Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurer la journalisation système pour les équipements de sécurité

Présentation de la journalisation système pour les équipements de sécurité

Junos OS prend en charge la configuration et la surveillance des messages de journal système (également appelés messages syslog). Vous pouvez configurer des fichiers pour consigner les messages système et attribuer des attributs, tels que des niveaux de gravité, aux messages. Les demandes de redémarrage sont enregistrées dans les fichiers journaux système, que vous pouvez afficher à l’aide de la show log commande.

Cette section contient les rubriques suivantes :

Journaux du plan de contrôle et du plan de données

Junos OS génère des messages de journal distincts pour enregistrer les événements qui se produisent sur les plans de contrôle et de données du système.

  • Les journaux du plan de contrôle, également appelés journaux système, incluent les événements qui se produisent sur la plate-forme de routage. Le système envoie des événements de plan de contrôle au processus sur le moteur de routage, qui gère ensuite les événements à l’aide de stratégies Junos OS, en générant des messages de eventd journal système, ou les deux. Vous pouvez choisir d’envoyer les journaux du plan de contrôle à un fichier, un terminal utilisateur, une console de plate-forme de routage ou une machine distante. Pour générer des journaux de plan de contrôle, utilisez l’instruction syslog au niveau de la [system] hiérarchie.

  • Les journaux de plan de données, également appelés journaux de sécurité, incluent principalement les événements de sécurité qui sont gérés à l’intérieur du plan de données. Les journaux de sécurité peuvent être au format texte ou binaire, et ils peuvent être enregistrés localement (mode événement) ou envoyés à un serveur externe (mode flux). Le format binaire est requis pour le mode stream et recommandé pour économiser l’espace du journal en mode événement.

    Notez les points suivants :

    • Les journaux de sécurité peuvent être enregistrés localement (sur la boîte) ou en externe (hors boîte), mais pas les deux.

    • Les appareils SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 et SRX5800 sont en mode streaming par défaut. Pour spécifier un format binaire et un serveur externe, reportez-vous à la section Configuration des fichiers journaux de sécurité binaires hors boîtier.

      REMARQUE :

      Les journaux peuvent être supprimés si vous configurez la journalisation en mode événement sur ces périphériques.

      À partir de Junos OS version 15.1X49-D100, le mode par défaut de SRX1500 périphérique est le mode flux. Avant Junos OS version 15.1X49-D100, le mode par défaut de SRX1500 périphérique était le mode événement.

    • À l’exception des versions 18.4R1, 18,4R2, 19.1 et 19.2R1 de Junos OS, dans toutes les autres versions à partir de Junos OS version 18.3R3, le mode de journalisation par défaut pour les périphériques SRX300, SRX320, SRX340, SRX345, SRX550 et SRX550M est le mode flux. Les événements du plan de données sont écrits dans les fichiers journaux du système de la même manière que les événements du plan de contrôle. Pour spécifier le format binaire des journaux de sécurité, reportez-vous à la section Configuration des fichiers journaux de sécurité binaires hors boîte.

    À partir de Junos OS version 20.2R1, nous prenons en charge l’échappement dans le transfert de journaux de flux et la création de rapports intégrés pour éviter les erreurs d’analyse. Le mode Stream prend en charge l’échappement entrant sd-syslog et binary les formats lorsque les journaux ne sont pas envoyés au eventd processus. Pour les journaux envoyés au eventd processus, nous vous recommandons de ne pas activer d’option escape car le processus a activé l’échappement pour le eventd journal de la structure. Le mode Événement ne prend en charge l’échappement que dans le binary format. Par défaut, l’option escape est désactivée. Vous devez activer l’option à l’aide escape de la set security log escape commande.

Serveur de journaux système redondant

Le trafic de journalisation du système de sécurité destiné aux serveurs distants est envoyé via les ports d’interface réseau, qui prennent en charge deux destinations de journal système simultanées. Chaque destination de journalisation système doit être configurée séparément. Lorsque deux adresses de destination de journaux système sont configurées, des journaux identiques sont envoyés aux deux destinations. Bien que deux destinations puissent être configurées sur n’importe quel appareil prenant en charge cette fonctionnalité, l’ajout d’une deuxième destination est principalement utile en tant que sauvegarde redondante pour les déploiements de clusters de châssis autonomes et configurés activement/de secours.

Les informations suivantes sur le serveur redondant sont disponibles :

  • Installation: cron

  • Description: Processus de planification cron

  • Niveau de gravité (du plus élevé au plus bas) : debug

  • Description: Messages de débogage logiciel

Format binaire pour les journaux de sécurité

Junos OS génère des messages de journal distincts pour enregistrer les événements qui se produisent sur les plans de contrôle et de données du système. Le plan de contrôle surveille les événements qui se produisent sur la plate-forme de routage. Ces événements sont enregistrés dans les messages du journal système. Pour générer des messages de journal système, utilisez l’instruction syslog au niveau de la [system] hiérarchie.

Les messages de journal du plan de données, appelés messages du journal de sécurité, enregistrent les événements de sécurité que le système gère directement dans le plan de données. Pour générer des messages de journal de sécurité, utilisez l’instruction log au niveau de la [security] hiérarchie.

Les messages de journal système sont conservés dans des fichiers journaux dans des formats textuels, tels que BSD Syslog, Structured Syslog et WebTrends Enhanced Log Format (WELF).

Les messages des journaux de sécurité peuvent également être conservés au format texte. Toutefois, étant donné que la journalisation de sécurité peut produire de grandes quantités de données, les fichiers journaux textuels peuvent rapidement consommer du stockage et des ressources CPU. En fonction de votre implémentation de la journalisation de sécurité, un fichier journal au format binaire peut permettre d’utiliser plus efficacement le stockage intégré ou hors boîtier et d’optimiser l’utilisation du processeur. Le format binaire des messages du journal de sécurité est disponible sur tous les pare-feu SRX Series.

Lorsqu’il est configuré en mode événement, les messages du journal de sécurité générés dans le plan de données sont dirigés vers le plan de contrôle et stockés localement sur l’appareil. Les messages du journal de sécurité stockés au format binaire sont conservés dans un fichier journal distinct de celui utilisé pour conserver les messages du journal système. Les événements stockés dans un fichier journal binaire ne sont pas accessibles à l’aide des commandes avancées de script de journal destinées aux fichiers journaux textuels. Une commande opérationnelle CLI distincte prend en charge le décodage, la conversion et l’affichage des fichiers journaux binaires stockés localement sur l’équipement.

Lorsqu’il est configuré en mode flux, les messages du journal de sécurité générés dans le plan de données sont transmis à un périphérique distant. Lorsque ces messages sont stockés au format binaire, ils sont transmis directement à un serveur de collecte de journaux externe dans un format binaire spécifique à Juniper. Les fichiers journaux binaires stockés en externe ne peuvent être lus qu’à l’aide de Juniper Secure Analytics (JSA) ou Security Threat Response Manager (STRM).

À partir de Junos OS version 17.4R2 et ultérieure, sur les équipements SRX300, SRX320, SRX340, SRX345 Series et les instances du pare-feu virtuel vSRX, lorsque le périphérique est configuré en mode flux, vous pouvez configurer un maximum de huit hôtes du journal système. Dans Junos OS version 17.4R2 et versions antérieures, vous ne pouvez configurer que trois hôtes du journal système en mode flux. Si vous configurez plus de trois hôtes du journal système, le message d’erreur suivant s’affiche error: configuration check-out failed.

Pour plus d’informations sur la configuration des journaux de sécurité binaires intégrés (en mode événement), reportez-vous à la section Configuration des journaux de sécurité binaires intégrés. Pour plus d’informations sur la configuration des journaux de sécurité binaires hors boîtier (mode flux), reportez-vous à la section Configuration des fichiers journaux de sécurité binaires hors boîte.

Journaux et rapports intégrés

Cette rubrique décrit la fonctionnalité CLI de journalisation et de création de rapports intégrée, ainsi que les aspects de conception des rapports intégrés pour les équipements SRX.

Présentation

La journalisation du trafic sur des disques SSD prend en charge huit serveurs ou fichiers de journaux externes.

Un fichier XML tout-en-un contenant toutes les informations des journaux de trafic est ajouté. Le fichier XML génère également tous les fichiers d’en-tête de journalisation et les documents liés au journal de trafic.

Un nouveau processus (démon) appelé démon de gestion des journaux locaux (llmd ) est pris en charge dans les cartes de traitement des services 0 (SPCs0) pour gérer la journalisation du trafic intégrée. Le trafic généré par les SPC est répertorié dans les journaux de trafic. Le llmd enregistre ces journaux sur le SSD local. Les journaux de trafic sont enregistrés dans quatre formats différents. Reportez-vous à la section Tableau 1 pour en savoir plus sur les formats de journal.

Tableau 1 : Formats des journaux
Format du journal Description Par défaut
Syslog
  • Format de journal traditionnel pour enregistrer les journaux.
Oui
Sd-syslog
  • Format de fichier journal du système structuré.
  • Le plus descriptif et le plus long prend donc plus d’espace à stocker.
  • Le transfert des journaux enregistrés dans ce format prend plus de temps en raison de leur taille.
cloud de taille
Welf
  • WebTrends Enhanced Log File Format est un format d’échange de fichiers journaux standard de l’industrie.
  • Compatible avec Firewall Suite 2.0 et versions ultérieures, Firewall Reporting Center 1.0 et versions ultérieures, et Security Reporting Center 2.0 et versions ultérieures.
cloud de taille
Binaire
  • Format propriétaire de Juniper.
  • Le moins descriptif parmi tous les autres formats de journal et prend le moins d’espace par rapport aux autres formats de journal.
cloud de taille
Protobuf
  • Le mécanisme extensible de Google, indépendant de la langue et de la plate-forme, pour la sérialisation des données structurées.

  • Une méthode différente est utilisée pour encoder les données.

  • La taille du fichier est petite par rapport à syslog et sd-syslog.

 

Le mécanisme de création de rapports est une amélioration de la fonctionnalité de journalisation existante. La fonctionnalité de journalisation existante est modifiée pour collecter les journaux de trafic système, analyser les journaux et générer des rapports de ces journaux sous forme de tableaux à l’aide de l’interface de ligne de commande. La fonction de rapport intégrée est destinée à fournir une interface simple et facile à utiliser pour afficher les journaux de sécurité. Les rapports intégrés sont des pages J-Web faciles à utiliser de divers événements de sécurité sous forme de tableaux et de graphiques. Les rapports permettent à la direction de la sécurité informatique d’identifier les informations de sécurité en un coup d’œil et de décider rapidement des actions à entreprendre. Une analyse approfondie des journaux est effectuée (en fonction des types de session) pour des fonctionnalités telles que l’écran, l’IDP, la sécurité du contenu et IPSec.

Vous pouvez définir des filtres pour les données de journal signalées en fonction des critères suivants :

REMARQUE :

Les conditions supérieures, de détail et d’intervalle ne peuvent pas être utilisées en même temps.

  • top <number>: cette option vous permet de générer des rapports pour les principaux événements de sécurité, comme spécifié dans la commande. Par exemple : les 5 principales attaques IPS ou les 6 principales URL détectées par Content Security.

  • in-detail <number>: cette option vous permet de générer le contenu du journal détaillé.

  • in-interval <time-period>: cette option vous permet de générer les événements consignés entre certains intervalles de temps.

  • summary: cette option vous permet de générer le résumé des événements. De cette façon, vous pouvez affiner le rapport en fonction de vos besoins et n’afficher que les données que vous souhaitez utiliser.

Le nombre maximal d’intervalles qui indique le nombre d’intervalles est de 30. Si une grande durée est spécifiée, les compteurs sont assemblés pour s’assurer que l’intervalle maximal est inférieur à 30.

Les options « tout » et « résumé » ont toutes deux l’option « all », car une table différente a un attribut différent (comme la table de session n’a pas l’attribut « reason » mais Content Security l’a), l’option « all » n’a pas de filtre à l’exception de l’heure de début et de l’heure de fin. S’il existe un autre filtre que l’heure de début et l’heure de fin, une erreur s’affiche.

Par exemple : root@host> afficher le rapport détaillé du journal de sécurité pour toutes les raisons1

Les journaux du pare-feu applicatif pour la visibilité des applications et des utilisateurs répertorient les applications et les applications imbriquées. Lorsque les journaux de ces fonctionnalités répertorient les applications imbriquées, les applications imbriquées sont répertoriées dans J-Web. Lorsque les journaux répertorient les applications imbriquées comme non applicables ou inconnues, seules les applications sont répertoriées dans J-Web.

Utilisez les commandes CLI suivantes pour la visibilité des applications et des utilisateurs sur toutes les applications et la liste des applications imbriquées :

  • Pour l’application imbriquée supérieure par nombre—show security log report top session-close top-number <number> group-by application order-by count with user

  • Pour les meilleures applications imbriquées par volume—show security log report top session-close top-number <number> group-by application order-by volume with user

  • Pour le nombre d’utilisateurs le plus élevé avec application imbriquée—show security log report top session-close top-number <number> group-by user order-by count with application

La fonctionnalité de création de rapports intégrée est activée par défaut lorsque vous chargez les configurations d’usine par défaut sur le pare-feu SRX Series avec Junos OS version 15.1X49-D100 ou ultérieure.

Si vous mettez à niveau votre pare-feu SRX Series à partir d’une version de Junos OS antérieure à Junos OS 15.1X49-D100, le pare-feu SRX Series hérite de la configuration existante et la fonctionnalité de création de rapports intégrée est désactivée par défaut. Vous devez configurer la commande et la commande pour activer la set security log reportset security log mode stream fonctionnalité de création de rapports sur l’appareil mis à niveau.

À partir de Junos OS version 19.3R1 , la configuration d’usine par défaut n’inclut pas la configuration de génération de rapports intégrée pour augmenter la durée de vie du disque SSD. Vous pouvez activer la fonctionnalité de création de rapports en configurant la commande CLI au niveau de [edit security log] la set security log report hiérarchie.

Reportez-vous au Guide de l’utilisateur J-Web pour les périphériques SRX Series pour effectuer cette tâche sur l’interface utilisateur J-Web .

À partir de Junos OS version 21.3R1, les journaux de rapports intégrés sont stockés sur le système de fichiers mémoire (MFS) s’il n’y a pas de SSD externe. Le nombre maximal de journaux que vous pouvez enregistrer sur MFS est inférieur à ce que vous pouvez enregistrer sur un SSD externe. Cela permet d’éviter l’épuisement et la défaillance de la mémoire. Les journaux enregistrés dans MFS ne sont pas conservés après le redémarrage de l’appareil ou une panne de courant. Reportez-vous à la section Tableau 2 pour connaître le nombre de journaux enregistrés dans les rapports on-box et out-box.

Tableau 2 : Nombre de journaux
Mode de rapport Session Écran IDP (en anglais seulement) Sécurité du contenu VPN IPsec CIEL
Hors boîtier 1200,000 120,000 120,000 120,000 40 000 120,000
Boîte à manger 500 000 50 000 50 000 50 000 20,000 50 000
REMARQUE :

Vous devez configurer la stratégie de sécurité pour la session à l’aide de la commande permettant de répertorier toutes les applications et les applications imbriquées dans Application Tracking sur J-Web à l’aide de la fonction de création de set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close rapports intégrée. Pour plus d’informations, consultez la section Stratégies de sécurité pour plus d’informations.

Une fois le message de journal enregistré, le journal est stocké dans un fichier journal qui est ensuite stocké dans la table de base de données de l’ER pour une analyse plus approfondie (sur les périphériques SRX300, SRX320, SRX340, SRX345 et SRX550M) ou sur la carte SSD pour une analyse plus approfondie (sur les périphériques SRX1500, SRX4100 et SRX4200).

REMARQUE :

Cette fonctionnalité prend en charge la réception de la plupart des rapports en fonction du nombre ou du volume de la session ou du type de journal, capture les événements se produisant chaque seconde dans une plage de temps spécifiée, capture le contenu du journal pour une condition CLI spécifiée. Diverses conditions CLI telles que « résumé », « haut », « en détail » et « en cours d’intervalle » sont utilisées pour générer des rapports. Vous ne pouvez générer qu’un seul rapport à la fois à l’aide de l’interface de ligne de commande. Toutes les conditions CLI ne peuvent pas être utilisées en même temps. Vous ne pouvez générer qu’un seul rapport à la fois à l’aide de l’interface de ligne de commande.

Les avantages de cette fonctionnalité sont les suivants :

  • Les rapports sont stockés localement sur le pare-feu SRX Series et aucun équipement ou outil distinct n’est nécessaire pour le stockage des journaux et des rapports.

  • Les rapports intégrés sont des pages J-Web faciles à utiliser de divers événements de sécurité sous forme de tableaux et de graphiques.

  • Fournit une interface simple et facile à utiliser pour afficher les journaux de sécurité.

  • Les rapports générés permettent à l’équipe de gestion de la sécurité informatique d’identifier les informations de sécurité en un coup d’œil et de décider rapidement des actions à entreprendre.

La fonction de création de rapports intégrée prend en charge :

  • Génération de rapports basés sur les besoins. Par exemple : le nombre ou le volume de la session, les types de journaux pour des activités telles que IDP, la sécurité du contenu, le VPN IPsec.

  • Capturer des événements en temps réel dans une plage de temps spécifiée.

  • Capturez toutes les activités du réseau dans un format logique, organisé et facile à comprendre en fonction des diverses conditions spécifiées par la CLI.

Fonctionnalités de création de rapports sur site

La fonction de création de rapports intégrée prend en charge :

  • Sqlite3 support as a library—sqlite3 n’était pas pris en charge avant la version 15.1X49-D100 de Junos OS. À partir de Junos OS version 15.1X49-D100, une base de données de journaux SQL (SQLite version 3) est utilisée par les démons exécutés sur le RE ainsi que d’autres modules potentiels pour stocker les journaux sur les pare-feu SRX Series.

    Dans Junos OS version 19.4R1, nous avons mis à niveau la base de données de journalisation intégrée pour améliorer les performances des requêtes.

  • Running llmd in both Junos OS and Linux OS—Le démon de transfert (flowd) décode l’index de la base de données des journaux binaires et envoie l’index et le journal au démon de gestion local (llmd).

    Sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550M, llmd s’exécute en Junos OS. Sur les appareils SRX1500, SRX4100 et SRX4200, llmd s’exécute sous Linux. Ainsi, pour que llmd s’exécute à la fois sous Junos OS et Linux, le répertoire de code llmd est déplacé du côté Linux vers le côté Junos OS.

  • Storing of logs into specified table of the sqlite3 database by llmd— Un nouveau démon syslog est introduit pour collecter les journaux locaux sur les pare-feu SRX Series et les enregistrer dans la base de données.

    À partir de Junos OS version 19.3R1, Junos OS stocke les journaux dans plusieurs tables au lieu d’une seule table dans un fichier de base de données. Chaque table contient l’horodatage des journaux les plus anciens et les plus récents. Lorsque vous lancez une requête en fonction de l’heure de début et de fin, llmd trouve la dernière table pour générer des rapports.

    Par exemple, s’il y a 5 millions de journaux dans une table d’un fichier de base de données généré au cours des 10 dernières heures, et si vous voulez prendre un rapport, vous devez passer plus d’une demi-heure. À partir de Junos OS version 19.3R1, une table est séparée en plusieurs tables, et chaque table contient 0,5 million de journaux. Pour générer le même rapport, une seule information de table suffit.

    Nous vous recommandons d’effectuer une requête avec un temps plus court pour de meilleures performances.

    • Database table definition: pour les journaux de session, les types de données sont adresse-source, adresse-destination, application, utilisateur, etc. Pour les journaux liés aux fonctionnalités de sécurité, les types de données sont le nom de l’attaque, l’URL, le protocole de profil, etc. Par conséquent, différentes tables sont conçues pour stocker différents types de journaux afin d’améliorer les performances et d’économiser de l’espace disque. Le pare-feu SRX Series crée une table de base de données pour chaque type de journal lorsque les données du journal sont enregistrées.

      Chaque type de table de base de données a son numéro d’enregistrement maximal spécifique à l’appareil. Lorsque le numéro d’enregistrement de la table atteint la limite, les nouveaux journaux remplacent les journaux les plus anciens. Junos OS stocke le journal dans un pare-feu SRX Series dans lequel le trafic actif est transmis.

      À partir de Junos OS version 19.3R1, vous pouvez créer plusieurs tables dans un fichier de base de données pour stocker les journaux. Vous pouvez définir la capacité de stockage des journaux dans une table.

      Si la limite du nombre de journaux dépasse la capacité de la table, Junos OS stocke les journaux dans la deuxième table. Par exemple, si la limite de journaux dans la table 1 dépasse la capacité de la table, Junos OS stocke les journaux dans la table 2.

      Si la limite du numéro de journal dépasse la dernière table du fichier 1, Junos OS stocke les journaux dans la table 1 du fichier 2. Par exemple, la table n est la dernière table du fichier 1. Lorsque les journaux dépassent la capacité de la table, Junos OS stocke les journaux dans la table 1 du fichier 2.

      Pour prendre effet immédiatement après avoir modifié le numéro de table, utilisez clear security log report la commande opérationnelle.

    • Database table rotation: chaque type de table de base de données a son numéro d’enregistrement maximal spécifique à l’appareil. Lorsque le numéro d’enregistrement de la table atteint la limite, les nouveaux journaux remplacent les journaux les plus anciens.

      Voici Tableau 3 la description de la capacité de taille du fichier de base de données :

      Tableau 3 : Capacité de taille de fichier de la base de données

      Équipements et appareils

      Session

      Écran

      IDP (en anglais seulement)

      Sécurité du contenu

      VPN IPsec

      CIEL

      SRX300, SRX320, SRX340, SRX345 et SRX550M

      1.8G

      0.18G

      0,18 G

      0,18 G

      0.06G

      0,18 G

      SRX1500

      12G

      2.25G

      2,25 G

      2,25 G

      0.75G

      2,25 G

      SRX4100 et SRX4200

      15G

      2,25 G

      2,25 G

      2,25 G

      0,75 G

      2,25 G

      SRX4600

      22,5 G

      6G

      La 6G

      La 6G

      0,75 G

      2,25 G

      Pare-feu virtuel vSRX

      1,8 G

      0,18 G

      0,18 G

      0,18 G

      0,06 G

      0,18 G

  • Calculating and displaying the reports that are triggered by CLI: les rapports de la base de données sont reçus de la CLI en tant qu’interface. À l’aide de l’interface de ligne de commande, vous pouvez calculer et afficher les détails des rapports.

Sélection de la table

Lorsque vous souhaitez générer un rapport à partir de plusieurs tables, llmd trie les tables en fonction de l’horodatage et sélectionne les tables en fonction de l’heure de début et de l’heure de fin demandées.

Par exemple, il existe trois tableaux, à savoir le tableau 1 (1 à 3), le tableau 2 (3 à 5) et le tableau 3 (6 à 8). 1 à 3, 3 à 6 et 6 à 8 indique l’horodatage des journaux les plus récents et les plus anciens. Si vous demandez un rapport de 4 à 6, Junos OS génère un rapport à partir des tableaux 2 et 3.

Durée de vie de la table

Vous pouvez décider de la durée de vie de la table en configurant set security log report table-lifetime la commande. Junos OS supprime la table lorsque la durée d’identification de la table dépasse la durée de vie de la table. Par exemple, si vous configurez la durée de vie de la table sur 2 et que la date actuelle est le 26 juillet 2019, cela signifie que le 24 juillet 2019 00 :00 :00, les journaux sont supprimés.

Si vous modifiez manuellement la date et l’heure sur un appareil, la durée de vie de la table change. Par exemple, si l’heure d’identification d’une table est 19-juillet-2019 et que vous configurez la durée de vie de la table sur 10, Junos OS doit supprimer la table le 29-juillet-2019. Si vous définissez la date de l’appareil sur 18 juillet 2019, la durée de vie réelle de la table devient 30 juillet 2019.

Table Dense Mode

Dans Junos OS version 19.4R1, nous avons mis à niveau le mécanisme de stockage et de recherche par défaut dans la base de données de journalisation intégrée pour gérer les journaux. Vous pouvez désormais personnaliser le stockage des journaux et les résultats du mécanisme de recherche. Par exemple, si vous prévoyez moins de journaux de trafic, vous pouvez utiliser la configuration par défaut avec une heure de début et une heure de fin.

Toutefois, si vous prévoyez un grand nombre de journaux de trafic et des intervalles de temps plus longs pour lesquels les journaux seront générés, activez le mode dense mode. Pour activer le mode dense, utilisez la set security log report table-mode dense commande configuration.

Scénario de cluster de châssis

Pour les rapports intégrés dans un cluster de châssis, les journaux sont stockés sur le disque local sur lequel l’équipement traite le trafic actif. Ces journaux ne sont pas synchronisés avec l’homologue du cluster de châssis.

Chaque nud est responsable du stockage des journaux lorsqu’il traite du trafic actif. Dans le cas du mode actif/passif, seul le nœud actif traite le trafic et les journaux sont également stockés uniquement dans le nœud actif. En cas de basculement, le nouveau nœud actif traite le trafic et stocke les journaux sur son disque local. En cas de mode actif/actif, chaque nœud traite son propre trafic et les journaux sont stockés dans les nœuds respectifs.

Surveiller les rapports

Les rapports intégrés offrent une fonction de rapport complète où votre équipe de gestion de la sécurité peut repérer un événement de sécurité lorsqu’il se produit, accéder immédiatement aux détails pertinents sur l’événement et les examiner, et décider rapidement des mesures correctives appropriées. La fonction de création de rapports J-Web fournit des rapports d’une ou deux pages qui équivalent à une compilation de nombreuses entrées de journal.

Cette section contient les rubriques suivantes :

Rapport de surveillance des menaces

But

Utilisez le rapport sur les menaces pour surveiller les statistiques générales et les rapports d’activité sur les menaces actuelles qui pèsent sur le réseau. Vous pouvez analyser les données de journalisation pour déterminer le type de menace, la source et la destination, ainsi que des informations sur la fréquence des menaces. Le rapport calcule, affiche et actualise les statistiques, fournissant des représentations graphiques de l’état actuel du réseau.

Action

Pour consulter le rapport sur les menaces :

  1. Cliquez en Threats Report bas à droite du tableau de bord ou sélectionnez Monitor>Reports>Threats dans l’interface utilisateur de J-Web. Le rapport sur les menaces s’affiche.

  2. Sélectionnez l’un des onglets suivants :

    • Statistics Onglet. Reportez-vous à la section Tableau 4 pour une description du contenu de la page.

    • Activities Onglet. Reportez-vous à la section Tableau 5 pour une description du contenu de la page.

Tableau 4 : Sortie de l’onglet Statistiques dans le rapport sur les menaces

Champ

Description

Volet Statistiques générales

Catégorie de menace

L’une des catégories de menaces suivantes :

  • Trafic

  • IDP (en anglais seulement)

  • Sécurité du contenu

    • Antivirus

    • Antispam

    • Web Filter (Filtre Web) : cliquez sur la catégorie Web filter (Filtre Web) pour afficher les compteurs de 39 sous-catégories.

    • Filtre de contenu

  • Événement de pare-feu

  • DNS

Gravité

Niveau de gravité de la menace :

  • Émergent

  • Alerte

  • Crit

  • Err

  • Avertissement

  • Avis

  • Info

  • Debug

Visites au cours des dernières 24 heures

Nombre de menaces rencontrées par catégorie au cours des dernières 24 heures.

Hits dans l’heure en cours

Nombre de menaces rencontrées par catégorie au cours de la dernière heure.

Nombre de menaces au cours des dernières 24 heures

Par gravité

Graphique représentant le nombre de menaces reçues chaque heure au cours des dernières 24 heures, trié par niveau de gravité.

Par catégorie

Graphique représentant le nombre de menaces reçues chaque heure au cours des dernières 24 heures, trié par catégorie.

Axe X

Vingt-quatre heures, l’heure actuelle occupant la colonne la plus à droite de l’écran. Le graphique se déplace vers la gauche toutes les heures.

Axe

Nombre de menaces rencontrées. L’axe est automatiquement mis à l’échelle en fonction du nombre de menaces rencontrées.

Menaces les plus récentes

Nom de la menace

Noms des menaces les plus récentes. En fonction de la catégorie de menace, vous pouvez cliquer sur le nom de la menace pour accéder au site d’un moteur d’analyse afin d’obtenir une description de la menace.

Catégorie

Catégorie de chaque menace :

  • Trafic

  • IDP (en anglais seulement)

  • Sécurité du contenu

    • Antivirus

    • Antispam

    • Filtre Web

    • Filtre de contenu

  • Événement de pare-feu

  • DNS

Source IP/Port

L’adresse IP source (et le numéro de port, le cas échéant) de la menace.

Destination IP/Port

Adresse IP de destination (et numéro de port, le cas échéant) de la menace.

Protocole

Nom de protocole de la menace.

Description

Identification des menaces en fonction du type de catégorie :

  • Antivirus : URL

  • Filtre Web : catégorie

  • Filtre de contenu : motif

  • Antispam : e-mail de l’expéditeur

Action

Mesures prises en réponse à la menace.

Temps de frappe

Heure à laquelle la menace s’est produite.

Évolution des menaces au cours des dernières 24 heures

Catégorie

Graphique circulaire représentant les dénombrements comparatifs des menaces par catégorie :

  • Trafic

  • IDP (en anglais seulement)

  • Sécurité du contenu

    • Antivirus

    • Antispam

    • Filtre Web

    • Filtre de contenu

  • Événement de pare-feu

  • DNS

Récapitulatif des compteurs de filtres Web

Catégorie

Le nombre de filtres Web est divisé en 39 sous-catégories. Cliquez sur la liste des filtres Web dans le volet Statistiques générales pour ouvrir le volet Résumé des compteurs de filtres Web.

Visites au cours des dernières 24 heures

Nombre de menaces par sous-catégorie au cours des dernières 24 heures.

Hits dans l’heure en cours

Nombre de menaces par sous-catégorie au cours de la dernière heure.

Tableau 5 : Sortie de l’onglet Activités dans le rapport sur les menaces

Champ

Fonction

Attaques virales les plus récentes

Nom de la menace

Nom de la menace virale. Les virus peuvent être basés sur des services, tels que le Web, le FTP ou le courrier électronique, ou sur le niveau de gravité.

Gravité

Niveau de gravité de chaque menace :

  • Émergent

  • Alerte

  • Crit

  • Err

  • Avertissement

  • Avis

  • Info

  • Debug

Source IP/Port

Adresse IP (et numéro de port, le cas échéant) de la source de la menace.

Destination IP/Port

Adresse IP (et numéro de port, le cas échéant) de la destination de la menace.

Protocole

Nom de protocole de la menace.

Description

Identification des menaces en fonction du type de catégorie :

  • Antivirus : URL

  • Filtre Web : catégorie

  • Filtre de contenu : motif

  • Antispam : e-mail de l’expéditeur

Action

Mesures prises en réponse à la menace.

Heure du dernier coup

La dernière fois que la menace s’est produite.

Expéditeurs d’e-mails de spam les plus récents

À partir de l’e-mail

Adresse e-mail à l’origine du spam.

Gravité

Niveau de gravité de la menace :

  • Émergent

  • Alerte

  • Crit

  • Err

  • Avertissement

  • Avis

  • Info

  • Debug

Source IP

Adresse IP de la source de la menace.

Action

Mesures prises en réponse à la menace.

Heure du dernier envoi

Dernière fois que le spam a été envoyé.

Requêtes d’URL récemment bloquées

URL

Demande d’URL qui a été bloquée.

Source IP/Port

Adresse IP (et numéro de port, le cas échéant) de la source.

Destination IP/Port

Adresse IP (et numéro de port, le cas échéant) de la destination.

Hits dans l’heure en cours

Nombre de menaces rencontrées au cours de la dernière heure.

Attaques IDP les plus récentes

Attaque

Gravité

Gravité de chaque menace :

  • Émergent

  • Alerte

  • Crit

  • Err

  • Avertissement

  • Avis

  • Info

  • Debug

Source IP/Port

Adresse IP (et numéro de port, le cas échéant) de la source.

Destination IP/Port

Adresse IP (et numéro de port, le cas échéant) de la destination.

Protocole

Nom de protocole de la menace.

Action

Mesures prises en réponse à la menace.

Heure du dernier envoi

La dernière fois que la menace de PDI a été envoyée.

Rapport de surveillance du trafic

But

Surveillez le trafic réseau en examinant les rapports des sessions de flux au cours des dernières 24 heures. Vous pouvez analyser les données de journalisation pour obtenir des statistiques de connexion et d’utilisation des sessions à l’aide d’un protocole de transport.

Action

Pour afficher le trafic réseau au cours des dernières 24 heures, sélectionnez Monitor>Reports>Traffic dans l’interface utilisateur de J-Web. Reportez-vous à la section Tableau 6 pour une description du rapport.

Tableau 6 : Sortie du rapport de trafic

Champ

Description

Sessions au cours des dernières 24 heures par protocole

Nom du protocole

Nom du protocole. Pour afficher l’activité horaire par protocole, cliquez sur le nom du protocole et consultez le « Graphique des activités du protocole » dans le volet inférieur.

  • TCP

  • UDP

  • ICMP

Session totale

Nombre total de sessions pour le protocole au cours des dernières 24 heures.

Octets entrants (Ko)

Nombre total d’octets entrants en Ko.

Octets sortants (Ko)

Nombre total d’octets sortants en Ko.

Paquets entrants

Nombre total de paquets entrants.

Paquets sortants

Nombre total de paquets sortants.

Dernières séances à huis clos

Source IP/Port

Adresse IP source (et numéro de port, le cas échéant) de la session fermée.

Destination IP/Port

Adresse IP de destination (et numéro de port, le cas échéant) de la session fermée.

Protocole

Protocole de la séance à huis clos.

  • TCP

  • UDP

  • ICMP

Octets entrants (Ko)

Nombre total d’octets entrants en Ko.

Octets sortants (Ko)

Nombre total d’octets sortants en Ko.

Paquets entrants

Nombre total de paquets entrants.

Paquets sortants

Nombre total de paquets sortants.

Timestamp

L’heure à laquelle la session a été clôturée.

Tableau des activités du protocole

Octets entrants/sortants

Représentation graphique du trafic en octets entrants et sortants par heure. Le nombre d’octets correspond au protocole sélectionné dans le volet Sessions au cours des dernières 24 heures par protocole. La modification de la sélection entraîne l’actualisation immédiate de ce graphique.

Entrées/sorties de paquets

Représentation graphique du trafic sous forme de paquets entrants et sortants par heure. Le nombre de paquets correspond au protocole sélectionné dans le volet Sessions au cours des dernières 24 heures par protocole. La modification de la sélection entraîne l’actualisation immédiate de ce graphique.

Sessions

Représentation graphique du trafic sous la forme du nombre de sessions par heure. Le nombre de sessions correspond au protocole sélectionné dans le volet Sessions au cours des dernières 24 heures par protocole. La modification de la sélection entraîne l’actualisation immédiate de ce graphique.

Axe X

Une heure par colonne pendant 24 heures.

Axe

Nombre d’octets, de paquets ou de sessions.

Tableau de session de protocole

Sessions par protocole

Représentation graphique du trafic sous la forme du nombre de sessions en cours par protocole. Les protocoles affichés sont TCP, UDP et ICMP.

Configurer les fichiers journaux de sécurité binaires intégrés

Les pare-feu SRX Series utilisent deux types de journaux : les journaux système et les journaux de sécurité, pour enregistrer les événements système. Les journaux système enregistrent les événements du plan de contrôle, par exemple lorsqu’un utilisateur administrateur se connecte. Les journaux de sécurité, également appelés journaux de trafic, enregistrent les événements du plan de données concernant une gestion spécifique du trafic. Par exemple, Junos OS génère un journal de sécurité si une stratégie de sécurité refuse certains trafics en raison d’une violation de stratégie. Pour plus d’informations sur les journaux système, reportez-vous à la section Présentation des journaux système de Junos OS. Pour plus d’informations sur les journaux de sécurité, reportez-vous à la section Présentation de la journalisation système des équipements de sécurité.

Vous pouvez collecter et enregistrer les journaux système et de sécurité au format binaire, soit sur la boîte (c’est-à-dire stockés localement sur le pare-feu SRX Series), soit hors boîte (diffusés sur un périphérique distant). L’utilisation du format binaire garantit que les fichiers journaux sont stockés efficacement, ce qui améliore l’utilisation du processeur.

Vous pouvez configurer les fichiers de sécurité au format binaire à l’aide de l’instruction au niveau de log la [security] hiérarchie.

La journalisation intégrée est également connue sous le nom de journalisation en mode événement. Pour la journalisation de sécurité en mode flux et hors boîtier, reportez-vous à la section Configuration des fichiers journaux de sécurité binaires hors boîtier. Lorsque vous configurez des journaux de sécurité au format binaire pour la journalisation en mode événement, vous pouvez éventuellement définir le nom du fichier journal, le chemin d’accès au fichier et d’autres caractéristiques, comme indiqué dans la procédure suivante :

  1. Spécifiez le mode et le format de journalisation pour la journalisation intégrée.
    REMARQUE :

    Si vous configurez la journalisation système pour envoyer les journaux système vers une destination externe (c’est-à-dire hors boîtier ou en mode flux), les journaux de sécurité sont également envoyés à cette destination, même si vous utilisez la journalisation de sécurité en mode événement. Pour plus d’informations sur l’envoi de journaux système vers une destination externe, consultez Exemples : Configuration de la journalisation système.

    REMARQUE :

    Il n’est pas possible d’activer simultanément les modes de journalisation de sécurité à l’extérieur et à l’extérieur.

  2. (Facultatif) Définissez un nom et un chemin d’accès pour le fichier journal.
    REMARQUE :

    Le nom du fichier journal de sécurité n’est pas obligatoire. Si le nom du fichier journal de sécurité n’est pas configuré, le fichier bin_messages est créé par défaut dans le répertoire /var/log.

  3. (Facultatif) Modifiez la taille maximale du fichier journal et le nombre maximal de fichiers journaux pouvant être archivés.
    REMARQUE :

    Par défaut, la taille maximale du fichier journal est de 3 Mo et un total de trois fichiers journaux peuvent être archivés.

    Dans les exemples de commandes suivants, vous définissez une valeur de 5 Mo et 5 fichiers archivés, respectivement :

  4. (Facultatif) Configurez l’indicateur hpl pour activer les traces de diagnostic pour les fichiers journaux de sécurité binaires. Le préfixe smf_hpl identifie toutes les traces de journalisation binaire.
  5. Pour la stratégie de sécurité d’autorisation par défaut, les journaux de trafic sont RT_FLOW générés à la fin d’une session.
  6. (Facultatif) Les journaux de trafic sont RT_FlOW générés au démarrage d’une session.

Affichez le contenu du fichier journal en mode événement stocké sur l’appareil à l’aide show security log file de la commande et utilisez la commande pour clear security log file effacer le contenu du fichier journal de sécurité binaire en mode événement.

REMARQUE :

La show security log commande affiche les messages du journal de sécurité en mode événement s’ils sont au format texte et la commande affiche les show security log file messages du journal de sécurité en mode événement s’ils sont au format binaire (intégré). La journalisation binaire hors boîtier est lue par Juniper Secure Analytics (JSA).

Configurer les fichiers journaux de sécurité binaires distants

Les pare-feu SRX Series ont deux types de journaux : journaux système et journaux de sécurité. Les journaux système enregistrent les événements du plan de contrôle, par exemple la connexion administrateur à l’appareil. Pour plus d’informations sur les journaux système, reportez-vous à la présentation des journaux système de Junos OS. Les journaux de sécurité, également appelés journaux de trafic, enregistrent les événements du plan de données concernant une gestion spécifique du trafic, par exemple lorsqu’une stratégie de sécurité refuse certains trafics en raison d’une violation de la stratégie. Pour plus d’informations sur les journaux de sécurité, reportez-vous à la section Présentation de la journalisation système des équipements de sécurité.

Les deux types de journaux peuvent être collectés et enregistrés dans la boîte ou hors boîte. La procédure ci-dessous explique comment configurer les journaux de sécurité au format binaire pour la journalisation hors boîtier (mode flux).

Vous pouvez configurer les fichiers de sécurité au format binaire à l’aide de l’instruction au niveau de log la [security] hiérarchie.

La procédure suivante spécifie le format binaire pour la journalisation de la sécurité en mode flux et définit le nom du fichier journal, le chemin d’accès et les caractéristiques du fichier journal. Pour la journalisation de sécurité intégrée en mode événement, reportez-vous à la section Configuration des fichiers journaux de sécurité binaires intégrés.

  1. Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation en mode flux hors boîtier :
    REMARQUE :

    Il n’est pas possible d’activer simultanément les modes de journalisation de sécurité à l’extérieur et à l’extérieur.

  2. Pour la journalisation de sécurité hors boîtier, spécifiez l’adresse source, qui identifie le pare-feu SRX Series qui a généré les messages de journal. L’adresse source est obligatoire.
  3. Vous pouvez également définir un nom de fichier journal et un chemin d’accès.
    REMARQUE :

    Le nom du fichier journal de sécurité n’est pas obligatoire. Si le nom du fichier journal de sécurité n’est pas configuré, le fichier bin_messages est créé par défaut dans le répertoire /var/log.

  4. Vous pouvez également modifier la taille maximale du fichier journal et le nombre maximal de fichiers journaux pouvant être archivés. Par défaut, la taille maximale du fichier journal est de 3 Mo et un total de trois fichiers journaux peuvent être archivés.
  5. Vous pouvez également sélectionner l’indicateur hpl pour activer les traces de diagnostic pour la journalisation binaire. Le préfixe smf_hpl identifie toutes les traces de journalisation binaires.
  6. Affichez le contenu du fichier journal en mode événement stocké sur l’équipement à l’aide de Juniper Secure Analytics (JSA) ou de Security Threat Response Manager (STRM).

Configurer les fichiers journaux de sécurité Protobuf en mode événement

Protocol Buffers (Protobuf) is a data format used to serialize structured security logs. You can configure the security log using protobuf format. Data plane use the Protobuf to encode the log and send the log to rtlog process. The rtlog process saves the log file based on the device configuration. By default, the log files are stored in /var/log/filename.pb directory. You can decode the file data using rtlog process.
Pour configurer le format Protobuf en mode événement :
  1. Spécifiez le mode et le format de journalisation pour la journalisation intégrée.
  2. Définissez un nom et un chemin d’accès pour le fichier journal.
  3. Modifiez la taille maximale du fichier journal et le nombre maximal de fichiers journaux pouvant être archivés.

Affichez le contenu du fichier journal protobuf stocké sur l’appareil à l’aide de la show security log file file1.pb commande.

user@host> show security log file file1.pb

Configurer les fichiers journaux de sécurité Protobuf en mode flux

Data plane use the Protobuf to encode the log and send the log to llmd process. The llmd process saves the log file based on the device configuration. By default, the log files are stored in /var/traffic-log/filename.pb directory. You can decode the log file data using uspinfo process.
Pour configurer le format Protobuf en mode flux vers fichier :
  1. Spécifiez le mode et le format de journalisation pour la journalisation intégrée.
  2. Définissez un nom pour le fichier journal.
  3. Modifiez la taille maximale du fichier journal pouvant être archivé.

Affichez le contenu du fichier journal protobuf stocké sur l’appareil à l’aide de la show security log stream file file2.pb commande.

user@host> show security log file file2.pb

Configurer les fichiers journaux de sécurité Protobuf hors boîtier

Le plan de données utilise le format Protobuf en stream mode et pour encoder le journal et stream-event l’envoyer à l’hôte. Les données du journal de sécurité sont envoyées à l’hôte à l’aide d’un protocole de transport et d’un numéro de port différents. L’hôte reçoit le journal protobuf et l’enregistre dans un fichier. Copiez hplc_collect.pyles fichiers , hplc_view.pyet security_log.xmlprotobuflog.proto sur l’hôte. Le hplc_collect.py est utilisé pour collecter et enregistrer les fichiers journaux sur l’hôte. Le protobuflog.proto est utilisé pour décoder les données du fichier sur l’hôte et vous pouvez afficher les données à l’aide hplc_view.pyde . Les fichiers sont publiés /share/juniper et copiés sur l’hôte. Les hplc_collect.py fichiers et hplc_view.py prennent en charge la dernière version 3 de python.

Pour configurer le format Protobuf en mode stream-event pour héberger :
  1. Spécifiez le mode de journalisation et le format de flux de journal pour la journalisation hors boîte. Il Stream-event s’agit d’une combinaison du mode stream et du mode événement.
  2. Pour la journalisation de sécurité hors boîtier, spécifiez l’adresse source, qui identifie le pare-feu SRX Series qui a généré les messages de journal.
  3. Définissez un nom et un chemin d’accès pour le fichier journal.
  4. Configurez le flux de journal s1 avec les paramètres d’hôte et de port.
  5. Modifiez la taille maximale du fichier journal et le nombre maximal de fichiers journaux pouvant être archivés.
  6. Configurez le fichier log.trace pour décoder et afficher le contenu du journal.

Envoyer des messages de journal système à un fichier

Vous pouvez diriger les messages du journal système vers un fichier sur la carte CompactFlash (CF). Le répertoire par défaut pour les fichiers journaux est /var/log. Pour spécifier un répertoire différent sur la carte CF, incluez le chemin d’accès complet.

Créez un fichier nommé security, et envoyez-lui les messages de journal de la authorization classe au niveau info de gravité.

Pour définir le nom de fichier, l’installation et le niveau de gravité :

Configurez le système pour envoyer tous les messages de journal via eventd

Le eventd processus de configuration de journalisation est le plus couramment utilisé pour Junos OS. Dans cette configuration, les journaux du plan de contrôle et du plan de données, ou de sécurité, sont transférés du plan de données au processus du plan rtlogd de contrôle du moteur de routage. Le rtlogd processus transfère ensuite soit les journaux au format syslog ou sd-syslog au processus, eventd soit les journaux au format WELF au collecteur de journaux WELF externe ou distant.

Pour envoyer tous les messages du journal via eventd:

  1. Définissez le eventd processus pour gérer les journaux de sécurité et envoyez-les à un serveur distant.
  2. Configurez le serveur qui recevra les messages du journal système.

    hostname est le nom d’hôte complet ou l’adresse IP du serveur qui recevra les journaux.

REMARQUE :

Pour envoyer des journaux dupliqués à un deuxième serveur distant, répétez la commande avec un nouveau nom d’hôte complet ou une nouvelle adresse IP d’un deuxième serveur.

Si votre déploiement est un cluster de châssis actif/actif, vous pouvez également configurer la journalisation de sécurité sur le nœud actif pour l’envoyer à des serveurs distants distincts afin d’assurer la redondance de la journalisation.

Pour renommer ou rediriger l’une des configurations de journalisation, vous devez la supprimer et la recréer. Pour supprimer une configuration :

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
15.1X49-D100
À partir de Junos OS version 15.1X49-D100, le mode par défaut de SRX1500 périphérique est le mode flux. Avant Junos OS version 15.1X49-D100, le mode par défaut de SRX1500 périphérique était le mode événement.
17.4R2
À partir de Junos OS version 17.4R2 et ultérieure, sur les équipements SRX300, SRX320, SRX340, SRX345 Series et les instances du pare-feu virtuel vSRX, lorsque le périphérique est configuré en mode flux, vous pouvez configurer un maximum de huit hôtes du journal système. Dans Junos OS version 17.4R2 et versions antérieures, vous ne pouvez configurer que trois hôtes du journal système en mode flux. Si vous configurez plus de trois hôtes du journal système, le message d’erreur suivant s’affiche error: configuration check-out failed.
Junos OS Release 15.1X49-D100
La fonctionnalité de création de rapports intégrée est activée par défaut lorsque vous chargez les configurations d’usine par défaut sur le pare-feu SRX Series avec Junos OS version 15.1X49-D100 ou ultérieure.
Junos OS Release 19.3R1
À partir de Junos OS version 19.3R1, les périphériques SRX300, SRX320, SRX340, SRX345, SRX550 et SRX550M sont en mode streaming par défaut.
Junos OS Release 19.3R1
À partir de Junos OS version 19.3R1 , la configuration d’usine par défaut n’inclut pas la configuration de génération de rapports intégrée pour augmenter la durée de vie du disque SSD.