Acciones de registro de filtro de firewall
Para los filtros de firewall IPv4 e IPv6, puede configurar el filtro para escribir un resumen de los encabezados de paquete coincidentes en el registro o syslog especificando la acción o .sysloglog La principal diferencia entre ambos es la permanencia del registro. Los registros solo se almacenan en la memoria y, cuando ese búfer está lleno, los registros más antiguos se reemplazan por otros nuevos a medida que ingresan. Los syslogs, por otro lado, se pueden guardar en el disco o reenviar a un servidor syslog remoto. En ambos casos, se registra un resumen del encabezado del paquete (no una copia del paquete en sí). Los filtros de servicio y los filtros simples no admiten ni la acción o .logsyslog
Tanto las acciones como las pueden consumir una cantidad significativa de espacio en disco y/o CPU en el dispositivo.sysloglog Juniper recomienda descargar los registros escribiéndolos en un servidor syslog remoto y restringir el registro usándolo solo para diagnósticos.
Syslog
Como se señaló, los registros del sistema se pueden escribir en el disco y / o enviar a un servidor remoto. Los registros guardados se escriben en el directorio./var/log Puede ver una lista de todos los archivos de registro disponibles en el dispositivo ejecutando el comando sin opciones.show log Tenga en cuenta que dentro de un archivo de registro determinado, los registros de acciones del firewall pueden estar intercalados con mensajes de eventos.
La siguiente configuración muestra los registros del sistema que se envían a un servidor remoto en 172.27.1.1, y también los guarda en un archivo llamado "firewall" en el dispositivo local.syslog
host@device-RE0# show system syslog
host 172.27.1.1 {
firewall any;
}
<...>
file firewall {
firewall any;
}Para ver los registros del sistema, ejecute el comando.show syslog message
Para ver el contenido de un archivo de registro del sistema determinado, ejecute el comando o.show log filenamefile show /var/log/filename
Para borrar el contenido del archivo de registro del sistema, ejecute el comando.clear log filename Puede incluir la opción de eliminar todos los registros guardados, incluidos los registros que se escriben en el archivo de registro actual.all
Los detalles de configuración se muestran aquí:
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
syslog;
terminating-action;
}
}
}
}
Registrar
La acción escribe información de registro en un búfer.log No hay ninguna opción para escribir registros en un servidor remoto o para escribirlos en el disco. Una vez que el búfer disponible esté lleno, los nuevos registros reemplazarán al más antiguo, por lo que no se mantendrá un registro histórico. Los registros se borran cada vez que se reinicia el dispositivo o PFE.
Los detalles de configuración se muestran aquí:
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
log;
terminating-action;
}
}
}
}
Para ver los registros, ejecute el comando.show firewall log
Detalles de registro
A continuación se muestra qué tipo de información se incluye normalmente en syslog y entradas de registro:
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Los campos se explican aquí:
Date and Time: fecha y hora en que se recibió el paquete (no se muestra en el valor predeterminado).Hostname: nombre del dispositivo en el que se produjo la coincidencia.Interface: interfaz física por la que atravesó el paquete.Acción de filtro. En el ejemplo anterior, es A.
A—Aceptar (o el próximo trimestre)D—DescartarR—Rechazar
Protocol—Protocolo de paquetes. Puede ser un nombre o número, y también puede incluir los puertos de origen y destino. En el ejemplo anterior, el protocolo es ICMP, que puede incluir el tipo y el código ICMP.Source address: dirección IP de origen del paquete.Destination address: dirección IP de destino del paquete.Source port: puerto de origen del paquete (solo paquetes TCP y UDP). En el ejemplo anterior, el puerto es 0.Destination port: puerto de destino del paquete (solo paquetes TCP y UDP). En el ejemplo anterior, el puerto es 0.Packets in sample interval—En este ejemplo se muestra que solo se detectó un paquete coincidente en el intervalo de muestra (aproximadamente un segundo). Si los paquetes llegan a una velocidad más rápida, el registro del sistema comprime automáticamente la información para que se genere menos salida.