DNS 要求フィルタリング システム ロギング エラー メッセージ
DNS 要求フィルタリングに関連するシステム ログのメッセージ形式は、次世代サービス MX-SPC3 サービス カードと初期のサービス カードで若干異なります。このトピックでは、DNS 要求フィルタリングに関連するシステム ログ メッセージの違いについて説明し、これらのメッセージのすべてのフィールドについて説明します。
DNS 要求フィルタリングのシステム ログの概要
次世代サービス DNS 要求フィルタリング システム ロギングでは、次のイベントが生成されます。
-
DNS 一致イベント (DNS_SR_MATCH_EVENT)
-
フィルタリングされたドメインのリストに一致するDNSごとに、1つのsyslogが生成されます。
-
-
学期ごとの統計(DNS_SR_CUSTOMER_STATS)
-
テンプレートの各用語は顧客を表しており、顧客ごとの統計を収集できます。
-
各テンプレートで統計を収集する間隔を設定できます。
-
-
DNS disallow-list ファイルが追加または更新されるたびにイベントを報告できます (DNS_SR_FILE_UPDATE_NOTICE)
-
PICごとの概要レポートの統計情報(DNS_SR_REPORT_STATS)を収集できます
-
統計は 5 分ごとに生成されます。この間隔値は設定できません。
-
これらの統計情報は、PICごとに生成されます。
手記:これらのログを有効にするには、dns フィルタリングを設定した各
service-setの syslog を設定する必要があります。次世代サービスのすべてのシステムログメッセージは、次のステートメントを使用して
service-setレベルで設定されます。user@host# edit services service-set service-set-name syslog
DNS 要求フィルタリングシステムログメッセージを収集するには、
local-categoryステートメントにurlfを含めます。[edit services service-set ss1 syslog] user@host# set local-category urlf
-
-
クライアントごとの IP 統計 (DNS_SR_CLIENT_IP_STATS) を収集できます
-
この統計は、プロファイルごとに生成されます。
-
これらの統計を収集する間隔は、プロファイルごとに設定できます。
-
DNS 一致イベント Syslog の形式
次世代サービス DNS 要求フィルタリングのシステム システム ログ メッセージには、FPC スロット/PIC スロットと UTC 時間は含まれません。
表 1 は、DNS 要求フィルター一致イベントに含まれるフィールドを示しています。
| フィールド名 |
形容 |
例 |
|---|---|---|
| タイム スタンプ |
ログエントリが生成された時刻 |
10月27日 10:04:19 |
| ルーター名 |
レコードを生成するルーターのホスト名 |
jnpr-router-01 |
| ログハンドル |
ログ・カテゴリーを識別するためのログ・ハンドル |
junos-url-filter |
| マッチ |
DNS 一致が検出されたことを示します。 |
JSERVICES_URLF_MATCH_EVENT:DNS_SR_MATCH_EVENT |
| タグ |
ログプレフィックス設定 |
タグ=<値> |
| svc-set-name |
サービスセット名 |
svc-set-name=<value> |
| 身分証明書 |
ドメイン名に割り当てられた ID (IDのサイズは32ビットの数値とみなします) |
ID=12345 |
| IP_Src |
元 IP |
IP_Src=10.1.5.72 |
| IP_Dst |
宛先 IP (DNS リゾルバー) |
IP_Dst=10.1.1.10 |
| Src_Prt |
送信元ポート |
Src_Prt=37344 |
| Dst_Prt |
宛先ポート |
Dst_Prt=53 |
| Sinkhole_IP |
ドメイン名入力リストからのホール サーバーの IP |
Sinkhole_IP=10.1.50.64 |
| Sinkhole_IPv6 |
ドメインからのIPv6ホール サーバーのIP 名前入力リスト |
Sinkhole_IPv6=2001:db8: 1003:1004:1005:1006:1007:1008 |
| Sinkhole_fqdn |
シンクホール FQDN |
Sinkhole_fqdn=NA |
| 数える |
同一のイベント レコードに対応するためのマッチ イベントのカウンター |
カウント=54 |
| 交換 |
応答ドメインの置換を指定します(つまり、シンクホール化) |
置換=Y |
| Reason_Mask |
アクションの理由 (Replaced=N の場合) [ビット位置の列挙については、以下の表を参照してください] |
Reason_Mask=0x0 |
| Qタイプ |
クエリ DNS 要求のタイプ(A、AA、MX、CNAME、SRV、TXT) |
QType=A |
| プロフィール |
プロファイル名 [設定済みの Web フィルター プロファイル名] |
プロファイル=profile_01 |
| テンプレート |
テンプレート名 [構成済みの DNS フィルター テンプレート名] |
テンプレート=template_01 |
| 用語 |
用語名 [設定されたDNSフィルター条件名] |
期間=term_01 |
| 時間 |
UNIXタイムスタンプ |
日時=2017年12月20日(水)12時25分24秒 |
MX-SPC3 DNSフィルタリングのsyslog形式の例を次に示します。
Feb 20 17:06:36 ce-bras-mx480-o junos-url-filter: JSERVICES_URLF_MATCH_EVENT: DNS_SR_MATCH_EVENT, Tag=tag, svc-set-name= s1, ID=1235, IP_SRC=10.2.2.3, IP_DST=10.101.10.100, SRC_PRT=34342, DST_PRT=53, Sinkhole_IP=10.1.1.1, Sinkhole_IPv6=NA, Sinkhole_fqdn=NA, Count=9, Replaced=Y, Reason_Mask=0x0, QType=A, Profile=webf-prof-1, Template=dnsf-temp-1, Term=dnsf-term-1, Time=Tue Jan 23 13:45:52 2018
MS-MPC DNSフィルタリングのsyslog形式の例を次に示します。
Jan 23 13:45:52 cliq (FPC Slot 1, PIC Slot 1) 2018-01-23 21:45:52: {s1}[jservices-urlf]: JSERVICES_URLF_MATCH_EVENT: DNS_SR_MATCH_EVENT ID=1235, IP_SRC=10.2.2.3, IP_DST=10.101.10.100, SRC_PRT=34342, DST_PRT=53, Sinkhole_IP=10.1.1.1, Sinkhole_IPv6=NA, Sinkhole_fqdn=NA, Count=9, Replaced=Y, Reason_Mask=0x0, QType=A, Profile=webf-prof-1, Template=dnsf-temp-1, Term=dnsf-term-1, Time=Tue Jan 23 13:45:52 2018
DNSフィルタリングの理由マスク値と解釈
表2 では、MX次世代サービスのDNSフィルタリングの理由、マスク値フィールド、解釈について説明します。
| ビット位置 |
16 進数値 |
解釈 |
その他のコメント |
|---|---|---|---|
|
|
0x0 |
交換 |
|
| 0 |
0x1 |
理由 その他 |
例:フラグメント化されたパケット、不正な形式のパケット |
| 1 |
0x2 |
サポートされていない DNS 要求の種類 |
例: SRV、TXT |
| 2 |
0x4 |
インジケーター アクションが "レポートのみ" に設定されている |
これは、新しい指標を本番環境に入れる前にテストできるようにするためです。 |
| 3 |
0x8 |
A/AAAA レコードの置換エラー |
|
| 4 |
0x10 |
交換情報がありません |
ドメイン名エントリは「replace」とマークされていますが、sinkhole-ip/sinkhole-ipv6/sinkhole-fqdnは提供されていません。 |
以下は、DNSフィルタリング用のMX Next Gen Services syslog形式の例で、理由、マスク、解釈を示しています。
Feb 20 17:06:36 ce-bras-mx480-o junos-url-filter: JSERVICES_URLF_MATCH_EVENT: DNS_SR_MATCH_EVENT, Tag=tag, svc-set-name= s1, ID=1235, IP_SRC=10.2.2.3, IP_DST=10.101.10.100, SRC_PRT=34342, DST_PRT=53, Sinkhole_IP=10.1.1.1, Sinkhole_IPv6=NA, Sinkhole_fqdn=NA, Count=9, Replaced=Y, Reason_Mask=0x0, QType=A, Profile=webf-prof-1, Template=dnsf-temp-1, Term=dnsf-term-1, Time=Tue Jan 23 13:45:52 2018
MS-MPC DNSフィルタリングのsyslog形式の例を次に示します。
Jan 23 13:45:52 cliq (FPC Slot 1, PIC Slot 1) 2018-01-23 21:45:52: {s1}[jservices-urlf]: JSERVICES_URLF_MATCH_EVENT: DNS_SR_MATCH_EVENT ID=1235, IP_SRC=10.2.2.3, IP_DST=10.101.10.100, SRC_PRT=34342, DST_PRT=53, Sinkhole_IP=10.1.1.1, Sinkhole_IPv6=NA, Sinkhole_fqdn=NA, Count=9, Replaced=Y, Reason_Mask=0x0, QType=A, Profile=webf-prof-1, Template=dnsf-temp-1, Term=dnsf-term-1, Time=Tue Jan 23 13:45:52 2018
用語ごとの統計情報 syslog 形式
表 3 は、MX 次世代サービスの DNS フィルタリング、用語ごとの統計情報、syslog 形式のフィールドを示しています。
| フィールド名 |
形容 |
例 |
|---|---|---|
| タイム スタンプ |
ログエントリが生成された時刻 |
10月27日 10:04:17 |
| ルーター名 |
レコードを生成するルーターのホスト名 |
jnpr-router-01 |
| ログハンドル |
ログ・カテゴリーを識別するためのログ・ハンドル |
junos-url-filter |
| マッチ |
期間 (顧客) 統計レコード |
JSERVICES_URLF_CUSTOMER_STATS:DNS_SR_CUSTOMER_STATS |
| タグ |
ログプレフィックス設定 |
タグ=<値> |
| svc-set-name |
サービスセット名 |
svc-set-name=<value> |
| プロフィール |
プロファイル名 [設定済みの Web フィルター プロファイル名] |
プロファイル=profile_01 |
| テンプレート |
テンプレート名 [構成済みの DNS フィルター テンプレート名] |
テンプレート=template_01 |
| 用語 |
用語名 [設定されたDNSフィルター条件名] |
期間=term_01 |
| Packets_Processed |
処理された DNS 要求の合計 |
Requests_Processed=200 |
| DNS_UDP_Packets_Processed |
処理されたDNS UDP要求 |
DNS_UDP_Requests_Processed=98 |
| DNS_TCP_Packets_Processed |
処理された DNS TCP 要求 |
DNS_TCP_Requests_Processed=35 |
| DNS_UDP_Requests_sinkholed |
DNS UDP 要求のシンクホール化 |
DNS_UDP_Requests_Sinkholed =50 |
| DNS_TCP_Requests_sinkholed |
DNS TCP 要求のシンクホール化 |
DNS_TCP_Requests_Sinkholed =50 |
| DNS_UDP_Requests_reported |
報告されたDNS UDP要求 |
DNS_UDP_Requests_Reported =50 |
| DNS_TCP_Requests_reported |
報告された DNS TCP 要求 |
DNS_TCP_Requests_Reported =50 |
| 時間 |
UNIXタイムスタンプ |
日時=2017年12月20日(水)12時25分24秒 |
| 数える |
同一のイベント記録に対応するカウンター |
カウント = 10 |
以下は、MX-SPC3 DNSフィルタリングのsyslog形式の例です。
Feb 25 14:25:45 curve junos-url-filter: JSERVICES_URLF_CUSTOMER_STATS: DNS_SR_CUSTOMER_STATS, Tag , svc-set-name s1, Profile=DNS_CUSTOMER-A, Template=DNS_CUSTOMER-A, Term=DNS_CUSTOMER-A, Requests_Processed=0, DNS_UDP_Requests_Processed=0, DNS_TCP_Requests_Processed=0, DNS_UDP_Requests_Sinkholed=0, DNS_TCP_Requests_Sinkholed=0, DNS_UDP_Requests_Reported=0, DNS_TCP_Requests_Reported=0, Time=Mon Feb 25 14:25:45 2019, Count=13
MS-MPC DNSフィルタリングのsyslog形式の例を次に示します。
Mar 8 12:16:05 iphone3gs (FPC Slot 5, PIC Slot 0) 2019-03-08 20:16:04: {ATT-Zone5}[jservices-urlf]: JSERVICES_URLF_CUSTOMER_STATS: DNS_SR_CUSTOMER_STATS, Profile=ATT-Profile-5-Zone5, Template=ATT-Profile-5-Zone5-Area1, Term=ATT-Profile-5-Zone5-Area1-Customer3, Requests_Processed=0, DNS_UDP_Requests_Processed=0, DNS_TCP_Requests_Processed=0, DNS_UDP_Requests_Sinkholed=0, DNS_TCP_Requests_Sinkholed=0, DNS_UDP_Requests_Reported=0, DNS_TCP_Requests_Reported=0, Time=Fri Mar 08 12:16:05 2019, Count=111
DNSフィルタリング Disallow-List ファイルの追加/変更 Syslog 形式
表4 は、MX次世代サービス、DNSフィルタリング、許可リスト、ファイルの追加および更新、syslog形式のフィールドを示しています。
| フィールド名 |
形容 |
例 |
|---|---|---|
| タイム スタンプ |
ログエントリが生成された時刻 |
10月27日 10:04:17 |
| ルーター名 |
レコードを生成するルーターのホスト名 |
jnpr-router-01 |
| ログハンドル |
ログ・カテゴリーを識別するためのログ・ハンドル |
junos-url-filter |
| マッチ |
テンプレートのドメイン許可リスト ファイルが更新されました。 . |
JSERVICES_URLF_FILE_UPDATE_NOTICE:DNS_SR_FILE_UPDATE_NOTICE |
| タグ |
ログプレフィックス設定 |
タグ=<値> |
| svc-set-name |
サービスセット名 |
svc-set-name=<value> |
| ファイル名 |
ファイルの名前 |
File_Name=shdb.txt |
| ファイルバージョン |
ファイルのバージョン |
File_Version=20170314_01 |
| 更新 |
ファイル更新時間 |
Domain_Filter_File_Updated=2017年10月27日(金)10:56:42 |
| プロフィール |
プロファイル名 [設定済みの Web フィルター プロファイル名] |
プロファイル=profile_01 |
| テンプレート |
テンプレート名 [構成済みの DNS フィルター テンプレート名] |
テンプレート=template_01 |
| ドメイン |
ファイル内のドメインの数 |
ドメイン=12 |
| レポート専用ドメイン |
ファイル内のレポート専用ドメインの数 |
Report_Only_Domains=3 |
MX-SPC3 DNSフィルタリングの許可リストへの追加/変更ファイル更新のsyslog形式の例を次に示します。
Feb 25 14:36:47 curve junos-url-filter: JSERVICES_URLF_FILE_UPDATE_NOTICE: DNS_SR_FILE_UPDATE_NOTICE, Tag=, svc-set-name=s1, File_Name=test_dns_sink.txt, File_Version=20180911 01, Domain_Filter_File_Updated=Mon Feb 25 14:36:47 2019 Profile=DNS_CUSTOMER-A, Template=DNS_CUSTOMER-A, Domains=18, Report_Only_Domains=0
MS-MPCサービスカードを使用したDNSフィルタリングdisallow-listファイル変更のsyslog形式の例を次に示します。
Jan 23 13:34:34 cliq (FPC Slot 1, PIC Slot 1) 2018-01-23 21:34:33: {s1}[jservices-urlf]: JSERVICES_URLF_FILE_UPDATE_NOTICE: DNS_SR_FILE_UPDATE_NOTICE, File_Name=dnsf1_hashed.txt, File_Version=20170314_01, Domain_Filter_File_Updated=Tue Jan 23 13:34:34 2018 Profile=webf-prof-1, Template=dnsf-temp-1, Domains=4, Report_Only_Domains=1
DNS フィルタリング(要約)レポート統計情報の Syslog 形式
概要レポート統計情報のsyslog形式 統計情報は、次の形式でsyslogに報告されます。
MX-SPC3 次世代サービス DNS フィルタリングの概要レポート syslog メッセージの例を次に示します。
Feb 25 11:50:39 curve junos-url-filter: JSERVICES_URLF_REPORT_STATS: DNS_SR_REPORT_STATS, Tag=, svc-set-name=s1, TCP_DNS_Packets=0, TCP_DNS_Non_Segmented=0, TCP_DNS_Segmented=0, Count=1
以下は、MS-MPC サービス カードの DNS フィルタリングに関する概要レポートの syslog メッセージの例です。
Mar 8 12:20:41 iphone3gs (FPC Slot 5, PIC Slot 1) 2019-03-08 20:20:40: {ATT-Zone1}[jservices-urlf]: JSERVICES_URLF_REPORT_STATS: DNS_SR_REPORT_STATS, TCP_DNS_Packets=0, TCP_DNS_Non_Segmented=0, TCP_DNS_Segmented=0, Count=169
DNS フィルタリング、クライアント IP 単位の統計情報、Syslog 形式
表 5 は、MX-SPC3 DNS フィルタリングの syslog フィールドを示しています。これは、システムが認識するすべての既知のクライアント IP アドレスについて、PIC 単位、プロファイル単位で報告されます。
| フィールド名 |
形容 |
例 |
|---|---|---|
| タイム スタンプ |
ログエントリが生成された時刻 |
10月27日 10:04:17 |
| ルーター名 |
レコードを生成するルーターのホスト名 |
jnpr-router-01 |
| ログハンドル |
ログ・カテゴリーを識別するためのログ・ハンドル |
junos-url-filter |
| マッチ |
クライアントごとの IP 統計のログ |
JSERVICES_URLF_CLIENT_IP_STATS:DNS_SR_CLIENT_IP_STATS |
| タグ |
ログプレフィックス設定 |
タグ=<値> |
| svc-set-name |
サービスセット名 |
svc-set-name=<value> |
| クライアント-IP |
クライアントのIPアドレス |
クライアント-IP=10.1.1.1 |
| プロフィール |
プロファイル名 [設定済みの Web フィルター プロファイル名] |
プロファイル=profile_01 |
| テンプレート |
テンプレート名 [構成済みの DNS フィルター テンプレート名] |
テンプレート=template_01 |
| 用語 |
用語名 [設定されたDNSフィルター条件名] |
期間=term_01 |
| A_Req |
DNS A レコード要求の処理 |
A_Req=10 |
| AAAA_Req |
DNS AAAA レコード要求の処理 |
AAAA_Req=10 |
| MX_Req |
DNS MX レコード要求の処理 |
MX_Req=4 |
| CNAME_Req |
DNS CNAME-Record Requests Processed |
CNAME_Req=4 |
| SRV_Req |
DNS SRV レコード要求の処理 |
SRV_Req=4 |
| TXT_Req |
DNS TXT レコード要求の処理 |
TXT_Req=4 |
| ANY_Req |
DNS ANY-Record Requests Processed |
ANY_Req=4 |
| A_Req_SH |
DNS A-Recordリクエストのシンクホール |
A_Req_SH =5 |
| AAAA_Req_SH |
DNS AAAA-Record Requests sink-holed |
AAAA_Req_SH=5 |
| MX_Req_SH |
DNS MXレコード要求 Sink-holed |
MX_Req_SH=4 |
| CNAME_Req_SH |
DNS CNAME-Record Requests Sink-holed |
CNAME_Req_SH=4 |
| SRV_Req_SH |
DNS SRV レコード要求シンクホール |
SRV_Req_SH=4 |
| TXT_Req_SH |
DNS TXT レコード要求のシンクホール化 |
TXT_Req_SH=4 |
| ANY_Req_SH |
DNS ANY-Record Requests Sink-holed |
ANY_Req_SH=4 |
| Req_Rep |
報告された DNS 要求 |
Req_Rep=5 |
MX-SPC3 DNSフィルタリングのクライアントごとのIP統計の例を次に示します。
Feb 25 11:50:39 curve junos-url-filter: JSERVICES_URLF_CLIENT_IP_STATS: DNS_SR_CLIENT_IP_STATS, Tag=tag, svc-set-name=s1, Client-IP=10.2.2.3, Profile=webf-prof-1, Template=dnsf-temp-1, Term=dnsf-term-1, A_Req=0, AAAA_Req=0, MX_Req=0, CNAME_Req=0, SRV_Req=0, TXT_Req=0, ANY_Req=2, A_Req_SH=0, AAAA_Req_SH=0, MX_Req_SH=0, CNAME_Req_SH=0, SRV_Req_SH=0, TXT_Req_SH=0, ANY_Req_SH=0, Req_Rep=2
MS-MPC サービス カード上の DNS フィルタリング クライアント IP 統計情報の syslog メッセージの例を次に示します。
Mar 7 17:58:54 iphone3gs (FPC Slot 5, PIC Slot 3) 2019-03-08 01:58:54: {dns}[jservices-urlf]: JSERVICES_URLF_CLIENT_IP_STATS: DNS_SR_CLIENT_IP_STATS, Client-IP=2008:db8:2228:8001::1, Profile=dns-profile1, Template=dns1, Term=3, A_Req=19, AAAA_Req=19, MX_Req=0, CNAME_Req=0, SRV_Req=0, TXT_Req=0, ANY_Req=0, A_Req_SH=19, AAAA_Req_SH=19, MX_Req_SH=0, CNAME_Req_SH=0, SRV_Req_SH=0, TXT_Req_SH=0, ANY_Req_SH=0, Req_Rep=0