Actions de journalisation des filtres de pare-feu
Pour les filtres de pare-feu IPv4 et IPv6, vous pouvez configurer le filtre pour écrire un récapitulatif des en-têtes de paquets correspondants au journal ou au syslog en spécifiant l’action ou le syslog ou log . La principale différence entre les deux est la permanence du disque. Les journaux sont uniquement mis en mémoire tampon, et lorsque cette mémoire tampon est pleine, les enregistrements les plus anciens sont remplacés par de nouveaux au fur et à mesure qu’ils arrivent. Syslogs, d’autre part, peuvent être enregistrés sur le disque ou transférés vers un serveur syslog distant. Dans les deux cas, un récapitulatif de l’en-tête du paquet est enregistré (et non une copie du paquet lui-même). Les filtres de service et les filtres simples ne prennent pas en charge l’action log ou syslog .
syslog Les actions et log peuvent consommer beaucoup d’espace cpu et/ou disque sur l’équipement. Juniper vous recommande de décharger les journaux en les écrivant sur un serveur syslog distant et de limiter la journalisation en l’utilisant uniquement pour les diagnostics.
Syslog
Comme indiqué, les journaux système peuvent être écrits sur le disque et/ou envoyés à un serveur distant. Les journaux enregistrés sont écrits dans le /var/log répertoire. Vous pouvez afficher la liste de tous les fichiers journaux disponibles sur l’équipement en exécutant la show log commande sans options. Notez que dans un fichier journal donné, les journaux d’actions de pare-feu peuvent être entrecoupés de messages d’événements.
La configuration suivante syslog affiche les journaux système envoyés à un serveur distant à l’adresse 172.27.1.1, et les enregistre également dans un fichier nommé « pare-feu » sur l’équipement local.
host@device-RE0# show system syslog
host 172.27.1.1 {
firewall any;
}
<...>
file firewall {
firewall any;
}Pour consulter les journaux système, exécutez la show syslog message commande.
Pour afficher le contenu d’un fichier journal système donné, exécutez la ou la show log filenamefile show /var/log/filename commande.
Pour effacer le contenu du fichier journal système, exécutez la clear log filename commande. Vous pouvez inclure l’option all de supprimer tous les journaux enregistrés, y compris les enregistrements en cours d’écriture dans le fichier journal actuel.
Les détails de configuration sont affichés ici :
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
syslog;
terminating-action;
}
}
}
}
Journal
L’action log écrit des informations de journal dans un tampon. Il n’y a pas d’option pour écrire des journaux sur un serveur distant, ou pour les écrire sur le disque. Une fois la mise en mémoire tampon disponible pleine, de nouveaux journaux remplaceront les plus anciens, de sorte qu’aucun historique n’est conservé. Les journaux sont supprimés chaque fois que l’équipement ou le PFE est redémarré.
Les détails de configuration sont affichés ici :
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
log;
terminating-action;
}
}
}
}
Pour consulter les journaux, exécutez la show firewall log commande.
Détails des journaux
Les informations suivantes sont généralement incluses dans les entrées syslog et journal :
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Les champs sont expliqués ici :
Date and Time— Date et heure à laquelle le paquet a été reçu (non indiqué dans le fichier par défaut).Hostname— Nom de l’équipement sur lequel la correspondance s’est produite..Interface— Interface physique traversée par le paquet.Action de filtrage. Dans l’exemple ci-dessus, il s’agit de A.
A— Accepter (ou la prochaine durée)D— JeterR— Rejeter
Protocol— Protocole de paquets. Peut être un nom ou un numéro, et peut également inclure les ports source et de destination. Dans l’exemple ci-dessus, le protocole est ICMP, qui peut alors inclure le type et le code ICMP.Source address— Adresse IP source du paquet.Destination address— Adresse IP de destination du paquet.Source port— Port source du paquet (paquets TCP et UDP uniquement). Dans l’exemple ci-dessus, le port est 0.Destination port— Port de destination du paquet (paquets TCP et UDP uniquement). Dans l’exemple ci-dessus, le port est 0.Packets in sample interval: cet exemple montre qu’un seul paquet correspondant a été détecté dans l’intervalle d’échantillonnage (environ une seconde). Si les paquets arrivent à un débit plus rapide, le journal système compresse automatiquement les informations afin de générer moins de sortie.