrator kann das Datenpfaddebuggen für logische Systeme auf der Ebene [edit security datapath-debug] konfigurieren. Logische Systemadministratoren von Benutzern können das Debuggen von Datenpfaden für ihre logischen Systeme nicht konfigurieren.
Die End-to-End-Ereignisablaufverfolgung verfolgt den Pfad eines Pakets vom Eintritt in das Gerät bis zum Verlassen des Geräts. Wenn der primäre Administrator die End-to-End-Ereignisablaufverfolgung konfiguriert, enthält die Ablaufverfolgungsausgabe logische Systeminformationen.
Der primäre Administrator kann auch die Ablaufverfolgung für den Datenverkehr zwischen logischen Systemen konfigurieren. Die Trace-Ausgabe zeigt den Datenverkehr, der in den logischen Tunnel ein- und ausgeht, zwischen logischen Systemen. Wenn die Option preserve-trace-order konfiguriert ist, wird die Ablaufverfolgungsmeldung chronologisch sortiert. Zusätzlich zur Ablaufverfolgungsaktion können andere Aktionen wie Packet-Dump und Packet-Summary für Datenverkehr zwischen logischen Systemen konfiguriert werden.
Siehe auch
Ausführen der Ablaufverfolgung für logische Systeme (nur primäre Administratoren)
Nur der primäre Administrator kann das Debuggen von Datenpfaden für logische Systeme auf der Stammebene konfigurieren.
So konfigurieren Sie ein Aktionsprofil für eine Ablaufverfolgung oder Paketerfassung:
So erfassen Sie Ablaufverfolgungsmeldungen für logische Systeme:
Konfigurieren Sie die Ablaufverfolgungserfassungsdatei.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
Zeigen Sie die erfasste Ablaufverfolgung im Betriebsmodus an.
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
Löschen Sie das Protokoll.
user@host> clear log e2e.trace
So führen Sie eine Paketerfassung für logische Systeme durch:
Konfigurieren Sie die Paketerfassungsdatei.
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
Wechseln Sie in den Betriebsmodus, um die Paketerfassung zu starten und dann zu beenden.
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
Hinweis:Paketerfassungsdateien können offline mit tcpdump oder einem beliebigen Sniffer, der das libpcap-Format erkennt, geöffnet und analysiert werden. Sie können auch FTP oder das Session Control Protocol (SCP) verwenden, um die Paketerfassungsdateien auf ein externes Gerät zu übertragen.
Deaktivieren Sie die Paketerfassung im Konfigurationsmodus.
Hinweis:Deaktivieren Sie die Paketerfassung, bevor Sie die Datei zur Analyse öffnen oder die Datei mit FTP oder SCP auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.
[edit forwarding-options] user@host# set packet-capture disable
Zeigen Sie die Paketerfassung an.
So zeigen Sie die Paketerfassung mit dem Dienstprogramm tcpdump an:
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
So zeigen Sie die Paketerfassung aus dem CLI-Betriebsmodus an:
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
Siehe auch
Fehlerbehebung bei der DNS-Namensauflösung in Richtlinien für die Sicherheit logischer Systeme (nur primäre Administratoren)
Problemstellung
Beschreibung
Die Adresse eines Hostnamens in einem Adressbucheintrag, der in einer Sicherheitsrichtlinie verwendet wird, kann möglicherweise nicht ordnungsgemäß aufgelöst werden.
Ursache
Normalerweise werden Adressbucheinträge, die dynamische Hostnamen enthalten, für Firewalls der SRX-Serie automatisch aktualisiert. Das TTL-Feld, das einem DNS-Eintrag zugeordnet ist, gibt die Zeit an, nach der der Eintrag im Richtliniencache aktualisiert werden soll. Sobald der TTL-Wert abgelaufen ist, aktualisiert die Firewall der SRX-Serie automatisch den DNS-Eintrag für einen Adressbucheintrag.
Wenn die Firewall der SRX-Serie jedoch keine Antwort vom DNS-Server erhalten kann (z. B. wenn die DNS-Anfrage oder das Antwortpaket im Netzwerk verloren geht oder der DNS-Server keine Antwort senden kann), kann es sein, dass die Adresse eines Hostnamens in einem Adressbucheintrag nicht korrekt aufgelöst wird. Dies kann zu einem Abbruch des Datenverkehrs führen, da keine Übereinstimmung mit der Sicherheitsrichtlinie oder Sitzung gefunden wird.
Lösung
Der primäre Administrator kann den show security dns-cache Befehl verwenden, um DNS-Cache-Informationen auf der Firewall der SRX-Serie anzuzeigen. Wenn die DNS-Cache-Informationen aktualisiert werden müssen, kann der primäre Administrator den clear security dns-cache Befehl verwenden.
Diese Befehle sind nur für den primären Administrator auf Geräten verfügbar, die für logische Systeme konfiguriert sind. Dieser Befehl ist in logischen Benutzersystemen oder auf Geräten, die nicht für logische Systeme konfiguriert sind, nicht verfügbar.
Siehe auch
Verhalten von plattformspezifischen Sicherheitsprotokollen
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:
| Plattform |
Unterschied |
|---|---|
| SRX-Serie |
|