Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Descripción del registro e informes de la caja

 

Este tema describe la funcionalidad de registro y creación de informes de la CLI, así como los aspectos de diseño de los informes de la caja de los dispositivos SRX.

Descripción general

El registro de tráfico in-box de las unidades de estado sólido (SSDs) admite ocho archivos o servidores de registros externos.

Se agrega un archivo XML todo en uno que contiene toda la información de registros de tráfico. El archivo XML también genera todos los archivos de encabezado de registro y los documentos relacionados con el registro de tráfico.

Se admite un nuevo proceso (demonio) denominado demonio de administración de registro local (LLMD) en Services Processing Cards 0 (SPCs0) para gestionar el registro de tráfico in-box. El tráfico generado por el flujo en el SPCs se enumera en los registros de tráfico. LLMD guarda estos registros en la SSD local. Los registros de tráfico se guardan en los siguientes cuatro formatos diferentes:

  • registro

  • SD-syslog

  • welf

  • Binary

El mecanismo de informes en la caja es una mejora de la funcionalidad de registro existente. La funcionalidad de registro existente se modifica para recopilar registros de tráfico del sistema, analizar los registros y generar informes de estos registros en forma de tablas que utilizan la CLI. La función de generación de informes in-Port está diseñada para proporcionar una interfaz sencilla y fácil de usar para ver los registros de seguridad. Los informes de la caja son fáciles de usar J-páginas web de varios eventos de seguridad en forma de tablas y gráficos. Los informes permiten a la administración de la seguridad de ti identificar la información de seguridad de un vistazo, y decidir rápidamente qué acciones se deben emprender.

La función de informes integrados se activa de forma predeterminada cuando carga las configuraciones predeterminadas de fábrica en el dispositivo serie SRX con Junos OS Release 15.1 X49-D100 o posterior.

Si va a actualizar el dispositivo serie SRX desde una versión Junos OS anterior a Junos OS 15.1 X49-D100, el dispositivo SRX hereda la configuración existente y la función de informes incorporada está desactivada de forma predeterminada. Debe configurar el set security log report comando y el set security log mode stream comando para activar la función de informes en el equipo en el dispositivo que se actualiza.

A partir de Junos OS versión 19.3 R1, la configuración predeterminada de fábrica no incluye la configuración de la creación de informes en el mismo para aumentar la duración de la unidad de estado sólido (SSD). Puede habilitar la función de informes in-Box si configura el set security log report comando de CLI [edit security log] en la jerarquía.

Nota

Debe configurar la Directiva de seguridad para la sesión mediante set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close el comando para que se enumeren todas las aplicaciones y aplicaciones anidadas en el seguimiento de aplicaciones en J-Web mediante la función de informes integrados. Consulte si desea obtener más información sobre el registro (políticas de seguridad) .

Después de grabar el mensaje de registro, el registro se almacena en un archivo de registro que, a continuación, se almacena en la tabla de la base de datos para posteriores análisis (en SRX300, SRX320, SRX340, SRX345 y SRX550M) o en la tarjeta SSD para el análisis más profundo (en SRX1500 , SRX4100 y dispositivos SRX4200).

Nota

Esta característica admite la recepción de los primeros informes basados en el número o volumen de la sesión o el tipo de registro, captura los eventos que se producen cada segundo dentro de un intervalo de tiempo especificado, captura el contenido del registro para una condición especificada de la CLI. Se utilizan diversas condiciones “de”la CLI”, “como Summary,”Top, “indetail y” in-Interval para generar informes. Solo puede generar un informe de una vez mediante la CLI. No se pueden usar todas las condiciones de la CLI al mismo tiempo. Solo puede generar un informe de una vez mediante la CLI.

Las ventajas de esta característica son:

  • Los informes se almacenan localmente en el dispositivo de serie SRX y no es necesario que existan de dispositivos o herramientas independientes para el almacenamiento de registros e informes.

  • Los informes integrados son páginas J Web fáciles de usar de varios eventos de seguridad en forma de tablas y gráficos.

  • Proporciona una interfaz sencilla y fácil de usar para ver los registros de seguridad.

  • Los informes generados permiten al equipo de administración de seguridad de ti identificar la información de seguridad de un solo vistazo y decidir rápidamente qué acciones se deben emprender.

La función de informes in-Port (in-box) admite:

  • Generar informes basados en los requisitos. Por ejemplo: cantidad o volumen de la sesión, tipos de registros para actividades como IDP, UTM, IPsec VPN.

  • Capturar eventos en tiempo real en un intervalo de tiempo especificado.

  • Capturar todas las actividades de la red en un formato lógico, organizado y fácil de comprender según varias condiciones especificadas de la CLI.

Descripción del registro e informes de la caja

En el mecanismo de informes in-box, se usa la CLI para recuperar los datos de informes del dispositivo. El dispositivo serie SRX recoge y guarda todos los registros necesarios. Estos registros grabados se utilizan para realizar análisis adicionales para calcular y generar informes en forma de tablas mediante la CLI. Los datos generados mediante la CLI en forma de informes se pueden recuperar en forma de tablas y gráficos en J-Web. Los informes generados son tablas y gráficos fáciles de entender en J-Web. Se realiza un análisis exhaustivo de los registros (según los tipos de sesión) para características como screen, IDP, UTM e IPSec.

Puede definir filtros para los datos de registro que se notifican basándose en los criterios siguientes:

Nota

Las condiciones superior, en detalle y en el intervalo no se pueden usar al mismo tiempo.

  • top <number>—Esta opción le permite generar informes para los eventos de seguridad principales, como se especifica en el comando. por ejemplo: los 5 principales ataques IPS o las 6 direcciones URL principales detectados mediante UTM.

  • in-detail <number>—Esta opción le permite generar el contenido del registro de detalles.

  • in-interval <time-period>—Esta opción le permite generar los eventos registrados entre determinados intervalos de tiempo.

  • summary—Esta opción le permite generar el Resumen de los sucesos. De este modo, puede ajustar el informe según sus necesidades y mostrar sólo los datos que desee utilizar.

El número máximo en el intervalo que muestra el recuento en intervalos es 30. Si se especifica una duración grande, los contadores se ensamblan para garantizar que el intervalo máximo es inferior a 30.

Tanto en detalle como en Resumen tienen la “opción” todo, ya que una tabla diferente tiene un atributo diferente (igual que la tabla de “sesión” no tiene el motivo del atributo “,” pero UTM tiene), la opción todo no tiene ningún filtro excepto tiempo de inicio y tiempo de parada. Si hay otro filtro que no sea hora de inicio y hora de fin, se muestra un error.

Por ejemplo: root @ kujang > Mostrar registro de seguridad informe en detalle todos los motivos reason1

Los registros del firewall de la aplicación para ver la visibilidad de aplicaciones y usuarios enumerarán las aplicaciones y las aplicaciones anidadas. Cuando los registros de estas características enumeran aplicaciones anidadas, las aplicaciones anidadas se enumeran en J-Web. Cuando los registros listan aplicaciones anidadas como no aplicables o desconocidas, sólo las aplicaciones se enumeran en J-Web.

Utilice los siguientes comandos de la CLI para la visibilidad de las aplicaciones y de los usuarios en todas las aplicaciones y aplicaciones anidadas enumerar:

  • Para las aplicaciones anidadas principales por recuento—show security log report top session-close top-number <number> group-by application order-by count with user

  • Para la aplicación anidada superior por volumen—show security log report top session-close top-number <number> group-by application order-by volume with user

  • Para el usuario superior por el número de aplicaciones anidadas—show security log report top session-close top-number <number> group-by user order-by count with application

Características de informes en la caja

La función de informes in-Port (in-box) admite:

  • Sqlite3 support as a library—sqlite3 no se admitía antes de Junos OS Release 15.1 X49-D100. A partir de Junos OS Release 15.1 X49-D100, las bases de datos de registro de SQL (SQLite versión 3) son utilizadas por los daemons que se ejecutan en el RE, así como otros módulos posibles para almacenar los registros en serie SRX dispositivos.

    En Junos OS versión 19.4 R1, hemos actualizado la base de datos de registro en el mismo para mejorar el rendimiento de las consultas.

  • Running llmd in both Junos OS and Linux OS—El daemon de reenvío (flujo) descodifica el índice de base de datos a partir de registros binarios y envía el índice y el registro al demonio de administración de registro local (LLMD).

    En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, LLMD se ejecuta en Junos OS. En los dispositivos de SRX1500, SRX4100 y SRX4200, LLMD se ejecuta en Linux. Por lo tanto, para que la compatibilidad con LLMD se ejecute tanto en el sistema operativo Linux como en el Junos OS, el directorio de código LLMD se transfiere del lado de Linux al lado Junos OS.

  • Storing of logs into specified table of the sqlite3 database by llmd—Se introduce un nuevo daemon syslog para recopilar registros locales en serie SRX dispositivos y guardarlos en la base de datos.

    A partir de Junos OS versión 19.3 R1, Junos OS almacena los registros en varias tablas en lugar de una sola tabla en un archivo de base de datos. Cada tabla contiene la marca de hora de los registros más antiguos y más recientes. Cuando se inicia una consulta basada en la hora de inicio y finalización, LLMD encuentra la última tabla en la que generar informes.

    Por ejemplo, si hay registros 5 millones en una tabla de un archivo de base de datos generado en las últimas 10 horas, y desea realizar un informe, debe gastar más de media hora. A partir de Junos OS versión 19.3 R1, una tabla se divide en varias tablas y cada tabla cuenta con 500.000 de registros. Para generar el mismo informe, basta con una sola información de tabla.

    Le recomendamos que consulte con un tiempo más breve para obtener un mejor rendimiento.

    • Database table definition—Para los registros de sesión, los tipos de datos son dirección de origen, dirección de destino, aplicación, usuario, etc. En el caso de registros relacionados con las características de seguridad, los tipos de datos son nombre de ataque, dirección URL, protocolo de perfil, etc. Por lo tanto, diferentes tablas están diseñadas para almacenar distintos tipos de registros que ayudan a mejorar el rendimiento y ahorrar espacio en disco. Dispositivo SRX crea una tabla de base de datos para cada tipo de registro, cuando se graban los registros.

      Cada tipo de tabla de base de datos tiene un número de registro máximo que es específico del dispositivo. Cuando el número de registro de la tabla alcanza la limitación, los registros nuevos sustituyen a los registros más antiguos. Junos OS almacena el registro en un dispositivo serie SRX en el que se pasa el tráfico activo.

      A partir de Junos OS versión 19.3 R1, puede crear varias tablas en un archivo de base de datos para almacenar registros. Puede definir la capacidad para almacenar registros en una tabla.

      Si el límite del número de registro supera la capacidad de la tabla, Junos OS almacenará los registros en la segunda tabla. Por ejemplo, si el límite de registros de la tabla 1 supera la capacidad de la tabla, Junos OS almacenará los registros en la tabla 2.

      Si el límite del número de registro supera la última tabla del archivo 1, Junos OS almacenará los registros en la tabla 1 del archivo 2. Por ejemplo, la tabla n es la última tabla del archivo 1. Cuando los registros superan la capacidad de la tabla, Junos OS almacena los registros en la tabla 1 del archivo 2.

      Para aplicar un efecto inmediato después de cambiar el número de tabla clear security log report , utilice el comando operativo.

    • Database table rotation—Cada tipo de tabla de base de datos tiene un número de registro máximo que es específico del dispositivo. Cuando el número de registro de la tabla alcanza la limitación, los registros nuevos sustituyen a los registros más antiguos.

      A Tabla 1 continuación se describe la capacidad del tamaño del archivo de base de datos:

      Tabla 1: Capacidad de tamaño de archivo de base de datos

      Dispositivos

      Encuentro

      Pantalla

      PROG

      AUA

      IPsec-VPN

      HORIZONTE

      SRX300, SRX320, SRX340, SRX345 y SRX550M

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

      SRX1500

      12G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4100 y SRX4200

      15G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4600

      22.5G

      6G

      6G

      6G

      0.75G

      2.25G

      vSRX

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

  • Calculating and displaying the reports that are triggered by CLI—Los informes de la base de datos se reciben de la CLI como la interfaz. Con la CLI, puede calcular y mostrar los detalles de informes.

Selección de tabla

Cuando desee generar un informe a partir de varias tablas, LLMD ordena las tablas según la marca de tiempo y selecciona las tablas según la hora de inicio y la detención.

Por ejemplo, existen tres tablas que son tabla 1 (1 a 3), tabla 2 (3 a 5) y tabla 3 (6 a 8). de 1 a 3, 3 a 6 y 6 a 8 indica la marca de tiempo de los registros más recientes y más antiguos. Si solicita un informe del 4 al 6, Junos OS generará el informe de la tabla 2 y la tabla 3.

Duración de la tabla

Puede decidir la duración de la tabla set security log report table-lifetime mediante la configuración de un comando. Junos OS quita la tabla después de que el tiempo de identificación de la tabla supere la duración de la tabla. Por ejemplo, si configura la duración de la tabla como 2 y la fecha actual es 26-julio-2019, entonces se eliminarán los registros 24-julio-2019 00:00:00.

Si cambia manualmente la fecha y la hora en un dispositivo, cambiará la duración de la tabla. Por ejemplo, si el tiempo de identificación de la tabla es 19-Julio-2019, y configura la duración de la tabla como 10, Junos OS debería quitar la tabla de 29 de julio de 2019. Si cambia la fecha del dispositivo como 18-julio-2019, la tabla vida real será 30-Julio-2019.

Modo de tabla densa

En Junos OS versión 19.4 R1, hemos actualizado el almacenamiento de información y el mecanismo de búsqueda predeterminados en la base de datos de registro de la versión para administrar los logs. Ahora puede personalizar los resultados de los mecanismos de búsqueda y almacenamiento de registros. Por ejemplo, si espera que haya menos registros de tráfico, puede usar la configuración predeterminada con una hora de inicio y una hora de finalización.

Sin embargo, si espera una gran cantidad de registros de tráfico y más intervalos de tiempo para los que se generarán los registros, habilite el modo denso. Para activar el modo denso, utilice set security log report table-mode dense el comando de configuración.

Escenario de clúster de chasis

En el caso de informes integrados en un clúster del chasis, los registros se almacenan en el disco local en el que el dispositivo está procesando tráfico activo. Estos registros no se sincronizan con el sistema del mismo nivel del clúster del chasis.

Cada nodo es responsable de almacenar los registros cuando cada nodo procesa el tráfico activo. En caso de que el modo activo/pasivo, sólo el nodo activo procesa el tráfico y los registros se almacenan únicamente en el nodo activo. En caso de conmutación por error, el nuevo nodo activo es el que procesa el tráfico y almacena los registros en su disco local. En el caso del modo activo/activo, cada nodo procesa su propio tráfico y registros que se almacenan en los respectivos nodos.

Release History Table
Publicación
Descripción
La función de informes integrados se activa de forma predeterminada cuando carga las configuraciones predeterminadas de fábrica en el dispositivo serie SRX con Junos OS Release 15.1 X49-D100 o posterior.
A partir de Junos OS versión 19.3 R1, la configuración predeterminada de fábrica no incluye la configuración de la creación de informes en el mismo para aumentar la duración de la unidad de estado sólido (SSD).