Actions de journalisation du filtre de pare-feu
Pour les filtres de pare-feu IPv4 et IPv6, vous pouvez configurer le filtre pour qu’il écrive un résumé des en-têtes de paquets correspondants au journal ou au syslog en spécifiant l’action syslog ou log . La principale différence entre les deux est la permanence de l’enregistrement. Les journaux ne sont mis en mémoire tampon qu’en mémoire, et lorsque cette mémoire tampon est pleine, les enregistrements les plus anciens sont remplacés par de nouveaux au fur et à mesure qu’ils arrivent. Les syslogs, quant à eux, peuvent être sauvegardés sur disque ou transférés vers un serveur syslog distant. Dans les deux cas, c’est un résumé de l’en-tête du paquet qui est consigné (et non une copie du paquet lui-même). Les filtres de service et les filtres simples ne prennent pas en charge l’action log ou syslog .
syslog Les actions et log peuvent consommer beaucoup d’espace CPU et/ou disque sur l’appareil. Juniper vous recommande de décharger les journaux en les écrivant sur un serveur syslog distant et de limiter la journalisation en l’utilisant uniquement pour les diagnostics.
Syslog
Comme indiqué, les journaux système peuvent être écrits sur le disque et/ou envoyés à un serveur distant. Les journaux enregistrés sont écrits dans le /var/log répertoire. Vous pouvez afficher la liste de tous les fichiers journaux disponibles sur l’appareil en exécutant la show log commande sans options. Notez qu’au sein d’un fichier journal donné, les journaux d’actions du pare-feu peuvent être entrecoupés de messages d’événements.
La configuration suivante syslog montre que les journaux système sont envoyés à un serveur distant à l’adresse 172.27.1.1 et qu’ils sont également enregistrés dans un fichier nommé « pare-feu » sur le périphérique local.
host@device-RE0# show system syslog
host 172.27.1.1 {
firewall any;
}
<...>
file firewall {
firewall any;
}Pour afficher les journaux système, exécutez la show syslog message commande.
Pour afficher le contenu d’un fichier journal système donné, exécutez la commande ou show log filename la file show /var/log/filename commande.
Pour effacer le contenu du fichier journal système, exécutez la clear log filename commande. Vous pouvez inclure l’option all permettant de supprimer tous les journaux enregistrés, y compris les enregistrements en cours d’écriture dans le fichier journal actuel.
Les détails de configuration sont affichés ici :
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
syslog;
terminating-action;
}
}
}
}
Journal
L’action log écrit les informations du journal dans une mémoire tampon. Il n’y a pas d’option pour écrire des journaux sur un serveur distant, ou pour les écrire sur le disque. Une fois que la mémoire tampon disponible est pleine, de nouveaux journaux remplacent les plus anciens, de sorte qu’un enregistrement historique n’est pas conservé. Les journaux sont effacés chaque fois que l’appareil ou le PFE est redémarré.
Les détails de configuration sont affichés ici :
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
log;
terminating-action;
}
}
}
}
Pour afficher les journaux, exécutez la show firewall log commande.
Détails du journal
Voici ce qui suit montre quel type d’information est généralement inclus dans syslog et les entrées de journal :
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Les champs sont expliqués ici :
Date and Time: date et heure auxquelles le paquet a été reçu (non affichées par défaut).Hostname: nom de l’appareil sur lequel la correspondance s’est produite.Interface: interface physique traversée par le paquet.Action de filtrage. Dans l’exemple ci-dessus, il s’agit de A.
A—Accepter (ou au terme suivant)D—JeterR—Rejeter
Protocol—Protocole de paquets. Il peut s’agir d’un nom ou d’un numéro, ainsi que des ports source et de destination. Dans l’exemple ci-dessus, le protocole est ICMP, qui peut alors inclure le type et le code ICMP.Source address: adresse IP source du paquet.Destination address: adresse IP de destination du paquet.Source port: port source du paquet (paquets TCP et UDP uniquement). Dans l’exemple ci-dessus, le port est 0.Destination port: port de destination du paquet (paquets TCP et UDP uniquement). Dans l’exemple ci-dessus, le port est 0.Packets in sample interval: cet exemple montre qu’un seul paquet correspondant a été détecté dans l’intervalle d’échantillonnage (environ une seconde). Si les paquets arrivent plus rapidement, le journal système compresse automatiquement les informations afin de générer moins de sorties.