show security flow session
構文
show security flow session [filter] [brief | extensive | summary]
<node (node-id | all | local | primary)>
説明
デバイス上で現在アクティブなすべてのセキュリティセッションに関する情報を表示します。通常のフロー セッションでは、 show security flow session
コマンドは IP ヘッダー長に基づいてバイト カウンターを表示します。ただし、Express Path モードのセッションの場合、統計情報は IOC2(SRX5K-MPC)、IOC3(SRX5K-MPC3-100G10G および SRX5K-MPC3-40G10G)、IOC4(SRX5K-IOC4-MRAT および SRX5K-IOC4-10G)ASIC ハードウェア エンジンから収集され、L2 ヘッダーを含む完全なパケット長が含まれます。このため、出力では、Express Path モードのセッションの方が、通常のフロー セッションよりもわずかに大きなバイト カウンターが表示されます。
オプション
filter- 指定した基準で表示をフィルタリングします。
次のフィルターは、フィルターで指定された条件に一致するセッションに表示を縮小します。フィルター処理された出力の例については、特定の
show
コマンドを参照してください。advanced-anti-malware 高度なマルウェア対策セッションを表示します。このオプション
advanced-anti-malware
の詳細については、 『Sky Advanced Threat Prevention CLI リファレンスガイド』を参照してください。all-logical-systems-tenants すべてのマルチテナントシステム。
application 定義済みのアプリケーション名。
application-firewall アプリケーション ファイアウォールが有効になっています。
application-firewall-rule-set 指定したルールセットで有効になっているアプリケーションファイアウォール。
application-traffic-control アプリケーション トラフィック制御セッション。
application-traffic-control-rule-set アプリケーション トラフィック制御ルール セット名とルール名。
bytes-less-than セッションのバイト数を値(1..4294967295)未満に定義します。 bytes-more-than セッションのバイト数をより多く値(1..4294967295)で定義します。 conn-tag セッション接続タグ (0..4294967295)。
content-filtering コンテンツフィルタリングセッションの詳細を表示します。
curr-less-than セッションの現在のタイムアウト値を値(1..100000)未満に定義します。 curr-more-than セッションの現在のタイムアウト値を値(1..100000)より大きく定義します。 destination-port 宛先ポート。
destination-prefix 宛先 IP プレフィックスまたはアドレス。
dynamic-application 動的アプリケーション。
dynamic-application-group 動的アプリケーション。
duration-less-than セッションの期間を値(1..100000)未満に定義します。 duration-more-than 値(1..100000)を超えるセッションの期間を定義します。 encrypted 暗号化されたトラフィック。
family 家族別にセッションを表示します。
ha-link HA リンクセッション情報を表示します。 idp IDP 対応セッション。
interface 着信または発信インターフェイスの名前。
logical-system (all | logical-system-name) 特定の論理システムの名前 または
all
すべての論理システムを表示します。nat ネットワーク アドレス変換を使用したセッションを表示します。
node
(オプション)シャーシ クラスタ設定の場合、クラスタ内の特定のノード(デバイス)のセキュリティ フロー セッション情報を表示します。
node-id
- ノードの識別番号。0 または 1 を指定できます。all
- すべてのノードに関する情報を表示します。local
- ローカル ノードに関する情報を表示します。primary
- プライマリ ノードに関する情報を表示します。
packets-less-than セッションのパケット数(1..4294967295)未満の値を定義します。 packets-more-than 値(1..4294967295)を超えるセッションのパケット数を定義します。 plugin-name プラグイン名。 plugin-status プラグインのステータス。 plugins プラグインのフローセッション情報を表示します。 policy-id ポリシーIDに基づいてセッション情報を表示します。範囲は 1 から 4,294,967,295 です。
pretty フロー セッション情報を一覧で表示して、読みやすく、監視しやすくします。 protocol IP プロトコル番号。
resource-manager リソース マネージャー。
root-logical-system ルート論理システムをデフォルトとして表示します。
security-intelligence セキュリティ インテリジェンス セッションを表示します。
services-offload サービスがセッションをオフロードします。
session-identifier 指定されたセッション識別子を持つセッションを表示します。
session-state セッション状態。 source-port 送信元ポート。
source-prefix 送信元 IP プレフィックス。
ssl SSL プロキシー・セッション情報を表示します。 tenant テナントシステムのセキュリティフローセッション情報を表示します。
timeout-less-than セッションのタイムアウト値を値(1..100000)未満に定義します。 timeout-more-than セッションのタイムアウト値を値(1..100000)より大きく定義します。 tunnel トンネル セッション
tunnel-inspection-type トンネル検査タイプ
gre gre トンネル検査を表示
ipip ipipトンネルインスペクションを表示
vxlan VXLANトンネルインスペクションを表示
vxlan-vni コマンドで指定したものと一致する vni のトンネル セッションのみが一覧表示されます。
url-category フロー セッション情報を url カテゴリ別に表示します。 vrf-group L3VPN VRFグループ別のフローセッション情報を表示します。 web-filtering Web フィルタリング セッションの詳細を表示します。 概要 |拡張 |summary:指定された出力レベルを表示します。
none:すべてのアクティブなセッションに関する情報を表示します。
必要な権限レベル
ビュー
出力フィールド
表 1 に、このコマンドの出力フィールドshow security flow session
を示します。出力フィールドは、表示されるおおよその順序に従って示しています。
フィールド名 |
フィールドの説明 |
出力レベル |
---|---|---|
|
セッションを識別する番号。この ID を使用して、セッションに関する詳細情報を取得します。 |
短い 広範囲 なし |
もし |
インターフェイス名。 |
短い なし |
状態 |
セキュリティ フロー セッションのステータス。 |
短い 広範囲 なし |
|
GPRS トンネリング プロトコル、ユーザー プレーン(GTP-U)、ストリーム制御伝送プロトコル(STCP)セッションを一意に識別する 32 ビットの接続タグ。GTP-U の接続タグはトンネル エンドポイント識別子(TEID)で、SCTP の接続タグは vTag です。接続タグがセッションで使用されていない場合、接続 ID は 0 のままです。 |
短い 広範囲 なし |
|
中心点セッションを識別する番号。この ID を使用して、中心点セッションに関する詳細情報を取得します。 |
短い 広範囲 なし |
|
セッションの最初のパケットが一致したポリシーの名前とID。 |
短い 広範囲 なし |
|
セッションの有効期限が切れるまでのアイドル タイムアウト。 |
短い 広範囲 なし |
|
受信フロー(送信元と宛先の IP アドレス、アプリケーション プロトコル、インターフェイス、セッション トークン、ルート、ゲートウェイ、トンネル、ポート シーケンス、FIN シーケンス、FIN 状態、パケット、バイト)。 |
短い 広範囲 なし |
バイト |
受信および送信されたバイト数。 |
短い 広範囲 なし |
Pkts |
受信および送信されたパケットの数。 |
短い 広範囲 なし |
|
セッションの合計数。 |
短い 広範囲 なし |
|
リバース フロー(送信元と宛先の IP アドレス、アプリケーション プロトコル、インターフェイス、セッション トークン、ルート、ゲートウェイ、トンネル、ポート シーケンス、FIN シーケンス、FIN 状態、パケット、バイト)。 |
短い 広範囲 なし |
|
セッションの状態。 |
広範囲 |
|
デバッグ目的で使用される、セッションの状態を示す内部フラグ。 |
広範囲 |
|
NAT が使用されるソース プールの名前。 |
広範囲 |
|
アプリケーションの名前。 |
広範囲 |
|
このセッションの AppQoS ルール セット。 |
広範囲 |
|
このセッションのAppQoSルール。 |
広範囲 |
|
最大セッション タイムアウト。 |
広範囲 |
|
セッションにトラフィックが存在しない場合の、セッションの残り時間。 |
広範囲 |
|
セッション状態。 |
広範囲 |
|
セッションが作成された時刻(システム開始時刻からのオフセット)。 |
広範囲 |
|
ユニキャスト セッションの数。 |
概要 |
|
マルチキャスト セッションの数。 |
概要 |
|
サービス オフロード セッションの数。 |
概要 |
|
失敗したセッションの数。 |
概要 |
|
使用中のセッションの数。
|
概要 |
|
許可されるセッションの最大数。 |
概要 |
サンプル出力
- セキュリティフローセッションを表示
- show security flow session(デフォルトポリシーを使用)
- show security flow session(ドロップフロー)
- show security flow session(IPv6トンネル)
- セキュリティフローのセッションブリーフを表示
- show security flow session content-filtering
- セキュリティフローセッションの拡張を表示
- セキュリティフローセッションの拡張を表示
- セキュリティフローセッションの概要を表示
- show security flow session tunnel-inspection-type
- show security flow session tunnel-inspection-type
- show security flow session web-filtering
セキュリティフローセッションを表示
root> show security flow session Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 56, Valid In: 203.0.113.1/1000 --> 203.0.113.11/2000;udp, Conn Tag: 0x0, If: reth1.0, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.11/2000 --> 203.0.113.1/1000;udp, Conn Tag: 0x0, If: reth0.0, Pkts: 0, Bytes: 0, CP Session ID: 10320276 Total sessions: 1
show security flow session(デフォルトポリシーを使用)
root> show security flow session Session ID: 36, Policy name: pre-id-default-policy/n, Timeout: 2, Valid In: 10.10.10.2/61606 --> 10.10.10.1/179;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 1, Bytes: 64, Out: 10.10.10.1/179 --> 10.10.10.2/61606;tcp, Conn Tag: 0x0, If: .local..0, Pkts: 1, Bytes: 40,
show security flow session(ドロップフロー)
SRX5400のドロップされたフローを表示します。
root> show security flow session Outgoing wing: CP session ID: 12, CP sess SPU Id: 4617 1.0.0.1/55069 <- 1.0.0.254/23;6, Conn, Drop Flow Tag: 0x0, VRF GRP ID: 0(0), If: xe-1/0/0.0 (7), Flag: 0x40000020, Vector index: 0x00000002 WSF: 1, Diff: 0, Sequence: 0, Ack: 0, Port sequence: 0, FIN sequence: 0, FIN state: 0 Zone Id: 7, NH: 0x40010, NSP tunnel: 0x0, NP info: 0xffthread id:255
show security flow session(IPv6トンネル)
root> show security flow session Session ID: 44, Policy name: N/A, State: Stand-alone, Timeout: N/A, Valid In: 9001::4/1 --> 9001::3/1;ipip, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 0, Bytes: 0, Session ID: 45, Policy name: N/A, State: Stand-alone, Timeout: N/A, Valid In: 9001::4/1 --> 9001::3/1;ipv6, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 0, Bytes: 0, Session ID: 57, Policy name: default-policy-logical-system-00/2, State: Stand-alone, Timeout: 1796, Valid In: 20.0.0.2/37628 --> 30.0.0.2/22;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 22, Bytes: 4409, Out: 30.0.0.2/22 --> 20.0.0.2/37628;tcp, Conn Tag: 0x0, If: ip-0/0/0.1, Pkts: 30, Bytes: 5209, Session ID: 58, Policy name: default-policy-logical-system-00/2, State: Stand-alone, Timeout: 1784, Valid In: 2001::2/58602 --> 3001::2/22;tcp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 31, Bytes: 5569, Out: 3001::2/22 --> 2001::2/58602;tcp, Conn Tag: 0x0, If: ip-0/0/0.1, Pkts: 28, Bytes: 6249, Total sessions: 4
セキュリティフローのセッションブリーフを表示
root> show security flow session brief Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 203.0.113.11/1000 --> 203.0.113.1/2000;udp, Conn Tag: 0x0, If: reth1.0, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.1/2000 --> 203.0.113.11/1000;udp, Conn Tag: 0x0, If: reth0.0, Pkts: 0, Bytes: 0, CP Session ID: 10320276 Total sessions: 1
show security flow session content-filtering
root> show security flow session content-filtering Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 192.0.2.0/24/1000 --> 203.0.113.0/2000;udp, Conn Tag: 0x0, If: reth1.0, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.0/2000 --> 192.0.2.0/24/1000;udp, Conn Tag: 0x0, If: reth0.0, Pkts: 0, Bytes: 0, CP Session ID: 10320276 Total sessions: 1
セキュリティフローセッションの拡張を表示
root> show security flow session extensive Flow Sessions on FPC0 PIC1: Session ID: 10115977, Status: Normal, State: Active Flags: 0x8000040/0x18000000/0x12000003 Policy name: SG/4 Source NAT pool: Null, Application: junos-gprs-gtp-v0-udp/76 Dynamic application: junos:UNKNOWN, Encryption: Unknown Application traffic control rule-set: INVALID, Rule: INVALID Maximum timeout: 90, Current timeout: 54 Session State: Valid Start time: 6704, Duration: 35 In: 203.0.113.11/1000 --> 201.11.0.100/2000;udp, Conn Tag: 0x0, Interface: reth1.0, Session token: 0x6, Flag: 0x40000021 Route: 0x86053c2, Gateway: 201.10.0.100, Tunnel: 0 Port sequence: 0, FIN sequence: 0, FIN state: 0, Pkts: 1, Bytes: 86 CP Session ID: 10320276 Out: 203.0.113.1/2000 --> 203.0.113.11/1000;udp, Conn Tag: 0x0, Interface: reth0.0, Session token: 0x7, Flag: 0x50000000 Route: 0x86143c2, Gateway: 203.0.113.11, Tunnel: 0 Port sequence: 0, FIN sequence: 0, FIN state: 0, Pkts: 0, Bytes: 0 CP Session ID: 10320276 Total sessions: 1
セキュリティフローセッションの拡張を表示
root> show security flow session extensive Flow Sessions on FPC0 PIC0: Session ID: 10000059, Status: Normal Flags: 0x10000/0x0/0x10/0x1 Policy name: N/A Source NAT pool: Null Dynamic application: junos:UNKNOWN, Encryption: Unknown Application traffic control rule-set: INVALID, Rule: INVALID Maximum timeout: N/A, Current timeout: N/A Session State: Valid Start time: 642, Duration: 369 In: 3.0.0.2/64387 --> 2.0.0.1/8940;esp, Conn Tag: 0x0, Interface: xe-2/0/2.0, Session token: 0x7, Flag: 0x80100621 Route: 0xc0010, Gateway: 2.0.0.2, Tunnel: 0 ESP/AH frag Rx: 0, Generated: 0 Inner IPv4 frag Rx: 0, Tx: 0, Generated: 0, Inner IPv6 frag Rx: 0, Tx: 0, Generated: 0 Port sequence: 0, FIN sequence: 0, FIN state: 0, Pkts: 25, Bytes: 3760 CP Session ID: 0 Session ID: 10000060, Status: Normal Flags: 0x10000/0x0/0x10/0x1 Policy name: N/A Source NAT pool: Null Dynamic application: junos:UNKNOWN, Encryption: Unknown Application traffic control rule-set: INVALID, Rule: INVALID Maximum timeout: N/A, Current timeout: N/A Session State: Valid Start time: 642, Duration: 369 In: 3.0.0.2/0 --> 2.0.0.1/0;esp, Conn Tag: 0x0, Interface: xe-2/0/2.0, Session token: 0x7, Flag: 0x621 Route: 0xc0010, Gateway: 2.0.0.2, Tunnel: 0 ESP/AH frag Rx: 0, Generated: 0 Inner IPv4 frag Rx: 0, Tx: 0, Generated: 0, Inner IPv6 frag Rx: 0, Tx: 0, Generated: 0 Port sequence: 0, FIN sequence: 0, FIN state: 0, Pkts: 0, Bytes: 0 CP Session ID: 0 Total sessions: 2
セキュリティフローセッションの概要を表示
root> show security flow session summary Flow Sessions on FPC10 PIC1: Unicast-sessions: 1 Multicast-sessions: 0 Services-offload-sessions: 0 Failed-sessions: 0 Sessions-in-use: 1 Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Maximum-sessions: 6291456 Flow Sessions on FPC10 PIC2: Unicast-sessions: 0 Multicast-sessions: 0 Services-offload-sessions: 0 Failed-sessions: 0 Sessions-in-use: 0 Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Maximum-sessions: 6291456 Flow Sessions on FPC10 PIC3: Unicast-sessions: 0 Multicast-sessions: 0 Services-offload-sessions: 0 Failed-sessions: 0 Sessions-in-use: 0 Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Maximum-sessions: 6291456
show security flow session tunnel-inspection-type
root> show security flow session tunnel-inspection-type vxlan Session ID: 335544369, Policy name: p1/7, Timeout: 2, Valid In: 192.168.200.100/19183 --> 192.168.200.101/2;icmp, Conn Tag: 0xfcd, If: xe-7/0/0.0, Pkts: 2, Bytes: 2048, CP Session ID: 30, Tunnel Session ID: 268435486, Type: VXLAN, VNI: 1000 Out: 192.168.200.101/2 --> 192.168.200.100/19183;icmp, Conn Tag: 0xfcd, If: xe-7/0/1.0, Pkts: 2, Bytes: 2048, CP Session ID: 30, Tunnel Session ID: 268435488, Type: VXLAN, VNI: 1000
show security flow session tunnel-inspection-type
root> show security flow session vxlan-vni 400 Session ID: 1677861258, Policy name: pset1_p1/6, Timeout: 2, Valid In: 192.150.0.12/55908 --> 192.160.0.66/80;tcp, Conn Tag: 0xfcd, If: xe-3/0/0.0, Pkts: 5, Bytes: 465, CP Session ID: 7021087, Type: VXLAN, VNI: 400, Tunnel Session ID: 1680264845 Out: 192.160.0.66/80 --> 192.150.0.12/55908;tcp, Conn Tag: 0xfcd, If: xe-3/0/1.0, Pkts: 3, Bytes: 328, CP Session ID: 7021087, Type: VXLAN, VNI: 400, Tunnel Session ID: 1679640460 Session ID: 1678454648, Policy name: pset1_p1/6, Timeout: 2, Valid In: 192.150.0.13/56659 --> 192.160.0.67/80;tcp, Conn Tag: 0xfcd, If: xe-3/0/0.0, Pkts: 5, Bytes: 465, CP Session ID: 5589311, Type: VXLAN, VNI: 400, Tunnel Session ID: 1679698941 Out: 192.160.0.67/80 --> 192.150.0.13/56659;tcp, Conn Tag: 0xfcd, If: xe-3/0/1.0, Pkts: 3, Bytes: 328, CP Session ID: 5589311, Type: VXLAN, VNI: 400, Tunnel Session ID: 1679872223
show security flow session web-filtering
root> show security flow session web-filtering Session ID: 256, Policy name: p/4, Timeout: 1794, Session State: Valid In: 198.51.100.0/33170 --> 203.0.113.0/443;tcp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 3, Bytes: 351, Out: 203.0.113.0/443 --> 192.0.2.0/13089;tcp, Conn Tag: 0x0, If: ge-0/0/2.0, Pkts: 1, Bytes: 44, Total sessions: 1
リリース情報
Junos OSリリース8.5で導入されたコマンド。
Junos OSリリース10.2で追加されたフィルターおよび表示オプションのサポート。
Junos OS リリース 11.2 で追加されたアプリケーション ファイアウォール、動的アプリケーション、論理システム フィルター。
ポリシーIDフィルターはJunos OSリリース12.3X48-D10で追加されました。
Junos OSリリース15.1X49-D40で追加された接続タグのサポート。
tenant
Junos OSリリース18.3R1で導入されたオプション。
このオプションは tunnel-inspection-type
、Junos OSリリース20.4R1で導入されました。
content filtering
およびWeb filtering
フィルタリングオプションは、Junos OSリリース23.1R1で導入されました。