設定変更のサンプルコード監査
このサンプル コードは、構成シークレット データのすべての変更を監査し、Audit-File という名前のファイルにログを送信します。
[edit system]
syslog {
file Audit-File {
authorization info;
change-log info;
interactive-commands info;
}
}
このサンプル コードは、シークレット データだけでなく、構成に対するすべての変更を監査する最小監査の範囲を拡張し、Audit-File という名前のファイルにログを送信します。
[edit system]
syslog {
file Audit-File {
any any;
authorization info;
change-log any;
interactive-commands info;
kernel info;
pfe info;
}
}
例:設定変更のシステム ロギング
この例では、設定例を示し、ユーザーとシークレットデータを変更します。
[edit system]
location {
country-code US;
building B1;
}
...
login {
message "UNAUTHORIZED USE OF THIS DEVICE\n\tIS STRICTLY PROHIBITED!";
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password “$ABC123”;
# SECRET-DATA
}
}
password {
format sha512;
}
}
radius-server 192.0.2.15 {
secret “$ABC123” # SECRET-DATA
}
services {
ssh;
}
syslog {
user *{
any emergency;
}
file messages {
any notice;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
...
...
新しい設定は、秘密データ設定ステートメントを変更し、新しいユーザーを追加します。
user@host# show | compare
[edit system login user admin authentication]
– encrypted-password “$ABC123”; # SECRET-DATA
+ encrypted-password “$ABC123”; # SECRET-DATA
[edit system login]
+ user admin2 {
+ uid 20.3;
+ class read-only;
+ authentication {
+ encrypted-password “$ABC123”;
# SECRET-DATA
+ }
+ }
[edit system radius-server 192.0.2.15]
– secret “$ABC123”; # SECRET-DATA
+ secret “$ABC123”; # SECRET-DATA
次の表は、監査可能なイベントの詳細を示しています。
| 要件 | 監査可能なイベント | その他の監査記録の内容 |
|---|---|---|
| FAU_GEN.1 |
なし | なし |
| FAU_GEN.1/IPS | なし | なし |
| FAU_GEN.2 | なし | なし |
| FAU_STG_EXT.1 | なし | なし |
| FCS_CKM.1 | なし | なし |
| FCS_CKM.2 | なし | なし |
| FCS_CKM.4 | なし | なし |
| FCS_COP.1/DataEncryption |
なし | なし |
| FCS_COP.1/ハッシュ |
なし | なし |
| FCS_COP.1/KeyedHash | なし | なし |
| FCS_COP.1/SigGen | なし | |
| FCS_IPSEC_EXT.1 |
IPsec SAの確立に失敗しました。 | 失敗の原因 |
| FCS_IPSEC_EXT.1(VPN) | ピアとのセッション確立 | セッション確立中に送受信されたパケットのパケット内容全体 |
| FCS_RBG_EXT.1 | なし | なし |
| FDP_RIP.2 | なし | なし |
| FCS_SSHS_EXT.1 | SSHセッションの確立に失敗 | 失敗の原因 |
| FFW_RUL_EXT.1 |
• 「ログ」操作で設定されたルールの適用 | • 送信元アドレスと宛先アドレス 送信元と宛先のポート トランスポート層プロトコル TOEインターフェイス |
| FFW_RUL_EXT.2 |
ルールの動的定義 セッションの確立 |
なし |
| FIA_AFL.1
|
失敗したログイン試行の制限に達しているか、超過しました | 試行の送信元(IP アドレスなど) |
| FIA_PMG_EXT.1 | なし | なし |
| FIA_PSK_EXT.1 | なし | なし |
| FIA_UAU.7 | なし | なし |
| FIA_UAU_EXT.2 |
識別および認証メカニズムのすべての使用 | 試行の送信元(IP アドレスなど) |
| FIA_UIA_EXT.1 |
識別および認証メカニズムのすべての使用 | 試行の送信元(IP アドレスなど) |
| FIA_X509_EXT.1/Rev |
証明書の検証試行が失敗した • TOE のトラスト ストア内のトラスト アンカーの追加、交換、または取り外し |
証明書の検証に失敗した理由 • TOEのトラストストアのトラストアンカーとして追加、交換、または削除された証明書の識別 |
| FIA_X509_EXT.2 |
なし | なし |
| FIA_X509_EXT.3 | なし | なし |
| FMT_MOF.1/機能 |
なし | なし |
| FMT_MOF.1/手動による更新 |
手動更新を開始しようとする試み | なし |
| FMT_MOF.1/サービス |
なし | なし |
| FMT_MTD.1/コアデータ | TSFデータの全管理活動 | なし |
| FMT_MTD.1/CryptoKeys |
なし | なし |
| FMT_SMF.1 |
TSFデータの全管理活動 | なし |
| FMT_SMF.1/FFW | TSF データのすべての管理アクティビティ(ファイアウォール ルールの作成、変更、削除を含む)。 | なし |
| FMT_SMF.1/IPS | IPS ポリシー要素の変更。 | 変更されたIPSポリシー要素の識別子または名前(シグネチャー、ベースライン、既知の良好/既知の悪いリストが変更されたなど)。 |
| FMT_SMR.2 |
なし | なし |
| FPF_RUL_EXT.1 |
「ログ」操作で構成されたルールの適用 | • 送信元アドレスと宛先アドレス 送信元と宛先のポート トランスポート層プロトコル TOEインターフェイス |
| FPT_APW_EXT.1 |
なし | なし |
| FPT_FLS.1/SelfTest | TSF の障害 | 発生した障害のタイプ。 |
| FPT_SKP_EXT.1 |
なし | なし |
| FPT_STM_EXT.1 |
時間の不連続な変更 - 管理者が自動プロセスによって駆動または変更される (ログに記録する必要がある時間の継続的な変更は必要ありません。See also application note on FPT_STM_EXT.1) |
不連続な時間変更の場合:時間の古い値と新しい値。成功と失敗の時間(IP アドレスなど)を変更しようとする試みの送信元。 |
| FPT_TST_EXT.1 |
なし。 | なし |
| FPT_TST_EXT.3 |
TSF 自己テストが完了したことを示す。 自己テストの失敗 | なし |
| FPT_TUD_EXT.1 |
更新の開始。更新試行の結果(成功または失敗) | なし |
| FTA_SSL.3 |
セッション ロック メカニズムによるリモート セッションの終了 | なし |
| FTA_SSL.4 | インタラクティブ セッションの終了 | なし |
| FTA_SSL_EXT.1(「セッションの終了」を選択した場合) | セッション ロック メカニズムによるローカル セッションの終了 | なし |
| FTA_TAB.1 | なし | なし |
| FTP_ITC.1 |
• 信頼できるチャネルの開始 • 信頼できるチャネルの終端 • 信頼できるチャネル機能の障害 |
失敗した信頼できるチャネル確立の試みの開始側とターゲットの特定 |
| FTP_TRP.1/管理者 |
• 信頼できるパスの開始 • 信頼されたパスの終了。 • 信頼されたパス機能の障害。 |
なし |
| IPS_ABD_EXT.1 | 検査されたトラフィックは、異常ベースの IPS ポリシーと一致します。 | • 送信元と宛先の IP アドレス。 ポリシーに一致するように決定されたヘッダー フィールドの内容。 パケットを受信した TOE インターフェイス。 • イベントをトリガーした異常ベースの IPS ポリシー ルール(スループット、時刻、頻度など)の側面。 TOEによるネットワークベースのアクション(許可、ブロック、送信元IPへのリセット送信、ファイアウォールへのブロック通知など)。 |
| IPS_IPB_EXT.1 | 検査されたトラフィックは、IPS ポリシーに適用された既知の良好または既知の悪いアドレスのリストに一致します。 |
• 送信元と宛先の IP アドレス(および、該当する場合は送信元アドレスまたは宛先アドレスがリストに一致したかどうかを示す)。 パケットを受信した TOE インターフェイス。 • TOE によるネットワークベースのアクション(許可、ブロック、送信リセットなど)。 |
| IPS_NTA_EXT.1 | TOE インターフェイスでアクティブな IPS ポリシーを変更します。 IPS ポリシーが適用された TOE インターフェイスの有効化/無効化。 • TOE インターフェイス上でアクティブである/アクティブなモードを変更します。 |
TOE インターフェイスの識別。 • IPS ポリシーとインターフェイス モード(該当する場合)。 |
| IPS_SBD_EXT.1 | 検査されたトラフィックは、ログを有効にしたシグネチャーベースの IPS ルールと一致します。 | • 一致した署名の名前または識別子。 • 送信元と宛先の IP アドレス。 • 署名と一致するように決定されたヘッダー フィールドの内容。 パケットを受信した TOE インターフェイス。 • TOE によるネットワークベースのアクション(許可、ブロック、送信リセットなど)。 |
| 要件 |
監査可能なイベント |
追加の監査記録の内容 |
監査記録 |
|---|---|---|---|
| FAU_GEN.1 | なし | なし | なし |
| FAU_GEN.1/IPS |
なし | なし | |
| FAU_GEN.2 |
なし | なし | |
| FAU_STG_EXT.1 |
なし | なし | |
| FCS_CKM.1 |
なし | なし | |
| FCS_CKM.2 |
なし | なし | |
| FCS_CKM.4 |
なし | なし | |
| FCS_COP.1/DataEncryption |
なし | なし | |
| FCS_COP.1/SigGen |
なし | なし | |
| FCS_COP.1/ハッシュ |
なし | なし | |
| FCS_COP.1/KeyedHash |
なし | なし | |
| FCS_RBG_EXT.1 |
なし | なし | |
| FDP_RIP.2 | なし | なし | |
| FIA_AFL.1 | 失敗したログイン試行の制限に達しているか、超過しました。 | 試行の送信元(IP アドレスなど)。 | <35>1 2022-05- 02T13:07:12.148Z NFX350 sshd 90361 - - エラー:PAM:10.1.2.170からのアキュメネセックの認証エラー <37>1 2022-05-02T13:07:12.149Z NFX350 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.. 4.138.19 username="acumensec" source-address="10.1.2.170"] ホスト '10.1.2.170' から「acumensec」ユーザーのログインに失敗しました <35>1 2022-05-02T13:07:13.681Z NFX350 sshd 90361 - - エラー:PAM:10.1.2.170からのアキュメネセックの認証エラー <37>1 2022-05-02T13:07:13.682Z NFX350 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1. 4.138.19 username="acumensec" source-address="10.1.2.170"] ホスト '10.1.2.170' からのユーザー 'acumensec' のログインに失敗しました <35>1 2022-05-02T13:07:19.935Z NFX350 sshd 90361 - - エラー:PAM:10.1.2.170からのアキュメネセに関する認証エラー <37>1 2022-05-02T13:07:19.936Z NFX350 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1. 4.138.19 username="acumensec" source-address="10.1.2.170"] ホスト '10.1.2.170' からのユーザー 'acumensec' のログインに失敗しました <38>1 2022-05-02T13:07:31.262Z NFX350 sshd 90361 - - 10.1.2.170 ポート 33032 ssh2 からの acumensec 用パスワード失敗 <37>1 2022-05-02T13:07:31.262Z NFX350 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1. 4.138.19 username="acumensec" source-address="10.1.2.170"] ホスト '10.1.2.170' からのユーザー 'acumensec' のログインに失敗しました <37>1 2022-05-02T13:07:49.026Z NFX350 sshd 90361 LIBJNX_LOGIN_ACCOUNT_LOCKED [junos@2636.1.1.1.4.138.19 username="acumensec"] ユーザーのアカウントがログインからロックアウトされました <37>1 2022-05-02T13:07:49.027Z NFX350 sshd 90361 PAM_USER_LOCK_LOGIN_REQUESTS_DENIED [junos@2636.0 1.1.1.4.138.19 ホスト名="10.1.2.170"] ホスト '10.1.2.170' からのログイン要求は拒否されます <38>1 2022-05-02T13:07:49.027Z NFX350 sshd 90361 - - 10.1.2.170 ポート 33032 ssh2 からの acumensec のパスワード失敗 <37>1 2022-05-02T13:07:49.028Z NFX350 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1. 4.138.19 username="acumensec" source-address="10.1.2.170"] ホスト '10.1.2.170' からのユーザー 'acumensec' のログインに失敗しました <37>1 2022-05-02T13:08:14.032Z NFX350 sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636 1.1.1.4.138.19 limit="5" username="acumensec"] ユーザーが認証試行に失敗した場合のしきい値(5) <38>1 2022-05-02T13:08:14.033Z NFX350 sshd 90362 - - ユーザーアキュメsec 10.1.2.170ポートの認証の切断 33032: acumensecのパスワード障害が多すぎる |
| FIA_PMG_EXT.1 |
なし | なし | |
| FIA_PSK_EXT.1 |
なし | なし | |
| FIA_UIA_EXT.1 | 識別および認証メカニズムのすべての使用。 | 試行の送信元(IP アドレスなど)。 | ローカルログインの成功 11 月 27 日 09:11:11 NFX350 ログイン[21384]: LOGIN_INFORMATION:デバイス ttyu0 のホスト [unknown] からログインしたユーザー アキュメンセック 11 月 27 日 09:11:11 NFX350 mgd[72306]: UI_AUTH_EVENT:クラス「j-super-user」に割り当てられた認証済みユーザー「アキュメネセック」 ローカルログイン失敗 11 月 27 日 09:09:36 NFX350 ログイン:ホストからのユーザー アクメンセックのログイン試行[不明] 11 月 27 日 09:09:43 NFX350 ログイン[21384]: LOGIN_PAM_AUTHENTICATION_ERROR: ユーザー acumensec のパスワード失敗 11 月 27 日 09:09:43 NFX350 ログイン[21384): LOGIN_FAILED: host ttyu0 からのユーザー アキュメネックのログインに失敗しました 11 月 27 日 09:09:59 NFX350 ログイン[21384]: ホストからのユーザー出口のログイン試行 [不明] 11 月 27 日 09:09:59 NFX350 ログイン[21384]: 1 ログイン失敗(ttyu0) 11 月 27 日 09:09:59 NFX350 ログイン[21384]: 1 ログイン失敗ttyu0、アキュメネセック リモートログインの成功 11 月 27 日 09:14:05 NFX350 sshd[72464]: 192.168.137.3 ポート 55000 ssh2 から acumensec 用に受け入れられたキーボードインタラクティブ/pam 11 月 27 日 09:14:06 NFX350 mgd[72469]: UI_AUTH_EVENT:クラス「j-super-user」に割り当てられた認証済みユーザー「アキュメネクセック」 11 月 27 日 09:14:06 NFX350 mgd[72469]: UI_LOGIN_EVENT: User 'acumensec' ログイン、 クラス 'j-super-user' [72469], ssh-connection '192.168.137.3 55000 192.168.137.20 22', クライアントモード 'cli' リモートログイン失敗 11月27日09:12:25 NFX350 sshd[72377):エラー:PAM:192.168.137.3からのアクメンセックの認証エラー 11 月 27 日 09:12:25 NFX350 sshd:SSHD_LOGIN_FAILED:host '192.168.137.3' からのユーザーのログインに失敗しました 11月27日09:13:05 NFX350 sshd[72377):エラー:PAM:192.168.137.3からのアクメンセックの認証エラー 11 月 27 日 09:13:05 NFX350 sshd:SSHD_LOGIN_FAILED:host '192.168.137.3' からのユーザー 'acumensec' のログインに失敗しました。 |
| FIA_UAU_EXT.2 | 識別および認証メカニズムのすべての使用。 | 試行の送信元(IP アドレスなど)。 | ローカルログインの成功 11 月 27 日 09:11:11 NFX350 ログイン[21384]: LOGIN_INFORMATION:デバイス ttyu0 のホスト [unknown] からログインしたユーザー アキュメンセック 11 月 27 日 09:11:11 NFX350 mgd[72306]: UI_AUTH_EVENT:クラス「j-super-user」に割り当てられた認証済みユーザー「アキュメネセック」 ローカルログイン失敗 11 月 27 日 09:09:36 NFX350 ログイン:ホストからのユーザー アクメンセックのログイン試行[不明] 11 月 27 日 09:09:43 NFX350 ログイン[21384]: LOGIN_PAM_AUTHENTICATION_ERROR: ユーザー acumensec のパスワード失敗 11 月 27 日 09:09:43 NFX350 ログイン[21384): LOGIN_FAILED: host ttyu0 からのユーザー アキュメネックのログインに失敗しました 11 月 27 日 09:09:59 NFX350 ログイン[21384]: ホストからのユーザー出口のログイン試行 [不明] 11 月 27 日 09:09:59 NFX350 ログイン[21384]: 1 ログイン失敗(ttyu0) 11 月 27 日 09:09:59 NFX350 ログイン[21384]: 1 ログイン失敗ttyu0、アキュメネセック リモートログインの成功 11 月 27 日 09:14:05 NFX350 sshd[72464]: 192.168.137.3 ポート 55000 ssh2 から acumensec 用に受け入れられたキーボードインタラクティブ/pam 11 月 27 日 09:14:06 NFX350 mgd[72469]: UI_AUTH_EVENT:クラス「j-super-user」に割り当てられた認証済みユーザー「アキュメネクセック」 11 月 27 日 09:14:06 NFX350 mgd[72469]: UI_LOGIN_EVENT: User 'acumensec' ログイン、 クラス 'j-super-user' [72469], ssh-connection '192.168.137.3 55000 192.168.137.20 22', クライアントモード 'cli' リモートログイン失敗 11月27日09:12:25 NFX350 sshd[72377):エラー:PAM:192.168.137.3からのアクメンセックの認証エラー 11 月 27 日 09:12:25 NFX350 sshd:SSHD_LOGIN_FAILED:host '192.168.137.3' からのユーザーのログインに失敗しました 11月27日09:13:05 NFX350 sshd[72377):エラー:PAM:192.168.137.3からのアクメンセックの認証エラー 11 月 27 日 09:13:05 NFX350 sshd:SSHD_LOGIN_FAILED:host '192.168.137.3' からのユーザー 'acumensec' のログインに失敗しました。 |
| FIA_UAU.7 |
なし | なし | |
| FMT_MTD.1/コアデータ |
なし | なし | |
| FMT_SMR.2 |
なし | なし | |
| FPT_SKP_EXT.1 |
なし | なし | |
| FPT_APW_EXT.1 |
なし | なし | |
| FPT_TST_EXT.1 | なし | なし | |
| FPT_TST_EXT.3 |
|
11 月 27 日 09:51:58 NFX350 カーネル:@ 1606470687 [2020-11-27 09:51:27 UTC] mgd start 11 月 27 日 09:51:58 NFX350 カーネル: 初期設定の作成: ... 11 月 27 日 09:51:58 NFX350 カーネル:mgd:Running FIPS Self-tests 11 月 27 日 09:51:58 NFX350 カーネル:mgd:Testing kernel KATS: 11 月 27 日 09:51:58 NFX350 カーネル:mgd:NIST 800-90 HMAC DRBG 既知の回答テスト:合格 11 月 27 日 09:51:58 NFX350 カーネル:mgd:DES3-CBC 既知の回答テスト:合格 11 月 27 日 09:51:58 NFX350 カーネル:mgd:HMAC-SHA1 既知の回答テスト:合格 11 月 27 日 09:51:58 NFX350 カーネル:mgd:HMAC-SHA2-256 既知の回答テスト:合格 11 月 27 日 09:51:58 NFX350 カーネル:mgd:SHA-2-384 既知の回答テスト:合格 11 月 27 日 09:51:58 NFX350 カーネル:mgd:SHA-2-512 既知の回答テスト:合格 11 月 27 日 09:51:58 NFX350 カーネル:mgd:AES128-CMAC 既知の回答テスト:合格 |
|
| FIA_X509_EXT.1/Rev | 証明書の検証試行が失敗した | TOEのトラストストアにあるトラストアンカーの追加、交換、または取り外し。証明書の検証に失敗した理由。 TOEのトラストストアのトラストアンカーとして追加、交換、または削除された証明書の識別。trustアンカーの追加。 |
<182>1 2022-06-09T11:02:59.701Z NFX350 mgd 50145 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action=" "set" pathname="[security pki ca-profile AcumenCA-identity\]"区切り文字=""data="<未構成>"値="AcumenCA"] ユーザー 'acumensec' セット: [security pki ca-profile AcumenCA ca-identity] <構成なし> -> 「AcumenCA」 <190>1 2022-06-09T11:03:01.073Z NFX350 mgd 50145 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.4.138.19 username="acumensec" コマンド="run request security pki ca-certificate load ca-profile AcumenCA filename/var/home/acumensec/AcumenCA.crt "] ユーザー 'acumensec', コマンド 'run request security pki ca-certificate load ca-profile AcumenCA filename/var/home/acumensec/AcumenCA.crt ' <29>1 2022-06-09T11:03:01.085Z NFX350 pkid 22008 PKID_PV_CERT_LOAD [junos@2636.1.1.1.4.138.19 type-string="AcumenCA"] 認定アキュメンカが正常に読み込まれました トラスト アンカーの取り外し <190>1 2022-06-09T11:06:48.714Z NFX350 mgd 50145 UI_CMDLINE_READ_LINE junos@2636.1.1.1.4.138.19 ユーザー名="acumensec" コマンド="実行 clear security pki ca-certificate ca-profile AcumenCA "] ユーザー 「acumensec」、 コマンド'run clear security pki ca-certificate ca-profile AcumenCA' <29>1 2022-06-09T11:06:48.725Z NFX350 pkid 22008 PKID_PV_CERT_DEL [junos@2636.1.1.1.4.138.19 type-string="AcumenCA"] 認定書の削除がアキュメンカで発生しました 証明書の検証試行が失敗した <27>1 2021-08-25T12:48:07.220Z NFX350 pkid 21707 PKID_NO_CA_CERT [junos@2636.1.1.1.4.138.19 type-string="NFX350"] 証明書の CA 証明書 NFX350 がローカル データベースに見つかりません |
| FIA_X509_EXT.2 |
なし | なし | |
| FIA_X509_EXT.3 |
なし | なし | |
| FMT_MOF.1/手動による更新 | 手動更新を開始しようとする試み。 | なし | <190>1 2021-08-10T06:41:14.181Z NFX350 mgd 23572 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.4.138.19 ユーザー名 ="acumensec" コマンド="request vmhost ソフトウェア追加/var/tmp/jinstall-host-nfx-3-x86-64-20.3I-20201210.0.1400-secure-signed.tgz no-validate "] ユーザー'アキュメsec', コマンド 'request vmhost software add /var/tmp/jinstall-host-nfx-3-x86-64-20.3I-20201210.0.1400-secure-signed.tgz no-validate ' <190>1 2021-08-10T06:41:14.198Z NFX350 mgd 23572 UI_CHILD_START [junos@2636.1.1.1.4.138.19 command="/usr/libexec/ui/package"] 開始する子'/usr/libexec/ui/package' <29>1 2021-08-10T06:41:14.200Z NFX350 mgd 23572 - - /usr/libexec/ui/package -X アップデート /var/tmp/jinstall-host-nfx-3-x86-64-20.3I-20201210.0.1400-secure-signed.tgz -no-validate |
| FMT_SMF.1 FMT_SMF.1/VPN FMT_SMF.1/FFW |
TSF データのすべての管理アクティビティ(ファイアウォール ルールの作成、変更、削除を含む) |
なし | • TOE をローカルおよびリモートで管理する機能: ローカルログインの成功 11 月 27 日 09:11:11 NFX350 ログイン[21384]: LOGIN_INFORMATION:デバイス ttyu0 のホスト [unknown] からログインしたユーザー アキュメンセック 11 月 27 日 09:11:11 NFX350 mgd[72306]: UI_AUTH_EVENT:クラス「j-super-user」に割り当てられた認証済みユーザー「アキュメネセック」 リモートログインの成功 11 月 27 日 09:14:05 NFX350 sshd[72464]: 192.168.137.3 ポート 55000 ssh2 から acumensec 用に受け入れられたキーボードインタラクティブ/pam 11 月 27 日 09:14:06 NFX350 mgd[72469]: UI_AUTH_EVENT:クラス「j-super-user」に割り当てられた認証済みユーザー「アキュメネクセック」 11 月 27 日 09:14:06 NFX350 mgd[72469]: UI_LOGIN_EVENT: User 'acumensec' ログイン、 クラス 'j-super-user' [72469], ssh-connection '192.168.137.3 55000 192.168.137.20 22', クライアントモード 'cli' •アクセスバナーを設定する機能: 5 月 13 日 00:03:58 NFX350 mgd[14109]: UI_CMDLINE_READ_LINE: ユーザー'acumensec', コマンド 'set system login message \"\ このIsLoginBanner\" 5 月 13 日 00:04:00 NFX350 mgd[14109]: UI_CMDLINE_READ_LINE: User 'acumensec' , コマンド 'set system login announcement \"\ このIsMOTDBanner\ このIsExecBanner\ • セッションの終了またはロック前の非アクティブ時間を設定する機能: <182>1 2021-08-25T12:37:30.586Z NFX350 mgd 71982 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.13 8.19 username="acumensec" action="set" pathname="[システム ログイン idle-timeout\]" デリミタ="\"data="60" value="5"] ユーザー 'acumensec' セット: [システム ログイン アイドル タイムアウト] "60 -> "5" • TOEを更新し、更新をインストールする前にデジタル署名と[他にはない]機能を使用して更新を検証する機能: FIA_AFLの認証失敗パラメータを設定する機能。1: <182>1 2021-08-10T06:53:02.864Z NFX350 mgd 23572 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.138.19 username="acumensec" action="set" pathname="[システム ログイン再試行オプションロックアウト期間\]" 区切り文字="\"" data="5" value="1"] ユーザー 'acumensec' セット: [システム ログイン再試行オプション ロックアウト期間] "5 -> "1" • TSF データのすべての管理アクティビティ(ファイアウォール ルールの作成、変更、削除を含む) <182>1 2022-06-13T07:23:58.008Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[firewall family inet フィルター SRC_DENY送信元アドレス 10.1.1.60/32\] から削除する区切り文字="""値="] ユーザー 'acumensec' セット: [ファイアウォール ファミリー inet フィルター SRC_DENY送信元アドレス 10.1.1.60/32 からの条件ドロップ] <182>1 2022-06-13T07:24:01.607Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.4 138.19 username="acumensec" action="set" pathname="[ファイアウォール ファミリー inet フィルター SRC_DENY条件ドロップしてから、削除\]" 区切り文字=""値""] ユーザーの「アキュメsec」セット:[ファイアウォール ファミリー inet フィルター SRC_DENY条件ドロップしてから破棄] <182>1 2022-06-13T07:24:06.001Z NFX350 mgd 88911 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[ファイアウォールファミリーinetフィルター SRC_DENY条件ドロップし、\]"区切り文字=""data="<未構成>"値="ログ"] ユーザーの「acumensec」セット:[ファイアウォールファミリーinetフィルター SRC_DENY条件ドロップ] <未構成> -> 「ログ」 <182>1 2022-06-13T08:09:55.268Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1 1.4.138.19 username="acumensec" action="delete" pathname="[firewall filter DEST_PERMIT\]" デリミタ="" 値="] ユーザーの「アキュメニックス」削除: [ファイアウォール フィルター DEST_PERMIT] • 暗号化キーを管理する機能: 11 月 27 日 09:31:28 NFX350 mgd[79117]: UI_AUTH_EVENT: クラス 'j-super-user' に割り当てられた認証済みユーザー 'Tester1' 11 月 27 日 09:31:28 NFX350 mgd[79117]: UI_LOGIN_EVENT: ユーザー 'Tester1' ログイン、 クラス 'j-super-user' [79117], ssh-connection '192.168.137.3 56026 192.168.137.20 22', クライアントモード 'cli' 11 月 27 日 09:31:30 NFX350 mgd[79117]: UI_CMDLINE_READ_LINE: ユーザー 'テスター1', コマンド '構成' 11 月 27 日 09:31:30 NFX350 mgd[79117]: PVIDB: 属性 'license.agile_infra_supported' は Db に存在しません 11 月 27 日 09:31:30 NFX350 mgd[79117]: UI_DBASE_LOGIN_EVENT: 構成モードに入るユーザー 'テスター1' 11 月 27 日 09:31:35 NFX350 mgd[79117]: UI_CFG_AUDIT_OTHER: ユーザー 'テスター1' セット: [システム サービス ssh 暗号方式 aes128-cbc] 11 月 27 日 09:31:35 NFX350 mgd[79117]: UI_CMDLINE_READ_LINE: ユーザー 'テスター1', コマンド 'set system services ssh ciphers aes128-cbc ' • 暗号機能を設定する機能: 検証済み/boot/boot.4th \\検証済み/boot/platform.4th \\検証済み/ブート/ローダー.rc \\検証済み/ブート/junos-menu.4th \\\検証済み/boot/junos-support.4th \\検証済み/boot/junos-snapshot.4th \\\検証済み/boot/junos-device.4th \\検証済み/boot/junos-boot.4th \\検証済み/boot/platform-boot.4th \\検証済み/boot/junos-term.4th \\\検証済み/boot/oam-autoboot.4th \u001b[m\u001b[H\u001b[J\u001b[H\u001b[KAutoboot in 3 秒...(Ctrl-C を押して割り込む)\u001b[H\u001b[KAutoboot in 2 秒...(Ctrl-C を押して割り込む)\u001b[H\u001b[KAutoboot in 1 秒...(Ctrl-Cを押して割り込む) \u001b[m\u001b[H\u001b[H\u001b[KAutoboot in 3 seconds..& nbsp;(press Ctrl-C to interrupt) \u001b[H\u001b[KAutoboot in 2 seconds..& nbsp;(press Ctrl-C to interrupt) \u001b[H\u001b[KAutoboot in 1 seconds..& nbsp;(press Ctrl-C to interrupt) \\検証済み/packages/sets/active/boot/os-kernel/../マニフェストはPackageProductionECP256_2020によって署名されています 検証済み/パッケージ/セット/アクティブ/ブート/os-crypto/../マニフェストはPackageProductionECP256_2020によって署名されています mgd:FIPS セルフテストに合格 mgd: コミット完了 /etc/config//nfx350_s3-defaults.conf:33:(28)構文エラー、想定'}'または'{':initial-hold /etc/config//nfx350_s3-defaults.conf:41:(13)エラー回復はこの点まで入力を無視します: } mgd: コミット完了 @ 1606470702 [2020-11-27 09:51:42 UTC] mgd done ロックマネージャー RDM Embedded 7[2006年8月4日] http://www.birdstep.com (c) 1992-2006 バードステップ・テクノロジー株式会社All Rights Reserved. Unix ドメイン ソケット ロック マネージャー ロック・マネージャー 'lockmgr' が正常に開始されました。 データベース初期化ユーティリティー RDM Embedded 7[2006年8月4日] http://www.birdstep.com (c) 1992-2006 バードステップ・テクノロジー株式会社All Rights Reserved. プロファイル データベースの初期化 拡張 arp スケールは無効です lag拡張無効 0 コア ダンプが見つかりません。 プリフェッチ /usr/sbin/rpd ... プリフェッチ /usr/libexec64/rpd ... プリフェッチ /usr/sbin/lacpd ... プリフェッチ /usr/sbin/chassisd ... @ 1606470705 [2020-11-27 09:51:45 UTC] マウントレイター開始 @ 1606470708 [2020-11-27 09:51:48 UTC] mountlater done newsyslog.junos:pid ファイルが存在しない:/var/run/syslog.pid 最初にjlaunchhelperdを始めましょう。 junos jdid_diag_mode_setup.sh の呼び出し ronから始めます。 11月27日(金)09:51:58 UTC 2020 FreeBSD/amd64(NFX350)(ttyu0) ログイン:QAT:任意の設定ファイルでSSLセクションが見つけることができませんでした ネットワーク管理サービスの開始:snmpd libvirtMib_subagent。 UEFI キー ストアの同期: Juniper Dev キーは取り消されません。何もしない cp:'/var/platform/lte_vm_xml_params':そのようなファイルやディレクトリは設定できません rm: '/lib/udev/rules.d/lte_usb.rules': そのようなファイルやディレクトリを削除できません FreeBSD/amd64(NFX350)(ttyu0) IPsec SAのライフタイムを設定する機能: <182>1 2021-08-25T12:31:44.291Z NFX350 mgd 71982 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action="set 」 pathname="[security ipsec プロポーザル ipsec-devices-proposal lifetime-seconds\]」区切り記号="\"データ="30000" 値="28800"] ユーザー 'acumensec' セット: [セキュリティ ipsec プロポーザル ipsec-devices-proposal lifetime-seconds] "30000 -> "28800" •TOEのトラストストアにX.509v3証明書をインポートする機能: <190>1 2021-08-25T07:12:05.518Z NFX350 mgd 59039 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.4.138.19 username="acumensec" コマンド="run request security pki ca-certificate load ca-profile AcumenICA.crt "] ユーザーの「acumensec」、 コマンド 'run request security pki ca-certificate load ca-profile AcumenICA filename AcumenICA.crt' <29>1 2021-08-25T07:12:05.527Z NFX350 pkid 21707 PKID_PV_CERT_LOAD [junos@2636.1.1.1.4.138.19 type-string="AcumenICA"] 認定アキュメニカが正常に読み込まれました サービスを開始および停止する機能: 11 月 27 日 09:27:36 NFX350 mgd[77596]: UI_AUTH_EVENT: クラス 'j-super-user' に割り当てられた認証済みユーザー 'Tester1' 11 月 27 日 09:27:36 NFX350 mgd[77596]: UI_LOGIN_EVENT: ユーザー 'Tester1' ログイン、 クラス 'j-super-user' [77596], ssh-connection '192.168.137.3 55836 192.168.137.20 22', クライアントモード 'cli' 11 月 27 日 09:27:38 NFX350 mgd[77596]: UI_CMDLINE_READ_LINE: ユーザー 'テスター1', コマンド '構成' 11 月 27 日 09:27:38 NFX350 mgd[77596]: PVIDB: 属性 'license.agile_infra_supported' は Db に存在しない 11 月 27 日 09:27:38 NFX350 mgd[77596]: UI_DBASE_LOGIN_EVENT: 構成モードに入るユーザー 'テスター1' 11 月 27 日 09:27:56 NFX350 mgd[77596]: UI_CMDLINE_READ_LINE: ユーザー 'テスター1', コマンド 'set system services netconf ssh' • 監査動作を設定する機能: 1 月 12 日 12:16:06 NFX350 clear-log[91489]: ログ ファイルのクリア 1月12日12:16:06 NFX350 mgd[91445]:UI_CHILD_STATUS:クリーンアップの子'/usr/libexec/ui/clear-log'、PID 91489、ステータス0 1 月 12 日 12:16:06 NFX350 mgd[91445]: UI_FILE_CLEARED:ユーザーがクリアした「監査」ログ ファイル「アキュメネセック」 1 月 12 日 12:16:13 NFX350 mgd[91445]: UI_CMDLINE_READ_LINE: User 'acumensec', コマンド 'exit ' 1 月 12 日 12:16:13 NFX350 mgd[91445]: UI_DBASE_LOGOUT_EVENT:設定モードから終了するユーザー「アキュメネクセック」 SSH鍵更新のしきい値を設定する機能: [システム メッセージ]: キー更新の約 1 分 4 秒前 システム稼働時間を表示 現在の時刻:2020-05-17 21:49:03 UTC 時間ソース:ローカルクロック システム起動: 2020-05-12 23:51:11 UTC (4d 21:57 前に) プロトコルが開始されました: 2020-05-12 23:52:33 UTC (4d 21:56 前に) 最終設定: 2020-05-17 21:45:59 UTC (00:03:04 前に) 9:49pm up 4 日、21:58、4 ユーザー、負荷平均:0.68、0.54、0.51 debug3: send packet: type 30 debug1: 送信SSH2_MSG_KEX_ECDH_INIT debug1: 期待するSSH2_MSG_KEX_ECDH_REPLY debug1: 進行中の鍵更新 debug1: 進行中の鍵更新 debug3: receive packet: type 31 debug1:サーバー ホスト キー:ecdsa-sha2-nistp256 SHA256:d93HoDt2BojeOsanLln+jo5UOohW75UXKXiafuYWX6I debug2:verify_host_key:サーバー ホスト キー ECDSA SHA256:d93HoDt2BojeOsanLln+jo5UOohW75UXKXiafuYWX6I がキャッシュされたキーに一致 debug3: send packet: type 21 debug2: set_newkeys: モード 1 debug1: set_newkeys: 鍵更新、入力 3016 バイト 144 ブロック、出力 3832 バイト 147 ブロック debug1: 4294967296 ブロック後のキー更新 debug1: 送信SSH2_MSG_NEWKEYS debug1: expecting SSH2_MSG_NEWKEYS debug3: receive packet: Type 21 debug1: 受信したSSH2_MSG_NEWKEYS システム稼働時間を表示 現在の時刻:2020-05-17 21:50:04 UTC 時間ソース:ローカルクロック システム起動: 2020-05-12 23:51:11 UTC (4d 21:58 前に) プロトコルが開始されました: 2020-05-12 23:52:33 UTC (4d 21:57 前に) 最終設定: 2020-05-17 21:45:59 UTC (00:04:05 前) by acumensec 9:50PM アップ 4 日、21:59、4 ユーザー、負荷平均:0.60、0.55、0.51 • 管理者アカウントを再度有効にする機能: 5 月 22 日 21:00:51 NFX350 sshd[33266]: LIBJNX_LOGIN_ACCOUNT_UNLOCKED: ユーザー 'テスター' のアカウントのログインのロックが解除されました •タイムスタンプに使用される時間を設定する機能: 11 月 27 日 09:59:28 NFX350 mgd[13369] UI_CHILD_START: 開始子 '/bin/date' 5 月 13 日 00:00:00 NFX350 日付:ルートで設定された日付 5 月 13 00:00 NFX350 mgd[13369]: UI_CHILD_STATUS:クリーンアップ子'/bin/日付'、PID 13406、ステータス 0x200 5 月 13 00:00:00 NFX350 mgd[13369]: UI_CHILD_EXITED:終了した子:PID 13406、ステータス 2、コマンド'/bin/date' 5 月 13 日 00:00:00 NFX350 mgd[13369]: UI_COMMIT_PROGRESS:コミット操作進行中:シグナリング'ネットワーク セキュリティ デーモン'、pid 11660、信号 31、ステータス 0(通知エラーが有効) 5 月 13 日 00:00:00 NFX350 nsd[11660]: NSD_SYS_TIME_CHANGE:システム時間が変更されました。 • ピアの参照識別子を設定する機能: <182>1 2021-08-25T12:53:12.267Z NFX350 mgd 73318 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[セキュリティ ike gateway gw-b リモート ID ホスト名\]"区切り記号=""data="<未構成>"値="peer.acumensec.local"] ユーザー 'acumensec' セット: [セキュリティ ike ゲートウェイgw-b リモートアイデンティティ ホスト名] <構成なし> -> "peer.acumensec.local" • TOEのトラストストアを管理し、X.509v3証明書をトラストアンカーとして指定する機能。 <182>1 2022-06-09T11:02:59.701Z NFX350 mgd 50145 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action=" "set" pathname="[security pki ca-profile AcumenCA-identity\]"区切り文字=""data="<未構成>"値="AcumenCA"] ユーザー 'acumensec' セット: [security pki ca-profile AcumenCA ca-identity] <構成なし> -> 「AcumenCA」 <190>1 2022-06-09T11:03:01.073Z NFX350 mgd 50145 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.4.138.19 username="acumensec" コマンド="run request security pki ca-certificate load ca-profile AcumenCA filename/var/home/acumensec/AcumenCA.crt "] ユーザー 'acumensec', コマンド 'run request security pki ca-certificate load ca-profile AcumenCA filename/var/home/acumensec/AcumenCA.crt ' <29>1 2022-06-09T11:03:01.085Z NFX350 pkid 22008 PKID_PV_CERT_LOAD [junos@2636.1.1.1.4.138.19 type-string="AcumenCA"] 認定アキュメンカが正常に読み込まれました •信頼できるパブリックキーデータベースを管理する機能。 <190>1 2022-06-13T07:16:56.570Z NFX350 mgd 88911 UI_CHILD_START junos@2636.1.1.1.4.138.19 command="/usr/bin/ssh-keygen"] 開始する子「/usr/bin/ssh-keygen」 <190>1 2022-06-13T07:16:56.584Z NFX350 mgd 88911 UI_CHILD_STATUS [junos@2636.1.1.1. 1.4.138.19 command="/usr/bin/ssh-keygen" pid="54449" status-code="0"] クリーンアップの子'/usr/bin/ssh-keygen', PID 54449, ステータス 0 <182>1 2022-06-13T07:16:56.585Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.4.138.138.19 username="acumensec" action="set" pathname="[システム ログイン ユーザー syslog-mon 認証 ssh-ecdsa /* SECRET-DATA */\]区切り文字="""値="] ユーザー 'acumensec' セット: [システム ログイン ユーザー syslog-mon 認証 ssh-ecdsa /* SECRET-DATA */] パケット フィルタリング ルールの定義: <182>1 2022-06-13T07:23:58.008Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[firewall family inet フィルター SRC_DENY送信元アドレス 10.1.1.60/32\] から削除する区切り文字="""値="] ユーザー 'acumensec' セット: [ファイアウォール ファミリー inet フィルター SRC_DENY送信元アドレス 10.1.1.60/32 からの条件ドロップ] <182>1 2022-06-13T07:24:01.607Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.4 138.19 username="acumensec" action="set" pathname="[ファイアウォール ファミリー inet フィルター SRC_DENY条件ドロップしてから、削除\]" 区切り文字=""値""] ユーザーの「アキュメsec」セット:[ファイアウォール ファミリー inet フィルター SRC_DENY条件ドロップしてから破棄] <182>1 2022-06-13T07:24:06.001Z NFX350 mgd 88911 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[ファイアウォールファミリーinetフィルター SRC_DENY条件ドロップし、\]"区切り文字=""data="<未構成>"値="ログ"] ユーザーの「acumensec」セット:[ファイアウォールファミリーinetフィルター SRC_DENY条件ドロップ] <未構成> -> 「ログ」 パケット フィルタリング ルールとネットワーク インターフェイスの関連付け <182>1 2022-06-13T07:30:40.233Z NFX350 mgd 88911 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname=":ge -1/0/0 ユニット 0 ファミリー inet フィルター入力\]"区切り文字=""data="<未構成>"値="SRC_DENY"] ユーザー 'acumensec' セット: [インターフェイス ge-1/0/0 ユニット 0 ファミリー inet フィルター入力] <設定なし> -> 「SRC_DENY」 優先度によるパケット フィルタリング ルールの注文 <182>1 2022-06-13T07:37:13.229Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[ファイアウォール フィルター DEST_PERMIT条件許可宛先アドレス 10.1.5.27/32\]"区切り文字="""値="] ユーザー 'acumensec' セット: [ファイアウォール フィルター DEST_PERMIT条件は宛先アドレス 10.1.5.27/32 から許可] <182>1 2022-06-13T07:37:21.523Z NFX350 mgd 88911 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[ファイアウォールフィルター DEST_PERMIT条件を許可し、\]"区切り文字=""data="<未構成>"値="accept"] ユーザーの「acumensec」セット:[ファイアウォールフィルター DEST_PERMIT条件許可]<未構成> ->「accept」 <182>1 2022-06-13T07:37:29.283Z NFX350 mgd 88911 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumen.19"sec" action="set" pathname="[ファイアウォールフィルター DEST_PERMIT条件が許可し、\]" 区切り文字="" data="<未構成>"値="log"] ユーザーの「acumensec」セット:[ファイアウォールフィルター DEST_PERMIT条件許可その後] <未構成> -> 「ログ」 <182>1 2022-06-13T07:37:43.032Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.4.138.19 username="acumensec" action="set" pathname="[ファイアウォール フィルター DEST_PERMIT宛先アドレス 10.1.5.27/32\] から削除する区切り記号="" 値=""] ユーザー 'acumensec' セット: [ファイアウォール フィルター DEST_PERMIT条件が宛先アドレス 10.1.5.27/32 からドロップ] <182>1 2022-06-13T07:37:55.884Z NFX350 mgd 88911 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1 4.138.19 username="acumensec" action="set" pathname="[ファイアウォール フィルター DEST_PERMIT条件ドロップし、破棄\]" 区切り文字="""値="] ユーザーの「アキュメsec」セット:[ファイアウォール フィルター DEST_PERMIT条件ドロップを破棄] <182>1 2022-06-13T07:38:02.763Z NFX350 mgd 88911 UI_CFG_AUDIT_SET [junos@2636.1.1.1.4.138.19 username="acumensec " action="set" pathname="[ファイアウォール フィルター DEST_PERMIT条件ドロップし\]" 区切り文字=""data="<未構成>"値="ログ"] ユーザー'acumensec' セット: [ファイアウォール フィルター DEST_PERMIT 条件ドロップ] <構成なし> -> 「ログ」 |
| FPT_TUD_EXT.1 | 更新の開始。更新試行の結果(成功または失敗)です。 | なし。 | <190>1 2021-08-10T06:41:14.181Z NFX350 mgd 23572 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.4.138.19 ユーザー名 ="acumensec" コマンド="request vmhost ソフトウェア追加/var/tmp/jinstall-host-nfx-3-x86-64-20.3I-20201210.0.1400-secure-signed.tgz no-validate "] ユーザー'アキュメsec', コマンド 'request vmhost software add /var/tmp/jinstall-host-nfx-3-x86-64-20.3I-20201210.0.1400-secure-signed.tgz no-validate ' <190>1 2021-08-10T06:41:14.198Z NFX350 mgd 23572 UI_CHILD_START [junos@2636.1.1.1.4.138.19 command="/usr/libexec/ui/package"] 開始する子'/usr/libexec/ui/package' <29>1 2021-08-10T06:41:14.200Z NFX350 mgd 23572 - - /usr/libexec/ui/package -X アップデート /var/tmp/jinstall-host-nfx-3-x86-64-20.3I-20201210.0.1400-secure-signed.tgz -no-validate |
| FPT_STM_EXT.1 | システム管理者が自動プロセスで駆動または変更する、不連続な時間変更。(ログに記録する必要がある時間の継続的な変更は必要ありません。時間の不連続な変更については、FPT_STM_EXT.1)アプリケーションノートも参照してください:時間の古い値と新しい値。 | 成功と失敗の時間(IP アドレスなど)を変更しようとする試みの送信元。 | 11 月 27 日 09:59:28 NFX350 mgd[13369] UI_CHILD_START: 開始子 '/bin/date' 5 月 13 日 00:00:00 NFX350 日付:ルートで設定された日付 5 月 13 00:00 NFX350 mgd[13369]: UI_CHILD_STATUS:クリーンアップ子'/bin/日付'、PID 13406、ステータス 0x200 5 月 13 00:00:00 NFX350 mgd[13369]: UI_CHILD_EXITED:終了した子:PID 13406、ステータス 2、コマンド'/bin/date' 5 月 13 日 00:00:00 NFX350 mgd[13369]: UI_COMMIT_PROGRESS:コミット操作進行中:シグナリング'ネットワーク セキュリティ デーモン'、pid 11660、信号 31、ステータス 0(通知エラーが有効) 5 月 13 日 00:00:00 NFX350 nsd[11660]: NSD_SYS_TIME_CHANGE:システム時間が変更されました。 |
| FTA_SSL_EXT.1 | (「セッション終了」を選択した場合)セッション ロック メカニズムによるローカル セッションの終了。 | なし。 | 5 月 17 日 04:50:21 NFX350 cli:UI_CLI_IDLE_TIMEOUT: アイドル タイムアウト(ユーザー 'root' を超え、セッションが終了) 5 月 17 日 04:50:21 NFX350 mgd[95344]: UI_LOGOUT_EVENT: ユーザー 'root' ログアウト |
| FTA_SSL.3 | セッション ロック メカニズムによるリモート セッションの終了。 | なし。 | 5 月 17 日 04:50:21 NFX350 cli:UI_CLI_IDLE_TIMEOUT: アイドル タイムアウト(ユーザー 'root' を超え、セッションが終了) 5 月 17 日 04:50:21 NFX350 mgd[95344]: UI_LOGOUT_EVENT: ユーザー 'root' ログアウト |
| FTA_SSL.4 | インタラクティブ セッションの終了。 | なし。 | 地元の 5 月 16 日 08:29:28 NFX350 mgd[17208): UI_CMDLINE_READ_LINE: User 'acumensec', command 'quit ' 5 月 16 日 08:29:28 NFX350 mgd[17208]: PVIDB: 属性 'license.agile_infra_supported' は Db に存在しない 5 月 16 日 08:29:28 NFX350 mgd[17208): UI_LOGOUT_EVENT: User 'acumensec' ログアウト リモート 11 月 27 日 09:35:10 NFX350 mgd[79303]: UI_CMDLINE_READ_LINE: User 'acumensec', コマンド 'exit ' 11 月 27 日 09:35:10 NFX350 mgd[79303]: PVIDB: 属性 'license.agile_infra_supported' は Db に存在しません 11 月 27 日 09:35:10 NFX350 mgd[79303]: UI_LOGOUT_EVENT: User 'acumensec' ログアウト |
| FTA_TAB.1 | なし | なし | |
| FTP_ITC.1 | 信頼できるチャネルの開始。 信頼できるチャネルの終端。 信頼できるチャネル機能の障害。 |
失敗した信頼できるチャネル確立の試みの開始側とターゲットの特定。 | 開始 <14>1 2021-08-16T12:23:47.193Z NFX350 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.4.138.19 送信元アドレス="10.1.1.60" source-port="21985" destination-address="10.1.3.27" destination-port="1" connection-tag="0" service-name="icmp" nat-source-address="10.1" 1.1.60 インチ nat-source-port="21985" nat-destination-address="10.1.3.27" nat-destination-port="1"nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" プロトコル-id="1" policy-name="vpn allow" source-zone-name="trust" destination-zone-name="vpnzone" session-id-32="67216731" username="N/A" roles="N/A" packet-incoming-interface="ge-1/0/0.1" application="UNKNOWN" nested-application="UNKNOWN" encrypted="UNKNOWN" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf -grp="N/A" dst-vrf-grp="N/A"] セッションが作成された 10.1.1.60/21985->10.1.3.27/1 0x0 icmp 10.1.1.60/21985->10.1.3.27/1 0x0 N/A N/A N/A 1 vpn-allow trust vpnzone 67216731 N/A(N/A)ge-1/0/0.1 不明 不明 N/A N/A -1 N/A N/A N/A 障害と終了 <14>1 2021-08-17T13:59:52.690Z NFX350 RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.4.138.19 送信元アドレス=10.1.1.60" ソース ポート ="58108" destination-address="10.1.3.27" destination-port="22" connection-tag="0" service-name="junos-ssh" protocol-id="6" icmp-type="0" policy-name="vpn-deny" source-zone-name="trust" 宛先ゾーン-name="vpnzone"application="UNKNOWN" nested-application="UNKNOWN" username="N/A" roles="N/A" packet-incoming-interface="ge-1/0/0.1" encrypted="No" 理由="ポリシーによって拒否" セッション ID-32 ="67244718" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp="N/A"] セッションが junos-ssh 6(10.1.1.60/58108->10.1.3.27/22 0x0拒否 0)vpn-deny trust vpnzone UNKNOWN UNKNOWN N/A(N/A)ge-1/0/0.1 ポリシーによって拒否されない67244718 N/A N/A -1 N/A N/A N/A <14>1 2021-08-17T13:59:53.691Z NFX350 RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.4.138.19 source-address="10.1.1.60" source-port ="58108" destination-address="10.1.3.27" destination-port="22" connection-tag="0" service-name="junos-ssh" protocol-id="6" icmp-type="0" policy-name="vpn-deny" source-zone-name="trust" 宛先ゾーン-name="vpnzone"application="UNKNOWN" nested-application="UNKNOWN" username="N/A" roles="N/A" packet-incoming-interface="ge-1/0/0.1" encrypted="No" 理由="ポリシーによって拒否" セッション ID-32 ="67244719" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp="N/A"] セッションが junos-ssh 6(10.1.1.60/58108->10.1.3.27/22 0x0拒否 0)vpn-deny trust vpnzone UNKNOWN UNKNOWN N/A(N/A)ge-1/0/0.1 ポリシー 67244719拒否なし67244719 N/A -1 N/A N/A N/A |
| FTP_TRP.1/管理者 | 信頼されたパスの開始。 信頼されたパスの終了。 信頼されたパス機能の障害。 |
なし。 |
開始 <38>1 2021-08-10T10:34:55.462Z NFX350 sshd 34040 - 10.1.1.60 ポート 41942 ssh2 から acumensec 用のキーボードインタラクティブ/pam に同意 <190>1 2021-08-10T10:34:55.808Z NFX350 mgd 34051 UI_AUTH_EVENT [junos@2636.1.1.1.4.138.19 username="acumensec" 認証レベル="j-super-user"] クラス「j-super-user」に割り当てられた認証済みユーザー「アクメンセック」 <190>1 2021-08-10T10:34:55.809Z NFX350 mgd 34051 UI_LOGIN_EVENT [junos@2636.1.1.1.4.138.19 username="acumensec" class-name="j" -super-user" local-peer="" pid="34051" ssh-connection="10.1.1.60 41942 10.1.1.127 22" client-mode="cli"] ユーザー 'acumensec' ログイン, クラス 'j-super-user' [34051] ssh-connection '10.1.1.60 41942 10.1.1.127 22', クライアントモード 'cli' 終了 <190>1 2021-08-10T10:37:16.686Z NFX350 mgd 34051 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.4.138.19 username="acumensec" コマンド= "] User 'acumensec','コマンド'exit <190>1 2021-08-10T10:37:16.695Z NFX350 mgd 34051 UI_LOGOUT_EVENT [junos@2636.1.1.1.4.138.19 username="acumensec"] <38>1 2021-08-10T10:37:16.710Z NFX350 sshd 34049 - - 10.1.1.60 ポートからの切断を受け取りました 41942:11: ユーザーによる切断 <38>1 2021-08-10T10:37:16.710Z NFX350 sshd 34049 - - ユーザーアクメンセック10.1.1.60ポート41942から切断 失敗 SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.4.138.19 limit="5" username="acumensec"] ユーザーが認証試行に失敗した場合のしきい値(5) <38>1 2021-08-10T10:29:50.300Z NFX350 sshd 33807 - - 認証ユーザーのアキュメネクセック10.1.1.60ポート41934のパスワード障害の数が多すぎる <38>1 2021-08-10T10:29:50.300Z NFX350 sshd 33806 - - 認証ユーザーのアキュメンセックの認証の切断 10.1.1.60 ポート 41934:アキュメンセックのパスワード障害が多すぎる [preauth] |
| FCS_SSHS_EXT.1 | SSHセッションの確立に失敗 | 失敗の原因
|
<35>1 2022-05-02T13:07:12.148Z NFX350 sshd 90361 - - エラー:PAM:10.1.2.170からのアキュメネセに関する認証エラー <37>1 2022-05-02T13:07:12.149Z NFX350 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.1.. 4.138.19 username="acumensec" source-address="10.1.2.170"] ホスト '10.1.2.170' から「acumensec」ユーザーのログインに失敗しました |
| FMT_MOF.1/機能 |
なし | なし | |
| FMT_MOF.1/サービス | なし | なし | |
| FMT_MTD.1/CryptoKeys | なし | なし | |
| FFW_RUL_EXT.1 |
「ログ」操作で構成されたルールの適用 | 送信元アドレスと宛先アドレス。 送信元と宛先のポート。 トランスポートレイヤープロトコル。TOEインターフェイス。 |
ログの時刻:2021-05-06 08:48:14 UTC、フィルター:pfe、フィルターアクション:破棄、インターフェイス名:ge-1/0/0.1 プロトコル名:ICMP、パケット長:84、送信元アドレス:10.1.1.60、宛先アドレス:10.1.1.127 ICMP タイプ:8、ICMP コード:0 ログの時刻:2021-05-04 08:48:13 UTC、フィルター:pfe、フィルターアクション:破棄、インターフェイス名:ge-1/0/0.1 プロトコル名:ICMP、パケット長:84、送信元アドレス:10.1.1.60、宛先アドレス:10.1.1.127 ICMP タイプ:8、ICMP コード:0 |
| FCS_IPSEC_EXT.1 | ピアとのセッション確立 | セッション確立中に送受信されたパケットのパケット内容全体 | 21 10:21:59 NFX350 RT_FLOW:RT_FLOW_SESSION_CREATE:セッションが作成された 192.168.168.1/19882 ->10.10.10.1/7 0x0 icmp 192.168.168.1/19882-> 0x0 10.10.10.1/7 0x0 N/A N/A N/A 1 vpn-chi-tr vpnzone trust 67135301 N/A(N/A)st0.0 不明 不明 N/A N/A -1 N/A N/A N/A\r\nJan 21 10:21:59 NFX350 RT_FLOW: |
| FPF_RUL_EXT.1 | 「ログ」操作で構成されたルールの適用 |
送信元アドレスと宛先アドレス 送信元ポートと宛先ポート トランスポートレイヤープロトコル TOEインターフェイス |
acumensec@NFX350:fips# run show firewall log detail ログのTme:2021-05-04 08:34:18 UTC、フィルター:pfe、フィルターアクション:破棄、インターフェイス名:ge-1/0/0.1 プロトコル名:ICMP、パケット長:84、送信元アドレス:10.1.1.60、宛先アドレス:10.1.1.127 ICMP タイプ:8、ICMP コード:0 ログのTme:2021-05-04 08:34:17 UTC、フィルター:pfe、フィルターアクション:破棄、インターフェイス名:ge-1/0/0.1 プロトコル名:ICMP、パケット長:84、送信元アドレス:10.1.1.60、宛先アドレス:10.1.1.127 ICMP タイプ:8、ICMP コード:0 |
| FFW_RUL_EXT.2
|
ルールの動的定義。 セッションの確立 | なし | ログの時刻:2021-05-31 04:19:27 UTC、フィルター:pfe、フィルターアクション:accept、インターフェイス名:ge-1/0/0.1 プロトコルの名前:TCP、パケット長:52、送信元アドレス:10.1.1.60:45130、宛先アドレス:10.1.3.160:1023 ログの時刻:2021-05-31 04:19:27 UTC、フィルター:pfe、フィルターアクション:accept、インターフェイス名:ge-1/0/0.1 プロトコルの名前:TCP、パケット長:52、送信元アドレス:10.1.1.60:45130、宛先アドレス:10.1.3.160:1023 ログの時刻:2021-05-31 04:19:24 UTC、フィルター:pfe、フィルターアクション:accept、インターフェイス名:ge-1/0/0.1 プロトコルの名前:TCP、パケット長:63、送信元アドレス:10.1.1.60:45130、宛先アドレス:10.1.3.160:1023 |
| FMT_SMF.1/IPS | IPS ポリシー要素の変更。 |
変更されたIPSポリシー要素の識別子または名前(シグネチャー、ベースライン、既知の良好/既知の悪いリストが変更されたなど)。 | <182>1 2021-08-10T07:47:22.958Z NFX350 mgd 26205 UI_CFG_AUDIT_OTHER [junos@2636.1.1.1.1.4.138.19 username="acumensec" action="set" pathname="[security idp カスタム攻撃 UDPDstport\]" 区切り文字=""値"] ユーザー 'アキュメsec' セット: [セキュリティ idp カスタム攻撃 UDPDstport] <190>1 2021-08-10T07:47:22.958Z NFX350 mgd 26205 UI_CMDLINE_READ_LINE junos@2636.1.1.1.4.138.19 username="acumensec" コマンド="set security idp custom-attack UDPDstport "] ユーザー「アキュメsec」、 コマンド 'set security idp custom-attack UDPDstport ' |
| IPS_ABD_EXT.1 | 検査されたトラフィックは、異常ベースの IPS ポリシーと一致します。 | 送信元と宛先の IP アドレス。 ポリシーと一致するように決定されたヘッダー フィールドの内容。 パケットを受信した TOE インターフェイス イベントをトリガーした異常ベースの IPS ポリシー ルール(スループット、時刻、頻度など)の側面。 TOE によるネットワークベースのアクション(許可、ブロック、送信元 IP へのリセット送信、ファイアウォールへのブロック通知の送信など)。1 |
<14>1 2021-06-25T04:53:46.402Z NFX350 RT_IDP - IDP_ATTACK_LOG_EVENT [junos@2636.1.1.1.4.138.19 1624596826」メッセージ タイプ="SIG" address="10.1.1.60" source-port="0" destination-address="10.1.3.160" destination-port="0" protocol-name="ICMP" service-name="SERVICE_IDP" application-name="ICMP-ECHO" rule-name="1" rulebase-name="IPS"policy-name="idp-Policies" export-id="1048618" repeat-count="0" action="DROP" 脅威-重大度="INFO" 攻撃名="IPS-security" nat-source-address="0.0.0" nat-source-port="0" nat-destination-address="0.0.0" nat-destination-port="0" elapsed-time="0" inbound-bytes="0" outbound-bytes="0" インバウンド パケット="0"アウトバウンドパケット="0" source-zone-name="trust" source-interface-name="ge-1/0/0.1" destination-zone-name="untrust" destination-interface-name="ge-1/0/1.1 1" packet-log-id="0" alert="yes" username="N/A" roles="N/A" xff-header="N/A" cve-id="N/A" メッセージ="-"] IDP:1624596826、 SIG 攻撃ログ <10.1.1.60/0->10.1.3.160/0>ポリシー idp-Policies のルールベース IPS のルール 1 による ICMP プロトコルおよびサービス SERVICE_IDPアプリケーション ICMP-ECHO。攻撃:id=1048618、repeat=0、action=DROP、脅威重大度=INFO、name=IPS-security、NAT <0.0.0.0:0->0.0.0.0:0>、時間経過時間=0、inbytes=0、 outbytes=0、inpackets=0、outpackets=0、intf:trust:ge-1/0/0.1->untrust:ge-1/0/1.1、packet-log-id:0、alert=yes、username=N/A、roles=N/A、xff-header=N/A、cve-id=N/A、その他のメッセージ |
| IPS_IPB_EXT.1 | 検査されたトラフィックは、IPS ポリシーに適用された既知の良好または既知の悪いアドレスのリストに一致します。 | 送信元と宛先の IP アドレス(および、該当する場合は送信元アドレスまたは宛先アドレスがリストに一致したかどうかを示す)。 パケットを受信した TOE インターフェイス。 TOE によるネットワークベースのアクション(許可、ブロック、送信リセットなど)。 |
<14>1 2021-06-25T06:56:03.712Z NFX350 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636 RT_FLOW_SESSION_CREATE.1.1.1.4.138.19 source-address="10.1.1.60" source-port="20396" destination address="10.1.3.160" destination-port="1" connection-tag="0" service-name="icmp" nat-source-address="10.1" 1.60 インチ nat-source-port="20396" nat-destination-address="10.1.3.160" nat-destination-port="1"nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" プロトコル-id="1" policy-name="bypass -all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="67186413" username="N/A" roles="N/A" packet-incoming-interface="ge-1/0/0.1" application="UNKNOWN" nested-application="UNKNOWN" encrypted="UNKNOWN" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp="N/A"] セッションが作成された 10.1.1.60/20396->10.1 .3.160/1 0x0 icmp 10.1.1.60/20396->10.1.3.160/1 0x0 N/A N/A N/A 1 bypass-all trust untrust 67186413 N/A(N/A)ge-1/0/0.1 不明 不明 N/A N/A -1 N/A N/A N/A <14>1 2021-06-25T06:56:03.712Z NFX350 RT_IDP - IDP_ATTACK_LOG_EVENT [junos@2636.1.1.1.4.138.19 1624604163」メッセージタイプ="SIG" "10.1.1.60" source-port="20396" destination-address="10.1.3.160" destination-port="1" protocol-name="ICMP" service-name="SERVICE_IDP" application-name="ICMP-ECHO" rule-name="1" rulebase-name="IPS"policy-name="idp-Policies" export-id="1048585" repeat-count="0" action="DROP" 脅威-重大度="INFO" 攻撃名="IPV4-Source-Address" nat-source-address="0.0.0" nat-source-port="0" nat-destination-address="0.0.0" nat-destination-port="0" elapsed-time="0" インバウンド- バイト="0" アウトバウンドバイト="0" インバウンドパケット="0"アウトバウンドパケット="0" source-zone-name="trust" source-interface-name="ge-1/0/0.1" destination-zone-name="untrust" destination-interface-name="ge-1/0/1.1 1" packet-log-id="0" alert="yes" username="N/A" roles="N/A" xff-header="N/A" cve-id="N/A" メッセージ="-"] IDP:1624604163、 SIG 攻撃ログ <10.1.1.60/20396->10.1.3.160/1> ポリシー idp-Policies のルールベース IPS のルール 1 による ICMP プロトコルおよびサービス SERVICE_IDP アプリケーション ICMP-ECHO。攻撃:id=1048585、repeat=0、action=DROP、threat-severity=INFO、name=IPV4-Source-Address、NAT <0.0.0.0:0->0.0.0:0>、時間経過=0、inbytes=0、 outbytes=0、inpackets=0、outpackets=0、intf:trust:ge-1/0/0.1->untrust:ge-1/0/1.1、packet-log-id:0、alert=yes、username=N/A、roles=N/A、xff-header=N/A、cve-id=N/A、その他メッセージ - メッセージ <14>1 2021-06-25T06:57:05.764Z NFX350 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636 RT_FLOW.1.1.1.4.138.19 理由="junos-idp によって閉じられた" source-address="10.1.1.60" source-port ="20396" destination-address="10.1.3.160" destination-port="4" connection-tag="0" service-name="icmp" nat-source address="10.1.1.60" nat-source-port="20396" nat-destination-address="10.1.3.160"nat-destination-port="4" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="1" policy-name="bypass-all"source-zone-name="trust" destination-zone-name="untrust" session-id-32="67186416" packets-from-client="1" bytes-from-client="84" packets-from-server="0" bytes-from-server="0" elapsed-time="60" application="ICMP" nested-application="ICMP-ECHO" username="N/A" roles="N/A" packet-incoming-incoming-interface="ge-1/0/0.1" encrypted="No" application-category="インフラストラクチャ" application-sub-category="ネットワーク" application-risk="1" application-characteristics="N/A"secure-web-proxy-session-type="NA" peer-session-id="0" peer-source-address="0.0.0" peer-source-port="0" peer-destination-address="0" 0.0.0" peer-destination-port="0" ホスト名="NA" src-vrf-grp="N/A" dst-vrf-grp="N/A"] セッションは junos-idp で終了:10.1.1.60/20396->10.1.3.160/4 0x0 icmp 10.1.1.6 0/20396->10.1.3.160/4 0x0 N/A N/A N/A 1 bypass-all trust untrust 67186416 1(84)0(0)60 ICMP ICMP-ECHO N/A(N/A)ge-1/0/0.1 インフラストラクチャ ネットワークなし 1 N/A NA 0 0.0.0.0/0->0.0.0.0/0 NA N/A |
| IPS_SBD_EXT.1 | 検査されたトラフィックは、ログを有効にしたシグネチャーベースの IPS ルールと一致します。一致した署名の名前または識別子 | 送信元と宛先の IP アドレス 署名と一致するよう決定されたヘッダー フィールドの内容。 パケットを受信した TOE インターフェイス TOE によるネットワークベースのアクション(許可、ブロック、送信リセットなど) |
<14>1 2021-06-25T07:14:21.651Z NFX350 RT_IDP - IDP_ATTACK_LOG_EVENT [junos@2636.1.1.1.4.138.19 1624605261」メッセージ タイプ=「SIG」 ="10.1.1.60" source-port="49560" destination-address="10.1.3.160" destination-port="21" protocol-name="TCP" service-name="SERVICE_IDP" application-name="FTP" rule-name="1" rulebase-name="IPS"policy-name="idp-Policies" export-id="2450" repeat-count="0" action="DROP" threat-severity="INFO" attack-name="FTP:USER:ANONYMOUS" nat-source-address="0.0.0"nat -source-port="0" nat-destination-address="0.0.0" nat-destination-port="0" elapsed-time="0" インバウンド-バイト="0" アウトバウンドバイト="0" インバウンドパケット="0"アウトバウンドパケット="0" source-zone-name="trust" source-interface-name="ge-1/0/0.1" destination-zone-name="untrust" destination-interface-name="ge-1/0/1.. 1" packet-log-id= "0" alert="yes" username="N/A" roles="N/A" xff-header="N/A" cve-id="N/A" メッセージ="-"] IDP:1624605261時、 SIG 攻撃ログ <10.1.1.60/49560->10.1.3.160/21>ポリシー idp-Policies のルールベース IPS のルール 1 による TCP プロトコルおよびサービス SERVICE_IDP アプリケーション FTP の場合。攻撃:id=2450、repeat=0、action=DROP、脅威重大度=INFO、name=FTP:USER:匿名、NAT <0.0.0.0:0->0.0.0.0:0>、時間経過=0、inbytes=0、 outbytes=0、inpackets=0、outpackets=0、intf:trust:ge-1/0/0.1->untrust:ge-1/0/1.1、packet-log-id:0、alert=yes、username=N/A、roles=N/A、xff-header=N/A、cve-id=N/A、その他 - メッセージ |