アプリケーション追跡
アプリケーション追跡 (AppTrack) は、アプリケーションの可視性に関する情報を共有するために使用できるログ記録およびレポート ツールです。AppTrack は、アプリケーション アクティビティの更新メッセージを提供する syslog を介してログ メッセージを送信します。詳細については、次のトピックを参照してください。
アプリケーション追跡について
アプリケーション追跡ツールであるAppTrackは、ネットワークの帯域幅使用状況を分析するための統計を提供します。有効にすると、AppTrack は、指定されたゾーン内のアプリケーション フローのバイト、パケット、および期間の統計を収集します。デフォルトでは、各セッションが終了すると、AppTrackはセッションのバイト数とパケット数、および期間を提供するメッセージを生成し、ホストデバイスに送信します。Juniper Secure Analytics(正式にはSTRMと呼ばれる)は、データを取得し、フローベースのアプリケーションの可視性を提供します。
AppTrack メッセージはセッション ログに似ており、syslog または構造化された syslog 形式を使用します。メッセージには、セッションのアプリケーション フィールドも含まれます。AppTrack がカスタム定義アプリケーションを識別し、適切な名前を返す場合、カスタム アプリケーション名はログ メッセージに含まれます。(更新メッセージがトリガーされたときにアプリケーション識別プロセスが失敗するか、まだ完了していない場合は、メッセージがアプリケーションフィールドに指定されます none
。
AppTrack は、IPv4 と IPv6 の両方のアドレス指定をサポートしています。関連メッセージには、適切な IPv4 または IPv6 形式でアドレスが表示されます。
ユーザー名やユーザー ロールなどのユーザー ID の詳細が、AppTrack セッションの作成、セッションの終了、ボリュームの更新ログに追加されました。これらのフィールドには、ポリシー一致に関連付けられているユーザー名とロールが含まれます。ユーザー名とロールのログ記録は、UAC 適用を提供するセキュリティ ポリシーに対してのみ有効になります。UAC が適用されていないセキュリティ ポリシーの場合、ユーザー名とユーザー ロールのフィールドは N/A と表示されます。そのセッションの認証テーブル エントリーがないため、またはこの情報のロギングが無効になっているためにデバイスがそのセッションの情報を取得できない場合、ユーザー名は認証されていないユーザーとして表示され、ユーザー ロールは N/A と表示されます。ログの user role フィールドには、一致条件が [特定]、[認証されたユーザー]、または any の場合にユーザーが実行したすべてのロールのリストが含まれ、ログの [ユーザー名] フィールドには正しいユーザー名が含まれています。ログの一致条件とユーザー名フィールドに認証されていないユーザーまたは不明なユーザーが含まれている場合、ログのユーザーロールフィールドにはN/Aが含まれます。
ゾーンに対して AppTrack を有効にして時間を指定する session-update-interval
と、パケットを受信するたびに、AppTrack はセッションの開始からの時間または最後の更新からの時間が更新間隔より大きいかどうかを確認します。その場合、AppTrack はカウントを更新し、ホストに更新メッセージを送信します。有効期間の短いセッションが更新間隔内に開始および終了した場合、AppTrack はセッションの終了時にのみメッセージを生成します。
指定した更新間隔よりも早く最初の更新メッセージを送信する場合は、. first-update-interval
では first-update-interval
、最初の更新に対してのみ、より短い間隔を入力できます。
クローズメッセージは、前回の統計を更新し、セッション終了の説明を提供します。次のコードが使用されます。
TCP RST |
RST がどちらかの側から受信されました。 |
TCP FIN |
いずれかの端からFINを受け取りました。 |
Response received |
パケット要求(など |
ICMP error |
ICMP エラーを受信しました (など |
Aged out |
セッションが終了しました。 |
ALG |
ALG はセッションを終了しました。 |
IDP |
IDPはセッションを閉じました。 |
Parent closed |
親セッションが終了しました。 |
CLI |
CLI ステートメントによってクリアされたセッション。 |
Policy delete |
削除対象としてマークされたポリシー。 |
アプリケーション追跡のメリット
セキュリティ デバイスを通過するアプリケーションの種類を可視化します。
許可されたアプリケーションと、それらがもたらす可能性のあるリスクに関する洞察を得ることができます。
帯域幅の管理を支援し、アクティブなユーザーとアプリケーションを報告します。
アプリケーション追跡ログ メッセージのフィールド
Junos OS リリース 15.1X49-D100 以降、AppTrack セッションの作成、セッションの終了、およびボリュームの更新ログには、[ 宛先インターフェイス] という新しいフィールドが追加されました。 destination interface
高度なポリシーベースルーティング(APBR)がそのセッションに適用され、AppTrack が有効で論理システム内で設定されている場合、このフィールドを使用して、セッションに選択されているエグレスインターフェイスを確認できます。
Junos OSリリース15.1X49-D100以降、ルート更新用の新しいAppTrackログが追加され、APBRプロファイル、ルール、ルーティングインスタンスの詳細が含まれるようになりました。APBRがセッションに適用されると、新しいログが生成され、AppTrackセッションカウンターが更新されて、新しいルート更新ログが生成された回数が示されます。AppTrack セッション終了ログも更新され、APBR プロファイル、ルール、およびルーティング インスタンスの詳細が含まれるようになります。
Junos OS リリース 17.4R1 以降、AppTrack セッションの作成、セッションの終了、およびボリュームの更新ログには、新しいフィールド category
と subcategory
が含まれます。これらのフィールドは、アプリケーション属性に関する一般的な情報を提供します。たとえば、フィールドは category
アプリケーションのテクノロジ (Web、インフラストラクチャ) subcategory
を指定し、フィールドはアプリケーションのサブカテゴリ (ソーシャル ネットワーキング、ニュース、広告など) を指定します。
カテゴリとサブカテゴリはカスタムアプリケーションには適用されないため、AppTrack ログメッセージでは、カテゴリ custom application
が として、サブカテゴリ N/A
が として表示されます。
不明なアプリケーションの場合、カテゴリとサブカテゴリの両方が としてログに記録 N/A
されます。
構造化された syslog 形式のログ メッセージの例:
APPTRACK_SESSION_CREATE user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" username="user1" roles="DEPT1" encrypted="UNKNOWN" destination-interface-name=”ge-0/0/0” category=”N/A” sub-category=”N/A”]
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" routing-instance=“default” destination-interface-name=”st0.0” category=” Web” sub-category=”N/A”]
APPTRACK_SESSION_VOL_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” category=” Web” sub-category=”Social-Networking”]
APPTRACK_SESSION_ROUTE_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” category=”Web” sub-category=”Social-Networking”]
Junos OS リリース 18.4R1 および Junos OS リリース 18.3R2 以降、APPTRACK_SESSION_ROUTE_UPDATE ログのフィールドには、 encrypted
以下のサンプルに示すような N/A
値が表示されます。
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="251" destination-address="5.0.0.1" destination-port="250" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="251" nat-destination-address="5.0.0.1" nat-destination-port="250" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="866" username="N/A" roles="N/A" encrypted="N/A" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/2.0" category="Web" subcategory="N/A" apbr-policy-name="sla1" webfilter-category="N/A"]
Junos OS リリース 18.4R1 以降、以下のサンプルに示すように、APPTRACK_SESSION_CLOSE および APPTRACK_SESSION_CLOSE_LS ログにはマルチパス ルール名が含まれます。
2018-10-25T01:00:18.179-07:00 multihome-spoke RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="idle Timeout" source-address="19.0.0.2" source-port="34880" destination-address="9.0.0.2" destination-port="80" service-name="junos-http" application="HTTP" nested-application="GOOGLE-GEN" nat-source-address="19.0.0.2" nat-source-port="34880" nat-destination-address="9.0.0.2" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust1" session-id-32="9625" packets-from-client="347" bytes-from-client="18199" packets-from-server="388" bytes-from-server="131928" elapsed-time="411" username="N/A" roles="N/A" encrypted="No" profile-name="apbr1" rule-name="rule1" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.4" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="multi1"]
Junos OS リリース 18.2R1 以降、AppTrack セッション クローズ ログに、アップリンク インターフェイスを介して送受信されたパケット バイトを記録する新しいフィールドが追加されました。アップリンク インターフェイスを介して送受信されるパケット バイトは、 uplink-rx-bytes
uplink-incoming-interface-name
、 および フィールドによってuplink-tx-bytes
報告されます。
例:
APPTRACK_SESSION_CLOSE [user@host.1.1.1.2.137 reason="TCP FIN" source-address="4.0.0.1" source-port="40297" destination-address="5.0.0.1" destination-port="110" service-name="junos-pop3" application="POP3" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="40297" nat-destination-address="5.0.0.1" nat-destination-port="110" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="UNTRUST" destination-zone-name="TRUST" session-id-32="81" packets-from-client="7" bytes-from-client="1959" packets-from-server="6" bytes-from-server="68643" elapsed-time="130" username="N/A" roles="N/A" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name="gr-0/0/0.0" uplink-tx-bytes="1959" uplink-rx-bytes="68643" uplink-incoming-interface-name="gr-0/0/0.0"]
Junos OS リリース 18.2R1 以降、次の新しいメッセージが追加されました。これらのメッセージは、以下のサンプルに示すように、アクティブおよびパッシブ・メトリック・レポート、アプリケーション・トラフィック・パスの切り替えなどの情報を提供します:
APPQOE_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" elapsed-time="2" bytes-from-client="675" bytes-from-server="0" packets-from-client="7" packets-from-server="0" previous-interface="gr-0/0/0.2" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="0" egress-jitter="0" rtt-jitter="0" rtt="0" pkt-loss="0" bytes-from-client="1073" bytes-from-server="6011" packets-from-client="12" packets-from-server="13" monitoring-time="990" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="35264" destination-address="151.101.193.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="614" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="104" egress-jitter="7" rtt-jitter="97" rtt="1142" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="500" target-pkt-loss="1" violation-reason="1" jitter-violation-count="0" pkt-loss-violation-count="0" rtt-violation-count="1" violation-duration="0" bytes-from-client="2476" bytes-from-server="163993" packets-from-client="48" packets-from-server="150" monitoring-time="948" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="6.1.1.2" source-port="36051" destination-address="6.1.1.1" destination-port="36050" application="UDP" protocol-id="17" destination-zone-name="untrust" routing-instance="ri3" destination-interface-name="gr-0/0/0.3" ip-dscp="128" ingress-jitter="26" egress-jitter="31" rtt-jitter="8" rtt="2383" pkt-loss="0" bytes-from-client="870240" bytes-from-server="425280" packets-from-client="4440" packets-from-server="4430" monitoring-time="30" active-probe-params="PP1" destination-group-name="p1"]
Junos OS リリース 15.1X49-D170 以降、AppTrack セッション作成、セッションクローズ、ルート更新、ボリューム更新のログが強化され、送信元 VRF と宛先 VRF の両方の VRF 名が含まれるようになりました。
RT_FLOW - APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" profile-name="p2" rule-name="r1" routing-instance="Default_VPN_LAN2" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
RT_FLOW - APPTRACK_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A’"]
RT_FLOW - APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
Junos OS リリース 19.1R1 以降、セッション終了ログに新しいフィールド ソース ID が含まれるようになり、ユーザー名とロールを含むセッション作成ログとセッション終了ログを確認できます。新しいメッセージは、次のサンプルに示すように、ユーザー名やロールなどの情報を提供します。
RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="N/A" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
APBRおよびAppTrackが有効なセッションのルートまたはネクストホップに変更があるたびに、新しいsyslogメッセージ RT_FLOW_NEXTHOP_CHANGE
が生成されます。
20.2R3、20.3R2、20.4R2、21.1R1より前のJunos OSリリースでは、アプリケーションがAPBR(APBRインタレストチェック)によって識別されず、その後、セッションの最初のパケットについてJDPIによって識別された場合、syslog(RT_FLOW_NEXTHOP_CHANGEログ)が生成されます。ログ メッセージは無視してかまいません。
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.1.0.1" source-port="43540" destination-address="5.1.0.1" destination-port="7000" service-name="None" application="JNPR-UDPSVR-ADDR" nested-application="UNKNOWN" nat-source-address="4.1.0.1" nat-source-port="43540" nat-destination-address="5.1.0.1" nat-destination-port="7000" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="17" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="2" packets-from-client="1" bytes-from-client="105" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="N/A" dscp-value="N/A" apbr-rule-type="application"]
Junos OS リリース 19.3R1 以降、セッションのクローズ、ボリュームの更新、ルートの更新、RT_FLOW_NEXTHOP_CHANGEインクルード dscp-value
や apbr-rule-type
オプションなどの AppTrack セッション ログ。
-
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”
dscp-value=”13”
apbr-rule-type=”dscp”
] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0”
dscp-value=”13”
apbr-rule-type=”application-dscp”
] -
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”
dscp-value=”13”
apbr-rule-type=”application-dscp
”] -
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="1999" destination-address="157.240.23.35" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="1999" nat-destination-address="157.240.23.35" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="3287" packets-from-client="1" bytes-from-client="60" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="sla1"
dscp-value=”13”
apbr-rule-type=”dscp”
]
Junos OS リリース 20.1R1 以降、セッションの終了、ボリュームの更新、ルートの更新などの AppTrack セッション ログには、次のオプションを含めることができます apbr-rule-type
。
-
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”]
-
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” apbr-rule-type=”default”]
-
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”]
Junos OS リリース 20.4R1 以降、選択されたベスト パス、SLA メトリック違反、SLA メトリック レポートなどの AppTrack セッション ログが更新されます。
-
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="N/A" destination-interface-name="gr-0/0/0.0" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="app detected" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria=“default” "server-ip=”10.1.1.1” url=”salesforce.com”]
-
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile=" apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.0" sla-rule="SLA1" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1355" rtt="5537" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="1000" target-pkt-loss="1" violation-reason="1" violation-duration="20" active-probe-params="PP1" destination-group-name="p1" "server-ip=”10.1.1.1” url=”salesforce.com”]
-
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="40.1.1.2" source-port="10001" destination-address="40.1.1.1" destination-port="80" destination-zone-name="untrust1" routing-instance="transit" destination-interface-name="" ip-dscp="6" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1345" rtt="4294967295" pkt-loss="100" monitoring-time="29126" active-probe-params="probe1" destination-group-name="site1" forwarding-class="network-control" loss-priority="low" active-probe-type="http head"]
Junos OS Release 21.2R1以降、SLAメトリックのないアプリケーションプロファイルの場合、AppQoEはAPPQOE_APP_BEST_PATH_SELECTED
ログのみを生成します。APPQOE_APP_BEST_PATH_SELECTED
ログでは、 active-probe-params
フィールドが表示されN/A
、 違反期間 フィールド が表示されますN/A
。ログにはAPPQOE_APP_BEST_PATH_SELECTED
、次のサンプルに示すように、 、 previous-link-priority
、 destination-link-tag
、 などのdestination-link-priority
新しいフィールドprevious-link-tag
があります。が である場合previous-link-tag
app detected
、 reason
フィールドが表示されN/A
、 フィールドは previous-link-priority
が表示されます0
。
-
SLAメトリックを考慮しないアプリケーション非依存プロファイル。
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”]
アプリケーション非依存プロファイルの場合、アプリケーションフィールドは と表示されます
ANY
。 -
SLAメトリックを考慮しないアプリケーションベースのプロファイル。
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”]
-
SLAメトリックを考慮し、違反を報告していないアプリケーションに依存しないプロファイル。
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”]
-
SLA メトリックを考慮し、違反を報告した、アプリケーションに依存しないプロファイル。
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”]
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"]
APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"]
-
SLAメトリックを考慮し、違反を報告していないアプリケーションベースのプロファイル。
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]
SLAメトリックを考慮し、違反を報告したアプリケーションベースのプロファイル。
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]
APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]
SRXシリーズファイアウォールがシャーシクラスターモードで動作し、AppQoE設定にSaaSプローブが含まれ、違反カウント値が1に設定されたシナリオを考えます。アプリケーション トラフィックがノード全体でルート パスを切り替えると、プライマリ ノードとバックアップ ノードの両方で違反 syslog メッセージが生成されます。現在のパスをホストしているノードで生成された syslog は無視してかまいません。
-
リンク アフィニティが「ルーズ」として設定されていて、アプリケーション トラフィックが優先リンクから非優先リンクに切り替わり、その非優先リンクのプライオリティが高い場合、システム ログ メッセージはその理由を「より高いプライオリティに切り替え」としてログに記録します。
例:
RT_FLOW - APPQOE_APP_BEST_PATH_SELECTED [apbr-profile="apbr1" apbr-rule="rule1" application="YAHOO" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.0" destination-interface-name="gr-0/0/0.2" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to higher priority link" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262149" server-ip="0.0.0.0" server-url="N/A" previous-link-tag="ISP1" previous-link-priority="10" destination-link-tag="ISP3" destination-link-priority="3"]
関連項目
例:アプリケーション トラッキングの設定
この例では、ネットワークの帯域幅使用量を分析できるように AppTrack トラッキング ツールを設定する方法を示します。
要件
AppTrack を設定する前に、アプリケーション署名パッケージをダウンロードしてインストールし、アプリケーション識別設定が正しく機能していることを確認してください。 Junos OSアプリケーション署名パッケージの手動ダウンロードとインストール または IDPセキュリティパッケージの一部としてのJunos OSアプリケーション署名パッケージのダウンロードとインストールを参照してください。ステータスを確認するには、 show services application-identification status コマンドを使用します。
概要
アプリケーション識別はデフォルトで有効になっており、AppTrack、AppFW、または IDP サービスを設定すると自動的に有効になります。Juniper Secure Analytics(JSA)がデータを取得し、フローベースのアプリケーションを可視化します。STRMにはAppTrackレポートのサポートが含まれており、いくつかの事前定義された検索テンプレートとレポートが含まれています。
Junos OS 21.1R1以降、以下のログで変更点に注意してください。
AppTrack セッション作成ログ (APPTRACK_SESSION_CREATE) はデフォルトで無効になっています。有効にするには、次のコマンドを使用します。
user@host# set security application-tracking log-session-create
AppTrack セッション クローズ ログ (APPTRACK_SESSION_CLOSE) は、既定では無効になっています。有効にするには、次のステートメントを使用します。
user@host# set security application-tracking log-session-close
次のステートメントを使用して、AppTrack セッションボリューム更新ログ (APPTRACK_SESSSION_VOL_UPDATE) を無効にすることができます。
user@host# set security application-tracking no-volume-updates
構成
この例では、trust という名前のセキュリティ ゾーンに対してアプリケーション追跡を有効にする方法を示します。最初のログメッセージはセッションの開始時に生成され、その後は4分ごとに更新メッセージを送信する必要があります。セッション終了時に最終メッセージを送信する必要があります。
この例では、AppTrack ログ メッセージを sd-syslog 形式で受信するようにリモート syslog デバイス設定を追加する方法も示します。セキュリティ ログをエクスポートするときに使用される送信元 IP アドレスは 192.0.2.1 で、セキュリティ ログはアドレス 192.0.2.2 にあるホストに送信されます。
AppSecure ServicesのJ-Webページは暫定的なものです。AppSecure 機能の設定には CLI を使用することを推奨します。
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
session-update-interval
ほとんどの場合、 と を変更するfirst-update-interval
必要はありません。この例には、その使用方法を示すためにコマンドが含まれています。
user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2 user@host# set security zones security-zone trust application-tracking user@host# set security application-tracking session-update-interval 4 user@host# set security application-tracking first-update-interval 1
SRX5600 デバイスおよび SRX5800 デバイスでは、syslog 設定で宛先ポートが指定されていない場合、デフォルトの宛先ポートは syslog ポートになります。syslog設定で宛先ポートを指定すると、代わりにそのポートが使用されます。
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 CLI ユーザーガイドを参照してください。
AppTrack を設定するには、次の手順に従います。
Apptrack メッセージを sd-syslog 形式で受信するためのリモート syslog デバイス設定を追加します。
[edit] user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2
セキュリティ ゾーンの信頼に対して AppTrack を有効にします。
[edit] user@host# set security zones security-zone trust application-tracking
(オプション)この例では、4 分ごとに更新メッセージを生成します。
[edit] user@host# set security application-tracking session-update-interval 4
メッセージ間の既定の間隔は 5 分です。セッションがこの更新間隔内に開始および終了した場合、AppTrack はセッションの終了時に 1 つのメッセージを生成します。ただし、セッションの有効期間が長い場合は、5 分ごとに更新メッセージが送信されます。は
session-update-interval minutes
、このステップに示すように構成可能です。(オプション)この例では、1 分後に最初のメッセージを生成します。
[edit] user@host# set security application-tracking first-update-interval 1
デフォルトでは、最初のメッセージは、最初のセッション更新間隔が経過した後に生成されます。これとは異なる時刻に最初のメッセージを生成するには、オプション (指定した分後に最初のメッセージを生成する) を使用します
first-update-interval minutes
。メモ:オプション
first-update
と オプションはfirst-update-interval minutes
相互に排他的です。両方を指定した場合、first-update-interval
値は無視されます。Junos OS 21.1R1以降、この
first-update
ステートメントは、後方互換性を提供するために、すぐには削除されませんが、非推奨とされました。最初のメッセージが生成されると、セッション更新間隔に達するたびに更新メッセージが生成されます。
結果
設定モードから、 および show security zones
コマンドを入力してshow security
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、この show
コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
[edit] user@host# show security
... application-tracking { first-update-interval 1; session-update-interval 4; } log { mode stream; format sd-syslog; source-address192.0.2.2; stream app-track-logs { host { 192.0.2.1; } } } ...
[edit] user@host# show security zones ... security-zone trust { ... application-tracking; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
AppTrack のログメッセージを表示するには、リモートロギングデバイスで JSA 製品を使用します。
設定が正しく機能していることを確認するには、デバイス上でこれらのタスクを実行することもできます。
- AppTrack 統計の確認
- AppTrack カウンター値の検証
- セキュリティ フロー セッション統計の確認
- アプリケーションシステムキャッシュ統計の確認
- アプリケーション識別カウンター値のステータスの確認
AppTrack 統計の確認
目的
AppTrack の統計情報を確認して、追跡されているトラフィックの特性を表示します。
アクション
動作モードから コマンド show services application-identification statistics applications
を入力します。
user@host> show services application-identification statistics applications
Last Reset: 2012-02-14 21:23:45 UTC Application Sessions Bytes Encrypted HTTP 1 2291 Yes HTTP 1 942 No SSL 1 2291 Yes unknown 1 100 No unknown 1 100 Yes
コマンド show services application-identification statistics applications
の詳細については、 show services アプリケーション識別統計アプリケーションを参照してください。
AppTrack カウンター値の検証
目的
AppTrack カウンターを定期的に表示して、ログ記録アクティビティを監視します。
アクション
動作モードから コマンド show security application-tracking counters
を入力します。
user@host> show security application-tracking counters
AVT counters: Value Session create messages 1 Session close messages 1 Session volume updates 0 Failed messages 0
セキュリティ フロー セッション統計の確認
目的
ロギングされたメッセージのバイト数およびパケット数を、 コマンド出力の show security flow session
セッション統計と比較します。
アクション
動作モードから コマンド show security flow session
を入力します。
user@host> show security flow session
Flow Sessions on FPC6 PIC0: Session ID: 120000044, Policy name: policy-in-out/4, Timeout: 1796, Valid In: 192.0.2.1/24 --> 198.51.100.0/21;tcp, If: ge-0/0/0.0, Pkts: 22, Bytes: 1032 Out: 198.51.100.0/24 --> 192.0.2.1//39075;tcp, If: ge-0/0/1.0, Pkts: 24, Bytes: 1442 Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1
セッション統計のバイト数とパケット数の合計は、AppTrack によって記録されたカウントに近似する必要がありますが、まったく同じではない場合があります。AppTrack は、着信バイトとパケットのみをカウントします。システム生成パケットは合計に含まれず、破棄されたパケットは差し引かれません。
アプリケーションシステムキャッシュ統計の確認
目的
コマンド出力からアプリケーションのIPアドレス、ポート、プロトコル、サービスなどのキャッシュ統計を比較します show services application-identification application-system-cache
。
アクション
動作モードから コマンド show services application-identification application-system-cache
を入力します。
例:SSL プロキシが有効な場合のアプリケーション トラッキングの設定
この例では、SSL プロキシが有効になっている場合に AppTrack が AppID 機能をサポートする方法について説明します。
要件
始める前に:
ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
ポリシーを使用して SSL プロキシーを使用可能にする SSL プロキシー・プロファイルを作成します。 SSL フォワード プロキシの設定を参照してください。
概要
AppTrack は、宛先ゾーンまたは送信元ゾーンで設定できます。この例では、SSLプロキシが有効になっている場合に、ポリシールールのtoゾーンでAppTrackを設定する方法を示します。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
set security zones security-zone Z_1 application-tracking set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
この例では、SSL プロキシー・プロファイル構成でアプリケーション・トラッキングを構成し、アプリケーション・サービスを許可します。
宛先ゾーンでアプリケーション追跡を構成します(送信元ゾーンを使用して構成することもできます)。
[edit security policies] user@host# set security zones security-zone Z_1 application-tracking
SSL プロキシ プロファイルを構成します。
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1] set match source-address any set match destination-address any set match application junos-https set then permit application-services ssl-proxy profile-name ssl-profile-1 set then permit
結果
設定モードから、 コマンドを入力して show security policies
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
from-zone Z_1 to-zone Z_2 { policy policy1 { match { source-address any; destination-address any; } then { permit { application-services { ssl-proxy { profile-name ssl-profile-1; } } } } } }
設定が正常に機能していることを確認します。AppTrack での検証は、AppFW での検証と同様に機能します。 例: SSL プロキシが有効な場合のアプリケーションファイアウォールの設定の検証セクションを参照してください。
アプリケーション追跡の無効化
アプリケーション追跡はデフォルトで有効になっています。ゾーン構成を削除せずにアプリケーション追跡を無効にすることができます。
アプリケーション追跡を無効にするには:
user@host# set security application-tracking disable
以前に無効にしたアプリケーション・トラッキングを再度有効にする場合は、アプリケーション・トラッキングの無効化を指定する 設定ステートメントを削除します。
user@host# delete security application-tracking disable
デバイスの設定が完了したら、設定をコミットします。
設定を検証するには、 コマンドを入力します show security application-tracking
。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
dscp-value
や
apbr-rule-type
オプションなどの AppTrack セッションログ。
apbr-rule-type
。
category
と
subcategory