イベント ログの概要
評価された設定では、システムログを使用して設定変更を監査する必要があります。
さらに、Junos OSには以下の機能があります。
-
監査イベントに自動応答を送信します(syslogエントリの作成)。
-
承認されたマネージャーが監査ログを調査できるようにします。
-
監査ファイルを外部サーバーに送信します。
-
許可されたマネージャーがシステムを既知の状態に戻すことを許可します。
評価された構成のログは、イベントをキャプチャする必要があります。ロギングイベントを以下に示します。
表 1 に、NDcPPv2.2e の syslog 監査のサンプルを示します。
| 要件 |
監査可能なイベント |
追加の監査レコードの内容 |
イベントの生成方法 |
|---|---|---|---|
| FAU_GEN.1 |
なし |
なし |
|
| FAU_GEN.2. |
なし |
なし |
|
| FAU_STG_EXT.1. |
なし |
なし |
|
| FAU_STG.1. |
なし |
なし |
|
| FCS_CKM.1. |
なし |
なし |
|
| FCS_CKM.2. |
なし |
なし |
|
| FCS_CKM.4. |
なし |
なし |
|
| FCS_COP.1/ データ暗号化 |
なし |
なし |
|
| FCS_COP.1/SigGen |
なし |
なし |
|
| FCS_COP.1/ハッシュ |
なし |
なし |
|
| FCS_COP.1/KeyedHash |
なし |
なし |
|
| FCS_RBG_EXT.1. |
なし |
なし |
|
| FDP_RIP.2. |
なし |
なし |
|
| FIA_AFL.1. |
失敗したログイン試行の制限に達するか、それを超えています。 |
試行の発信元(IP アドレスなど)。 |
sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.164 limit="3" username="root"] ユーザー 'root' が認証試行失敗のしきい値 (3) に達しました |
| FIA_PMG_EXT.1. |
なし |
なし |
|
| FIA_UIA_EXT.1. |
識別および認証メカニズムのすべての使用。 |
提供されたユーザーID、試行元(IPアドレスなど)。 |
リモートログインの成功 MGD 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" 認証レベル="スーパーユーザー"] クラス「スーパーユーザー」に割り当てられた認証済みユーザー 'root' MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" クラス名="スーパーユーザー" local-peer="" pid="70652" ssh-connection="10.223.5.251 53476 10.204.134.54 22" client-mode="cli"] ユーザ 'root' ログイン、クラス 'スーパーユーザ' [70652]、ssh-connection '10.223.5.251 53476 10.204.134.54 22'、クライアントモード 'cli' リモートログインの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました ローカルログインの成功 ログイン 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] からログインしたユーザー root ログイン 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] から root としてログインしたユーザー root ローカルログインの失敗 ログイン70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164ユーザー名="root"エラーメッセージ="サービスモジュールのエラー"] ユーザーrootの認証中の失敗:サービスモジュールのエラー ログイン 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 ユーザー名="ルート" ソースアドレス="ttyu0"] ホスト ttyu0 からのユーザー root のログインに失敗しました |
| FIA_UAU_EXT.2. |
識別および認証メカニズムのすべての使用。 |
試行の発信元(IP アドレスなど)。 |
リモートログインの成功 MGD 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" 認証レベル="スーパーユーザー"] クラス「スーパーユーザー」に割り当てられた認証済みユーザー 'root' MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" クラス名="スーパーユーザー" local-peer="" pid="70652" ssh-connection="10.223.5.251 53476 10.204.134.54 22" client-mode="cli"] ユーザ 'root' ログイン、クラス 'スーパーユーザ' [70652]、ssh-connection '10.223.5.251 53476 10.204.134.54 22'、クライアントモード 'cli' リモートログインの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました ローカルログインの成功 ログイン 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] からログインしたユーザー root ログイン 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] から root としてログインしたユーザー root ローカルログインの失敗 ログイン70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164ユーザー名="root"エラーメッセージ="サービスモジュールのエラー"] ユーザーrootの認証中の失敗:サービスモジュールのエラー ログイン 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 ユーザー名="ルート" ソースアドレス="ttyu0"] ホスト ttyu0 からのユーザー root のログインに失敗しました |
| FIA_UAU.7% |
なし |
なし |
|
| FMT_MOF.1/ 手動更新 |
手動更新を開始しようとする試み。 |
なし |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-mx240-22.2R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-mx240-22.2R1.1.tgz no-validate ' |
| FMT_MTD.1/コアデータ |
TSFデータのすべての管理活動 |
なし |
この表にリストされている監査イベントを参照してください。 |
| FMT_SMF.1/IPS |
なし |
なし |
なし |
| FMT_SMF.1/ND |
なし |
なし |
なし |
| FMT_SMR.2. |
なし |
なし |
|
| FPT_SKP_EXT.1. |
なし |
なし |
|
| FPT_APW_EXT.1. |
なし |
なし |
|
| FPT_TST_EXT.1 |
なし |
なし |
|
| FPT_TUD_EXT.1 |
更新の開始;更新試行の結果 (成功または失敗) |
なし |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-mx240-22.2R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-mx240-22.2R1.1.tgz no-validate ' |
| FPT_STM_EXT.1. |
時間に対する非連続な変更 - 管理者が作動したか、自動化されたプロセスによって変更されました。 |
時間への非連続な変更の場合: 時間の古い値と新しい値。成功と失敗の時刻を変更しようとした発信元 (IP アドレスなど)。 |
mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="root" コマンド="set date 202005201815.00 "] ユーザー 'root', command 'set date 202005201815.00 ' mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 message="signaling 'ネットワークセキュリティデーモン'、pid 2641、シグナル 31、ステータス 0 (通知エラーが有効な状態")] コミット操作が進行中です: シグナル 'ネットワークセキュリティデーモン'、pid 2641、シグナル 31、ステータス 0 (通知エラーが有効な場合) NSD 2641 NSD_SYS_TIME_CHANGE - システム時刻が変更されました |
| FTA_SSL_EXT.1 ( [セッションの終了 ] が選択されている場合) |
セッション・ロック・メカニズムによるローカル対話型セッションの終了。 |
なし |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' のアイドル タイムアウトを超過し、セッションを終了しました |
| FTA_SSL.3 |
セッション ロック メカニズムによるリモート セッションの終了。 |
なし |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' のアイドル タイムアウトを超過し、セッションを終了しました |
| FTA_SSL.4. |
対話型セッションの終了。 |
なし |
mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' ログアウト |
| FTA_TAB.1. |
なし |
なし |
|
| FCS_SSHS_EXT.1. |
SSHセッションの確立の失敗 |
失敗の理由 |
sshd 72404 - - 1.1.1.2ポート42168とネゴシエートできません:一致する暗号が見つかりません。 彼らの申し出:chacha20-poly1305@openssh.com、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm@openssh.com、aes256-gcm@openssh.com、aes128-cbc、aes192-cbc、aes256-cbc |
| FTP_ITC.1. |
信頼されたチャネルの開始。信頼されたチャネルの終了。トラステッド・チャネル機能の障害 |
失敗したトラステッド・チャネル確立の試行のイニシエーターとターゲットの識別 |
信頼済みパスの開始 sshd 72418 - - 10.223.5.251ポート42482 ssh2からのルートのキーボードインタラクティブ/pamを受け入れました 信頼されたパスの終了 sshd 72418 - - ユーザー root 10.223.5.251 ポート 42482 から切断されました 信頼できるパスの障害 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました |
| FTP_TRP.1/管理者 |
信頼されたパスの開始。信頼されたパスの終了。トラステッド・パス機能の障害。 |
なし |
信頼済みパスの開始 sshd 72418 - - 10.223.5.251ポート42482 ssh2からのルートのキーボードインタラクティブ/pamを受け入れました 信頼されたパスの終了 sshd 72418 - - ユーザールート10.223.5.251ポート42482から切断されました 信頼済みパスの障害 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました |
| FCS_SSHS_EXT.1. |
SSHセッションの確立の失敗 |
失敗の理由 |
sshd 72404 - - 1.1.1.2ポート42168とネゴシエートできません:一致する暗号が見つかりません。 彼らのオファー:chacha20-poly1305@openssh.com、AES128-CTR、AES192-CTR、AES256-CTR、aes128-gcm@openssh.com、aes256-gcm@openssh.com、AES128-CBC、AES192-CBC、AES256-CBC |
| FIA_X509_EXT.1/リビジョン |
証明書の検証に失敗しました |
失敗の理由 |
verify-sig 72830 - - ecerts.pem を検証できません: サブジェクト発行者の不一致: /C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/emailAddress =ca@juniper.net |
| FIA_X509_EXT.2. |
なし |
なし |
|
| FIA_X509_EXT.3 |
なし |
なし |
|
| FMT_MOF.1/関数 |
外部のITエンティティへの監査データの送信の動作の変更、監査データの処理、ローカル監査ストレージスペースがいっぱいになったときの監査機能。 |
なし |
mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 username="root" process-name="Network security daemon" description=" すぐに"] ユーザ 'root' 再起動デーモン 'ネットワークセキュリティデーモン' すぐに初期化 - - - ネットワークセキュリティ(PID 72907)信号番号9で終了しました!初期化 - - - ネットワークセキュリティ (PID 72929) が開始されました |
| FMT_MOF.1/サービス |
サービスの開始と停止。 |
なし |
|
| FMT_MTD.1/ 暗号鍵 |
暗号化キーの管理。 |
なし |
SSHキー ssh-keygen 2706 - - 生成された SSH キー ファイル /root/.ssh/id_rsa.pub と指紋 SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 - - 生成された SSH キー ファイル /root/.ssh/id_ecdsa.pub 指紋付き SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0 IPSEC 鍵 pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 引数1="384" 引数2="ECDSA" 引数3="cert1"] cert1 に対して 384 ビットの ECDSA 鍵ペアが生成されました pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 引数1="4096" 引数2="RSA" 引数3="cert2"] cert2 に対して 4096 ビットの RSA キーペアが生成されました |
| FCS_IPSEC_EXT.1. |
ピアとのセッション確立 |
セッション確立中に送受信されたパケットのパケット内容全体 |
user@host:FIPS# run show log iked |ノーモア |grep VPN 6月14日10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] SPI(0x8a45e874)ローカルIP(20.1.1.1)リモートIP(20.1.1.2)VPN(IPSEC_VPN)のIPsec-SA選択に成功しました user@host:FIPS# run show log iked |ノーモア |grep の成功 6月14日10:40:49.278061 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate 正常な応答を受信しました IPC-index=45109,local-ip=none,remote-ip=none 6月14日10:40:49.290742 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] リモートID検証でのED(0x2c09028)成功のためのatec-validate-migrate 6月14日10:40:49.291392 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi:tsマッチ成功のためのトラフィックセレクターマッチ、C:ipv4(0.0.0.0-255.255.255.255) R:ipv4(10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255) 6月14日10:40:49.291656 [内線] [TUNL] [20.1.1.1 <-> 20.1.1.2] ike_tunnel_anchor_node_tunnel_add:トンネル500009のアンカートンネル追加:成功 トンネル合計追加:9 6月14日10:40:49.291682 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] local-spi でトンネル sadb 追加成功 (0x8a45e874) 6月14日10:40:49.291712 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] SPI(0x8a45e874)ローカルIP(20.1.1.1)リモートIP(20.1.1.2)VPN(IPSEC_VPN)のIPsec-SA選択に成功しました 6月14日10:40:49.292404 [TER] [ピア] [20.1.1.1 <-> 20.1.1.2] IKE: ゲートウェイ N:IKE_GW L:20.1.1.1:500 R:20.1.1.2:500 成功した IKE-ID:20.1.1.2 U:N/A IKE:IKEv2 役割:R 6月14日10:40:49.294256 [DET] [DIST] [20.1.1.1 <-> 20.1.1.2] ike_dist_ipsec_tunnel_info_add:IPsecディストリビューショントンネル情報 dbへの追加に成功しました トンネル ID:500009 クライアント ID:20 インスタンス:0 6月14日10:40:49.295072 [内線] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:IPCメッセージタグ4をikedからSPU.0.20に正常に送信しました 6月14日10:40:49.295292 [内線] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:IPCメッセージタグ4をikedからSPU.0.21に正常に送信しました 6月14日10:40:49.296004 [DET] [STER] [20.1.1.1 <-> 20.1.1.2] トンネル 500009 の st0 ネクスト ホップ メタデータが正常に変更されました 6月14日10:40:49.297336 [内線] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:IPCメッセージタグ4をikedからSPU.0.20に正常に送信しました 6月14日10:42:24.328902 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-生成された正常な応答を受信しました IPC-index=45111,local-ip=none,remote-ip=none 6月14日10:42:24.332381 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute ipc-index=0 の正常な応答を受信しました 6月14日10:42:24.333295 [DET] [PUBL] [20.1.1.1 <-> 20.1.1.2] ike-sa-index 11282 ike-sa 0x21dec24のパブリッシュ-ike-sa 成功 6月14日10:42:29.316880 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSi:tsマッチのトラフィックセレクターマッチ成功、C:ipv4(0.0.0.0-255.255.255.255) R:ipv4(10.1.1.0-10.1.1.255) N:ipv4(10.1.1.0-10.1.1.255) 6月14日10:42:29.316889 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] TSr:tsマッチ成功のためのトラフィックセレクターマッチ、C:ipv4(0.0.0.0-255.255.255.255) R:ipv4(30.1.1.0-30.1.1.255) N:ipv4(30.1.1.0-30.1.1.255) 6月14日10:42:29.317147 [DET] [TUNL] [20.1.1.1 <-> 20.1.1.2] local-spi によるトンネル sadb 追加成功 (0x80eeab18) 6月14日10:42:29.317178 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] SPI(0x80eeab18)のIPsec-SA選択に成功しました ローカルIP (20.1.1.1) リモート IP (20.1.1.2) VPN(IPSEC_VPN) 6月14日10:42:29.320369 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-generate 正常な応答を受信しました IPC-index=45113,local-ip=none,remote-ip=none 6月14日10:42:29.323800 [DET] [ATEC] [20.1.1.1 <-> 20.1.1.2] ike-atec-dh-compute ipc-index=0 の正常な応答を受信しました 6月14日10:42:29.325513 [内線] [IPSC] [20.1.1.1 <-> 20.1.1.2] ipsec_common_msg_send:IPCメッセージタグ4をikedからSPU.0.20に正常に送信しました |
| FIA_X509_EXT.1. |
CA とのセッション確立 |
セッション確立中に送受信されたパケットのパケット内容全体 |
kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name=""vpn1"" remote-address=""5.5.5.1"" local-address=""11.11.11.1"" ga teway-name=""gw1"" group-name=""vpn1"" tunnel-id=""131073"" interface-name=""st0.0"" internal-ip=""Not-Available"" name=""11.11.11.1"" peer-name=""5.5.5.1"" client-name=""該当なし"" vrrp-group-id=""0"" traffic-selector-name= """" traffic-selector-cfg-local-id=""ipv4_subnet(any:0, [0..7\]=0.0.0.0/0)"" traffic-selector-cfg-remote-id= ""ipv4_subnet(any: 0,[0..7\]=0.0.0.0/0)"" argument1= ""Static""] 5.5.5.1からのVPN vpn1が稼働しました。ローカル IP: 11.11.11.1、ゲートウェイ名: GW1、VPN 名: vpn1、トンネル ID: 131073、ローカル トンネル if: st0.0、リモート トンネル ip: 使用不可、ローカル IKE-ID: 11.11.11.1、リモート IKE-ID: 5.5.5.1、AAA ユーザー名: 該当なし、VR ID: 0、トラフィック セレクター: 、トラフィック セレクター ローカル ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、トラフィック セレクター リモート ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、SA タイプ: 静的 |
| FPF_RUL_EXT.1. |
「log」操作で設定されたルールの適用 |
送信元アドレスと宛先アドレス 送信元ポートと宛先ポートトランスポート層プロトコル TOE インターフェイス |
[edit] root@host:fips# run show firewall Filter: __default_bpdu_filter__ Filter: fw_filter1 Counters: Name Bytes Packets inc1 0 0 inc2 840 10 [edit] root@host:fips# [edit] root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 11:05:31 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 11:05:30 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 11:05:29 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 11:05:28 pfe R st0.1 ICMP 30.1.1.1 10.1.1.1 root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 11:19:59 pfe R st0.1 TCP 30.1.1.1 10.1.1.1 root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:00:18 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 13:00:17 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 13:00:16 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 13:00:15 pfe A ge-0/0/4.0 ICMP 30.1.1.5 10.1.1.1 root@host:fips# run show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:00:45 pfe A ge-0/0/4.0 TCP 30.1.1.5 10.1.1.1 |
| ネットワーク トラフィックが多すぎるためにパケットがドロップされたことを示します |
パケットを処理できない TOE インターフェイス |
RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 sourceaddress=" 1.1.1. 2" source-port="10001" destination-address="2.2.2.2" destinationport=" 21" connection-tag="0" servicename=" junos-ftp" protocol-id="6" icmptype=" 0" policy-name="p2" source-zone-na me="ZO_A" destination-zone-name="ZO_B" application="UNKNOWN" nestedapplication=" UNKNOWN" username="N/A" roles="N/A" packet-incominginterface=" ge-0/0/0.0" encrypted="No" reason="D enied by policy" sessionid- 32="3" application-category="N/A" application-sub-category="N/A" applicationrisk="- 1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp=" N/A"] session denied 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6(0) p2 ZO_A ZO_B UNKNOWN UNKNOWN N/A(N/A) ge-0/0/0.0 No Denied by policy 3 N/A N/A -1 N/A N/A N/A |
また、ジュニパーネットワークスは以下を推奨します。
-
をクリックして、構成に対するすべての変更をキャプチャします。
-
ログ情報をリモートで保存するため。
ログの詳細については、「ログ ファイルのサイズ、数、およびアーカイブ プロパティの指定」を参照してください