Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Konfigurieren der Systemprotokollierung für Sicherheitsgeräte

Übersicht über die Systemprotokollierung für Sicherheitsgeräte

Junos OS unterstützt die Konfiguration und Überwachung von Systemprotokollmeldungen (auch Syslog-Meldungengenannt). Sie können Dateien konfigurieren, um Systemmeldungen zu protokollieren, und Nachrichten auch Attribute, wie z. B. Schweregrade, zuweisen. Neustartanforderungen werden in den Systemprotokolldateien aufgezeichnet, die Sie mit dem show log Befehl anzeigen können.

Dieser Abschnitt enthält die folgenden Themen:

Protokolle der Steuerungsebene und der Datenebene

Junos OS generiert separate Protokollmeldungen, um Ereignisse aufzuzeichnen, die auf der Steuerungs- und Datenebene des Systems auftreten.

  • Die Protokolle der Steuerungsebene, auch Systemprotokolle genannt, enthalten Ereignisse, die auf der Routing-Plattform auftreten. Das System sendet Ereignisse der Steuerungsebene an den eventd Prozess auf der Routing-Engine, der die Ereignisse dann mithilfe von Junos OS-Richtlinien, durch Generieren von Systemprotokollmeldungen oder beides verarbeitet. Sie können Protokolle der Steuerungsebene an eine Datei, ein Benutzerterminal, eine Routing-Plattform-Konsole oder einen Remote-Computer senden. Um Protokolle der Steuerungsebene zu generieren, verwenden Sie die syslog Anweisung auf Hierarchieebene [system] .

  • Die Data Plane-Protokolle, die auch als Sicherheitsprotokollebezeichnet werden, enthalten in erster Linie Sicherheitsereignisse, die innerhalb der Data Plane verarbeitet werden. Sicherheitsprotokolle können im Text- oder Binärformat vorliegen und lokal gespeichert (Ereignismodus) oder an einen externen Server gesendet werden (Stream-Modus). Das Binärformat ist für den Streammodus erforderlich und wird empfohlen, um Protokollspeicherplatz im Ereignismodus zu sparen.

    Beachten Sie Folgendes:

    • Sicherheitsprotokolle können lokal (auf der Box) oder extern (extern) gespeichert werden, aber nicht beides.

    • SRX1400-, SRX1500-, SRX3400-, SRX3600-, SRX4100-, SRX4200-, SRX4600-, SRX5400-, SRX5600- und SRX5800-Geräte verwenden standardmäßig den Stream-Modus. Informationen zum Angeben des Binärformats und eines externen Servers finden Sie unter Konfigurieren von externen binären Sicherheitsprotokolldateien.

      HINWEIS:

      Protokolle werden möglicherweise verworfen, wenn Sie die Protokollierung im Ereignismodus auf diesen Geräten konfigurieren.

      Ab Junos OS Version 15.1X49-D100 ist der Standardmodus für SRX1500 Gerät der Stream-Modus. Vor Junos OS Version 15.1X49-D100 war der Standardmodus für SRX1500 Gerät der Ereignismodus.

    • Abgesehen von Junos OS Version 18.4R1, 18,4R2, 19.1 und 19.2R1 ist in allen anderen Versionen ab Junos OS Version 18.3R3 der Standardprotokollierungsmodus für SRX300-, SRX320-, SRX340-, SRX345-, SRX550- und SRX550M-Geräte der Stream-Modus. Ereignisse der Datenebene werden ähnlich wie Ereignisse der Steuerungsebene in Systemprotokolldateien geschrieben. Informationen zum Angeben des Binärformats für die Sicherheitsprotokolle finden Sie unter Konfigurieren von externen binären Sicherheitsprotokolldateien.

    Ab Junos OS Version 20.2R1 unterstützen wir Escape in der Weiterleitung von Stream-Protokollen und On-Box-Berichterstellung, um Analysefehler zu vermeiden. Der Stream-Modus unterstützt Escape-In sd-syslog und binary Formate, wenn Protokolle nicht an eventd die Verarbeitung gesendet werden. Für die Protokolle, die an eventd den Prozess gesendet werden, empfehlen wir, eine escape Option nicht zu aktivieren, da der eventd Prozess die Escape-Funktion für das Strukturprotokoll aktiviert hat. Der Ereignismodus unterstützt Escape nur im binary Format. Standardmäßig ist die escape Option deaktiviert. Sie müssen die escape Option mit dem set security log escape Befehl aktivieren.

Redundanter Systemprotokollserver

Der für Remoteserver vorgesehene Datenverkehr zur Protokollierung des Sicherheitssystems wird über die Ports der Netzwerkschnittstelle gesendet, die zwei gleichzeitige Systemprotokollziele unterstützen. Jedes Systemprotokollierungsziel muss separat konfiguriert werden. Wenn zwei Systemprotokollzieladressen konfiguriert sind, werden identische Protokolle an beide Ziele gesendet. Während auf jedem Gerät, das die Funktion unterstützt, zwei Ziele konfiguriert werden können, ist das Hinzufügen eines zweiten Ziels in erster Linie als redundante Sicherung für eigenständige und aktive/Backup-konfigurierte Chassis-Cluster-Bereitstellungen nützlich.

Die folgenden redundanten Serverinformationen sind verfügbar:

  • Leichtigkeit: cron

  • Beschreibung: Cron-Planungsprozess

  • Schweregrad (vom höchsten zum niedrigsten Schweregrad): debug

  • Beschreibung: Software-Debugging-Meldungen

Binärformat für Sicherheitsprotokolle

Das Junos-Betriebssystem generiert separate Protokollmeldungen, um Ereignisse aufzuzeichnen, die auf der Steuerungsebene und der Datenebene des Systems auftreten. Die Steuerungsebene überwacht Ereignisse, die auf der Routing-Plattform auftreten. Solche Ereignisse werden in Systemprotokollmeldungen aufgezeichnet. Um Systemprotokollmeldungen zu generieren, verwenden Sie die syslog Anweisung auf Hierarchieebene [system] .

Protokollmeldungen der Datenebene, die als Sicherheitsprotokollmeldungen bezeichnet werden, zeichnen Sicherheitsereignisse auf, die vom System direkt innerhalb der Datenebene verarbeitet werden. Verwenden Sie zum Generieren von Sicherheitsprotokollmeldungen die log Anweisung auf Hierarchieebene [security] .

Systemprotokollmeldungen werden in Protokolldateien in textbasierten Formaten wie BSD Syslog, Structured Syslog und WebTrends Enhanced Log Format (WELF) verwaltet.

Sicherheitsprotokollmeldungen können auch in textbasierten Formaten gepflegt werden. Da bei der Sicherheitsprotokollierung jedoch große Datenmengen anfallen können, können textbasierte Protokolldateien schnell Speicher- und CPU-Ressourcen verbrauchen. Abhängig von Ihrer Implementierung der Sicherheitsprotokollierung kann eine Protokolldatei in einem binärbasierten Format eine effizientere Nutzung des On- oder Off-Box-Speichers und eine verbesserte CPU-Auslastung bieten. Das Binärformat für Sicherheitsprotokollmeldungen ist auf allen Firewalls der SRX-Serie verfügbar.

Bei Konfiguration im Ereignismodus werden Sicherheitsprotokollmeldungen, die auf der Data Plane generiert werden, an die Steuerungsebene weitergeleitet und lokal auf dem Gerät gespeichert. Sicherheitsprotokollmeldungen, die im Binärformat gespeichert sind, werden in einer Protokolldatei verwaltet, die von der Protokolldatei getrennt ist, die für die Verwaltung von Systemprotokollmeldungen verwendet wird. Auf Ereignisse, die in einer Binärprotokolldatei gespeichert sind, kann nicht mit erweiterten Protokollskriptbefehlen zugegriffen werden, die für textbasierte Protokolldateien vorgesehen sind. Ein separater CLI-Betriebsbefehl unterstützt das Decodieren, Konvertieren und Anzeigen von Binärprotokolldateien, die lokal auf dem Gerät gespeichert sind.

Bei Konfiguration im Stream-Modus werden Sicherheitsprotokollmeldungen, die auf der Data Plane generiert werden, an ein Remotegerät gestreamt. Wenn diese Nachrichten im Binärformat gespeichert werden, werden sie in einem Juniper-spezifischen Binärformat direkt an einen externen Protokollerfassungsserver gestreamt. Extern gespeicherte Binärprotokolldateien können nur mit Juniper Secure Analytics (JSA) oder Security Threat Response Manager (STRM) gelesen werden.

Ab Junos OS Version 17.4R2 und höher können Sie auf Geräten der Serien SRX300, SRX320, SRX340, SRX345 und virtuellen vSRX-Firewall-Instanzen maximal acht Systemprotokollhosts konfigurieren, wenn das Gerät im Stream-Modus konfiguriert ist. In Junos OS Version 17.4R2 und früheren Versionen können Sie nur drei Systemprotokollhosts im Stream-Modus konfigurieren. Wenn Sie mehr als drei Systemprotokollhosts konfigurieren, wird die folgende Fehlermeldung angezeigt error: configuration check-out failed.

Weitere Informationen zum Konfigurieren von On-Box-Binärsicherheitsprotokollen (Ereignismodus) finden Sie unter Konfigurieren von On-Box-Binärsicherheitsprotokolldateien. Weitere Informationen zum Konfigurieren von externen binären Sicherheitsprotokollen (Stream-Modus) finden Sie unter Konfigurieren von externen binären Sicherheitsprotokolldateien.

On-Box-Protokollierung und Berichterstellung

In diesem Thema werden die CLI-Funktionen für die On-Box-Protokollierung und -Berichterstellung sowie die Designaspekte der On-Box-Berichterstellung für die SRX-Geräte beschrieben.

Überblick

Die integrierte Protokollierung des Datenverkehrs auf Solid-State-Laufwerken (SSDs) unterstützt acht externe Protokollserver oder Dateien.

Es wird eine All-in-One-XML-Datei hinzugefügt, die alle Informationen zu den Datenverkehrsprotokollen enthält. Die XML-Datei generiert auch alle Protokollierungs-Headerdateien und Dokumente zum Datenverkehrsprotokoll.

Ein neuer Prozess (Daemon) namens Local Log Management Daemon (llmd) wird in Services Processing Cards 0 (SPCs0) unterstützt, um die Protokollierung des Datenverkehrs vor Ort zu verarbeiten. Der Datenverkehr, der von eingeschobenen SPCs erzeugt wird, wird in Datenverkehrsprotokollen aufgeführt. Der llmd speichert diese Protokolle auf der lokalen SSD. Verkehrsprotokolle werden in den vier verschiedenen Formaten gespeichert. Erfahren Sie Tabelle 1 mehr über die Protokollformate.

Tabelle 1: Protokollformate
Protokollformat Beschreibung Vorgabe
Syslog
  • Herkömmliches Protokollformat zum Speichern von Protokollen.
 Ja
Sd-syslog
  • Strukturiertes Systemprotokolldateiformat.
  • Am anschaulichsten und langwierigsten sind sie daher und benötigen daher mehr Platz zum Speichern.
  • Das Übertragen von Protokollen, die in diesem Format gespeichert sind, dauert aufgrund der Größe länger.
Welf
  • Das erweiterte Protokolldateiformat von WebTrends ist ein branchenübliches Format für den Austausch von Protokolldateien.
  • Kompatibel mit Firewall Suite 2.0 und höher, Firewall Reporting Center 1.0 und höher sowie Security Reporting Center 2.0 und höher.
Binär
  • Proprietäres Format von Juniper.
  • Ist unter allen anderen Protokollformaten am wenigsten aussagekräftig und benötigt im Vergleich zu anderen Protokollformaten am wenigsten Platz.
Protobuf

  • Googles sprachneutraler, plattformneutraler, erweiterbarer Mechanismus zur Serialisierung strukturierter Daten.

  • Zum Codieren der Daten wird eine andere Methode verwendet.

  • Die Dateigröße ist im Vergleich zu syslog und sd-syslog gering.

  

Der On-Box-Berichterstellungsmechanismus ist eine Erweiterung der vorhandenen Protokollierungsfunktion. Die vorhandene Protokollierungsfunktion wird geändert, um Systemdatenverkehrsprotokolle zu sammeln, die Protokolle zu analysieren und Berichte über diese Protokolle in Form von Tabellen mithilfe der CLI zu generieren. Die On-Box-Berichtsfunktion soll eine einfache und benutzerfreundliche Oberfläche für die Anzeige von Sicherheitsprotokollen bieten. Die On-Box-Berichte sind einfach zu verwendende J-Web-Seiten verschiedener Sicherheitsereignisse in Form von Tabellen und Diagrammen. Die Berichte ermöglichen es dem IT-Sicherheitsmanagement, Sicherheitsinformationen auf einen Blick zu erkennen und schnell über die zu ergreifenden Maßnahmen zu entscheiden. Die Protokolle werden (basierend auf Sitzungstypen) für Funktionen wie Bildschirm, IDP, Inhaltssicherheit und IPSec gründlich analysiert.

Sie können Filter für die Protokolldaten definieren, die auf der Grundlage der folgenden Kriterien gemeldet werden:

HINWEIS:

Die Bedingungen "Top", "In-Detail" und "In-Intervall" können nicht gleichzeitig verwendet werden.

  • top <number>—Mit dieser Option können Sie Berichte für die wichtigsten Sicherheitsereignisse erstellen, wie im Befehl angegeben. Zum Beispiel: Top 5 IPS-Angriffe oder Top 6 URLs, die durch Content Security erkannt wurden.

  • in-detail <number>—Mit dieser Option können Sie detaillierte Protokollinhalte generieren.

  • in-interval <time-period>—Mit dieser Option können Sie die Ereignisse generieren, die zwischen bestimmten Zeitintervallen protokolliert werden.

  • summary: Mit dieser Option können Sie die Zusammenfassung der Ereignisse generieren. Auf diese Weise können Sie den Bericht an Ihre Bedürfnisse anpassen und zeigen nur die Daten an, die Sie verwenden möchten.

Die maximale Zahl innerhalb des Intervalls, die die Anzahl in Intervallen anzeigt, ist 30. Wenn eine große Dauer angegeben ist, werden die Leistungsindikatoren so zusammengestellt, dass das maximale In-Intervall kleiner als 30 ist.

Sowohl "in-detail" als auch "summary" haben die Option "all", da verschiedene Tabellen unterschiedliche Attribute haben (z. B. Sitzungstabelle hat nicht das Attribut "reason", Content Security jedoch schon), hat die Option "all" keinen Filter außer Startzeit und Stoppzeit. Wenn es einen anderen Filter als Startzeit und Stoppzeit gibt, wird ein Fehler angezeigt.

Zum Beispiel: root@host> Sicherheitsprotokollbericht detailliert anzeigen, alle Gründe Grund1

Die Anwendungs-Firewall-Protokolle für die Anwendungs- und Benutzersichtbarkeit listen Anwendungen und verschachtelte Anwendungen auf. Wenn in den Protokollen dieser Funktionen verschachtelte Anwendungen aufgeführt sind, werden verschachtelte Anwendungen in J-Web aufgelistet. Wenn in den Protokollen verschachtelte Anwendungen als nicht zutreffend oder unbekannt aufgeführt sind, werden nur die Anwendungen in J-Web aufgelistet.

Verwenden Sie die folgenden CLI-Befehle für die Anwendungs- und Benutzersichtbarkeit für alle Anwendungen und verschachtelten Anwendungen:

  • Für die beste verschachtelte Anwendung nach Anzahl—show security log report top session-close top-number <number> group-by application order-by count with user

  • Für die am besten verschachtelte Anwendung nach Volumen—show security log report top session-close top-number <number> group-by application order-by volume with user

  • Für die meisten Benutzer nach Anzahl mit verschachtelter Anwendung:show security log report top session-close top-number <number> group-by user order-by count with application

Die On-Box-Berichterstellungsfunktion ist standardmäßig aktiviert, wenn Sie die werkseitig voreingestellten Konfigurationen auf die Firewall der SRX-Serie mit Junos OS Version 15.1X49-D100 oder höher laden.

Wenn Sie ein Upgrade Ihrer Firewall der SRX-Serie von einer Junos OS-Version vor Junos OS 15.1X49-D100 durchführen, übernimmt die Firewall der SRX-Serie die vorhandene Konfiguration, und die On-Box-Berichtsfunktion ist standardmäßig deaktiviert. Sie müssen den set security log report Befehl und den set security log mode stream Befehl konfigurieren, um die On-Box-Berichtsfunktion auf dem Gerät zu aktivieren, das aktualisiert wird.

Ab Junos OS Version 19.3R1 enthält die werkseitige Standardkonfiguration keine On-Box-Berichtskonfiguration zur Verlängerung der Lebensdauer des Solid-State-Laufwerks (SSD). Sie können die On-Box-Berichtsfunktion aktivieren, indem Sie den CLI-Befehl in [edit security log] der set security log reportHierarchie konfigurieren.

Informationen zum Ausführen dieser Aufgabe auf der J-Web-Benutzeroberfläche finden Sie im J-Web-Benutzerhandbuch für Geräte der SRX-Serie .

Ab Junos OS Version 21.3R1 werden die On-Box-Berichtsprotokolle im Memory File System (MFS) gespeichert, wenn keine externe SSD vorhanden ist. Die maximale Anzahl von Protokollen, die Sie auf MFS speichern können, ist geringer als die, die Sie auf einer externen SSD speichern können. Dies verhindert Speichererschöpfung und -ausfälle. In MFS gespeicherte Protokolle werden nach einem Neustart des Geräts oder einem Stromausfall nicht beibehalten. Sehen Sie sich Tabelle 2 die Anzahl der Protokolle an, die in On-Box- und Off-Box-Berichten aufgezeichnet wurden.

Tabelle 2: Anzahl der Protokolle
Berichtsmodus Session Filtern IDP Content-Sicherheit IPsec-VPN HIMMEL
Extern 1200,000 120,000 Mio. 120,000 Mio. 120,000 Mio. 40.000 120,000 Mio.
Lieferumfang 500.000 50.000 50.000 50.000 20,000 50.000
HINWEIS:

Sie müssen die Sicherheitsrichtlinie für die Sitzung konfigurieren, indem Sie den set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close Befehl verwenden, um alle Anwendungen und verschachtelten Anwendungen in der Anwendungsverfolgung in J-Web mithilfe der On-Box-Berichtsfunktion aufzulisten. Weitere Informationen finden Sie unter Protokoll (Sicherheitsrichtlinien).

Nachdem die Protokollmeldung aufgezeichnet wurde, wird das Protokoll in einer Protokolldatei gespeichert, die dann zur weiteren Analyse (auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550M-Geräten) oder zur weiteren Analyse (auf SRX1500-, SRX4100- und SRX4200-Geräten) auf der SSD-Karte gespeichert wird.

HINWEIS:

Diese Funktion unterstützt den Empfang der meisten Berichte basierend auf der Anzahl oder dem Volumen der Sitzung oder dem Typ des Protokolls, erfasst Ereignisse, die in jeder Sekunde innerhalb eines bestimmten Zeitraums auftreten, und erfasst Protokollinhalte für eine bestimmte CLI-Bedingung. Verschiedene CLI-Bedingungen wie "Zusammenfassung", "oben", "im Detail" und "im Intervall" werden verwendet, um Berichte zu generieren. Sie können jeweils nur einen Bericht über die CLI generieren. Es können nicht alle CLI-Bedingungen gleichzeitig verwendet werden. Sie können jeweils nur einen Bericht über die CLI generieren.

Die Vorteile dieser Funktion sind:

  • Berichte werden lokal auf der Firewall der SRX-Serie gespeichert, und es sind keine separaten Geräte oder Tools für die Speicherung von Protokollen und Berichten erforderlich.

  • Bei den On-Box-Berichten handelt es sich um benutzerfreundliche J-Web-Seiten verschiedener Sicherheitsereignisse in Form von Tabellen und Diagrammen.

  • Bietet eine einfache und benutzerfreundliche Oberfläche zum Anzeigen von Sicherheitsprotokollen.

  • Die generierten Berichte ermöglichen es dem IT-Sicherheitsmanagement, Sicherheitsinformationen auf einen Blick zu erkennen und schnell über die zu ergreifenden Maßnahmen zu entscheiden.

Die On-Box-Berichterstellungsfunktion unterstützt:

  • Generieren von Berichten auf der Grundlage der Anforderungen. Zum Beispiel: Anzahl oder Volumen der Sitzung, Protokolltypen für Aktivitäten wie IDP, Content Security, IPsec VPN.

  • Erfassung von Echtzeitereignissen innerhalb eines bestimmten Zeitraums.

  • Erfassung aller Netzwerkaktivitäten in einem logischen, organisierten und leicht verständlichen Format basierend auf verschiedenen CLI-spezifischen Bedingungen.

On-Box-Berichtsfunktionen

Die On-Box-Berichterstellungsfunktion unterstützt:

  • Sqlite3 support as a library– sqlite3 wurde vor Junos OS Version 15.1X49-D100 nicht unterstützt. Ab Junos OS Version 15.1X49-D100 wird eine SQL-Protokolldatenbank (SQLite Version 3) von den Daemons verwendet, die auf der RE ausgeführt werden, sowie andere potenzielle Module zum Speichern von Protokollen auf Firewalls der SRX-Serie.

    In Junos OS Version 19.4R1 haben wir die On-Box-Protokollierungsdatenbank aktualisiert, um die Abfrageleistung zu verbessern.

  • Running llmd in both Junos OS and Linux OS—Der Weiterleitungs-Daemon (flowd) dekodiert den Datenbankindex aus Binärprotokollen und sendet sowohl den Index als auch das Protokoll an den lokalen Protokollverwaltungs-Daemon (llmd).

    Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550M-Geräten kann llmd in Junos OS ausgeführt werden. Auf SRX1500-, SRX4100- und SRX4200 Geräten läuft llmd unter Linux. Damit llmd sowohl unter Junos OS als auch unter Linux OS ausgeführt werden kann, wird das llmd-Codeverzeichnis von der Linux-Seite auf die Junos OS-Seite verschoben.

  • Storing of logs into specified table of the sqlite3 database by llmd— Ein neuer Syslog-Daemon wird eingeführt, um lokale Protokolle auf Firewalls der SRX-Serie zu sammeln und in der Datenbank zu speichern.

    Ab Junos OS Version 19.3R1 speichert Junos OS Protokolle in mehreren Tabellen statt in einer einzelnen Tabelle in einer Datenbankdatei. Jede Tabelle enthält den Zeitstempel des ältesten und des neuesten Protokolls. Wenn Sie eine Abfrage basierend auf der Start- und Endzeit initiieren, findet llmd die neueste Tabelle, um Berichte zu generieren.

    Wenn z. B. eine Tabelle einer Datenbankdatei, die in den letzten 10 Stunden generiert wurde, 5 Millionen Protokolle enthält und Sie einen Bericht erstellen möchten, sollten Sie mehr als eine halbe Stunde dafür aufwenden. Ab Junos OS Version 19.3R1 wird eine Tabelle in mehrere Tabellen aufgeteilt, und jede Tabelle enthält 0,5 Millionen Protokolle. Um den gleichen Bericht zu erstellen, reicht eine Tabelleninformation aus.

    Wir empfehlen Ihnen, Abfragen mit einer kürzeren Zeit durchzuführen, um eine bessere Leistung zu erzielen.

    • Database table definition—Bei Sitzungsprotokollen sind die Datentypen Quelladresse, Zieladresse, Anwendung, Benutzer usw. Bei Protokollen, die sich auf Sicherheitsfunktionen beziehen, sind die Datentypen "Angriffsname", "URL", "Profilprotokoll" usw. Daher sind verschiedene Tabellen so konzipiert, dass sie unterschiedliche Arten von Protokollen speichern, um die Leistung zu verbessern und Speicherplatz zu sparen. Die Firewall der SRX-Serie erstellt für jeden Protokolltyp eine Datenbanktabelle, wenn Protokolldaten aufgezeichnet werden.

      Jeder Datenbanktabellentyp hat seine maximale Datensatznummer, die gerätespezifisch ist. Wenn die Nummer des Tabellendatensatzes den Grenzwert erreicht, ersetzen neue Protokolle die ältesten Protokolle. Junos OS speichert Protokolle in einer Firewall der SRX-Serie, in die aktiver Datenverkehr geleitet wird.

      Ab Junos OS Version 19.3R1 können Sie mehrere Tabellen in einer Datenbankdatei erstellen, um Protokolle zu speichern. Sie können die Kapazität zum Speichern von Protokollen in einer Tabelle definieren.

      Wenn der Grenzwert für die Protokollnummer die Tabellenkapazität überschreitet, speichert Junos OS die Protokolle in der zweiten Tabelle. Wenn beispielsweise der Grenzwert für Protokolle in Tabelle 1 die Tabellenkapazität überschreitet, speichert Junos OS die Protokolle in Tabelle 2.

      Wenn der Grenzwert für die Protokollnummer die letzte Tabelle von Datei 1 überschreitet, speichert Junos OS die Protokolle in Tabelle 1 von Datei 2. Tabelle n ist z. B. die letzte Tabelle von Datei 1. Wenn die Protokolle die Tabellenkapazität überschreiten, speichert Junos OS die Protokolle in Tabelle 1 von Datei 2.

      Um sofort wirksam zu werden, nachdem Sie die Tabellennummer geändert haben, verwenden Sie clear security log report den Betriebsbefehl.

    • Database table rotation—Jeder Datenbanktabellentyp hat seine maximale Datensatznummer, die gerätespezifisch ist. Wenn die Nummer des Tabellendatensatzes den Grenzwert erreicht, ersetzen neue Protokolle die ältesten Protokolle.

      Im Folgenden Tabelle 3 wird die Dateigrößenkapazität der Datenbank beschrieben:

      Tabelle 3: Kapazität der Datenbankdateigröße

      Geräte

      Session

      Filtern

      IDP

      Content-Sicherheit

      IPsec-VPN

      HIMMEL

      SRX300, SRX320, SRX340, SRX345 und SRX550M

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

      SRX1500

      12G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4100 und SRX4200

      15G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4600

      22,5 G

      6G

      6G

      6G

      0.75G

      2.25G

      Virtuelle Firewall vSRX

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

  • Calculating and displaying the reports that are triggered by CLI—Die Berichte aus der Datenbank werden von der CLI als Schnittstelle empfangen. Mithilfe der CLI können Sie die Berichtsdetails berechnen und anzeigen.

Tabellenauswahl

Wenn Sie einen Bericht aus mehreren Tabellen generieren möchten, sortiert llmd die Tabellen nach dem Zeitstempel und wählt die Tabellen entsprechend der angeforderten Start- und Stoppzeit aus.

Beispielsweise gibt es drei Tabellen, nämlich Tabelle 1 (1 bis 3), Tabelle 2 (3 bis 5) und Tabelle 3 (6 bis 8). 1 bis 3, 3 bis 6 und 6 bis 8 geben den Zeitstempel der neuesten und ältesten Protokolle an. Wenn Sie einen Bericht von 4 bis 6 anfordern, generiert Junos OS einen Bericht aus Tabelle 2 und Tabelle 3.

Lebensdauer der Tabelle

Sie können die Lebensdauer der Tabelle bestimmen, indem Sie den Befehl konfigurieren set security log report table-lifetime . Junos OS entfernt die Tabelle, nachdem die Tabellenidentifikationszeit die Tabellenlebensdauer überschritten hat. Wenn Sie z. B. die Tabellenlebensdauer auf 2 konfigurieren und das aktuelle Datum der 26. Juli 2019 ist, bedeutet dies, dass am 24. Juli 2019 00:00:00 die Protokolle entfernt wurden.

Wenn Sie Datum und Uhrzeit auf einem Gerät manuell ändern, ändert sich die Lebensdauer der Tabelle. Wenn eine Tabellenidentifikationszeit beispielsweise der 19. Juli 2019 ist und Sie die Tabellenlebensdauer auf 10 konfigurieren, sollte Junos OS die Tabelle am 29. Juli 2019 entfernen. Wenn Sie das Gerätedatum in 18-Juli-2019 ändern, wird die tatsächliche Lebensdauer der Tabelle zu 30-Juli-2019.

Modus "Tabellendichte"

In Junos OS Version 19.4R1 haben wir den standardmäßigen Speicher- und Suchmechanismus in der integrierten Protokollierungsdatenbank aktualisiert, um Protokolle zu verwalten. Sie können jetzt die Ergebnisse der Protokollspeicherung und des Suchmechanismus anpassen. Wenn Sie z. B. weniger Datenverkehrsprotokolle erwarten, können Sie die Standardkonfiguration mit einer Start- und einer Stoppzeit verwenden.

Wenn Sie jedoch eine große Anzahl von Datenverkehrsprotokollen und größere Zeitintervalle erwarten, für die die Protokolle generiert werden, aktivieren Sie den dichten Modus. Um den Dense-Modus zu aktivieren, verwenden Sie den set security log report table-mode dense Konfigurationsbefehl.

Chassis-Cluster-Szenario

Für die On-Box-Berichterstellung in einem Chassis-Cluster werden die Protokolle auf dem lokalen Datenträger gespeichert, auf dem das Gerät aktiven Datenverkehr verarbeitet. Diese Protokolle werden nicht mit dem Chassis-Clusterpeer synchronisiert.

Jeder Knoten ist dafür verantwortlich, Protokolle zu speichern, wenn jeder Knoten aktiven Datenverkehr verarbeitet. Im Aktiv/Passiv-Modus verarbeitet nur der aktive Knoten den Datenverkehr und Protokolle werden ebenfalls nur im aktiven Knoten gespeichert. Im Falle eines Failovers verarbeitet der neue aktive Knoten den Datenverkehr und speichert Protokolle auf seinem lokalen Datenträger. Im Aktiv/Aktiv-Modus verarbeitet jeder Knoten seinen eigenen Datenverkehr und die Protokolle werden in den jeweiligen Knoten gespeichert.

Siehe auch

Überwachen von Berichten

Die On-Box-Berichterstellung bietet eine umfassende Berichtsfunktion, mit der Ihr Sicherheitsmanagementteam ein Sicherheitsereignis erkennen kann, wenn es auftritt, sofort auf relevante Details zu dem Ereignis zugreifen und diese überprüfen und schnell geeignete Abhilfemaßnahmen ergreifen kann. Die J-Web-Berichtsfunktion bietet ein- oder zweiseitige Berichte, die einer Zusammenstellung zahlreicher Protokolleinträge entsprechen.

Dieser Abschnitt enthält die folgenden Themen:

Bericht zur Überwachung von Bedrohungen

Zweck

Verwenden Sie den Bedrohungsbericht, um allgemeine Statistiken und Aktivitätsberichte zu aktuellen Bedrohungen für das Netzwerk zu überwachen. Sie können Protokollierungsdaten auf Bedrohungstyp, Quell- und Zieldetails sowie Informationen zur Bedrohungshäufigkeit analysieren. Der Bericht berechnet, zeigt und aktualisiert die Statistiken und bietet grafische Darstellungen des aktuellen Zustands des Netzwerks.

Action!

So zeigen Sie den Bedrohungsbericht an:

  1. Klicken Sie Threats Report unten rechts im Dashboard auf oder wählen Sie in der J-Web-Benutzeroberfläche aus Monitor>Reports>Threats . Der Bedrohungsbericht wird angezeigt.

  2. Wählen Sie eine der folgenden Registerkarten aus:

    • Statistics Registerkarte. Siehe Tabelle 4 für eine Beschreibung des Seiteninhalts.

    • Activities Registerkarte. Siehe Tabelle 5 für eine Beschreibung des Seiteninhalts.

Tabelle 4: Ausgabe der Registerkarte "Statistiken" im Bedrohungsbericht

Feld

Beschreibung
Bereich "Allgemeine Statistiken"

Bedrohungskategorie

Eine der folgenden Kategorien von Bedrohungen:

  • Verkehr

  • IDP

  • Content-Sicherheit

    • Virusschutz

    • Spamschutz

    • Webfilter: Klicken Sie auf die Kategorie Webfilter, um Zähler für 39 Unterkategorien anzuzeigen.

    • Inhaltsfilter

  • Firewall-Ereignis

  • DNS

Strenge

Schweregrad der Bedrohung:

  • emerg

  • wachsam

  • Crit

  • irren

  • Warnung

  • bemerken

  • Info

  • debuggen

Treffer in den letzten 24 Stunden

Anzahl der Bedrohungen, die in den letzten 24 Stunden pro Kategorie aufgetreten sind.

Treffer in der aktuellen Stunde

Anzahl der aufgetretenen Bedrohungen pro Kategorie in der letzten Stunde.
Anzahl der Bedrohungen in den letzten 24 Stunden

Nach Schweregrad

Diagramm, das die Anzahl der in den letzten 24 Stunden pro Stunde eingegangenen Bedrohungen darstellt, sortiert nach Schweregrad.

Nach Kategorie

Diagramm, das die Anzahl der in den letzten 24 Stunden pro Stunde eingegangenen Bedrohungen darstellt, sortiert nach Kategorie.

X-Achse

Zeitspanne von vierundzwanzig Stunden, wobei die aktuelle Stunde die Spalte ganz rechts in der Anzeige einnimmt. Die Grafik verschiebt sich stündlich nach links.

Y-achse

Anzahl der aufgetretenen Bedrohungen. Die Achse skaliert automatisch basierend auf der Anzahl der aufgetretenen Bedrohungen.
Jüngste Bedrohungen

Name der Bedrohung

Namen der letzten Bedrohungen. Abhängig von der Bedrohungskategorie können Sie auf den Namen der Bedrohung klicken, um zu einer Website der Scan-Engine zu gelangen, um eine Beschreibung der Bedrohung zu erhalten.

Kategorie

Kategorie der einzelnen Bedrohungen:

  • Verkehr

  • IDP

  • Content-Sicherheit

    • Virusschutz

    • Spamschutz

    • Webfilter

    • Inhaltsfilter

  • Firewall-Ereignis

  • DNS

Quell-IP/Port

Quell-IP-Adresse (und ggf. Portnummer) der Bedrohung.

Ziel-IP/-Port

Ziel-IP-Adresse (und ggf. Portnummer) der Bedrohung.

Protokoll

Protokollname der Bedrohung.

Beschreibung

Identifizierung von Bedrohungen anhand des Kategorietyps:

  • Antivirus – URL

  • Webfilter – Kategorie

  • Inhaltsfilter – Grund

  • Antispam – Absender-E-Mail

Action!

Maßnahmen, die als Reaktion auf die Bedrohung ergriffen wurden.

Trefferzeit

Zeitpunkt, zu dem die Bedrohung aufgetreten ist.
Bedrohungstrend in den letzten 24 Stunden

Kategorie

Kreisdiagramm, das die vergleichenden Bedrohungszahlen nach Kategorie darstellt:

  • Verkehr

  • IDP

  • Content-Sicherheit

    • Virusschutz

    • Spamschutz

    • Webfilter

    • Inhaltsfilter

  • Firewall-Ereignis

  • DNS

Zusammenfassung der Webfilterzähler

Kategorie

Anzahl der Webfilter, unterteilt in bis zu 39 Unterkategorien. Wenn Sie im Bereich Allgemeine Statistiken auf die Liste Webfilter klicken, wird der Bereich Zusammenfassung der Webfilterzähler geöffnet.

Treffer in den letzten 24 Stunden

Anzahl der Bedrohungen pro Unterkategorie in den letzten 24 Stunden.

Treffer in der aktuellen Stunde

Anzahl der Bedrohungen pro Unterkategorie in der letzten Stunde.
Tabelle 5: Ausgabe der Registerkarte "Aktivitäten" im Bedrohungsbericht

Feld

Funktion
Jüngste Virenangriffe

Name der Bedrohung

Name der Virenbedrohung. Viren können auf Diensten wie Web, FTP oder E-Mail oder auf dem Schweregrad basieren.

Strenge

Schweregrad jeder Bedrohung:

  • emerg

  • wachsam

  • Crit

  • irren

  • Warnung

  • bemerken

  • Info

  • debuggen

Quell-IP/Port

IP-Adresse (und ggf. Portnummer) der Bedrohungsquelle.

Ziel-IP/-Port

IP-Adresse (und ggf. Portnummer) des Zielorts der Bedrohung.

Protokoll

Protokollname der Bedrohung.

Beschreibung

Identifizierung von Bedrohungen anhand des Kategorietyps:

  • Antivirus – URL

  • Webfilter – Kategorie

  • Inhaltsfilter – Grund

  • Antispam – Absender-E-Mail

Action!

Maßnahmen, die als Reaktion auf die Bedrohung ergriffen wurden.

Zeitpunkt des letzten Treffers

Das letzte Mal, als die Bedrohung aufgetreten ist.
Letzte Spam-E-Mail-Absender

Aus der E-Mail

E-Mail-Adresse, von der der Spam stammte.

Strenge

Schweregrad der Bedrohung:

  • emerg

  • wachsam

  • Crit

  • irren

  • Warnung

  • bemerken

  • Info

  • debuggen

Quell-IP

IP-Adresse der Bedrohungsquelle.

Action!

Maßnahmen, die als Reaktion auf die Bedrohung ergriffen wurden.

Zeitpunkt des letzten Sendens

Der Zeitpunkt, zu dem die Spam-E-Mail das letzte Mal gesendet wurde.
Kürzlich blockierte URL-Anfragen

URL

URL-Anforderung, die blockiert wurde.

Quell-IP/Port

IP-Adresse (und ggf. Portnummer) der Quelle.

Ziel-IP/-Port

IP-Adresse (und ggf. Portnummer) des Ziels.

Treffer in der aktuellen Stunde

Anzahl der in der letzten Stunde aufgetretenen Bedrohungen.
Jüngste IDP-Angriffe

Angreifen

Strenge

Schweregrad der einzelnen Bedrohungen:

  • emerg

  • wachsam

  • Crit

  • irren

  • Warnung

  • bemerken

  • Info

  • debuggen

Quell-IP/Port

IP-Adresse (und ggf. Portnummer) der Quelle.

Ziel-IP/-Port

IP-Adresse (und ggf. Portnummer) des Ziels.

Protokoll

Protokollname der Bedrohung.

Action!

Maßnahmen, die als Reaktion auf die Bedrohung ergriffen wurden.

Zeitpunkt des letzten Sendens

Das letzte Mal, dass die IDP-Drohung gesendet wurde.

Bericht zur Überwachung des Datenverkehrs

Zweck

Überwachen Sie den Netzwerkverkehr, indem Sie die Berichte der Flow-Sitzungen der letzten 24 Stunden überprüfen. Sie können Protokollierungsdaten für Verbindungsstatistiken und Sitzungsnutzung über ein Transportprotokoll analysieren.

Action!

Um den Netzwerkverkehr der letzten 24 Stunden anzuzeigen, wählen Sie in der J-Web-Benutzeroberfläche aus Monitor>Reports>Traffic . Eine Beschreibung des Berichts finden Sie hier Tabelle 6 .

Tabelle 6: Ausgabe von Verkehrsberichten

Feld

Beschreibung
Sitzungen in den letzten 24 Stunden pro Protokoll

Name des Protokolls

Name des Protokolls. Um die stündliche Aktivität nach Protokoll anzuzeigen, klicken Sie auf den Protokollnamen und sehen Sie sich das Diagramm "Protokollaktivitäten" im unteren Bereich an.

  • TCP

  • UDP

  • ICMP

Sitzung insgesamt

Gesamtzahl der Sitzungen für das Protokoll in den letzten 24 Stunden.

Bytes in (KB)

Gesamtzahl der eingehenden Bytes in KB.

Ausgehende Bytes (KB)

Gesamtzahl der ausgehenden Bytes in KB.

Eingehende Pakete

Gesamtzahl der eingehenden Pakete.

Ausgehende Pakete

Gesamtzahl der ausgehenden Pakete.
Zuletzt geschlossene Sitzungen

Quell-IP/Port

Quell-IP-Adresse (und Portnummer, falls zutreffend) der geschlossenen Sitzung.

Ziel-IP/-Port

Ziel-IP-Adresse (und ggf. Portnummer) der geschlossenen Sitzung.

Protokoll

Protokoll der geschlossenen Sitzung.

  • TCP

  • UDP

  • ICMP

Bytes in (KB)

Gesamtzahl der eingehenden Bytes in KB.

Ausgehende Bytes (KB)

Gesamtzahl der ausgehenden Bytes in KB.

Eingehende Pakete

Gesamtzahl der eingehenden Pakete.

Ausgehende Pakete

Gesamtzahl der ausgehenden Pakete.

Zeitstempel

Der Zeitpunkt, zu dem die Sitzung geschlossen wurde.
Diagramm "Protokollaktivitäten"

Bytes Ein-/Ausgang

Grafische Darstellung des Datenverkehrs als ein- und ausgehende Bytes pro Stunde. Die Byteanzahl bezieht sich auf das Protokoll, das im Bereich Sitzungen in den letzten 24 Stunden pro Protokoll ausgewählt wurde. Wenn Sie die Auswahl ändern, wird dieses Diagramm sofort aktualisiert.

Ein-/ausgehende Pakete

Grafische Darstellung des Datenverkehrs als ein- und ausgehende Pakete pro Stunde. Die Paketanzahl bezieht sich auf das Protokoll, das im Bereich Sitzungen in den letzten 24 Stunden pro Protokoll ausgewählt wurde. Wenn Sie die Auswahl ändern, wird dieses Diagramm sofort aktualisiert.

Sitzungen

Grafische Darstellung des Datenverkehrs als Anzahl der Sitzungen pro Stunde. Die Sitzungsanzahl bezieht sich auf das Protokoll, das im Bereich Sitzungen in den letzten 24 Stunden pro Protokoll ausgewählt wurde. Wenn Sie die Auswahl ändern, wird dieses Diagramm sofort aktualisiert.

X-Achse

Eine Stunde pro Spalte für 24 Stunden.

Y-achse

Byte-, Paket- oder Sitzungsanzahl.
Protokoll-Sitzungsdiagramm

Sitzungen nach Protokoll

Grafische Darstellung des Datenverkehrs als aktuelle Sitzungsanzahl pro Protokoll. Die angezeigten Protokolle sind TCP, UDP und ICMP.

Konfigurieren von On-Box-Binärsicherheitsprotokolldateien

Firewalls der SRX-Serie verwenden zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle, um Systemereignisse aufzuzeichnen. In Systemprotokollen werden Ereignisse auf der Steuerungsebene aufgezeichnet, z. B. wenn sich ein Administratorbenutzer anmeldet. Sicherheitsprotokolle, auch als Datenverkehrsprotokolle bezeichnet, zeichnen Data-Plane-Ereignisse in Bezug auf eine bestimmte Datenverkehrsverarbeitung auf. Beispielsweise generiert Junos OS ein Sicherheitsprotokoll, wenn eine Sicherheitsrichtlinie bestimmten Datenverkehr aufgrund eines Richtlinienverstoßes verweigert. Weitere Informationen zu Systemprotokollen finden Sie unter Übersicht über das Junos OS-Systemprotokoll. Weitere Informationen zu Sicherheitsprotokollen finden Sie unter Grundlegendes zur Systemprotokollierung für Sicherheitsgeräte.

Sie können sowohl System- als auch Sicherheitsprotokolle im Binärformat erfassen und speichern, entweder on-box (d. h. lokal auf der Firewall der SRX-Serie gespeichert) oder extern (an ein Remote-Gerät gestreamt). Durch die Verwendung des Binärformats wird sichergestellt, dass Protokolldateien effizient gespeichert werden, was wiederum die CPU-Auslastung verbessert.

Sie können Sicherheitsdateien im Binärformat konfigurieren, indem Sie die log Anweisung auf Hierarchieebene [security] verwenden.

Die On-Box-Protokollierung wird auch als Protokollierung im Ereignismodus bezeichnet. Informationen zur externen Sicherheitsprotokollierung im Stream-Modus finden Sie unter Konfigurieren von externen binären Sicherheitsprotokolldateien. Wenn Sie Sicherheitsprotokolle im Binärformat für die Protokollierung im Ereignismodus konfigurieren, können Sie optional den Protokolldateinamen, den Dateipfad und andere Merkmale definieren, wie im folgenden Verfahren beschrieben:

  1. Geben Sie den Protokollierungsmodus und das Format für die On-Box-Protokollierung an.
    HINWEIS:

    Wenn Sie die Systemprotokollierung so konfigurieren, dass Systemprotokolle an ein externes Ziel gesendet werden (d. h. Off-Box- oder Stream-Modus), werden Sicherheitsprotokolle auch an dieses Ziel gesendet, selbst wenn Sie die Sicherheitsprotokollierung im Ereignismodus verwenden. Weitere Informationen zum Senden von Systemprotokollen an ein externes Ziel finden Sie unter Beispiele: Konfigurieren der Systemprotokollierung.
    HINWEIS:

    Off-Box- und On-Box-Sicherheitsprotokollierungsmodi können nicht gleichzeitig aktiviert werden.
  2. (Optional) Definieren Sie einen Namen und einen Pfad für die Protokolldatei.
    HINWEIS:

    Der Dateiname des Sicherheitsprotokolls ist nicht obligatorisch. Wenn der Dateiname des Sicherheitsprotokolls nicht konfiguriert ist, wird die bin_messages Datei standardmäßig im Verzeichnis /var/log erstellt.

  3. (Optional) Ändern Sie die maximale Größe der Protokolldatei und die maximale Anzahl von Protokolldateien, die archiviert werden können.
    HINWEIS:

    Standardmäßig beträgt die maximale Größe der Protokolldatei 3 MB, und es können insgesamt drei Protokolldateien archiviert werden.

    In den folgenden Beispielbefehlen legen Sie einen Wert von 5 MB bzw. 5 archivierten Dateien fest:

  4. (Optional) Konfigurieren Sie das hpl-Flag, um Diagnoseablaufverfolgungen für die binären Sicherheitsprotokolldateien zu aktivieren. Das Präfix smf_hpl identifiziert alle binären Protokollierungsablaufverfolgungen.
  5. Für die Sicherheitsrichtlinie default-permit werden Datenverkehrsprotokolle für RT_FLOW generiert, wenn eine Sitzung beendet wird.
  6. (Optional) Datenverkehrsprotokolle werden RT_FlOW generiert, wenn eine Sitzung gestartet wird.

Zeigen Sie den Inhalt der auf dem Gerät gespeicherten Protokolldatei für den Ereignismodus mit show security log file dem Befehl an, und verwenden Sie clear security log file den Befehl, um den Inhalt der Sicherheitsprotokolldatei für den binären Ereignismodus zu löschen.

HINWEIS:

Der show security log Befehl zeigt Sicherheitsprotokollmeldungen im Ereignismodus an, wenn sie in einem textbasierten Format vorliegen, und der show security log file Befehl zeigt Sicherheitsprotokollmeldungen im Ereignismodus an, wenn sie im Binärformat vorliegen (im Lieferumfang). Die externe binäre Protokollierung wird von Juniper Secure Analytics (JSA) gelesen.

Konfigurieren von externen binären Sicherheitsprotokolldateien

Firewalls der SRX-Serie verfügen über zwei Arten von Protokollen: Systemprotokolle und Sicherheitsprotokolle. In Systemprotokollen werden Ereignisse auf der Steuerungsebene aufgezeichnet, z. B. die Administratoranmeldung beim Gerät. Weitere Informationen zu Systemprotokollen finden Sie unter Übersicht über das Junos OS-Systemprotokoll. Sicherheitsprotokolle, auch als Datenverkehrsprotokolle bezeichnet, zeichnen Data-Plane-Ereignisse in Bezug auf eine bestimmte Datenverkehrsverarbeitung auf, z. B. wenn eine Sicherheitsrichtlinie bestimmten Datenverkehr aufgrund eines Verstoßes gegen die Richtlinie verweigert. Weitere Informationen zu Sicherheitsprotokollen finden Sie unter Grundlegendes zur Systemprotokollierung für Sicherheitsgeräte.

Die beiden Arten von Protokollen können entweder on-box oder extern gesammelt und gespeichert werden. Im folgenden Verfahren wird erläutert, wie Sicherheitsprotokolle im Binärformat für die Off-Box-Protokollierung (Stream-Modus) konfiguriert werden.

Sie können Sicherheitsdateien im Binärformat konfigurieren, indem Sie die log Anweisung auf Hierarchieebene [security] verwenden.

Das folgende Verfahren gibt das Binärformat für die Sicherheitsprotokollierung im Streammodus an und definiert den Protokolldateinamen, den Pfad und die Protokolldateimerkmale. Informationen zur On-Box-Sicherheitsprotokollierung im Ereignismodus finden Sie unter Konfigurieren von On-Box-Binärsicherheitsprotokolldateien.

  1. Geben Sie den Protokollierungsmodus und das Format für die Protokolldatei an. Für die Protokollierung außerhalb des Stream-Modus:
    HINWEIS:

    Off-Box- und On-Box-Sicherheitsprotokollierungsmodi können nicht gleichzeitig aktiviert werden.

  2. Geben Sie für die externe Sicherheitsprotokollierung die Quelladresse an, die die Firewall der SRX-Serie identifiziert, die die Protokollmeldungen generiert hat. Die Quelladresse ist erforderlich.
  3. Optional können Sie einen Protokolldateinamen und einen Pfad definieren.
    HINWEIS:

    Der Dateiname des Sicherheitsprotokolls ist nicht obligatorisch. Wenn der Dateiname des Sicherheitsprotokolls nicht konfiguriert ist, wird die bin_messages Datei standardmäßig im Verzeichnis /var/log erstellt.
  4. Ändern Sie optional die maximale Größe der Protokolldatei und die maximale Anzahl von Protokolldateien, die archiviert werden können. Standardmäßig beträgt die maximale Größe der Protokolldatei 3 MB, und es können insgesamt drei Protokolldateien archiviert werden.
  5. Wählen Sie optional das hpl-Flag aus, um Diagnoseablaufverfolgungen für die binäre Protokollierung zu aktivieren. Das Präfix smf_hpl identifiziert alle binären Protokollierungsablaufverfolgungen.
  6. Zeigen Sie den Inhalt der auf dem Gerät gespeicherten Protokolldatei für den Ereignismodus entweder mit Juniper Secure Analytics (JSA) oder Security Threat Response Manager (STRM) an.

Konfigurieren von On-Box-Protobuf-Sicherheitsprotokolldateien im Ereignismodus

Protocol Buffers (Protobuf) is a data format used to serialize structured security logs. You can configure the security log using protobuf format. Data plane use the Protobuf to encode the log and send the log to rtlog process. The rtlog process saves the log file based on the device configuration. By default, the log files are stored in /var/log/filename.pb directory. You can decode the file data using rtlog process.
So konfigurieren Sie das Protobuf-Format im Ereignismodus:
  1. Geben Sie den Protokollierungsmodus und das Format für die On-Box-Protokollierung an.
  2. Definieren Sie einen Namen und einen Pfad für die Protokolldatei.
  3. Ändern Sie die maximale Größe der Protokolldatei und die maximale Anzahl von Protokolldateien, die archiviert werden können.

Zeigen Sie mit dem show security log file file1.pb Befehl den Inhalt der auf dem Gerät gespeicherten Protobuf-Protokolldatei an.

user@host> show security log file file1.pb

Konfigurieren von On-Box-Protobuf-Sicherheitsprotokolldateien im Stream-Modus

Data plane use the Protobuf to encode the log and send the log to llmd process. The llmd process saves the log file based on the device configuration. By default, the log files are stored in /var/traffic-log/filename.pb directory. You can decode the log file data using uspinfo process.
So konfigurieren Sie das Protobuf-Format im Stream-Modus in eine Datei:
  1. Geben Sie den Protokollierungsmodus und das Format für die On-Box-Protokollierung an.
  2. Definieren Sie einen Namen für die Protokolldatei.
  3. Ändern Sie die maximale Größe der Protokolldatei, die archiviert werden kann.

Zeigen Sie mit dem show security log stream file file2.pb Befehl den Inhalt der auf dem Gerät gespeicherten Protobuf-Protokolldatei an.

user@host> show security log file file2.pb

Konfigurieren von Off-Box-Protobuf-Sicherheitsprotokolldateien

Verwenden Sie auf der Datenebene das Protobuf-Format in stream und stream-event -Modus, um das Protokoll zu codieren und an den Host zu senden. Die Sicherheitsprotokolldaten werden über ein anderes Transportprotokoll und eine andere Portnummer an den Host gesendet. Der Host empfängt das protobuf-Protokoll und speichert es in einer Datei. Kopieren Sie hplc_collect.py, hplc_view.pyund security_log.xmlprotobuflog.proto Dateien auf den Host. Das hplc_collect.py wird verwendet, um die Protokolldateien auf dem Host zu sammeln und zu speichern. Das protobuflog.proto wird verwendet, um die Dateidaten auf dem Host zu dekodieren, und Sie können die Daten mit anzeigen hplc_view.py. Die Dateien werden auf /share/juniper dem Host veröffentlicht und in den Host kopiert. Die hplc_collect.py und-Dateien hplc_view.py unterstützen die neueste Python-Version 3.

So konfigurieren Sie das Protobuf-Format im Stream-Event-Modus für Host:
  1. Geben Sie den Protokollierungsmodus und das Protokolldatenstromformat für die Off-Box-Protokollierung an. Das Stream-event ist eine Kombination aus Stream- und Event-Modus.
  2. Geben Sie für die externe Sicherheitsprotokollierung die Quelladresse an, die die Firewall der SRX-Serie identifiziert, die die Protokollmeldungen generiert hat.
  3. Definieren Sie einen Namen und einen Pfad für die Protokolldatei.
  4. Konfigurieren Sie den Protokolldatenstrom s1 mit Host- und Porteinstellungen.
  5. Ändern Sie die maximale Größe der Protokolldatei und die maximale Anzahl von Protokolldateien, die archiviert werden können.
  6. Konfigurieren Sie die Datei log.trace, um den Inhalt des Protokolls zu decodieren und anzuzeigen.

Senden von Systemprotokollmeldungen an eine Datei

Sie können Systemprotokollmeldungen an eine Datei auf der CompactFlash-Karte (CF) weiterleiten. Das Standardverzeichnis für Protokolldateien ist /var/log. Um ein anderes Verzeichnis auf der CF-Karte anzugeben, geben Sie den vollständigen Pfadnamen an.

Erstellen Sie eine Datei mit dem Namen security, und senden Sie Protokollmeldungen der authorization Klasse mit dem Schweregrad info an die Datei.

So legen Sie den Dateinamen, die Einrichtung und den Schweregrad fest:

Konfigurieren Sie das System so, dass alle Protokollmeldungen über eventd gesendet werden.

Der eventd Prozess der Protokollierungskonfiguration wird am häufigsten für Junos OS verwendet. In dieser Konfiguration werden Protokolle der Steuerungsebene und Datenebenen- oder Sicherheitsprotokolle von der Datenebene an den Prozess der Routing-Engine-Steuerungsebene rtlogd weitergeleitet. Der rtlogd Prozess leitet dann entweder Syslog- oder sd-syslog-formatierte Protokolle an den eventd Prozess oder die WELF-formatierten Protokolle an den externen oder Remote-WELF-Protokollsammler weiter.

So senden Sie alle Protokollmeldungen durch eventd:

  1. Legen Sie den Prozess so fest, dass Sicherheitsprotokolle eventd verarbeitet werden, und senden Sie sie an einen Remoteserver.
  2. Konfigurieren Sie den Server, der die Systemprotokollmeldungen empfängt.

    wobei hostname der vollqualifizierte Hostname oder die IP-Adresse des Servers ist, der die Protokolle empfängt.

HINWEIS:

Um doppelte Protokolle an einen zweiten Remote-Server zu senden, wiederholen Sie den Befehl mit einem neuen vollqualifizierten Hostnamen oder einer neuen IP-Adresse eines zweiten Servers.

Wenn es sich bei Ihrer Bereitstellung um einen Aktiv/Aktiv-Chassis-Cluster handelt, können Sie auch die Sicherheitsprotokollierung auf dem aktiven Knoten so konfigurieren, dass sie an separate Remoteserver gesendet wird, um Protokollierungsredundanz zu erreichen.

Um eine der Protokollierungskonfigurationen umzubenennen oder umzuleiten, müssen Sie sie löschen und neu erstellen. So löschen Sie eine Konfiguration:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
15.1X49-D100
Ab Junos OS Version 15.1X49-D100 ist der Standardmodus für SRX1500 Gerät der Stream-Modus. Vor Junos OS Version 15.1X49-D100 war der Standardmodus für SRX1500 Gerät der Ereignismodus.
17.4R2
Ab Junos OS Version 17.4R2 und höher können Sie auf Geräten der Serien SRX300, SRX320, SRX340, SRX345 und virtuellen vSRX-Firewall-Instanzen maximal acht Systemprotokollhosts konfigurieren, wenn das Gerät im Stream-Modus konfiguriert ist. In Junos OS Version 17.4R2 und früheren Versionen können Sie nur drei Systemprotokollhosts im Stream-Modus konfigurieren. Wenn Sie mehr als drei Systemprotokollhosts konfigurieren, wird die folgende Fehlermeldung angezeigt error: configuration check-out failed.
Junos OS Release 15.1X49-D100
Die On-Box-Berichterstellungsfunktion ist standardmäßig aktiviert, wenn Sie die werkseitig voreingestellten Konfigurationen auf die Firewall der SRX-Serie mit Junos OS Version 15.1X49-D100 oder höher laden.
Junos OS Release 19.3R1
Ab Junos OS Version 19.3R1 verwenden SRX300, SRX320, SRX340, SRX345, SRX550 und SRX550M Geräte standardmäßig den Stream-Modus.
Junos OS Release 19.3R1
Ab Junos OS Version 19.3R1 enthält die werkseitige Standardkonfiguration keine On-Box-Berichtskonfiguration zur Verlängerung der Lebensdauer des Solid-State-Laufwerks (SSD).