Protokollierungsaktionen für Firewall-Filter
Bei IPv4- und IPv6-Firewallfiltern können Sie den Filter so konfigurieren, dass er eine Zusammenfassung der übereinstimmenden Paketheader in das Protokoll oder Syslog schreibt, indem Sie entweder die Aktion "Oder" angeben.sysloglog Der Hauptunterschied zwischen den beiden ist die Dauerhaftigkeit des Datensatzes. Protokolle werden nur im Arbeitsspeicher gepuffert, und wenn dieser Puffer voll ist, werden die ältesten Datensätze durch neue ersetzt, sobald sie eingehen. Syslogs hingegen können auf der Festplatte gespeichert oder an einen Remote-Syslog-Server weitergeleitet werden. In beiden Fällen wird eine Zusammenfassung des Paket-Headers protokolliert (keine Kopie des Pakets selbst). Dienstfilter und einfache Filter unterstützen weder die Aktion "Oder ".logsyslog
Sowohl die Aktionen als auch können erheblichen CPU- und/oder Festplattenspeicher auf dem Gerät beanspruchen.sysloglog Juniper empfiehlt, Protokolle auszulagern, indem Sie sie auf einen Remote-Syslog-Server schreiben, und die Protokollierung einzuschränken, indem Sie sie nur für Diagnosezwecke verwenden.
Syslog
Wie bereits erwähnt, können Systemprotokolle auf die Festplatte geschrieben und/oder an einen Remote-Server gesendet werden. Gespeicherte Protokolle werden in das Verzeichnis geschrieben./var/log
Sie können eine Liste aller verfügbaren Protokolldateien auf dem Gerät anzeigen, indem Sie den Befehl ohne Optionen ausführen.show log
Beachten Sie, dass in einer bestimmten Protokolldatei die Firewall-Aktionsprotokolle mit Ereignismeldungen durchsetzt sein können.
Die folgende Konfiguration zeigt, dass Systemprotokolle an einen Remote-Server unter 172.27.1.1 gesendet und auch in einer Datei mit dem Namen "firewall" auf dem lokalen Gerät gespeichert werden.syslog
host@device-RE0# show system syslog host 172.27.1.1 { firewall any; } <...> file firewall { firewall any; }
Um Systemprotokolle anzuzeigen, führen Sie den Befehl aus.show syslog message
Um den Inhalt einer bestimmten Systemprotokolldatei anzuzeigen, führen Sie entweder den Befehl oder den Befehl aus.show log filename
file show /var/log/filename
Führen Sie den Befehl aus, um den Inhalt der Systemprotokolldatei zu löschen.clear log filename
Sie können die Option zum Löschen aller gespeicherten Protokolle hinzufügen, einschließlich der Datensätze, die in die aktuelle Protokolldatei geschrieben werden.all
Die Konfigurationsdetails werden hier angezeigt:
firewall { family { filter filter-name { from { match-conditions; } then { ... syslog; terminating-action; } } } }
Protokollieren
Die Aktion schreibt Protokollinformationen in einen Puffer.log Es gibt keine Option zum Schreiben von Protokollen auf einen Remoteserver oder zum Schreiben auf den Datenträger. Sobald der verfügbare Puffer voll ist, ersetzen neue Protokolle die ältesten, sodass kein Verlaufsdatensatz geführt wird. Protokolle werden gelöscht, wenn das Gerät oder die PFE neu gestartet wird.
Die Konfigurationsdetails werden hier angezeigt:
firewall { family { filter filter-name { from { match-conditions; } then { ... log; terminating-action; } } } }
Um die Protokolle anzuzeigen, führen Sie den Befehl aus.show firewall log
Log-Details
Im Folgenden wird gezeigt, welche Art von Informationen typischerweise in Syslog und Protokolleinträgen enthalten sind:
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Die Felder werden hier erklärt:
Date and Time
– Datum und Uhrzeit, zu der das Paket empfangen wurde (wird in der Standardeinstellung nicht angezeigt).Hostname
– Name des Geräts, auf dem die Übereinstimmung stattgefunden hat.Interface
– Physische Schnittstelle, die das Paket durchlaufen hat.Filter-Aktion. Im obigen Beispiel ist es A.
A
—Annehmen (oder nächster Termin)D
—VerwerfenR
—Ablehnen
Protocol
—Paketprotokoll. Dabei kann es sich um einen Namen oder eine Nummer handeln und auch die Quell- und Zielports enthalten. Im obigen Beispiel ist das Protokoll ICMP, das dann den ICMP-Typ und -Code enthalten kann.Source address
- Quell-IP-Adresse des Pakets.Destination address
- Ziel-IP-Adresse des Pakets.Source port
- Quellport des Pakets (nur TCP- und UDP-Pakete). Im obigen Beispiel ist der Port 0.Destination port
- Zielport des Pakets (nur TCP- und UDP-Pakete). Im obigen Beispiel ist der Port 0.Packets in sample interval
– Dieses Beispiel zeigt, dass im Abtastintervall (ca. eine Sekunde) nur ein übereinstimmendes Paket erkannt wurde. Wenn Pakete schneller eintreffen, komprimiert das Systemprotokoll die Informationen automatisch, sodass weniger Ausgabe generiert wird.