Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Actions de journalisation des filtres de pare-feu

Pour les filtres de pare-feu IPv4 et IPv6, vous pouvez configurer le filtre afin d’écrire un résumé des en-têtes de paquets correspondants au journal ou au syslog en spécifiant le ou sysloglog l’action. La principale différence entre les deux est la permanence de l’enregistrement. La mémoire tampon des journaux n’est que de mise en mémoire tampon. Ainsi, lorsqu’elles sont complètes, les enregistrements les plus anciens sont remplacés par de nouveaux enregistrements dès leur mise en mémoire tampon. Les Syslogs, en revanche, peuvent être enregistrés sur disque ou transmis à un serveur syslog distant. Dans les deux cas, un résumé de l’en-tête du paquet est enregistré (et non une copie du paquet lui-même). Les filtres de services et les filtres simples n’offrent aucune prise en log charge ni aucune syslog action.

Remarque :

Les actions syslog et les actions peuvent consommer un espace disque et/ou processeur important sur log l’unité. Juniper vous recommande de décharger les journaux en les écrivant sur un serveur syslog distant et de limiter la journalisation en l’utilisant uniquement pour les diagnostics.

Syslog

Comme indiqué plus loin, les journaux système peuvent être écrits sur disque et/ou envoyés à un serveur distant. Les journaux enregistrés sont écrits dans /var/log le répertoire. Vous pouvez afficher une liste de tous les fichiers journaux disponibles sur l’équipement en exécutant la show log commande sans options. Remarque: dans un fichier journal donné, les journaux d’action du pare-feu peuvent être interconnectés avec les messages d’événements.

La configuration suivante affiche l’envoi de journaux système à un serveur distant au 172.27.1.1, puis les enregistre sur un fichier nommé « pare-feu » sur l’équipement syslog local.

Pour afficher les journaux système, exécutez la show syslog message commande.

Pour afficher le contenu d’un fichier journal système donné, exécutez la show log filename ou la file show /var/log/filename commande.

Pour effacer le contenu du fichier journal système, exécutez clear log filename la commande. Vous pouvez inclure la possibilité de supprimer tous les journaux enregistrés, y compris les enregistrements écrits all sur le fichier journal actuel.

Les détails de configuration sont présentés ici:

Journal

logL’action écrit les informations de journal sur une mise en mémoire tampon. Il n’est pas possible d’écrire des journaux sur un serveur distant ou de les écrire sur un disque. Une fois la mise en mémoire tampon disponible complète, les nouveaux journaux remplaceront les plus anciens, de sorte qu’il n’est pas possible de conserver un enregistrement historique. Les journaux sont démarrés dès que l’équipement ou le PFE est redémarré.

Les détails de configuration sont présentés ici:

Pour afficher les journaux, exécutez la show firewall log commande.

Détails de journal

Les informations suivantes indiquent le type d’informations généralement incluses dans le syslog et les entrées de journal:

Les champs sont expliqués ici:

  • Date and Time—Date et heure de réception du paquet (non indiqué dans le paramètre par défaut).

    Hostname—Nom de l’équipement sur lequel s’est produite la correspondance.

    Interface—Interface physique que le paquet a traversée.

  • Action de filtre. Dans l’exemple ci-dessus, il s’agit de A.

    • A— Accepter (ou terme suivant)

    • D—Écarter

    • R— Rejeter

  • Protocol—Protocole de paquets. Peut être un nom ou un numéro, et inclure les ports source et de destination. Dans l’exemple ci-dessus, le protocole ICMP, qui peut ensuite inclure le type et le code ICMP.

  • Source address—Adresse IP source du paquet.

  • Destination address—Adresse IP de destination du paquet.

  • Source port—Port source du paquet (paquets TCP et UDP uniquement). Dans l’exemple ci-dessus, le port est 0.

  • Destination port—Port de destination du paquet (paquets TCP et UDP uniquement). Dans l’exemple ci-dessus, le port est 0.

  • Packets in sample interval—Cet exemple montre qu’un seul paquet correspondant a été détecté dans l’intervalle de l’échantillon (environ une seconde). Si les paquets arrivent à une vitesse plus rapide, le journal système compresse automatiquement les informations afin d’obtenir moins de sortie.