イベント ログの概要
評価された設定では、システムログによる設定変更の監査が必要です。
さらに、Junos OSでは以下も可能です。
監査イベント(syslogエントリー作成)に対する自動応答の送信
承認されたマネージャーが監査ログを調べることを許可します。
監査ファイルを外部サーバーに送信します。
権限のあるマネージャーがシステムを既知の状態に戻すことを許可します。
評価された構成のログでは、イベントをキャプチャする必要があります。ロギングイベントを以下に示します。
表 1 に、NDcPPv2 の syslog 監査の例を示します。
要件 |
監査可能なイベント |
追加の監査レコードの内容 |
イベントの生成方法 |
|---|---|---|---|
FAU_GEN.1 |
何一つ |
何一つ |
|
FAU_GEN.2 |
何一つ |
何一つ |
|
FAU_STG_EXT.1 |
何一つ |
何一つ |
|
FAU_STG.1 |
何一つ |
何一つ |
|
FCS_CKM.1 |
何一つ |
何一つ |
|
FCS_CKM.2 |
何一つ |
何一つ |
|
FCS_CKM.4 |
何一つ |
何一つ |
|
FCS_COP.1/ データ暗号化 |
何一つ |
何一つ |
|
FCS_COP.1/SigGen |
何一つ |
何一つ |
|
FCS_COP.1/ハッシュ |
何一つ |
何一つ |
|
FCS_COP.1/KeyedHash |
何一つ |
何一つ |
|
FCS_RBG_EXT.1 |
何一つ |
何一つ |
|
FDP_RIP.2 |
何一つ |
何一つ |
|
FIA_AFL.1 |
失敗したログイン試行回数の制限に達したか、それを超えました。 |
試行の発信元(IPアドレスなど)。 |
sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.164 limit="3" username="root"] 認証試行失敗のしきい値 (3) にユーザー 'root' が到達しました |
FIA_PMG_EXT.1 |
何一つ |
何一つ |
|
FIA_UIA_EXT.1 |
識別および認証メカニズムのすべての使用。 |
提供されたユーザーID、試行の発信元(IPアドレスなど)。 |
リモートログイン成功 mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username="root" authentication-level="super-user"]クラス「super-user」に割り当てられた認証済みユーザー「root」。 mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username="root" class-name="super-user" local-peer="" pid =" 70652" ssh-connection =" 10.223.5.251 53476 10.204.134.54 22 "client-mode = "cli"]ユーザー「root」ログイン、クラス「super-user」[70652]、ssh-connection「10.223.5.251 53476 10.204.134.54 22」、クライアントモード「cli」 リモートログインの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address = "10.223.5.251"]ホスト「10.223.5.251」からのユーザー「root」のログインに失敗しました ローカルログイン成功 login 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] ユーザー root がデバイス ttyu0 のホスト [unknown] からログインしました login 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] ユーザー root デバイス ttyu0 のホスト [unknown] から root としてログイン ローカル ログインの失敗 ログイン70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164ユーザー名="root"エラーメッセージ="サービスモジュールのエラー"]ユーザーrootの認証中にエラーが発生しました:サービスモジュールのエラー ログイン 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address ="ttyu0"] ホスト ttyu0 からのユーザー root のログインに失敗しました |
FIA_UAU_EXT.2 |
識別および認証メカニズムのすべての使用。 |
試行の発信元(IPアドレスなど)。 |
リモートログイン成功 mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username="root" authentication-level="super-user"]クラス「super-user」に割り当てられた認証済みユーザー「root」。 mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username="root" class-name="super-user" local-peer="" pid =" 70652" ssh-connection =" 10.223.5.251 53476 10.204.134.54 22 "client-mode = "cli"]ユーザー「root」ログイン、クラス「super-user」[70652]、ssh-connection「10.223.5.251 53476 10.204.134.54 22」、クライアントモード「cli」 リモートログインの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address = "10.223.5.251"]ホスト「10.223.5.251」からのユーザー「root」のログインに失敗しました ローカルログイン成功 login 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] ユーザー root がデバイス ttyu0 のホスト [unknown] からログインしました login 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] ユーザー root デバイス ttyu0 のホスト [unknown] から root としてログイン ローカル ログインの失敗 ログイン70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164ユーザー名="root"エラーメッセージ="サービスモジュールのエラー"]ユーザーrootの認証中にエラーが発生しました:サービスモジュールのエラー ログイン 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address ="ttyu0"] ホスト ttyu0 からのユーザー root のログインに失敗しました |
FIA_UAU.7 |
何一つ |
何一つ |
|
FMT_MOF.1/ 手動更新 |
手動更新を開始しようとする試み。 |
何一つ |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FMT_MTD.1/CoreData |
TSFデータのすべての管理活動 |
何一つ |
この表にリストされている監査イベントを参照してください。 |
FMT_SMF.1/IPS |
何一つ |
何一つ |
何一つ |
FMT_SMF.1/ND |
何一つ |
何一つ |
何一つ |
FMT_SMF.1/FFW |
TSF データのすべての管理操作 (ファイアウォール ルールの作成、変更、削除を含む)。 |
何一つ |
<30>1 2020-08-11T11:15:00.025-07:00カルティエNSD 2095 NSD_SYS_TIME_CHANGE-システム時刻が変更されました。<38>1 2020-08-11T11:15:25.214-07:00カルティエ初期化---シャーシ制御(PID 2059)ステータス= 69で終了 <38>1 2020-08-11T11:15:25.217-07:00カルティエ初期化---シャーシ制御(PID 47908)開始<29>1 2020-08-11T11:16:08.805-07:00カルティエシャーシ47908 CHASSISD_RECONNECT_SUCCESSFUL-ソフトリスタートで正常に再接続されました |
FMT_SMR.2 |
何一つ |
何一つ |
|
FPT_SKP_EXT.1 |
何一つ |
何一つ |
|
FPT_APW_EXT.1 |
何一つ |
何一つ |
|
FPT_TST_EXT.1 |
何一つ |
何一つ |
|
FPT_TUD_EXT.1 |
更新の開始。更新試行の結果 (成功または失敗) |
何一つ |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FPT_STM_EXT.1 |
時間の不連続な変更 - 管理者が操作したか、自動化されたプロセスによって変更されました。 |
時間の不連続な変更の場合: 時間の古い値と新しい値。成功と失敗の時間を変更しようとした発生元(IP アドレスなど)。 |
mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164ユーザー名="root"コマンド="設定日202005201815.00"]ユーザー'root'、コマンド'設定日202005201815.00' mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 message="signaling 'Network security daemon', pid 2641, signal 31, status 0 with notification errors enabled"] コミット操作が進行中です: signaling 'Network security daemon', pid 2641, signal 31, status 0 with notification errors enabled nsd 2641 NSD_SYS_TIME_CHANGE - システム時刻が変更されました |
FTA_SSL_EXT.1 ( セッションの終了 が選択されている場合) |
セッション・ロック・メカニズムによるローカル・インタラクティブ・セッションの終了。 |
何一つ |
cli - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' のアイドル タイムアウトを超え、セッションが終了しました |
FTA_SSL.3 |
セッション・ロック・メカニズムによるリモート・セッションの終了。 |
何一つ |
cli - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' のアイドル タイムアウトを超え、セッションが終了しました |
FTA_SSL.4 |
対話型セッションの終了。 |
何一つ |
mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 username="root"]ユーザー「root」のログアウト |
FTA_TAB.1 |
何一つ |
何一つ |
|
FCS_SSHS_EXT.1 |
SSHセッションの確立の失敗 |
失敗の理由 |
sshd 72404 - - 1.1.1.2 ポート 42168 とネゴシエートできません: 一致する暗号が見つかりません 彼らのオファー: chacha20-poly1305@openssh.com, aes128-ctr, aes192-ctr,aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, aes128-cbc, aes192-cbc, aes256-cbc |
FTP_ITC.1 |
信頼できるチャネルの開始信頼されたチャネルの終了。トラステッド・チャネル機能の障害 |
失敗したトラステッド・チャネル確立試行のイニシエーターとターゲットの識別 |
トラステッドパスの開始 sshd 72418 - - 10.223.5.251 ポート 42482 ssh2 からの root の keyboard-interactive/pam を受け入れました トラステッドパスの終了 sshd 72418 - - ユーザー root 10.223.5.251 ポート 42482 から切断されました 信頼されたパスの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address = "10.223.5.251"]ホスト「10.223.5.251」からのユーザー「root」のログインに失敗しました |
FTP_TRP.1/管理者 |
トラステッドパスの開始。信頼されたパスの終了。トラステッド パス機能の障害。 |
何一つ |
トラステッドパスの開始 sshd 72418 - - 10.223.5.251 ポート 42482 ssh2 からの root の keyboard-interactive/pam を受け入れました トラステッドパスの終了 sshd 72418 - - ユーザー root 10.223.5.251 ポート 42482 から切断されました トラステッド・パスの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address = "10.223.5.251"]ホスト「10.223.5.251」からのユーザー「root」のログインに失敗しました |
FCS_SSHS_EXT.1 |
SSHセッションの確立の失敗 |
失敗の理由 |
sshd 72404 - - 1.1.1.2 ポート 42168 とネゴシエートできません: 一致する暗号が見つかりません 彼らのオファー: chacha20-poly1305@openssh.com, aes128-ctr,aes192-ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, aes128-cbc, aes192-cbc, aes256-cbc |
FIA_X509_EXT.1/Rev |
証明書の検証に失敗しました |
失敗の理由 |
verify-sig 72830 - - ecerts.pem を検証できません: サブジェクト発行者の不一致: /C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/emailAddress =ca@juniper.net |
FIA_X509_EXT.2 |
何一つ |
何一つ |
|
FIA_X509_EXT.3 |
何一つ |
何一つ |
|
FMT_MOF.1/機能 |
外部 IT エンティティへの監査データの送信の動作、監査データの処理、ローカル監査ストレージ領域がいっぱいになったときの監査機能の変更。 |
何一つ |
mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 username="root" process-name="Network security daemon" description=" immediately"] User 'root' restarting daemon 'Network security daemon' immediately init - - - network-security (PID 72907) シグナル番号 9 で終了!init - - - network-security (PID 72929) が開始されました |
FMT_MOF.1/サービス |
サービスの開始と停止。 |
何一つ |
|
FMT_MTD.1/ 暗号鍵 |
暗号化キーの管理。 |
何一つ |
SSH キー ssh-keygen 2706 - - SSHキーファイル /root/.ssh/id_rsa.pub と、フィンガープリント SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 で生成されました ssh-keygen 2714 - - 生成された SSH キーファイル /root/.ssh/id_ecdsa.pub とフィンガープリント SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0 IPSEC キー pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1="384" argument2="ECDSA" argument3="cert1"] cert1に対して384ビットECDSAキーペアが生成されました pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1="4096" argument2="RSA" argument3="cert2"] cert2に対して4096ビットのRSAキーペアが生成されました |
FFW_RUL_EXT.1 |
「log」操作で設定されたルールの適用 |
送信元アドレスと宛先アドレス送信元ポートと宛先ポート。トランスポート層プロトコル TOEインタフェース |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 source-address="1.1. 1.2" source-port="10001" destination-address="2.2.2.2" destination-port="21" connection-tag="0" service-name="junos-ftp" nat-source-address="1.1.1.2" nat-source-port="10001" nat-de stination-address="2.2.2.2" nat-destination-port="21" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protoco l-id="6" policy-name="p1" source-zone-name="ZO_A" destination-zone-name="ZO_B" session-id-32="5" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="UNKN OWN" nested-application="UNKNOWN" encrypted="UNKNOWN" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp= "N/A" dst-vrf-grp="N/A"] セッションが作成されました 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 1.1.1.2/10001->2.2.2.2.2/21 0x0 N/A N/A N/A N/A 6 p1 ZO_A ZO_B 5 N/A(N/A) ge-0/0/0.0 不明 不明 不明 N/A N/A -1 N/A N/A N/ある |
ネットワーク トラフィックが多すぎるためにドロップされたパケットの表示 |
パケットを処理できないTOEインターフェイス。パケット ドロップの原因となったルールの識別子 |
RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 source-address="1.1.1. 2" source-port="10001" destination-address="2.2.2.2" destination-port="21" connection-tag="0" service-name="junos-ftp" protocol-id="6" icmp-type="0" policy-name="p2" source-zone-na me="ZO_A" destination-zone-name="ZO_B" application="UNKNOWN" nested-application="不明" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" encrypted="いいえ" reason="ポリシーによる定義" session-id-32="3" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp=" N/A"] セッション拒否 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6(0) p2 ZO_A ZO_B 不明 不明 該当なし(該当なし) ge-0/0/0.0 いいえ ポリシーにより拒否 3 該当なし 該当なし -1 該当なし |
|
FFW_RUL_EXT.2 |
何一つ |
何一つ |
|
FCS_IPSEC_EXT.1 |
ピアとのセッション確立 |
セッション確立中に送受信されたパケットのパケットコンテンツ全体 |
kmd 6619 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name="vpn1" remote-address="5.5.5.1" local-address="11.11.1.1" ga teway-name="gw1" group-name="vpn1" tunnel-id="131073" interface-name="st0.0" internal-ip="Not-Available" name="11.11.11.1" peer-name="5.5.5.1" client-name="Not-Applicable" vrrp-gro up-id="0" traffic-selector-name="&クォート;traffic-selector-cfg-local-id= "ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)" traffic-selector-cfg-remote-id= "ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)" argume nt1="静的"] VPN vpn1 5.5.5.1がアップしました。ローカルIP:11.11.11.1、ゲートウェイ名:gw1、VPN名:vpn1、トンネルID:131073、ローカルtunnel-if:st0.0、リモートtunnel-ip:使用不可、Loca l IKE-ID:11.11.11.1、リモートIKE-ID:5.5.5.1、AAAユーザー名:該当なし、VR ID:0、トラフィックセレクターローカルID:ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、トラフィックレシーバーリモートID:ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、SAタイプ:静的 |
FIA_X509_EXT.1 |
CAとのセッション確立 |
セッション確立中に送受信されたパケットのパケットコンテンツ全体 |
kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name=""vpn1"" remote-address=""5.5.5.1"" local-address=""11.11.1.1"" ga teway-name=""gw1"" group-name=""vpn1"" tunnel-id=""131073"" interface-name=""st0.0"" internal-ip=""利用不可"" name=""11.11.11.1"" peer-name=""5.5.5.1"" client-name=""該当なし"" vrrp-group-id=""0"" traffic-selector-name= "" traffic-selector-cfg-local-id=""ipv4_subnet(any:0, [0..7\]=0.0.0.0/0)"" traffic-selector-cfg-remote-id= ""ipv4_subnet(any: 0,[0..7\]=0.0.0.0/0)"" argument1= ""Static""] VPN vpn1 from 5.5.5.1 がアップしました。ローカルIP:11.11.11.1、ゲートウェイ名:gw1、VPN名:vpn1、トンネルID:131073、ローカルtunnel-if:st0.0、リモートtunnel-ip:利用不可、ローカルIKE-ID:11.11.11.1、リモートIKE-ID:5.5.5.1、AAAユーザー名:該当なし、VR ID:0、トラフィックセレクター:、トラフィックセレクターローカルID:ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、トラフィックセレクターリモートID:ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、SAタイプ:静的 |
FPF_RUL_EXT.1 |
「log」操作で設定されたルールの適用 |
送信元アドレスと宛先アドレス。 送信元ポートと宛先ポート。トランスポート層プロトコル TOEインタフェース |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 source-address="1.1. 1.2" source-port="10001" destination-address="2.2.2.2" destination-port="53" connection-tag="0" service-name="junos-dns-udp" nat-source-address="1.1.1.2" nat-source-port="10001" na t-destination-address="2.2.2.2" nat-destination-port="53" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" pro tocol-id="17" policy-name="p1" source-zone-name="A" destination-zone-name="B" session-id-32="1" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="UNKNO WN" nested-application="UNKNOWN" encrypted="UNKNOWN"application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp=" N/A" dst-vrf-grp="N/A"] セッションが作成されました 1.1.1.2/10001->2.2.2.2/53 0x0 junos-dns-udp 1.1.1.2/10001->2.2.2.2.2/53 0x0 N/A N/A N/A N/A 17 p1 A B 1 N/A(N/A) ge-0/0/0.0 UNKNOWN UNKNOWN UN KNOWN N/A N/A -1 N/A N/A N/A |
ネットワーク トラフィックが多すぎるためにドロップされたパケットの表示 |
パケットを処理できないTOEインターフェース |
"""PERF_MON - RTPERF_CPU_UTIL_MAX [junos@2636.1.1.1.2.164 fpc-slot="""""0"" pic-slot="""""junos@2636 RTPERF_CPU_THRESHOLD_EXCEEDED PERF_MON"current-value=""""93""""] FPC 0 PIC 0 CPU使用率がしきい値を超えています。現在の値= 93"" ""RT_FLOW - FLOW_RESOURCE_CHANGE [junos@2636.1.1.1.2.164 resource-name=""""セッションテーブル"""" reason="""""がいっぱいです""""] フローリソースセッションテーブルがいっぱいです""" |
さらに、ジュニパーネットワークスは以下を推奨しています。
設定に対するすべての変更をキャプチャします。
ログ情報をリモートで保存します。
ログの詳細については、「ログ ファイルのサイズ、数、およびアーカイブ プロパティの指定」を参照してください。