Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

論理システムのトラブルシューティング

以下の機能を使用して、論理システムを監視し、ソフトウェアの問題をトラブルシューティングします。詳細については、以下のトピックを参照してください。

セキュリティ ログと論理システムについて

セキュリティログとは、セキュリティイベントを含むシステムログメッセージです。デバイスが論理システム用に設定されている場合、論理システムのコンテキスト内で生成されたセキュリティログは、名前 logname_LS ( IDP_ATTACK_LOG_EVENT_LSなど)を使用します。ログの論理システムバージョンは、論理システムに設定されていないデバイスのログと同じ属性セットを持っています。論理システム ログには、最初の属性として logical-system-name が含まれています。

以下のセキュリティログは、論理システムに設定 されていない デバイスのIDP_ATTACK_LOG_EVENTログの属性を示しています。

以下のセキュリティログは、論理システム用に設定されたデバイスのIDP_ATTACK_LOG_EVENT_LSログの属性を示しています(論理システム名が最初の属性であることに注意してください)。

デバイスが論理システム用に設定されている場合、ログ名に _LS サフィックスが含まれており、論理システムごとにログを分離するために論理システム名属性を使用できるため、ログ解析スクリプトを変更する必要があります。

デバイスが論理システム用に設定されていない場合、セキュリティ ログは変更されず、ログを解析するように構築されたスクリプトは変更する必要はありません。

メモ:

[edit security log] 階層レベルでログを設定できるのは、プライマリ管理者だけです。ユーザー論理システム管理者は、論理システムのロギングを設定できません。

ストリーム モードは、以下を含む一連のロギング サービスです。

  • オフボックス ロギング(SRX シリーズ)

  • オンボックスロギングおよびレポート(SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、SRX1500、SRX4100、SRX4200、SRX4600シリーズ)

論理システムごとの設定はオフボックス ロギングでサポートされ、ログはこれらの設定に基づいて処理されます。以前は、ユーザー論理システムログはルート論理システムから生成されていました。オフボックス ロギングの場合、論理システム ログは論理システム インターフェイスからしか生成できません。

制限

各SPUは、Junos OS 18.2R1リリースのSRX5400、SRX5600、およびSRX5800デバイス上のクラスタのスタンドアロンおよび500の接続に対して最大1000の接続のみをサポートできます。すべての接続が使用されている場合、ユーザー論理システムの一部の接続が確立されない可能性があります。

メモ:

エラーメッセージは 、システムログエクスプローラでキャプチャされます。

論理システムのオンボックス レポートの設定

SRX シリーズ ファイアウォールは、論理システム ユーザー向けにさまざまなタイプのレポートをサポートします。

レポートは SRX シリーズ ファイアウォールにローカルに保存されるため、ログとレポートのストレージ用に個別のデバイスやツールを用意する必要はありません。オンボックスレポートは、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供します。

開始する前に、以下を行います。

  • 論理システムにセキュリティ ログを設定する方法を理解する。例: 論理システムのセキュリティログの設定を参照してください。

論理システムのオンボックスレポートを設定するには:

  1. 論理システム名を LSYS1 として定義します。
  2. テナント システムごとにセキュリティ ログ内にレポートを作成します。
  3. コマンドを入力して、設定を show logical-systems LSYS1 確認します。
メモ:

デフォルトでは、 report オプションは無効になっています。コマンドは set logical-systems LSYS1 security log mode stream デフォルトで有効になっています。

例:論理システムのセキュリティログの設定

この例では、論理システムのセキュリティログを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォール。

  • Junos OS リリース 18.3R1 以降のリリース。

開始する前に、以下を行います。

概要

SRX シリーズ ファイアウォールには、システム ログとセキュリティ ログという 2 種類のログがあります。システムは、コントロール プレーン イベント(たとえば、管理者がデバイスにログインする)を記録します。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。例えば、セキュリティポリシーがポリシーの違反により特定のトラフィックを拒否した場合などです。

2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。以下の手順では、オフボックス(ストリームモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。

オフボックスロギングでは、論理システムのセキュリティログが論理システムインターフェイスから送信されます。論理システム インターフェイスがすでにルーティング インスタンスで設定されている場合は、 階層で edit logical-systems logical-system-name security log stream log-stream-name host を設定routing-instance routing-instance-nameします。インターフェイスがルーティングインスタンスで設定されていない場合、階層でedit logical-systems logical-system-name security log stream log-stream-name hostルーティングインスタンスを設定しないでください。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

手順

以下の手順では、論理システムのセキュリティログを設定する方法を指定します。

  1. ログ ファイルのロギング モードと形式を指定します。オフボックスのストリームモードロギングの場合。

  2. オフボックスセキュリティロギングでは、ログメッセージを生成したSRXシリーズファイアウォールを識別する送信元アドレスを指定します。送信元アドレスは必須です。

  3. ルーティングインスタンスを指定し、インターフェイスを定義します。

  4. 論理システムのルーティング インスタンスを定義します。

  5. デバイスのセキュリティログトランスポートプロトコルを指定します。

手順

手順

以下の手順では、論理システムのセキュリティプロファイルを設定する方法を指定します。

  1. セキュリティプロファイルを設定し、最大ポリシーと予約済みポリシーの数を指定します。

  2. 設定したセキュリティプロファイルをTSYS1に割り当てます。

結果

設定モードから、 、 、 show logical-systems LSYS1 security logコマンドを入力して設定をshow system security-profileshow logical-systems LSYS1 routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

セキュリティ ログの詳細出力の検証

目的

出力に、すべての論理システムのリソース情報が表示されていることを確認します。

アクション

動作モードから、 コマンドを show system security-profile security-log-stream-number tenant all 入力します。

意味

出力には、論理システムのリソース情報が表示されます。

論理システム用のオンボックスバイナリセキュリティログファイルの設定

SRX シリーズ デバイスは、システム ログとセキュリティ ログという 2 種類のログをサポートします。

2 種類のログが収集され、オンボックスまたはオフボックスで保存されます。以下の手順では、論理システムのオンボックス(イベントモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。

以下の手順では、イベントモードセキュリティロギングのバイナリ形式を指定し、論理システムのログファイル名、パス、ログファイルの特性を定義します。

  1. ログ ファイルのロギング モードと形式を指定します。オンボックスのイベントモードロギングの場合:

  2. (オプション)ログファイル名を指定します。

    メモ:

    セキュリティログファイル名は必須ではありません。セキュリティログファイル名が設定されていない場合、デフォルトではファイルbin_messagesは/var/logディレクトリに作成されます。

  3. コマンドを入力して、設定を show logical-systems LSYS1 確認します。

以下の手順では、ストリームモードセキュリティロギングのバイナリ形式を指定し、論理システムのログファイル名とログファイルの特性を定義します。

  1. ログ ファイルのロギング モードと形式を指定します。オンボックスの場合、ストリームモードのロギング:

  2. (オプション)ログファイル名を指定します。

  3. コマンドを入力して、設定を show logical-systems LSYS1 確認します。

論理システム用のオフボックスバイナリセキュリティログファイルの設定

SRX シリーズ デバイスは、システム ログとセキュリティ ログという 2 種類のログをサポートします。

2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。以下の手順では、オフボックス(ストリームモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。

以下の手順では、ストリームモードセキュリティロギングのバイナリ形式を指定し、論理システムのロギングモード、送信元アドレス、およびホスト名の特性を定義します。

  1. ログ ファイルのロギング モードと形式を指定します。オフボックスのストリームモードロギングの場合:

  2. オフボックス セキュリティ ロギングの送信元アドレスを指定します。

  3. ホスト名を指定します。

  4. コマンドを入力して、設定を show logical-systems LSYS1 確認します。

論理システムのデータ パス デバッグについて

データ・パス・デバッグは、パケット処理パスに沿った複数の処理ユニットでのトレースとデバッグを提供します。データ・パス・デバッグは、論理システム間のトラフィックに対して実行することもできます。

メモ:

[セキュリティデータパスのデバッグを編集]レベルで論理システムのデータパスデバッグを設定できるのは、プライマリ管理者だけです。ユーザー論理システム管理者は、論理システムのデータ・パス・デバッグを構成できません。

エンドツーエンドのイベントトレースは、パケットがデバイスに入ったときからデバイスを離れた時までパケットのパスを追跡します。一次管理者がエンドツーエンドのイベント・トレースを構成すると、トレース出力には論理システム情報が含まれます。

プライマリ管理者は、論理システム間のトラフィックのトレースを設定することもできます。トレース出力は、論理システム間で論理トンネルを出入りするトラフィックを示しています。 トレース順序の保存 オプションが設定されている場合、トレース メッセージは時系列でソートされます。トレースアクションに加えて、論理システム間のトラフィックに対して、パケットダンプやパケット概要などのその他のアクションを設定することもできます。

データ・パス・デバッグは、SRX1400、SRX3400、SRX3600、SRX5400、SRX5600、およびSRX5800でサポートされています。

論理システムのトレースの実行(プライマリ管理者のみ)

メモ:

ルート・レベルで論理システムのデータ・パス・デバッグを構成できるのは、1 次管理者だけです。

トレースまたはパケット キャプチャのアクション プロファイルを設定するには、

  1. イベント・タイプとトレース・アクションを指定します。イベント・タイプとトレース・アクションの任意の組み合わせを指定できます。例えば、以下のステートメントは、各イベント・タイプに対して複数のトレース・アクションを構成します。
  2. アクションプロファイルオプションを指定します。
  3. パケット フィルター オプションを設定します。

論理システムのトレース メッセージをキャプチャするには、

  1. トレース キャプチャ ファイルを設定します。

  2. 動作モードでキャプチャされたトレースを表示します。

  3. ログを消去します。

論理システムのパケット キャプチャを実行するには、

  1. パケット キャプチャ ファイルを設定します。

  2. 運用モードに入って、パケット キャプチャを開始してから停止します。

    メモ:

    パケット キャプチャ ファイルは、tcpdump または libpcap 形式を認識するパケット アナライザを使用して、オフラインで開いて分析できます。また、FTPまたはSession Control Protocol(SCP)を使用して、パケットキャプチャファイルを外部デバイスに転送することもできます。

  3. 設定モードからのパケット キャプチャを無効にします。

    メモ:

    分析用にファイルを開いたり、FTPまたはSCPで外部デバイスにファイルを転送したりする前に、パケットキャプチャを無効にします。パケット キャプチャを無効にすると、内部ファイル バッファがフラッシュされ、キャプチャされたすべてのパケットがファイルに書き込まれます。

  4. パケット キャプチャを表示します。

    • tcpdumpユーティリティでパケットキャプチャを表示するには::

    • CLI 動作モードからパケット キャプチャを表示するには、次の手順に従います。

論理システム セキュリティ ポリシーにおける DNS 名解決のトラブルシューティング(プライマリ管理者のみ)

問題

説明

セキュリティー ポリシーで使用されているアドレス帳エントリー内のホスト名のアドレスが正しく解決されない場合があります。

原因

通常、SRXシリーズファイアウォールでは、動的ホスト名を含むアドレス帳エントリーが自動的に更新されます。DNS エントリーに関連付けられた TTL フィールドは、ポリシー キャッシュでエントリを更新する時間を示します。TTL 値が期限切れになると、SRX シリーズ ファイアウォールはアドレス帳エントリーの DNS エントリーを自動的に更新します。

ただし、SRXシリーズファイアウォールがDNSサーバーから応答を取得できない場合(例えば、ネットワークでDNSリクエストや応答パケットが失われたり、DNSサーバーが応答を送信できない場合)、アドレス帳エントリー内のホスト名のアドレスが正しく解決できない場合があります。これにより、セキュリティポリシーやセッションの一致が見つからない場合、トラフィックがドロップする可能性があります。

ソリューション

プライマリ管理者は、 コマンドを show security dns-cache 使用して、SRXシリーズファイアウォールのDNSキャッシュ情報を表示できます。DNS キャッシュ情報を更新する必要がある場合は、プライマリ管理者が コマンドを clear security dns-cache 使用できます。

メモ:

これらのコマンドは、論理システム用に設定されたデバイス上のプライマリ管理者のみが使用できます。このコマンドは、ユーザー論理システムや論理システム用に設定されていないデバイスでは使用できません。