Systemprotokollierung von Ereignissen, die für die Firewall-Einrichtung generiert wurden
Systemprotokollmeldungen, die für Firewall-Filteraktionen generiert werden, gehören zur Einrichtung.firewall
Wie bei jeder anderen Junos OS-Systemprotokollierungsfunktion können Sie Syslog-Meldungen der Einrichtung an ein oder mehrere bestimmte Ziele weiterleiten :firewall
zu einer bestimmten Datei, zur Terminalsitzung eines oder mehrerer angemeldeter Benutzer (oder zu allen Benutzern), zur Router- (oder Switch-) Konsole oder zu einem Remote-Host oder der anderen Routing-Engine auf dem Router (oder Switch).
Wenn Sie ein Syslog-Meldungsziel für Syslog-Meldungen der Einrichtung konfigurieren, fügen Sie eine Anweisung auf Hierarchieebene ein und geben den Namen der Einrichtung zusammen mit einem Schweregrad an.firewall
[edit system syslog]
firewall
Nachrichten von der, die auf der angegebenen Stufe oder schwerer eingestuft werden, werden am Ziel protokolliert.firewall
Systemprotokollmeldungen mit dem Präfix werden vom Firewall-Prozess () generiert, der die Kompilierung und das Herunterladen von Junos OS-Firewall-Filtern verwaltet.DFWD_
dfwd
Systemprotokollmeldungen mit dem Präfix sind Meldungen über Firewallfilter, die vom Packet Forwarding Engine-Controller generiert werden, der die Paketweiterleitungsfunktionen verwaltet.PFE_FW_
Weitere Informationen finden Sie im Systemprotokoll-Explorer.http://contentapps.juniper.net/syslog-explorer/
Listet die Systemprotokollziele auf, die Sie für die Einrichtung konfigurieren können.Tabelle 1firewall
Ziel |
Beschreibung |
Konfigurationsanweisungen unter [System-Syslog bearbeiten] |
---|---|---|
Datei | Wenn Sie diese Option konfigurieren, werden die Syslog-Meldungen nicht in die Hauptprotokolldatei des Systems aufgenommen. Um die Priorität und die Möglichkeit für Nachrichten einzuschließen, die in die Datei geschrieben werden, fügen Sie die Anweisung ein. Um das standardmäßige Standardnachrichtenformat zu überschreiben, das auf einem UNIX-Systemprotokollformat basiert, fügen Sie die Anweisung ein. |
file filename { firewall severity; allow-duplicates; archive archive-options; explicit-priority; structured-data; } allow-duplicates; archive archive-options; time-format (option); |
Terminalsitzung | Wenn Sie diese Option konfigurieren, wird eine Kopie der Syslog-Meldungen in die angegebenen Terminalsitzungen geschrieben. |
user (username | *) { firewall severity; } time-format (option); |
Router- (oder Switch-)Konsole | Wenn Sie diese Option konfigurieren, wird eine Kopie der Syslog-Meldungen in die Router- (oder Switch-)Konsole geschrieben.firewall |
console { firewall severity; } time-format (option); |
Remote-Host oder die andere Routing-Engine | Wenn Sie diese Option konfigurieren, wird eine Kopie der Syslog-Meldungen auf den angegebenen Remote-Host oder auf die andere Routing-Engine geschrieben. Um die standardmäßige alternative Funktion zum Weiterleiten von Syslog-Meldungen an einen Remote-Computer () außer Kraft zu setzen, fügen Sie die Anweisung ein. Um die Priorität und die Möglichkeit für Nachrichten einzuschließen, die in die Datei geschrieben werden, fügen Sie die Anweisung ein. |
host (hostname | other-routing-engine) { firewall severity; allow-duplicates; archive archive-options; facility-override firewall; explicit-priority; } allow-duplicates; # All destinations archive archive-options; time-format (option); |
Standardmäßig gibt der Zeitstempel, der in einer Systemprotokollnachricht im Standardformat aufgezeichnet wird, den Monat, das Datum, die Stunde, die Minute und die Sekunde an, in der die Nachricht protokolliert wurde, wie im Beispiel gezeigt:
Sep 07 08:00:10
Um das Jahr, die Millisekunde oder beides in den Zeitstempel für alle Systemprotokollierungsmeldungen aufzunehmen, fügen Sie unabhängig von der Einrichtung eine der folgenden Anweisungen auf Hierarchieebene ein:[edit system syslog]
time-format year
;time-format millisecond
;time-format year millisecond
;
Das folgende Beispiel veranschaulicht das Format für einen Zeitstempel, der sowohl die Millisekunde () als auch das Jahr () enthält:401
2010
Sep 07 08:00:10.401.2010