Protokollmeldungen für Chassis-Cluster der SRX-Serie
Sitzungen und Paketflüsse im Überblick
Sie können Informationen zu den auf Ihrem Gerät aktiven Sitzungen und Paketflüssen abrufen, einschließlich detaillierter Informationen zu bestimmten Sitzungen. (Das Gerät der SRX-Serie zeigt auch Informationen über fehlgeschlagene Sitzungen an.) Sie können diese Informationen anzeigen, um Aktivitäten zu beobachten und zu Debugging-Zwecken.
Verwenden Sie den show security flow session Befehl beispielsweise, um:
Zeigen Sie eine Liste der eingehenden und ausgehenden IP-Datenströme, einschließlich der Dienste, an.
Zeigen Sie die Sicherheitsattribute an, die einem Flow zugeordnet sind, z. B. die Richtlinien, die für den Datenverkehr gelten, der zu diesem Flow gehört.
Zeigen Sie den Sitzungstimeoutwert an, wann die Sitzung aktiv wurde, wie lange sie aktiv war und ob in der Sitzung aktiver Datenverkehr vorhanden ist.
Ausführliche Informationen zu diesem Befehl finden Sie in der Junos OS CLI-Referenz.
Sitzungsinformationen können auch protokolliert werden, wenn eine entsprechende Richtlinienkonfiguration die Protokollierungsoption enthält. Die Sitzungsprotokollierungsinfrastruktur protokolliert die Sitzungsprotokollmeldungen, wenn eine Sitzung erstellt, geschlossen, abgelehnt oder abgelehnt wird. In den SRX3000- und SRX5000-Zeilen werden die Protokollmeldungen unter Umgehung der Routing-Engine direkt an einen externen Syslog-Server/ein externes Repository gestreamt. Die Geräte der SRX-Serie unterstützen sowohl herkömmliches als auch strukturiertes Syslog. Die SRX3000- und SRX5000-Leitungen unterstützen 1000 Protokollmeldungen pro Sekunde, und die Management-Station muss für diese Menge ausgerüstet sein. Konfigurationsbeispiele und Details zu diesen Protokollen finden Sie im Konfigurationshandbuch für die Sicherheit von Junos OS . Die Protokolle sind über die Verwaltungsschnittstelle des primären und sekundären Knotens verfügbar. Stellen Sie sicher, dass der externe Server, der diese Protokollmeldungen empfängt, für beide Knoten erreichbar ist.
Die High-End-Geräte der SRX-Serie verfügen über eine verteilte Verarbeitungsarchitektur, die sowohl Datenverkehr verarbeitet als auch Protokollmeldungen generiert. Bei den Geräten der SRX-Serie verarbeitet die Firewall die Datenverkehrssitzungen auf jeder der SPUs im Gehäuse. Nachdem jede Sitzung erstellt wurde, wird sie von derselben SPU im Chassis verarbeitet, die auch die SPU ist, die die Protokollmeldung generiert.
Die Standardmethode zum Generieren von Protokollmeldungen besteht darin, dass jede SPU die Nachricht als UDP-Syslog-Nachricht generiert und direkt über die Datenebene an den Syslog-Server sendet. Die Geräte der SRX-Serie können extrem hohe Datenverkehrsraten protokollieren. Sie können bis zu 750 MB pro Sekunde an Protokollnachrichten protokollieren, was die Grenzen der Steuerungsebene überschreitet. Daher wird davon abgeraten, Nachrichten auf der Steuerungsebene zu protokollieren, außer unter bestimmten Umständen.
Bei Zweigstellengeräten der SRX-Serie, auf denen Junos OS Version 9.6 und höher ausgeführt wird, und High-End-Geräten der SRX-Serie, auf denen Junos OS Version 10.0 und höher ausgeführt wird, können die Geräte Nachrichten mit einer begrenzten maximalen Rate (1000 Protokollmeldungen pro Sekunde) auf der Steuerungsebene protokollieren, anstatt sie auf der Datenebene zu protokollieren. Wenn die Protokollmeldungen mithilfe von syslog über die Data Plane gesendet werden, muss ein Syslog-Collector (z. B. der Juniper Security Threat Response Manager, STRM) verwendet werden, um die Protokolle für die Anzeige, Berichterstellung und Warnung zu erfassen. In Zweigstellengeräten der SRX-Serie, auf denen Junos OS Version 9.6 und höher ausgeführt wird, und High-End-Geräten der SRX-Serie, auf denen Junos OS Version 10.0 und höher ausgeführt wird, können die Geräte Protokollmeldungen nur an die Datenebene oder die Steuerungsebene senden, nicht jedoch an beide gleichzeitig.
Konfigurieren der High-End-Geräteprotokollierung der SRX-Serie
Konfiguration der High-End-Datenebenenprotokollierung der SRX-Serie auf der Steuerungsebene
Wenn die Verwaltungsstation keine Protokollmeldungen von der Datenebene empfangen kann, konfigurieren Sie sie so, dass Nachrichten über die Verwaltungsverbindung gesendet werden. Wenn Sie sich bei der Steuerungsebene anmelden, können die Geräte der SRX-Serie diese Syslog-Meldungen auch über die fxp0-Schnittstelle senden. Wenn die Ereignisprotokollierung konfiguriert ist, werden alle Protokollmeldungen von der Datenebene an die Steuerungsebene gesendet.
Konfigurieren Sie die Ereignisprotokollierung.
user@host#
set security log mode eventBegrenzen Sie die Ratenbegrenzung der Ereignisprotokollmeldungen.
Es kann erforderlich sein, die Ratenbegrenzung der Ereignisprotokollmeldungen von der Datenebene zur Steuerungsebene zu begrenzen, da die Ressourcen auf der Steuerungsebene begrenzt sind, um große Mengen an Protokollmeldungen zu verarbeiten. Dies gilt insbesondere, wenn die Steuerungsebene mit der Verarbeitung dynamischer Routing-Protokolle wie BGP oder umfangreicher Routing-Implementierungen beschäftigt ist. Mit dem folgenden Befehl werden die Protokollmeldungen so begrenzt, dass sie die Steuerungsebene nicht überlasten. Protokollmeldungen, die ratenbegrenzt sind, werden verworfen. Eine bewährte Methode für High-End-Geräte der SRX-Serie besteht darin, nicht mehr als 1000 Protokollmeldungen pro Sekunde auf der Steuerungsebene zu protokollieren.
user@host#
set security log mode event event-rate logs per second
Konfigurieren von Zweigstellengeräten der SRX-Serie zum Senden von Datenprotokollmeldungen über die Datenebene
Die Datenverkehrsprotokollmeldungen der SRX-Serie für Zweigstellengeräte können im Stream-Modus über die Sicherheitsprotokolle der Datenebene gesendet werden. Beachten Sie, dass dies nur im Stream-Modus möglich ist. Im Folgenden finden Sie eine Beispielkonfiguration und Protokollausgabe.
Konfiguration
set security log mode streamset security log format sd-syslogset security log source-address 10.204.225.164set security log stream vmware-server severity debugset security log stream vmware-server host 10.204.225.218
Beispiel für die Ausgabe von Protokollmeldungen
Sep 06 16:54:22 10.204.225.164 1 2010-09-06T04:24:22.094 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="62736" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="62736" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="206" packets-from-client="64" bytes-from-client="3525" packets-from-server="55" bytes-from-server="3146" elapsed-time="21"]
Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]
Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]
In diesem Fall werden die Datenverkehrsprotokollmeldungen der SRX-Serie über die Datenebene an einen externen Syslog-Server gesendet. Dadurch wird sichergestellt, dass die Routing-Engine kein Engpass für die Protokollierung ist. Außerdem wird sichergestellt, dass die Routing-Engine bei übermäßiger Protokollierung nicht beeinträchtigt wird. Zusätzlich zu den Datenverkehrsprotokollnachrichten werden die Steuerungsebene und die an die Routing-Engine gesendeten Protokollnachrichten in eine Datei im Flash-Speicher geschrieben. Im Folgenden finden Sie eine Beispielkonfiguration zum Aktivieren dieser Art der Protokollierung.
Konfiguration
Syslog (Selbstprotokolle): Diese Konfiguration kann entsprechend der erforderlichen self Protokollierung angepasst werden.
set system syslog file messages any noticeset system syslog file messages authorization infoset system syslog file messages kernel info
Verkehrsprotokolle (mit Dataplane)
set security log mode streamset security log format sd-syslogset security log source-address 10.204.225.164set security log stream vmware-server severity debugset security log stream vmware-server host 10.204.225.218
In diesem Fall werden sowohl die an die Routing-Engine gesendeten Datenverkehrsprotokollmeldungen als auch die Protokollmeldungen an einen Syslog-Server gesendet. Im Folgenden finden Sie eine Beispielkonfiguration zum Aktivieren dieser Art der Protokollierung.
Konfiguration
Syslog (Syslog-Server)
set system syslog host 10.204.225.218 any noticeset system syslog host 10.204.225.218 authorization infoset system syslog host 10.204.225.218 kernel info
Verkehrsprotokolle
set security log mode streamset security log format sd-syslogset security log source-address 10.204.225.164set security log stream vmware-server severity debugset security log stream vmware-server host 10.204.225.218
Konfigurieren von Protokollen der Steuerungsebene
Die Gerätesteuerungsebene der SRX-Serie ist für die Gesamtsteuerung der Plattform der SRX-Serie verantwortlich und führt eine Reihe von Softwareprozessen aus, um Aufgaben wie Routing-Protokollvorgänge, Routing-Tabellenberechnungen, Administratoren, SNMP-Authentifizierung, Authentifizierung und viele andere geschäftskritische Funktionen auszuführen. Es gibt eine Vielzahl von Protokollmeldungen, die auf der Steuerungsebene generiert werden, und die Steuerungsebene bietet granulare Unterstützung für die Definition, welche Protokollmeldungen in beide Dateien geschrieben und an Syslog-Server gesendet werden sollen. Dieses Thema bietet eine Übersicht über die Konfiguration verschiedener Syslog-Optionen auf der Steuerungsebene. In diesem Abschnitt wird nur das Senden von Protokollmeldungen über Syslog-Dienste behandelt.
Konfigurieren von Zweigstellengeräten der SRX-Serie für die Protokollierung
Sie können das Gerät der SRX-Serie so konfigurieren, dass nur Datenverkehrsprotokolle über die Steuerungsebene an den Syslog-Server gesendet werden.
In dieser Konfiguration:
Es sind keine Sicherheitsprotokolle konfiguriert.
Es werden keine Protokolle der Steuerungsebene empfangen.
Verwenden Sie den regulären Ausdruck der match Anweisung, um nur Datenverkehrsprotokollnachrichten zu senden. Diese Protokollmeldungen werden direkt an den Syslog-Server gesendet, ohne sie in den Flash-Speicher zu schreiben. Bei dieser Konfiguration werden keine Protokollmeldungen, die normalerweise an die Routing-Engine gesendet werden, an den Syslog-Server gesendet. Es ist jedoch möglich, eine separate Datei zu erstellen und Protokollmeldungen der Steuerungsebene wie gezeigt in eine Datei auf der Routing-Engine zu schreiben.
Konfiguration
set system syslog host 10.204.225.218 any anyset system syslog host 10.204.225.218 match RT_FLOW_SESSIONset system syslog file messages any any
Beispiele für Protokollmeldungen:
Sep 06 15:22:29 10.204.225.164 Sep 6 02:52:30 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 Sep 06 15:22:43 10.204.225.220 Sep 6 02:52:30 last message repeated 10 times Sep 06 15:23:49 10.204.225.164 Sep 6 02:53:49 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 60(3307) 46(2784) 79
Die folgende Konfiguration sendet sowohl Datenverkehrs- als auch Steuerungsprotokollmeldungen an den Syslog-Server, kann jedoch den Syslog-Server überlasten und zu Clusterinstabilität führen. Es wird nicht empfohlen, diese Konfiguration zu verwenden.
Konfiguration
set system syslog host 10.204.225.218 any anyset system syslog file messages any any
Der Sicherheitsprotokoll-Ereignismodus ist der Standardmodus auf Zweigstellengeräten der SRX-Serie und wird für diese Geräte nicht empfohlen. Es wird empfohlen, das Standardverhalten zu ändern.
Eine umfangreiche Protokollierung des lokalen Flash-Speichers kann unerwünschte Auswirkungen auf das Gerät haben, z. B. Instabilität auf der Steuerungsebene.
Senden von Data Plane-Protokollnachrichten mit einer IP-Adresse im selben Subnetz wie die fxp0-Schnittstelle
Möglicherweise möchten Sie Anwendungen und Systeme für das Fehler- und Leistungsmanagement bereitstellen, z. B. den Security Threat Response Manager (STRM) von Juniper Networks. STRM sammelt Protokollmeldungen über das Verwaltungsnetzwerk und ist über die fxp0-Schnittstelle verbunden. Die Anwendungen für das Fehlermanagement und das Leistungsmanagement verwalten das Gerät der SRX-Serie über die fxp0-Schnittstelle, aber das Gerät der SRX-Serie muss auch die Protokollnachrichten der Datenebene an STRM im selben Netzwerk senden. Wenn z. B. die Rate der Protokollmeldungen größer als 1000 Protokollmeldungen pro Sekunde ist, wird die Protokollierung auf der Steuerungsebene nicht unterstützt. Das Problem besteht darin, dass sich zwei Schnittstellen im selben virtuellen Router nicht im selben Subnetz befinden können und die fxp0-Schnittstelle nicht auf einen anderen virtuellen Router als inet.0 verschoben werden kann.
Um diese Probleme zu umgehen, platzieren Sie eine Data Plane-Schnittstelle in einem anderen virtuellen Router als dem virtuellen Standardrouter inet.0, und platzieren Sie eine Route in der Routing-Tabelle inet.0, um Datenverkehr über diesen virtuellen Router an STRM weiterzuleiten. Das folgende Konfigurationsbeispiel zeigt, wie Sie dies tun.
In diesem Beispiel:
fxp0 hat die IP-Adresse 172.19.200.164/24.
Anwendung A (AppA) hat die IP-Adresse 172.19.200.175.
STRM hat die IP-Adresse 172.19.200.176.
Die ge-0/0/7-Schnittstelle ist eine Data-Plane-Schnittstelle mit der IP-Adresse 172.19.200.177/24 (die sich im selben Subnetz wie die fxp0-Schnittstelle befindet).
Fügen Sie zum Konfigurieren dieses Beispiels die folgenden Anweisungen ein:
set interfaces fxp0 unit 0 family inet address 172.19.200.164/24 set system syslog host 172.19.200.176 any any set system syslog host 172.19.200.176 source-address 172.19.200.177 set interface ge-0/0/7 unit 0 family inet address 172.19.200.177/24 set security log format sd-syslog set security log source-address 172.19.200.177 set security log stream Log host 172.19.200.176 set routing-instances Logging instance-type virtual-router set routing-instances Logging interface ge-0/0/7.0 set routing-options static route 172.19.200.176/32 next-table Logging.inet.0
AppA ist jetzt in der Lage, die ge-0/0/7-Schnittstelle zu verwalten, da AppA das Gerät über die fxp0-Schnittstelle in der Standard-Routinginstanz verwaltet. Dazu muss AppA das Nachrichtenformat Logging@<snmp-community-string-name> verwenden, um über SNMP auf die ge-0/0/7-Schnittstellendaten zuzugreifen.