SUR CETTE PAGE
Comprendre les journaux de sécurité et les systèmes logiques
Configuration des rapports intégrés pour les systèmes logiques
Exemple : Configurer le journal de sécurité pour les systèmes logiques
Configuration des fichiers journaux de sécurité binaire intégrés pour le système logique
Configuration des fichiers journaux de sécurité binaire distants pour le système logique
Comprendre le débogage du chemin de données pour les systèmes logiques
Exécution du traçage pour les systèmes logiques (administrateurs principaux uniquement)
Comportement des journaux de sécurité spécifiques à la plate-forme
Dépannage des systèmes logiques
Utilisez les fonctionnalités suivantes pour surveiller les systèmes logiques et résoudre les problèmes logiciels. Pour plus d’informations, consultez les rubriques suivantes :
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Consultez la section Comportement des journaux de sécurité spécifiques à la plate-forme pour connaître les notes relatives à votre plate-forme.
Comprendre les journaux de sécurité et les systèmes logiques
Les journaux de sécurité sont des messages de journal système qui incluent des événements de sécurité. Si un appareil est configuré pour des systèmes logiques, les journaux de sécurité générés dans le contexte d’un système logique utilisent le nom logname_LS (par exemple, IDP_ATTACK_LOG_EVENT_LS). La version du système logique d’un journal a le même ensemble d’attributs que le journal pour les appareils qui ne sont pas configurés pour les systèmes logiques. Le journal du système logique inclut le nom du système logique comme premier attribut.
Le journal de sécurité suivant affiche les attributs du journal IDP_ATTACK_LOG_EVENT pour un appareil qui n’est pas configuré pour les systèmes logiques :
IDP_ATTACK_LOG_EVENT {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Le journal de sécurité suivant affiche les attributs du journal IDP_ATTACK_LOG_EVENT_LS d’un appareil configuré pour les systèmes logiques (notez que logical-system-name est le premier attribut) :
IDP_ATTACK_LOG_EVENT_LS {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Si un périphérique est configuré pour les systèmes logiques, il peut être nécessaire de modifier les scripts d’analyse des journaux car le nom du journal inclut le suffixe _LS et l’attribut logical-system-name peut être utilisé pour séparer les journaux par système logique.
Si un appareil n’est pas configuré pour les systèmes logiques, les journaux de sécurité restent inchangés et les scripts créés pour analyser les journaux n’ont pas besoin d’être modifiés.
Seul l’administrateur principal peut configurer la journalisation au niveau de la hiérarchie [edit security log]. Les administrateurs du système logique des utilisateurs ne peuvent pas configurer la journalisation pour leurs systèmes logiques.
La journalisation hors zone est prise en charge par configuration système logique et les journaux sont gérés en fonction de ces configurations. Auparavant, les journaux du système logique utilisateur étaient générés à partir du système logique racine. Pour la journalisation hors connexion, les journaux du système logique ne peuvent être générés qu’à partir de l’interface du système logique.
Configuration des rapports intégrés pour les systèmes logiques
Les pare-feu SRX Series prennent en charge différents types de rapports pour les utilisateurs du système logique.
Les rapports sont stockés localement sur le pare-feu SRX Series, et il n’est pas nécessaire de recourir à des équipements ou outils distincts pour le stockage des journaux et des rapports. Les rapports intégrés offrent une interface simple et facile à utiliser pour consulter les journaux de sécurité.
Avant de commencer :
Comprendre comment configurer le journal de sécurité pour les systèmes logiques. Voir Exemple : Configurer le journal de sécurité pour les systèmes logiques
Pour configurer les rapports intégrés pour le système logique :
Par défaut, l’option report est désactivée. La set logical-systems LSYS1 security log mode stream commande est activée par défaut.
Exemple : Configurer le journal de sécurité pour les systèmes logiques
Cet exemple montre comment configurer les journaux de sécurité pour un système logique.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
un pare-feu SRX Series.
Junos OS version 18.3R1 et versions ultérieures.
Avant de commencer :
Comprendre comment configurer un système logique.
Comprendre comment créer des profils de sécurité pour le système logique principal. Consultez Présentation des profils de sécurité des systèmes logiques (administrateurs principaux uniquement).
Vue d’ensemble
Les pare-feu SRX Series possèdent deux types de journaux : les journaux système et les journaux de sécurité. Les journaux système enregistrent les événements du plan de contrôle, par exemple, la connexion de l’administrateur à l’appareil. Sécurité journaux, également appelés journaux de trafic, enregistrent les événements du plan de données concernant la gestion d’un trafic spécifique, par exemple lorsqu’une stratégie de sécurité refuse certains trafics en raison d’une violation de la stratégie.
Les deux types de journaux peuvent être collectés et enregistrés sur site ou non. La procédure ci-dessous explique comment configurer les journaux de sécurité au format binaire pour la journalisation hors zone (mode flux).
Pour la journalisation hors zone, les journaux de sécurité d’un système logique sont envoyés à partir d’une interface de système logique. Si l’interface du système logique est déjà configurée dans une instance de routage, configurez routing-instance routing-instance-name au niveau de la edit logical-systems logical-system-name security log stream log-stream-name host hiérarchie. Si l’interface n’est pas configurée dans l’instance de routage, aucune instance de routage ne doit être configurée dans edit logical-systems logical-system-name security log stream log-stream-name host la hiérarchie.
La configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
Procédure
Procédure étape par étape
La procédure suivante spécifie comment configurer les journaux de sécurité pour un système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation hors connexion, en mode flux.
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
Pour la journalisation de sécurité hors zone, spécifiez l’adresse source, qui identifie le pare-feu SRX Series qui a généré les messages de journal. L’adresse source est obligatoire.
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
Spécifiez l’instance de routage et définissez l’interface.
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
Définir l’instance de routage d’un système logique.
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
Spécifiez le protocole de transport des journaux de sécurité pour l’appareil.
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
Procédure
Procédure étape par étape
La procédure suivante spécifie comment configurer un profil de sécurité pour un système logique.
Configurez un profil de sécurité et spécifiez le nombre de stratégies maximales et réservées.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Attribuez le profil de sécurité configuré à TSYS1.
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
Résultats
En mode configuration, confirmez votre configuration en entrant les show system security-profilecommandes , show logical-systems LSYS1 security loget . show logical-systems LSYS1 routing-instances Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show system security-profile
LSYS1_profile {
logical-system LSYS1;
}
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
}
[edit]
user@host# show logical-systems LSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream LSYS1_s {
format binary;
host {
1.3.54.22;
}
}
[edit]
user@host# show logical-systems LSYS1 routing-instances
LSYS1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification des résultats détaillés pour le journal de sécurité
Objet
Vérifiez que la sortie affiche les informations sur les ressources pour tous les systèmes logiques.
Mesures à prendre
À partir du mode opérationnel, entrez la show system security-profile security-log-stream-number tenant all commande.
logical-system name security profile name usage reserved maximum
root-logical-system Default-Profile 0 0
Signification
La sortie affiche les informations sur les ressources pour les systèmes logiques.
Configuration des fichiers journaux de sécurité binaire intégrés pour le système logique
Les équipements SRX Series prennent en charge deux types de journaux : les journaux système et les journaux de sécurité.
Les deux types de journaux sont collectés et enregistrés sur site ou hors boîte. La procédure suivante explique comment configurer les journaux de sécurité au format binaire pour la journalisation intégrée (mode événement) pour le système logique.
La procédure suivante spécifie le format binaire pour la journalisation de sécurité en mode événement et définit le nom du fichier journal, le chemin d’accès et les caractéristiques du fichier journal pour le système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation en mode événement prête à l’emploi :
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(Facultatif) Spécifiez un nom de fichier journal.
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
Remarque :Le nom du fichier journal de sécurité n’est pas obligatoire. Si le nom du fichier journal de sécurité n’est pas configuré, le bin_messages de fichier est créé par défaut dans le répertoire /var/log.
Confirmez votre configuration en entrant la
show logical-systems LSYS1commande.[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
La procédure suivante spécifie le format binaire pour la journalisation de sécurité en mode flux et définit le nom et les caractéristiques du fichier journal pour le système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation en mode flux :
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(Facultatif) Spécifiez un nom de fichier journal.
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
Confirmez votre configuration en entrant la
show logical-systems LSYS1commande.[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Configuration des fichiers journaux de sécurité binaire distants pour le système logique
Les équipements SRX Series prennent en charge deux types de journaux : les journaux système et les journaux de sécurité.
Les deux types de journaux peuvent être collectés et sauvegardés sur boîte ou hors boîte. La procédure ci-dessous explique comment configurer les journaux de sécurité au format binaire pour la journalisation hors zone (mode flux).
La procédure suivante spécifie le format binaire pour la journalisation de sécurité en mode flux et définit le mode de journalisation, l’adresse source et les caractéristiques de nom d’hôte pour le système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation hors boîtier en mode flux :
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
Spécifiez l’adresse source pour la journalisation de sécurité hors zone.
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
Spécifiez le nom d’hôte.
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
Confirmez votre configuration en entrant la
show logical-systems LSYS1commande.[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
Comprendre le débogage du chemin de données pour les systèmes logiques
Le débogage du chemin de données fournit le suivi et le débogage au niveau de plusieurs unités de traitement le long du chemin de traitement des paquets. Le débogage du chemin de données peut également être effectué sur le trafic entre les systèmes logiques.
Seul l’administrateur principal peut configurer le débogage du chemin de données pour les systèmes logiques au niveau [edit security datapath-debug]. Les administrateurs du système logique de l’utilisateur ne peuvent pas configurer le débogage du chemin de données pour leurs systèmes logiques.
Le suivi d’événements de bout en bout retrace le chemin d’un paquet depuis son entrée dans l’appareil jusqu’à sa sortie. Lorsque l’administrateur principal configure le suivi des événements de bout en bout, la sortie du suivi contient des informations sur le système logique.
L’administrateur principal peut également configurer le suivi du trafic entre les systèmes logiques. La sortie de trace montre le trafic entrant et sortant du tunnel logique entre les systèmes logiques. Lorsque l’option preserve-trace-order est configurée, le message de suivi est trié chronologiquement. En plus de l’action de trace, d’autres actions telles que packet-dump et packet-summary peuvent être configurées pour le trafic entre les systèmes logiques.
Voir aussi
Exécution du traçage pour les systèmes logiques (administrateurs principaux uniquement)
Seul l’administrateur principal peut configurer le débogage des chemins de données pour les systèmes logiques au niveau racine.
Pour configurer un profil d’action pour une capture de trace ou de paquet :
Pour capturer des messages de suivi pour les systèmes logiques :
Configurez le fichier de capture de trace.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
Affichez la trace capturée en mode opérationnel.
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
Effacez le journal.
user@host> clear log e2e.trace
Pour capturer des paquets pour les systèmes logiques :
Configurez le fichier de capture de paquets.
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
Passez en mode opérationnel pour démarrer puis arrêter la capture de paquets.
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
Remarque :Les fichiers de capture de paquets peuvent être ouverts et analysés hors ligne avec tcpdump ou tout autre outil d’analyse des paquets qui reconnaît le format libpcap. Vous pouvez également utiliser FTP ou le protocole SCP (Session Control Protocol) pour transférer les fichiers de capture de paquets vers un périphérique externe.
Désactivez la capture de paquets à partir du mode configuration.
Remarque :Désactivez la capture de paquets avant d’ouvrir le fichier pour analyse ou de transférer le fichier vers un périphérique externe avec FTP ou SCP. La désactivation de la capture de paquets garantit que la mémoire tampon interne est vidée et que tous les paquets capturés sont écrits dans le fichier.
[edit forwarding-options] user@host# set packet-capture disable
Afficher la capture de paquets.
Pour afficher la capture de paquets avec l’utilitaire tcpdump :
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
Pour afficher la capture de paquets à partir du mode opérationnel de la CLI :
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
Voir aussi
Résoudre les problèmes liés à la résolution de noms DNS dans les stratégies de sécurité du système logique (administrateurs principaux uniquement)
Problème
Descriptif
L’adresse d’un nom d’hôte dans une entrée de carnet d’adresses utilisée dans une stratégie de sécurité peut ne pas se résoudre correctement.
Cause
Normalement, les entrées de carnet d’adresses qui contiennent des noms d’hôte dynamiques sont actualisées automatiquement pour les pare-feu SRX Series. Le champ TTL associé à une entrée DNS indique l’heure après laquelle l’entrée doit être actualisée dans le cache de la stratégie. Une fois la valeur TTL expirée, le pare-feu SRX Series actualise automatiquement l’entrée DNS d’une entrée de carnet d’adresses.
Toutefois, si le pare-feu SRX Series n’est pas en mesure d’obtenir une réponse du serveur DNS (par exemple, si la requête DNS ou le paquet de réponse est perdu dans le réseau ou si le serveur DNS ne peut pas envoyer de réponse), l’adresse d’un nom d’hôte dans une entrée de carnet d’adresses peut ne pas se résoudre correctement. Cela peut entraîner une baisse du trafic car aucune stratégie de sécurité ou correspondance de session n’est trouvée.
La solution
L’administrateur principal peut utiliser la commande pour afficher les show security dns-cache informations de cache DNS sur le pare-feu SRX Series. Si les informations du cache DNS doivent être actualisées, l’administrateur principal peut utiliser la clear security dns-cache commande.
Ces commandes ne sont disponibles que pour l’administrateur principal sur les appareils configurés pour les systèmes logiques. Cette commande n’est pas disponible dans les systèmes logiques utilisateur ou sur les périphériques qui ne sont pas configurés pour les systèmes logiques.
Voir aussi
Comportement des journaux de sécurité spécifiques à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme :
| Plate-forme |
Différence |
|---|---|
| SRX Series |
|