SSL プロキシ ログ
SSL プロキシ ログ
SSL プロキシ ログ
SSalpha表 1 でロギングが有効になっている場合。
| Syslog タイプ | の説明 |
|---|---|
SSL_PROXY_SSL_SESSION_DROP |
セッションが SSL プロキシーによってドロップされたときに生成されるログ。 |
SSL_PROXY_SSL_SESSION_ALLOW |
マイナー エラーが発生した後でも、セッションが SSL プロキシによって処理されたときに生成されるログ。 |
SSL_PROXY_SESSION_IGNORE |
非 SSL セッションが最初に SSL セッションと間違えられた場合に生成されるログ。 |
SSL_PROXY_SESSION_WHITELIST |
セッションが許可リストに登録されたときに生成されるログ。 |
SSL_PROXY_ERROR |
エラーの報告に使用されるログ。 |
SSL_PROXY_WARNING |
警告の報告に使用されるログ。 |
SSL_PROXY_INFO |
一般的な情報のレポートに使用されるログ。 |
SSL_PROXY_SESSION_WHITELISTとSSL_PROXY_INFOログを使用して、ログインしているURLを確認できます。例:
For non-whitelisted session – SSL_PROXY_INFO [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="17" source-address="5.0.0.1" source-port="57558" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57558" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="NA" sni="www.facebook.com" url-category="NULL"]
For whitelisted session – SSL_PROXY_SESSION_WHITELIST [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="18" url="4.0.0.1" source-address="5.0.0.1" source-port="57560" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57560" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="session whitelisted url category match SNI www.youtube.com URL_CATEGORY CATEGORY-1"]
詳細については 、システム ログ エクスプローラー を参照してください。
すべてのログには、次の例に示すような同様の情報が含まれています(実際の外観順)。
logical-system-name, session-id, source-ip-address, source-port, destination-ip-address,destination-port, nat-source-ip-address, nat-source-port, nat-destination-ip-address, nat-destination-port, proxy profile name, source-zone-name, source-interface-name, destination-zone-name,destination-interface-name, message
この message フィールドには、ログ生成の理由が含まれています。 表 2 に示す 3 つのプレフィックスのうち 1 つは、メッセージの送信元を識別します。その他のフィールドには説明的なラベルが付いています。
| プレフィックスの | 説明 |
|---|---|
システム |
デバイスに関連するエラーまたは SSL プロキシー プロファイルの一部として実行されたアクションによって生成されるログ。ほとんどのログはこのカテゴリーに分類されます。 |
openssl エラー |
openssl ライブラリでエラーが検出された場合、ハンドシェイク プロセス中に生成されるログ。 |
証明書エラー |
証明書でエラーが検出された場合のハンドシェイク プロセス中に生成されるログ(x509 関連のエラー)。 |
サンプル ログ:
Jun 1 05:11:13 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SSL_SESSION_DROP: lsys:root 23 < 203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443> ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:certificate error: self signed certificate
これらのログは、SSL プロキシー・サービスも使用する他のモジュールによってマークされているセッションではなく、SSL プロキシーによってドロップされたセッションを取り込みます。
SSL_PROXY_SESSION_WHITELIST メッセージの場合、追加 host のフィールドは、 の後に session-id 含まれており、許可リストに登録されているサーバーまたはドメインの IP アドレスが含まれます。
Jun 1 05:25:36 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SESSION_WHITELIST: lsys:root 24 host:192.0.2.1/443<203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443 > ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:system: session whitelisted
SSL プロキシーのデバッグとトレースの使用可能化
ルーティング エンジンとパケット転送エンジンの両方のデバッグ トレースは、次の設定を設定することで SSL プロキシに対して有効にできます。
user@host# set services ssl traceoptions file file-name
SSL プロキシーは、SRX340、SRX345、SRX380、SRX550M、SRX1500、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 デバイス、vSRX インスタンスでサポートされています。 表 3 は、トレース・オプションでサポートされるレベルを示しています。
原因タイプ |
説明 |
|---|---|
短い |
ルーティング エンジンとパケット転送エンジンの両方でエラー トレースのみ。 |
詳細 |
パケット転送エンジン - ハンドシェイクまでのイベントの詳細のみをトレースする必要があります。 ルーティング エンジン –コミットに関連するトレース。ルーティング エンジンの定期的なトレースは使用できません。 |
広範囲 |
パケット転送エンジン - データ転送の概要を利用できます。 ルーティング エンジン –コミットに関連するトレース(より広範囲)。ルーティング エンジンの定期的なトレースは使用できません。 |
詳細 |
すべてのトレースを使用できます。 |
表 4 は、サポートされているフラグを示しています。
原因タイプ |
説明 |
|---|---|
cli-configuration |
構成関連のトレースのみ。 |
開始 |
SSL-I プラグインのトレースを有効にします。 |
プロキシ |
SSL プロキシ ポリシー プラグインのトレースを有効にします。 |
終了 |
SSL-T プラグインのトレースを有効にします。 |
選択プロファイル |
設定した enable-flow-tracing プロファイルに対してのみトレースを有効にします。 |
SSL プロキシ プロファイルのログを有効にして、ドロップの根本原因を確認できます。最も一般的なエラーは次のとおりです。
サーバー認定資格検証エラー。信頼できる CA 設定を確認して、設定を検証します。
メモリ割り当てエラーなどのシステム障害。
暗号が一致しない。
SSL バージョンが一致しません。
SSL オプションはサポートされていません。
ルート CA が期限切れになりました。新しいルート CA をロードする必要があります。
証明書の ignore-server-auth-failure 検証、ルート CA の有効期限日、およびその他の問題が無視されることを確認するには、SSL プロキシ プロファイルでオプションを有効にできます。オプションが有効になった後にセッションが ignore-server-auth-failure 検査された場合、問題はローカライズされます。