イベント ログの概要
評価された設定では、システムログを使用して設定変更を監査する必要があります。
さらに、Junos OSには以下の機能があります。
監査イベントに自動応答を送信します(syslogエントリの作成)。
承認されたマネージャーが監査ログを調査できるようにします。
監査ファイルを外部サーバーに送信します。
許可されたマネージャーがシステムを既知の状態に戻すことを許可します。
評価された構成のログは、イベントをキャプチャする必要があります。ロギングイベントを以下に示します。
表 1 に、NDcPPv2 の syslog 監査の例を示します。
要件 |
監査可能なイベント |
追加の監査レコードの内容 |
イベントの生成方法 |
|---|---|---|---|
FAU_GEN.1 |
なし |
なし |
|
FAU_GEN.2. |
なし |
なし |
|
FAU_STG_EXT.1. |
なし |
なし |
|
FAU_STG.1. |
なし |
なし |
|
FCS_CKM.1. |
なし |
なし |
|
FCS_CKM.2. |
なし |
なし |
|
FCS_CKM.4. |
なし |
なし |
|
FCS_COP.1/ データ暗号化 |
なし |
なし |
|
FCS_COP.1/SigGen |
なし |
なし |
|
FCS_COP.1/ハッシュ |
なし |
なし |
|
FCS_COP.1/KeyedHash |
なし |
なし |
|
FCS_RBG_EXT.1. |
なし |
なし |
|
FDP_RIP.2. |
なし |
なし |
|
FIA_AFL.1. |
失敗したログイン試行の制限に達するか、それを超えています。 |
試行の発信元(IP アドレスなど)。 |
sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.164 limit="3" username="root"] ユーザー 'root' が認証試行失敗のしきい値 (3) に達しました |
FIA_PMG_EXT.1. |
なし |
なし |
|
FIA_UIA_EXT.1. |
識別および認証メカニズムのすべての使用。 |
提供されたユーザーID、試行元(IPアドレスなど)。 |
リモートログインの成功 MGD 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" 認証レベル="スーパーユーザー"] クラス「スーパーユーザー」に割り当てられた認証済みユーザー 'root' MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" クラス名="スーパーユーザー" local-peer="" pid="70652" ssh-connection="10.223.5.251 53476 10.204.134.54 22" client-mode="cli"] ユーザ 'root' ログイン、クラス 'スーパーユーザ' [70652]、ssh-connection '10.223.5.251 53476 10.204.134.54 22'、クライアントモード 'cli' リモートログインの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました ローカルログインの成功 ログイン 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] からログインしたユーザー root ログイン 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] から root としてログインしたユーザー root ローカルログインの失敗 ログイン70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164ユーザー名="root"エラーメッセージ="サービスモジュールのエラー"] ユーザーrootの認証中の失敗:サービスモジュールのエラー ログイン 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 ユーザー名="ルート" ソースアドレス="ttyu0"] ホスト ttyu0 からのユーザー root のログインに失敗しました |
FIA_UAU_EXT.2. |
識別および認証メカニズムのすべての使用。 |
試行の発信元(IP アドレスなど)。 |
リモートログインの成功 MGD 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" 認証レベル="スーパーユーザー"] クラス「スーパーユーザー」に割り当てられた認証済みユーザー 'root' MGD 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 ユーザー名="ルート" クラス名="スーパーユーザー" local-peer="" pid="70652" ssh-connection="10.223.5.251 53476 10.204.134.54 22" client-mode="cli"] ユーザ 'root' ログイン、クラス 'スーパーユーザ' [70652]、ssh-connection '10.223.5.251 53476 10.204.134.54 22'、クライアントモード 'cli' リモートログインの失敗 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました ローカルログインの成功 ログイン 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] からログインしたユーザー root ログイン 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 ユーザー名="ルート" ホスト名="[不明\]" tty-name="ttyu0"] デバイス ttyu0 のホスト [不明] から root としてログインしたユーザー root ローカルログインの失敗 ログイン70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164ユーザー名="root"エラーメッセージ="サービスモジュールのエラー"] ユーザーrootの認証中の失敗:サービスモジュールのエラー ログイン 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 ユーザー名="ルート" ソースアドレス="ttyu0"] ホスト ttyu0 からのユーザー root のログインに失敗しました |
FIA_UAU.7% |
なし |
なし |
|
FMT_MOF.1/ 手動更新 |
手動更新を開始しようとする試み。 |
なし |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FMT_MTD.1/コアデータ |
TSFデータのすべての管理活動 |
なし |
この表にリストされている監査イベントを参照してください。 |
FMT_SMF.1/IPS |
なし |
なし |
なし |
FMT_SMF.1/ND |
なし |
なし |
なし |
FMT_SMF.1/FFW |
TSFデータのすべての管理アクティビティ(ファイアウォールルールの作成、変更、削除を含む)。 |
なし |
<30>1 2020-08-11T11:15:00.025-07:00 カルティエNSD 2095 NSD_SYS_TIME_CHANGE - システム時刻が変更されました。<38>1 2020-08-11T11:15:25.214-07:00 カルティエ初期化 - - - シャーシ制御(PID 2059)はステータス= 69で終了しました <38>1 2020-08-11T11:15:25.217-07:00 カルティエ初期化 - - - シャーシ制御(PID 47908)が開始されました <29>1 2020-08-11T11:16:08.805-07:00 カルティエシャーシ47908 CHASSISD_RECONNECT_SUCCESSFUL - ソフトリスタートで正常に再接続されました |
FMT_SMR.2. |
なし |
なし |
|
FPT_SKP_EXT.1. |
なし |
なし |
|
FPT_APW_EXT.1. |
なし |
なし |
|
FPT_TST_EXT.1 |
なし |
なし |
|
FPT_TUD_EXT.1 |
更新の開始;更新試行の結果 (成功または失敗) |
なし |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FPT_STM_EXT.1. |
時間に対する非連続な変更 - 管理者が作動したか、自動化されたプロセスによって変更されました。 |
時間への非連続な変更の場合: 時間の古い値と新しい値。成功と失敗の時刻を変更しようとした発信元 (IP アドレスなど)。 |
mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="root" コマンド="set date 202005201815.00 "] ユーザー 'root', command 'set date 202005201815.00 ' mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 message="signaling 'ネットワークセキュリティデーモン'、pid 2641、シグナル 31、ステータス 0 (通知エラーが有効な状態")] コミット操作が進行中です: シグナル 'ネットワークセキュリティデーモン'、pid 2641、シグナル 31、ステータス 0 (通知エラーが有効な場合) NSD 2641 NSD_SYS_TIME_CHANGE - システム時刻が変更されました |
FTA_SSL_EXT.1 ( [セッションの終了 ] が選択されている場合) |
セッション・ロック・メカニズムによるローカル対話型セッションの終了。 |
なし |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' のアイドル タイムアウトを超過し、セッションを終了しました |
FTA_SSL.3 |
セッション ロック メカニズムによるリモート セッションの終了。 |
なし |
CLI - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' のアイドル タイムアウトを超過し、セッションを終了しました |
FTA_SSL.4. |
対話型セッションの終了。 |
なし |
mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 username="root"] ユーザー 'root' ログアウト |
FTA_TAB.1. |
なし |
なし |
|
FCS_SSHS_EXT.1. |
SSHセッションの確立の失敗 |
失敗の理由 |
sshd 72404 - - 1.1.1.2ポート42168とネゴシエートできません:一致する暗号が見つかりません。 彼らの申し出:chacha20-poly1305@openssh.com、aes128-ctr、aes192-ctr、aes256-ctr、aes128-gcm@openssh.com、aes256-gcm@openssh.com、aes128-cbc、aes192-cbc、aes256-cbc |
FTP_ITC.1. |
信頼されたチャネルの開始。信頼されたチャネルの終了。トラステッド・チャネル機能の障害 |
失敗したトラステッド・チャネル確立の試行のイニシエーターとターゲットの識別 |
信頼済みパスの開始 sshd 72418 - - 10.223.5.251ポート42482 ssh2からのルートのキーボードインタラクティブ/pamを受け入れました 信頼されたパスの終了 sshd 72418 - - ユーザー root 10.223.5.251 ポート 42482 から切断されました 信頼できるパスの障害 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました |
FTP_TRP.1/管理者 |
信頼されたパスの開始。信頼されたパスの終了。トラステッド・パス機能の障害。 |
なし |
信頼済みパスの開始 sshd 72418 - - 10.223.5.251ポート42482 ssh2からのルートのキーボードインタラクティブ/pamを受け入れました 信頼されたパスの終了 sshd 72418 - - ユーザールート10.223.5.251ポート42482から切断されました 信頼済みパスの障害 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] ホスト '10.223.5.251' からのユーザー 'root' のログインに失敗しました |
FCS_SSHS_EXT.1. |
SSHセッションの確立の失敗 |
失敗の理由 |
sshd 72404 - - 1.1.1.2ポート42168とネゴシエートできません:一致する暗号が見つかりません。 彼らのオファー:chacha20-poly1305@openssh.com、AES128-CTR、AES192-CTR、AES256-CTR、aes128-gcm@openssh.com、aes256-gcm@openssh.com、AES128-CBC、AES192-CBC、AES256-CBC |
FIA_X509_EXT.1/リビジョン |
証明書の検証に失敗しました |
失敗の理由 |
verify-sig 72830 - - ecerts.pem を検証できません: サブジェクト発行者の不一致: /C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/emailAddress =ca@juniper.net |
FIA_X509_EXT.2. |
なし |
なし |
|
FIA_X509_EXT.3 |
なし |
なし |
|
FMT_MOF.1/関数 |
外部のITエンティティへの監査データの送信の動作の変更、監査データの処理、ローカル監査ストレージスペースがいっぱいになったときの監査機能。 |
なし |
mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 username="root" process-name="Network security daemon" description=" すぐに"] ユーザ 'root' 再起動デーモン 'ネットワークセキュリティデーモン' すぐに初期化 - - - ネットワークセキュリティ(PID 72907)信号番号9で終了しました!初期化 - - - ネットワークセキュリティ (PID 72929) が開始されました |
FMT_MOF.1/サービス |
サービスの開始と停止。 |
なし |
|
FMT_MTD.1/ 暗号鍵 |
暗号化キーの管理。 |
なし |
SSHキー ssh-keygen 2706 - - 生成された SSH キー ファイル /root/.ssh/id_rsa.pub と指紋 SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 - - 生成された SSH キー ファイル /root/.ssh/id_ecdsa.pub 指紋付き SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0 IPSEC 鍵 pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 引数1="384" 引数2="ECDSA" 引数3="cert1"] cert1 に対して 384 ビットの ECDSA 鍵ペアが生成されました pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 引数1="4096" 引数2="RSA" 引数3="cert2"] cert2 に対して 4096 ビットの RSA キーペアが生成されました |
FFW_RUL_EXT.1. |
「log」操作で設定されたルールの適用 |
送信元アドレスと宛先アドレス送信元ポートと宛先ポートトランスポート層プロトコル TOE インターフェイス |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 source-address="1.1. 1.2" source-port="10001" destination-address="2.2.2.2" destination-port="21" connection-tag="0" service-name="junos-ftp" nat-source-address="1.1.1.2" nat-source-port="10001" nat-de stination-address="2.2.2.2" nat-destination-port="21" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protoco l-id="6" policy-name="p1" source-zone-name="ZO_A" destination-zone-name="ZO_B" session-id-32="5" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="UNKN OWN" nested-application="UNKNOWN" encrypted="UNKNOWN" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp= "N/A" dst-vrf-grp="N/A"] セッションが作成されました 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 1.1.1.2/10001->2.2.2.2/21 0x0 N/A N/A N/A N/A 6 P1 ZO_A ZO_B 5 N/A(N/A) ge-0/0/0.0 不明 不明 不明 N/A N/A -1 N/A N/A N/A |
ネットワーク トラフィックが多すぎるためにパケットがドロップされたことを示します |
パケットを処理できない TOE インターフェイス。パケットドロップの原因となったルールの識別子 |
RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 source-address="1.1.1. 2" source-port="10001" destination-address="2.2.2.2" destination-port="21" connection-tag="0" service-name="junos-ftp" protocol-id="6" icmp-type="0" policy-name="p2" source-zone-na me="ZO_A" destination-zone-name="ZO_B" application="UNKNOWN" nested-application="不明" ユーザー名="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" encrypted="いいえ" 理由="D enied by policy" session-id-32="3" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp=" N/A"] セッションが拒否されました 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6(0) p2 ZO_A ZO_B 不明 不明 N/A(N/A) ge-0/0/0.0 いいえ ポリシー 3 N/A N/A -1 N/A N/A N/A によって拒否 |
|
FFW_RUL_EXT.2. |
なし |
なし |
|
FCS_IPSEC_EXT.1. |
ピアとのセッション確立 |
セッション確立中に送受信されたパケットのパケット内容全体 |
kmd 6619 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name="vpn1" remote-address="5.5.5.1" local-address="11.11.11.1" ga teway-name="gw1" group-name="vpn1" tunnel-id="131073" interface-name="st0.0" internal-ip="Not-Available" name="11.11.11.1" peer-name="5.5.5.1" client-name="Not-Applicable" vrrp-gro up-id="0" traffic-selector-name="&Quot;traffic-selector-cfg-local-id= "ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)" traffic-selector-cfg-remote-id= "ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)" argume nt1="Static"] 5.5.5.1からのVPN vpn1が稼働しました。ローカル IP: 11.11.11.1、ゲートウェイ名: GW1、VPN 名: vpn1、トンネル ID: 131073、ローカル トンネル if: st0.0、リモート トンネル ip: 使用不可、場所 IKE-ID: 11.11.11.1、リモート IKE-ID: 5.5.5.1、AAA ユーザー名: 該当なし、VR ID: 0、トラフィック セレクター: 、トラフィック セレクター ローカル ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、トラフィック se レクター リモート ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、SA タイプ: 静的 |
FIA_X509_EXT.1. |
CA とのセッション確立 |
セッション確立中に送受信されたパケットのパケット内容全体 |
kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name=""vpn1"" remote-address=""5.5.5.1"" local-address=""11.11.11.1"" ga teway-name=""gw1"" group-name=""vpn1"" tunnel-id=""131073"" interface-name=""st0.0"" internal-ip=""Not-Available"" name=""11.11.11.1"" peer-name=""5.5.5.1"" client-name=""該当なし"" vrrp-group-id=""0"" traffic-selector-name= """" traffic-selector-cfg-local-id=""ipv4_subnet(any:0, [0..7\]=0.0.0.0/0)"" traffic-selector-cfg-remote-id= ""ipv4_subnet(any: 0,[0..7\]=0.0.0.0/0)"" argument1= ""Static""] 5.5.5.1からのVPN vpn1が稼働しました。ローカル IP: 11.11.11.1、ゲートウェイ名: GW1、VPN 名: vpn1、トンネル ID: 131073、ローカル トンネル if: st0.0、リモート トンネル ip: 使用不可、ローカル IKE-ID: 11.11.11.1、リモート IKE-ID: 5.5.5.1、AAA ユーザー名: 該当なし、VR ID: 0、トラフィック セレクター: 、トラフィック セレクター ローカル ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、トラフィック セレクター リモート ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)、SA タイプ: 静的 |
FPF_RUL_EXT.1. |
「log」操作で設定されたルールの適用 |
送信元アドレスと宛先アドレス 送信元ポートと宛先ポートトランスポート層プロトコル TOE インターフェイス |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 source-address="1.1. 1.2" source-port="10001" destination-address="2.2.2.2" destination-port="53" connection-tag="0" service-name="junos-dns-udp" nat-source-address="1.1.1.2" nat-source-port="10001" na t-destination-address="2.2.2.2" nat-destination-port="53" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" pro tocol-id="17" policy-name="p1" source-zone-name="A" destination-zone-name="B" session-id-32="1" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="UNKNO WN" nested-application="UNKNOWN" 暗号化="不明"application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp=" N/A" dst-vrf-grp="N/A"] セッションが作成されました 1.1.1.2/10001->2.2.2.2/53 0x0 junos-dns-udp 1.1.1.2/10001->2.2.2.2/53 0x0 N/A N/A N/A N/A 17 p1 A B 1 N/A(N/A) ge-0/0/0.0 不明 不明 不明 不明 N/A N/A -1 N/A N/A N/A |
ネットワーク トラフィックが多すぎるためにパケットがドロップされたことを示します |
パケットを処理できない TOE インターフェイス |
""""PERF_MON - RTPERF_CPU_UTIL_MAX [junos@2636.1.1.1.2.164 fpc-slot=""""0" pic-slot=""""0"] FPC 0 PIC 0 CPU 使用率が 99 を超えているため、パケット損失が予想されます"" ""PERF_MON - RTPERF_CPU_THRESHOLD_EXCEEDED [junos@2636.1.1.1.2.164 fpc-slot="""0" pic-slot=""""0"current-value=""""93"""] FPC 0 PIC 0 CPU 使用率がしきい値を超えています。現在の値 = 93"" ""RT_FLOW - FLOW_RESOURCE_CHANGE [junos@2636.1.1.1.2.164 resource-name="""""セッションテーブル"""" 理由=""""がいっぱいです"""" フローリソースセッションテーブルがいっぱいです""" |
また、ジュニパーネットワークスは以下を推奨します。
をクリックして、構成に対するすべての変更をキャプチャします。
ログ情報をリモートで保存するため。
ログの詳細については、「ログ ファイルのサイズ、数、およびアーカイブ プロパティの指定」を参照してください