Suivi des applications
Le suivi des applications (AppTrack) est un outil de journalisation et de création de rapports qui permet de partager des informations pour améliorer la visibilité des applications. AppTrack envoie des messages de journal via syslog fournissant des messages de mise à jour de l’activité de l’application. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre le suivi des applications
AppTrack, un outil de suivi des applications, fournit des statistiques pour analyser l’utilisation de la bande passante de votre réseau. Lorsque cette option est activée, AppTrack collecte des statistiques sur les octets, les paquets et la durée des flux d’application dans la zone spécifiée. Par défaut, à la fermeture de chaque session, AppTrack génère un message indiquant le nombre d’octets et de paquets, ainsi que la durée de la session, et l’envoie à l’équipement hôte. Juniper Secure Analytics (anciennement appelé STRM) récupère les données et fournit une visibilité des applications en fonction des flux.
Les messages AppTrack sont similaires aux journaux de session et utilisent syslog ou les formats syslog structurés. Le message comprend également un champ d’application pour la session. Si AppTrack identifie une application définie sur mesure et renvoie un nom approprié, le nom de l’application personnalisée est inclus dans le message de journal. (Si le processus d’identification de l’application échoue ou n’est pas encore terminé lorsqu’un message de mise à jour est déclenché, le message est spécifié none dans le champ de l’application.)
AppTrack prend en charge les adressages IPv4 et IPv6. Les messages associés affichent les adresses au format IPv4 ou IPv6 approprié.
Les détails de l’identité de l’utilisateur, tels que le nom d’utilisateur et le rôle de l’utilisateur, ont été ajoutés aux journaux de création, de fermeture de session et de mise à jour de volume AppTrack. Ces champs contiennent le nom d’utilisateur et le rôle associés à la correspondance de stratégie. La journalisation des noms d’utilisateur et des rôles est activée uniquement pour les stratégies de sécurité qui fournissent l’application du contrôle de compte d’utilisateur. Pour les stratégies de sécurité sans application du contrôle de compte d’utilisateur, les champs Nom d’utilisateur et Rôle d’utilisateur s’affichent sous la forme N/A. Le nom d’utilisateur s’affiche en tant qu’utilisateur non authentifié et le rôle d’utilisateur s’affiche en tant que N/A, si l’appareil ne peut pas récupérer les informations de cette session parce qu’il n’y a pas d’entrée de table d’authentification pour cette session ou parce que la journalisation de ces informations est désactivée. Le champ de rôle d’utilisateur dans le journal contient la liste de tous les rôles exécutés par l’utilisateur si le critère de correspondance est spécifique, utilisateur authentifié ou n’importe lequel, et le champ de nom d’utilisateur dans le journal contient le nom d’utilisateur correct. Le champ du rôle de l’utilisateur dans le journal contiendra S.O. si les critères de correspondance et le champ du nom d’utilisateur dans le journal contiennent un utilisateur non authentifié ou un utilisateur inconnu.
Si vous activez AppTrack pour une zone et spécifiez une session-update-interval heure, chaque fois qu’un paquet est reçu, AppTrack vérifie si le temps écoulé depuis le début de la session ou depuis la dernière mise à jour est supérieur à l’intervalle de mise à jour. Si c’est le cas, AppTrack met à jour les nombres et envoie un message de mise à jour à l’hôte. Si une session de courte durée démarre et se termine dans l’intervalle de mise à jour, AppTrack génère un message uniquement à la fermeture de la session.
Si vous souhaitez que le message de mise à jour initial soit envoyé avant l’intervalle de mise à jour spécifié, utilisez la commande first-update-interval. Le first-update-interval vous permet d’entrer un intervalle plus court pour la première mise à jour uniquement.
Le message de fermeture met à jour les statistiques pour la dernière fois et fournit une explication pour la fermeture de la session. Les codes suivants sont utilisés :
TCP RST |
RST reçu de l’une ou l’autre extrémité. |
TCP FIN |
FIN reçu de l’une ou l’autre extrémité. |
Response received |
Réponse reçue pour une demande de paquet (par exemple, |
ICMP error |
Erreur ICMP reçue (par exemple, |
Aged out |
La session s’est terminée. |
ALG |
ALG a clôturé la séance. |
IDP |
IDP a clôturé la session. |
Parent closed |
Session parente fermée. |
CLI |
Session effacée par une instruction CLI. |
Policy delete |
Stratégie marquée pour suppression. |
Avantages du suivi des applications
Offre une visibilité sur les types d’applications qui traversent votre équipement de sécurité.
Permet d’avoir un aperçu des applications autorisées et des risques qu’elles peuvent présenter.
Aide à la gestion de la bande passante, signale les utilisateurs actifs et les applications.
Champs des messages du journal de suivi des applications
À partir de Junos OS version 15.1X49-D100, les journaux de création, de fermeture de session et de mise à jour de volume AppTrack incluent un nouveau champ appelé interface de destination. Vous pouvez utiliser ce destination interface champ pour voir quelle interface de sortie est sélectionnée pour la session lorsqu’un routage avancé basé sur des stratégies (APBR) est appliqué à cette session et qu’AppTrack est activé et configuré dans n’importe quel système logique.
À partir de la version 15.1X49-D100 de Junos OS, un nouveau journal AppTrack pour la mise à jour de route est ajouté pour inclure les détails du profil APBR, de la règle et de l’instance de routage. Lorsque l’APBR est appliqué à une session, le nouveau journal est généré et le compteur de sessions AppTrack est mis à jour pour indiquer le nombre de fois qu’un nouveau journal de mise à jour d’itinéraire est généré. Le journal de fermeture de session AppTrack est également mis à jour pour inclure les détails du profil, de la règle et de l’instance de routage APBR.
À partir de Junos OS version 17.4R1, les journaux de création, de fermeture de session et de mise à jour de volume AppTrack incluent les nouveaux champs category et subcategory. Ces champs fournissent des informations générales sur les attributs de l’application. Par exemple, le category champ spécifie la technologie de l’application (Web, infrastructure) et subcategory le champ spécifie la sous-catégorie de l’application (par exemple, réseaux sociaux, actualités et publicités).
Étant donné que la catégorie et la sous-catégorie ne s’appliquent pas à une application personnalisée, les messages du journal AppTrack présentent la catégorie sous la forme custom application et la sous-catégorie sous la forme N/A.
Pour les applications inconnues, les catégories et les sous-catégories sont enregistrées sous le nom de N/A.
Exemples de messages de journal au format syslog structuré :
APPTRACK_SESSION_CREATE user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" username="user1" roles="DEPT1" encrypted="UNKNOWN" destination-interface-name=”ge-0/0/0” category=”N/A” sub-category=”N/A”]
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" routing-instance=“default” destination-interface-name=”st0.0” category=” Web” sub-category=”N/A”]
APPTRACK_SESSION_VOL_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” category=” Web” sub-category=”Social-Networking”]
APPTRACK_SESSION_ROUTE_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” category=”Web” sub-category=”Social-Networking”]
À partir de Junos OS version 18.4R1 et Junos OS version 18.3R2, dans le journal APPTRACK_SESSION_ROUTE_UPDATE, le encrypted champ affiche la valeur comme N/A indiqué dans l’exemple suivant :
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="251" destination-address="5.0.0.1" destination-port="250" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="251" nat-destination-address="5.0.0.1" nat-destination-port="250" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="866" username="N/A" roles="N/A" encrypted="N/A" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/2.0" category="Web" subcategory="N/A" apbr-policy-name="sla1" webfilter-category="N/A"]
À partir de Junos OS version 18.4R1, dans le journal APPTRACK_SESSION_CLOSE et APPTRACK_SESSION_CLOSE_LS, inclut le nom de la règle multipath comme illustré dans l’exemple suivant :
2018-10-25T01:00:18.179-07:00 multihome-spoke RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="idle Timeout" source-address="19.0.0.2" source-port="34880" destination-address="9.0.0.2" destination-port="80" service-name="junos-http" application="HTTP" nested-application="GOOGLE-GEN" nat-source-address="19.0.0.2" nat-source-port="34880" nat-destination-address="9.0.0.2" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust1" session-id-32="9625" packets-from-client="347" bytes-from-client="18199" packets-from-server="388" bytes-from-server="131928" elapsed-time="411" username="N/A" roles="N/A" encrypted="No" profile-name="apbr1" rule-name="rule1" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.4" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="multi1"]
À partir de Junos OS version 18.2R1, les journaux de fermeture de session AppTrack incluent de nouveaux champs pour enregistrer les octets de paquets transmis et reçus via les interfaces de liaison montante. Les octets de paquets transmis et reçus via les interfaces de liaison montante sont signalés par uplink-tx-bytesles champs , uplink-rx-bytes, et uplink-incoming-interface-name .
Exemple:
APPTRACK_SESSION_CLOSE [user@host.1.1.1.2.137 reason="TCP FIN" source-address="4.0.0.1" source-port="40297" destination-address="5.0.0.1" destination-port="110" service-name="junos-pop3" application="POP3" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="40297" nat-destination-address="5.0.0.1" nat-destination-port="110" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="UNTRUST" destination-zone-name="TRUST" session-id-32="81" packets-from-client="7" bytes-from-client="1959" packets-from-server="6" bytes-from-server="68643" elapsed-time="130" username="N/A" roles="N/A" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name="gr-0/0/0.0" uplink-tx-bytes="1959" uplink-rx-bytes="68643" uplink-incoming-interface-name="gr-0/0/0.0"]
À partir de Junos OS version 18.2R1, les nouveaux messages suivants sont ajoutés. Ces messages fournissent des informations telles qu’un rapport de métriques actif et passif, une commutation du chemin de trafic de l’application, comme illustré dans les exemples suivants :
APPQOE_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" elapsed-time="2" bytes-from-client="675" bytes-from-server="0" packets-from-client="7" packets-from-server="0" previous-interface="gr-0/0/0.2" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="0" egress-jitter="0" rtt-jitter="0" rtt="0" pkt-loss="0" bytes-from-client="1073" bytes-from-server="6011" packets-from-client="12" packets-from-server="13" monitoring-time="990" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="35264" destination-address="151.101.193.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="614" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="104" egress-jitter="7" rtt-jitter="97" rtt="1142" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="500" target-pkt-loss="1" violation-reason="1" jitter-violation-count="0" pkt-loss-violation-count="0" rtt-violation-count="1" violation-duration="0" bytes-from-client="2476" bytes-from-server="163993" packets-from-client="48" packets-from-server="150" monitoring-time="948" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="6.1.1.2" source-port="36051" destination-address="6.1.1.1" destination-port="36050" application="UDP" protocol-id="17" destination-zone-name="untrust" routing-instance="ri3" destination-interface-name="gr-0/0/0.3" ip-dscp="128" ingress-jitter="26" egress-jitter="31" rtt-jitter="8" rtt="2383" pkt-loss="0" bytes-from-client="870240" bytes-from-server="425280" packets-from-client="4440" packets-from-server="4430" monitoring-time="30" active-probe-params="PP1" destination-group-name="p1"]
À compter de Junos OS version 15.1X49-D170, les journaux de création, de fermeture de session, de mise à jour de route et de mise à jour de volume d’AppTrack ont été améliorés pour inclure le nom VRF pour VRF source et VRF de destination.
RT_FLOW - APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" profile-name="p2" rule-name="r1" routing-instance="Default_VPN_LAN2" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
RT_FLOW - APPTRACK_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A’"]
RT_FLOW - APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
À partir de Junos OS version 19.1R1, les journaux de fermeture de session incluent une nouvelle identité de source de champ pour vérifier le journal de création de session et le journal de fermeture de session avec le nom d’utilisateur et les rôles. Les nouveaux messages fournissent des informations telles que le nom d’utilisateur et les rôles, comme illustré dans l’exemple suivant :
RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="N/A" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
Un nouveau message RT_FLOW_NEXTHOP_CHANGE syslog est généré chaque fois qu’il y a un changement dans l’itinéraire ou dans le saut suivant sur les sessions APBR et AppTrack.
Dans Junos OS version antérieure aux versions 20.2R3, 20.3R2, 20.4R2 et 21.1R1, lorsqu’une application n’est pas identifiée par APBR (vérification d’intérêt APBR) et qu’elle est identifiée ultérieurement par JDPI pour le premier paquet de la session, un syslog (journal RT_FLOW_NEXTHOP_CHANGE) est généré. Vous pouvez ignorer le message de journal.
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.1.0.1" source-port="43540" destination-address="5.1.0.1" destination-port="7000" service-name="None" application="JNPR-UDPSVR-ADDR" nested-application="UNKNOWN" nat-source-address="4.1.0.1" nat-source-port="43540" nat-destination-address="5.1.0.1" nat-destination-port="7000" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="17" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="2" packets-from-client="1" bytes-from-client="105" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="N/A" dscp-value="N/A" apbr-rule-type="application"]
À partir de Junos OS version 19.3R1, les journaux de session AppTrack tels que la fermeture de session, la mise à jour du volume, la mise à jour de l’itinéraire, ainsi que RT_FLOW_NEXTHOP_CHANGE incluent dscp-value et apbr-rule-type options.
-
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”dscp”] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”application-dscp”] -
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”application-dscp”] -
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="1999" destination-address="157.240.23.35" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="1999" nat-destination-address="157.240.23.35" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="3287" packets-from-client="1" bytes-from-client="60" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="sla1"dscp-value=”13”apbr-rule-type=”dscp”]
À partir de Junos OS version 20.1R1, les journaux de session AppTrack tels que la fermeture de session, la mise à jour de volume, la mise à jour de route incluent apbr-rule-type des options.
-
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” apbr-rule-type=”default”] -
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”]
À partir de Junos OS version 20.4R1, les journaux de session AppTrack pour AppQoE, tels que le meilleur chemin sélectionné, le non-respect des métriques SLA, les rapports de métriques SLA, sont mis à jour.
-
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="N/A" destination-interface-name="gr-0/0/0.0" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="app detected" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria=“default” "server-ip=”10.1.1.1” url=”salesforce.com”] -
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile=" apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.0" sla-rule="SLA1" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1355" rtt="5537" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="1000" target-pkt-loss="1" violation-reason="1" violation-duration="20" active-probe-params="PP1" destination-group-name="p1" "server-ip=”10.1.1.1” url=”salesforce.com”] -
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="40.1.1.2" source-port="10001" destination-address="40.1.1.1" destination-port="80" destination-zone-name="untrust1" routing-instance="transit" destination-interface-name="" ip-dscp="6" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1345" rtt="4294967295" pkt-loss="100" monitoring-time="29126" active-probe-params="probe1" destination-group-name="site1" forwarding-class="network-control" loss-priority="low" active-probe-type="http head"]
À partir de Junos OS version 21.2R1, pour un profil d’application sans métrique SLA, AppQoE génère uniquement le APPQOE_APP_BEST_PATH_SELECTED journal. Dans le APPQOE_APP_BEST_PATH_SELECTED journal, le champ s’affiche active-probe-params et le champ de durée de la violation s’affiche N/A N/A. Le APPQOE_APP_BEST_PATH_SELECTED journal contient les nouveaux champs tels que previous-link-tag, previous-link-priority, destination-link-taget destination-link-priority comme illustré dans les exemples suivants. Lorsque la reason valeur est , alors le champ s’affiche app detectedN/A previous-link-tag et le previous-link-priority champ affiche .0
-
Profil indépendant de l’application sans considérations métriques SLA.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”]Pour le profil indépendant de l’application, le champ de l’application s’affiche sous la forme
ANY. -
Profil basé sur l’application sans considérations de métriques SLA.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”] -
Profil indépendant de l’application avec des considérations métriques SLA et sans violation signalée.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”] -
Profil indépendant de l’application avec des considérations métriques SLA et avec violation signalée.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”]APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"]APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"] -
Profil basé sur l’application avec des considérations métriques SLA et sans violation signalée.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]Profil basé sur l’application avec des considérations métriques SLA et avec violation signalée.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]Imaginons un scénario dans lequel un pare-feu SRX Series fonctionne en mode cluster de châssis et la configuration AppQoE inclut des sondes SaaS et une valeur de nombre de violations configurée sur 1. Lorsque le trafic applicatif bascule le chemin de routage à travers le nœud, un message syslog de violation est généré à la fois sur les nœuds principal et de secours. Vous pouvez ignorer le syslog généré sur le noeud qui héberge le chemin actuel.
-
Lorsque l’affinité de lien est configurée comme « lâche » et que le trafic de l’application passe d’un lien préféré à un lien non préféré, et que ce lien non privilégié a la priorité la plus élevée, le message du journal système consigne la raison comme « basculer vers la priorité supérieure ».
Exemple:
RT_FLOW - APPQOE_APP_BEST_PATH_SELECTED [apbr-profile="apbr1" apbr-rule="rule1" application="YAHOO" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.0" destination-interface-name="gr-0/0/0.2" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to higher priority link" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262149" server-ip="0.0.0.0" server-url="N/A" previous-link-tag="ISP1" previous-link-priority="10" destination-link-tag="ISP3" destination-link-priority="3"]
Voir aussi
Exemple : Configuration du suivi des applications
Cet exemple montre comment configurer l’outil de suivi AppTrack afin que vous puissiez analyser l’utilisation de la bande passante de votre réseau.
Exigences
Avant de configurer AppTrack, assurez-vous d’avoir téléchargé le package de signature de l’application, de l’avoir installé et d’avoir vérifié que la configuration d’identification de l’application fonctionne correctement. Reportez-vous à la section Téléchargement et installation manuels du package de signatures d’application Junos OS ou Téléchargement et installation du package de signatures d’application Junos OS dans le package de sécurité IDP. Utilisez la commande show services application-identification status pour vérifier l’état.
Aperçu
L’identification des applications est activée par défaut et est automatiquement activée lorsque vous configurez le service AppTrack, AppFW ou IDP. Juniper Secure Analytics (JSA) récupère les données et fournit une visibilité des applications en fonction des flux. STRM inclut la prise en charge d’AppTrack Reporting et comprend plusieurs modèles de recherche et rapports prédéfinis.
À partir de Junos OS 21.1R1, notez les modifications apportées aux journaux suivants :
Les journaux de création de session AppTrack (APPTRACK_SESSION_CREATE) sont désactivés par défaut. Utilisez la commande suivante pour l’activer :
user@host# set security application-tracking log-session-create
Les journaux de fermeture de session AppTrack (APPTRACK_SESSION_CLOSE) sont désactivés par défaut. Utilisez l’instruction suivante pour l’activer :
user@host# set security application-tracking log-session-close
Vous pouvez désactiver les journaux de mise à jour du volume de session AppTrack (APPTRACK_SESSSION_VOL_UPDATE) à l’aide de l’instruction suivante :
user@host# set security application-tracking no-volume-updates
Configuration
Cet exemple montre comment activer le suivi des applications pour la zone de sécurité nommée trust. Le premier message de journal doit être généré au démarrage de la session, et les messages de mise à jour doivent être envoyés toutes les 4 minutes par la suite. Un dernier message doit être envoyé à la fin de la session.
L’exemple montre également comment ajouter la configuration de l’appareil syslog distant pour recevoir les messages de journal AppTrack au format sd-syslog. L’adresse IP source utilisée lors de l’exportation des journaux de sécurité est 192.0.2.1 et les journaux de sécurité sont envoyés à l’hôte situé à l’adresse 192.0.2.2.
Les pages J-Web pour AppSecure Services sont préliminaires. Nous vous recommandons d’utiliser la CLI pour configurer les fonctionnalités AppSecure.
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
Il n’est pas nécessaire de changer le et le session-update-interval n’est first-update-interval pas nécessaire dans la plupart des situations. Les commandes sont incluses dans cet exemple pour illustrer leur utilisation.
user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2 user@host# set security zones security-zone trust application-tracking user@host# set security application-tracking session-update-interval 4 user@host# set security application-tracking first-update-interval 1
Sur les périphériques SRX5600 et SRX5800, si la configuration syslog ne spécifie pas de port de destination, le port de destination par défaut sera le port syslog. Si vous spécifiez un port de destination dans la configuration syslog, ce port sera utilisé à la place.
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez le Guide de l’utilisateur de la CLI.
Pour configurer AppTrack :
Ajoutez la configuration de périphérique syslog distante pour recevoir les messages Apptrack au format sd-syslog.
[edit] user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2
Activez AppTrack pour l’approbation de la zone de sécurité.
[edit] user@host# set security zones security-zone trust application-tracking
(Facultatif) Pour cet exemple, générez des messages de mise à jour toutes les 4 minutes.
[edit] user@host# set security application-tracking session-update-interval 4
L’intervalle par défaut entre les messages est de 5 minutes. Si une session démarre et se termine dans cet intervalle de mise à jour, AppTrack génère un message à la fermeture de la session. Cependant, si la session est longue, un message de mise à jour est envoyé toutes les 5 minutes. Le
session-update-interval minutesest configurable comme indiqué à cette étape.(Facultatif) Pour cet exemple, générez le premier message au bout d’une minute.
[edit] user@host# set security application-tracking first-update-interval 1
Par défaut, le premier message est généré après l’expiration du premier intervalle de mise à jour de session. Pour générer le premier message à une heure différente de celle-ci, utilisez
first-update-interval minutesl’option (générer le premier message après les minutes spécifiées).Note:L’option
first-updateet l’option s’excluentfirst-update-interval minutesmutuellement. Si vous spécifiez les deux, lafirst-update-intervalvaleur est ignorée.À partir de Junos OS 21.1R1, l’instruction est déconseillée (plutôt que supprimée immédiatement) pour assurer la
first-updatecompatibilité descendante.Une fois le premier message généré, un message de mise à jour est généré chaque fois que l’intervalle de mise à jour de la session est atteint.
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security commandes et show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, la sortie de cette show commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit] user@host# show security
...
application-tracking {
first-update-interval 1;
session-update-interval 4;
}
log {
mode stream;
format sd-syslog;
source-address192.0.2.2;
stream app-track-logs {
host {
192.0.2.1;
}
}
}
...
[edit]
user@host# show security zones
...
security-zone trust {
...
application-tracking;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Utilisez le produit JSA sur le périphérique de journalisation à distance pour afficher les messages de journal AppTrack.
Pour vérifier que la configuration fonctionne correctement, vous pouvez également effectuer ces tâches sur l’appareil.
- Consultation des statistiques AppTrack
- Vérification des valeurs du compteur AppTrack
- Vérification des statistiques de session du flux de sécurité
- Vérification des statistiques du cache du système d’application
- Vérification de l’état des valeurs des compteurs d’identification des applications
Consultation des statistiques AppTrack
But
Consultez les statistiques d’AppTrack pour afficher les caractéristiques du trafic suivi.
Action
À partir du mode opérationnel, entrez la show services application-identification statistics applications commande.
user@host> show services application-identification statistics applications
Last Reset: 2012-02-14 21:23:45 UTC Application Sessions Bytes Encrypted HTTP 1 2291 Yes HTTP 1 942 No SSL 1 2291 Yes unknown 1 100 No unknown 1 100 Yes
Pour plus d’informations sur la show services application-identification statistics applications commande, consultez afficher les applications de statistiques d’identification d’application des services.
Vérification des valeurs du compteur AppTrack
But
Affichez régulièrement les compteurs AppTrack pour surveiller l’activité de journalisation.
Action
À partir du mode opérationnel, entrez la show security application-tracking counters commande.
user@host> show security application-tracking counters
AVT counters: Value Session create messages 1 Session close messages 1 Session volume updates 0 Failed messages 0
Vérification des statistiques de session du flux de sécurité
But
Comparez le nombre d’octets et de paquets dans les messages consignés avec les statistiques de session de la sortie de la show security flow session commande.
Action
À partir du mode opérationnel, entrez la show security flow session commande.
user@host> show security flow session
Flow Sessions on FPC6 PIC0: Session ID: 120000044, Policy name: policy-in-out/4, Timeout: 1796, Valid In: 192.0.2.1/24 --> 198.51.100.0/21;tcp, If: ge-0/0/0.0, Pkts: 22, Bytes: 1032 Out: 198.51.100.0/24 --> 192.0.2.1//39075;tcp, If: ge-0/0/1.0, Pkts: 24, Bytes: 1442 Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1
Les totaux d’octets et de paquets dans les statistiques de session doivent se rapprocher des nombres enregistrés par AppTrack, mais peuvent ne pas être exactement les mêmes. AppTrack compte uniquement les octets et les paquets entrants. Les paquets générés par le système ne sont pas inclus dans le total et les paquets abandonnés ne sont pas déduits.
Vérification des statistiques du cache du système d’application
But
Comparez les statistiques de cache telles que l’adresse IP, le port, le protocole et le service d’une application à partir de la sortie de la show services application-identification application-system-cache commande.
Action
À partir du mode opérationnel, entrez la show services application-identification application-system-cache commande.
Vérification de l’état des valeurs des compteurs d’identification des applications
But
Comparez les statistiques de session pour les valeurs du compteur d’identification des applications à partir de la sortie de la show services application-identification counter commande.
Action
À partir du mode opérationnel, entrez la show services application-identification counter commande.
Exemple : Configuration du suivi des applications lorsque le proxy SSL est activé
Cet exemple décrit comment AppTrack prend en charge la fonctionnalité AppID lorsque le proxy SSL est activé.
Exigences
Avant de commencer :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Créez un profil de proxy SSL qui active le proxy SSL au moyen d’une stratégie. Reportez-vous à la section Configuration du proxy de transfert SSL.
Aperçu
Vous pouvez configurer AppTrack dans les zones de destination ou d’arrivée. Cet exemple montre comment configurer AppTrack dans une zone à une règle de stratégie lorsque le proxy SSL est activé.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security zones security-zone Z_1 application-tracking set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Dans cet exemple, vous configurez le suivi des applications et autorisez les services d’application dans une configuration de profil proxy SSL.
Configurez le suivi des applications dans une zone de destination (vous pouvez également configurer à l’aide d’une zone de départ).
[edit security policies] user@host# set security zones security-zone Z_1 application-tracking
Configurez le profil proxy SSL.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1] set match source-address any set match destination-address any set match application junos-https set then permit application-services ssl-proxy profile-name ssl-profile-1 set then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
from-zone Z_1 to-zone Z_2 {
policy policy1 {
match {
source-address any;
destination-address any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-profile-1;
}
}
}
}
}
}
Vérifiez que la configuration fonctionne correctement. La vérification dans AppTrack fonctionne de la même manière que la vérification dans AppFW. Reportez-vous à la section de vérification de Exemple : Configuration du pare-feu d’application lorsque le proxy SSL est activé.
Désactivation du suivi des applications
Le suivi des applications est activé par défaut. Vous pouvez désactiver le suivi des applications sans supprimer la configuration de la zone.
Pour désactiver le suivi des applications :
user@host# set security application-tracking disable
Si le suivi des applications a déjà été désactivé et que vous souhaitez le réactiver, supprimez l’instruction de configuration qui spécifie la désactivation du suivi des applications :
user@host# delete security application-tracking disable
Si vous avez terminé de configurer l’appareil, validez la configuration.
Pour vérifier la configuration, entrez la show security application-tracking commande.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
dscp-value et
apbr-rule-type des options.
apbr-rule-type des options.
category et
subcategory