Protokollierungsaktionen für Firewall-Filter
Bei IPv4- und IPv6-Firewallfiltern können Sie den Filter so konfigurieren, dass er eine Zusammenfassung der übereinstimmenden Paketheader in das Protokoll oder Syslog schreibt, indem Sie entweder die syslog Aktion "Oder log " angeben. Der Hauptunterschied zwischen den beiden ist die Dauerhaftigkeit des Datensatzes. Protokolle werden nur im Arbeitsspeicher gepuffert, und wenn dieser Puffer voll ist, werden die ältesten Datensätze durch neue ersetzt, sobald sie eingehen. Syslogs hingegen können auf der Festplatte gespeichert oder an einen Remote-Syslog-Server weitergeleitet werden. In beiden Fällen wird eine Zusammenfassung des Paket-Headers protokolliert (keine Kopie des Pakets selbst). Dienstfilter und einfache Filter unterstützen weder die log Aktion "Oder syslog ".
Sowohl die syslog Aktionen als log auch können erheblichen CPU- und/oder Festplattenspeicher auf dem Gerät beanspruchen. Juniper empfiehlt, Protokolle auszulagern, indem Sie sie auf einen Remote-Syslog-Server schreiben, und die Protokollierung einzuschränken, indem Sie sie nur für Diagnosezwecke verwenden.
Syslog
Wie bereits erwähnt, können Systemprotokolle auf die Festplatte geschrieben und/oder an einen Remote-Server gesendet werden. Gespeicherte Protokolle werden in das /var/log Verzeichnis geschrieben. Sie können eine Liste aller verfügbaren Protokolldateien auf dem Gerät anzeigen, indem Sie den show log Befehl ohne Optionen ausführen. Beachten Sie, dass in einer bestimmten Protokolldatei die Firewall-Aktionsprotokolle mit Ereignismeldungen durchsetzt sein können.
Die folgende syslog Konfiguration zeigt, dass Systemprotokolle an einen Remote-Server unter 172.27.1.1 gesendet und auch in einer Datei mit dem Namen "firewall" auf dem lokalen Gerät gespeichert werden.
host@device-RE0# show system syslog
host 172.27.1.1 {
firewall any;
}
<...>
file firewall {
firewall any;
}Um Systemprotokolle anzuzeigen, führen Sie den show syslog message Befehl aus.
Um den Inhalt einer bestimmten Systemprotokolldatei anzuzeigen, führen Sie entweder den show log filename Befehl oder den file show /var/log/filename Befehl aus.
Führen Sie den clear log filename Befehl aus, um den Inhalt der Systemprotokolldatei zu löschen. Sie können die all Option zum Löschen aller gespeicherten Protokolle hinzufügen, einschließlich der Datensätze, die in die aktuelle Protokolldatei geschrieben werden.
Die Konfigurationsdetails werden hier angezeigt:
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
syslog;
terminating-action;
}
}
}
}
Protokollieren
Die log Aktion schreibt Protokollinformationen in einen Puffer. Es gibt keine Option zum Schreiben von Protokollen auf einen Remoteserver oder zum Schreiben auf den Datenträger. Sobald der verfügbare Puffer voll ist, ersetzen neue Protokolle die ältesten, sodass kein Verlaufsdatensatz geführt wird. Protokolle werden gelöscht, wenn das Gerät oder die PFE neu gestartet wird.
Die Konfigurationsdetails werden hier angezeigt:
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
log;
terminating-action;
}
}
}
}
Um die Protokolle anzuzeigen, führen Sie den show firewall log Befehl aus.
Log-Details
Im Folgenden wird gezeigt, welche Art von Informationen typischerweise in Syslog und Protokolleinträgen enthalten sind:
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Die Felder werden hier erklärt:
Date and Time– Datum und Uhrzeit, zu der das Paket empfangen wurde (wird in der Standardeinstellung nicht angezeigt).Hostname– Name des Geräts, auf dem die Übereinstimmung stattgefunden hat.Interface– Physische Schnittstelle, die das Paket durchlaufen hat.Filter-Aktion. Im obigen Beispiel ist es A.
A—Annehmen (oder nächster Termin)D—VerwerfenR—Ablehnen
Protocol—Paketprotokoll. Dabei kann es sich um einen Namen oder eine Nummer handeln und auch die Quell- und Zielports enthalten. Im obigen Beispiel ist das Protokoll ICMP, das dann den ICMP-Typ und -Code enthalten kann.Source address- Quell-IP-Adresse des Pakets.Destination address- Ziel-IP-Adresse des Pakets.Source port- Quellport des Pakets (nur TCP- und UDP-Pakete). Im obigen Beispiel ist der Port 0.Destination port- Zielport des Pakets (nur TCP- und UDP-Pakete). Im obigen Beispiel ist der Port 0.Packets in sample interval– Dieses Beispiel zeigt, dass im Abtastintervall (ca. eine Sekunde) nur ein übereinstimmendes Paket erkannt wurde. Wenn Pakete schneller eintreffen, komprimiert das Systemprotokoll die Informationen automatisch, sodass weniger Ausgabe generiert wird.