Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

IDP イベント ロギング

IDPシステムは、検出された攻撃の詳細なイベントログを生成することで、標準のJunos OSロギングを強化します。このようなイベント中に大量のログを管理するために、IDP は、複数の同一のイベントを 1 つのエントリに統合し、ログ管理とシステム パフォーマンスを最適化する構成可能なログ抑制をサポートしています。

基本的な Junos OS システム ロギングは、IDP が有効化された後も引き続き機能します。

詳細については、次のトピックを参照してください。

IDP ロギングについて

IDP対応デバイスは、設定データベースへのユーザーのログインなどの日常的な操作によって発生するイベントを記録し続けます。構成ファイルへのアクセスの失敗などの失敗やエラー状態を記録します。システムメッセージをログに記録し、メッセージに重大度レベルなどの属性を割り当てるようにファイルを設定できます。通常のシステムログメッセージに加えて、IDPは攻撃のイベントログを生成します。

IDP は、ログ記録が有効になっている IDP ポリシー ルールにイベントが一致すると、イベント ログを生成します。ログ記録のルールを設定すると、デバイスはそのルールに一致するイベントごとにログエントリを作成します。CLIまたはJ-Webを使用して、イベントログを生成するポリシールールを設定できます。

手記:

IDP攻撃検出イベントログメッセージ(IDP_ATTACK_LOG_EVENT_LS)では、time-elapsed、inbytes、outbytes、inpackets、outpacketsフィールドは入力されていません。

IDPイベントログは攻撃中に生成されるため、ログ生成はバーストで発生し、攻撃中に生成されるメッセージの量ははるかに多くなります。他のイベント メッセージと比較すると、攻撃によって生成されたメッセージのメッセージ サイズもはるかに大きくなります。ログの量とメッセージのサイズは、ログ管理にとって重要な関心事です。ログメッセージの量をより適切に管理するために、IDPはログ抑制をサポートしています。

ログ抑制を設定することで、同じ期間に同じまたは類似のセッションから発生する同じログの複数のインスタンスを抑制できます。ログ抑制を有効にすると、複数回発生する同じイベントまたは攻撃に対して生成されるログの数が最小限に抑えられます。

参照

IDP ログ抑制属性について

ログ抑制により、複数回発生する同じイベントまたは攻撃に対して生成されるログの数が最小限に抑えられます。ログ抑制はデフォルトで有効になっています。必要に応じて、特定のログ抑制属性を設定して、ログを抑制できます。ログ抑制を設定する場合、レポート間隔の設定が長すぎると、ログ抑制がセンサーのパフォーマンスに悪影響を与える可能性があることに注意してください。

次のログ抑制属性を設定できます。

  • ログ抑制の実行中に宛先アドレスを含める—一致する送信元アドレスを持つイベントのログレコードを組み合わせることを選択できます。デフォルトでは、IDP センサーは、ログ抑制のイベントを照合するときに宛先を考慮しません。

  • Number of log occurrences after that log suppression begins—ログ抑制が開始されるまでに特定のイベントが発生する必要があるインスタンスの数を指定できます。デフォルトでは、ログ抑止は最初のオカレンスの後に開始されます。

  • ログ抑制が操作できるログの最大数—ログ抑制が有効になっている場合、侵入検出および防止(IDP)は、同じイベントが複数回発生したときに識別できるようにログレコードをキャッシュする必要があります。IDP によって同時に追跡されるログ・レコードの数を指定できます。デフォルトでは、IDP が操作できるログ レコードの最大数は 16,384 です。

  • 抑制されたログが報告されるまでの時間—ログ抑制が有効になっている場合、IDP は同じイベントの発生回数を維持します。指定された秒数が経過すると、IDP は発生回数を含む 1 つのログ エントリを書き込みます。デフォルトでは、IDP は 5 秒後に抑制されたログを報告します。

例:IDP ログ抑制属性の設定

この例では、ログ抑制属性を設定する方法を示しています。

必要条件

開始する前に、以下を実行します。

  • ネットワークインターフェイスを設定します。

  • シグネチャ データベースをダウンロードします。「 IDP 署名データベースの手動更新の概要」を参照してください。

概要

ログ抑制により、複数回発生する同じイベントまたは攻撃に対して生成されるログの数が最小限に抑えられます。ログ抑制はデフォルトで有効になっています。必要に応じて、特定のログ抑制属性を設定して、ログを抑制できます。

この例では、イベントの 2 回目の発生後にログ抑制が開始するように設定し、20 秒後にログが報告されるように指定します。

構成

プロシージャ

手順

ログ抑制属性を設定するには:

  1. ログ抑止を開始するまでのログ番号を指定します。

  2. 抑制されたログが報告されるまでの最大時間を指定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

ログ統計を確認するには、 show security idp counters log コマンドを入力します。

参照

ICシリーズUACアプライアンスでのIDPログ情報の使用状況について

ユニファイドアクセスコントロール(UAC)アプライアンス用のICシリーズUACアプライアンスは、ジュニパーネットワークスデバイスから送信された侵入検出および防止(IDP)攻撃ログ情報を使用して、IDPログが攻撃が検出されたことを示すトラフィックにアクセスポリシーを適用できます。安全な通信チャネルを使用して、これらのIDPログはICシリーズアプライアンスに直接安全に送られます。IDP攻撃ログは、JUEP通信チャネルを介してICシリーズアプライアンスに送信されます。

このトピックには、以下のセクションが含まれています。

ICシリーズUACアプライアンスへのメッセージフィルタリング

IDPログメッセージを受信するようにICシリーズUACアプライアンスを構成する場合は、ICシリーズアプライアンスで特定のフィルタリングパラメーターを設定します。このフィルタリングを行わないと、ICシリーズアプライアンスが受信するログメッセージが多すぎる可能性があります。フィルタリングパラメータには、次のものが含まれます。

  • ICシリーズアプライアンスは、認証したセッションのIDPからの通信のみを受信する必要があります。詳細については、『 Unified Access Control Administration Guide 』を参照してください。

  • 重大度に基づいて、IDPログファイルを受信するためのICシリーズアプライアンスフィルターを作成できます。たとえば、ICシリーズアプライアンスで重大度が高に設定されている場合、IDPは重大度が高以上のログのみを送信します。詳細については、『 Unified Access Control Administration Guide 』を参照してください。

  • ICシリーズアプライアンスから、すべてのIDPログの受信を無効にすることができます。詳細については、『 Unified Access Control Administration Guide 』を参照してください。

IC シリーズ UAC アプライアンスのログ記録の構成

IDPログを受信およびフィルタリングするためのすべての構成は、ICシリーズUACアプライアンスで行われます。IDP ログを受信するための設定情報と JUEP 通信チャネルの詳細については、『 Unified Access Control Administration Guide 』を参照してください。

IDP アラームと監査

デフォルトでは、IDP は管理者にアラームを発生させることなく、イベントの発生をログに記録します。システムがイベントをログに記録するように設定され、 potential-violation オプションが設定されている場合、パケット転送エンジンの IDP ログが ルーティングエンジン に転送されます。その後、ルーティングエンジンはIDP攻撃ログを解析し、必要に応じてIDPアラームを発生させます。

  • IDP アラームを有効にするには、 set security alarms potential-violation idp コマンドを使用します。

  • 設定が正しく行われていることを確認するには、 show security alarms コマンドを使用します。

手記:

Junos OS リリース 11.2 より前のリリースでは、IDP 攻撃ログには攻撃イベントに関する情報が含まれますが、管理者にアラームを発生させることはありません。

関連資料