テナントシステムのセキュリティログ
テナントシステムのセキュリティログには、システムのデータプレーンを制御するためのセキュリティイベントが含まれます。セキュリティログは、テナントシステムインターフェイスから外部サーバーにバイナリ形式で送信されます。セキュリティログは、テナントシステムごとに生成されます。
テナントシステムのセキュリティログの理解
Junos OSは、システムのコントロールプレーンとデータプレーンで発生するイベントを記録するために個別のログメッセージを生成します。データプレーンログは、セキュリティログとも呼ばれ、主にデータプレーン内で処理されるセキュリティイベントが含まれます。セキュリティログは、テキスト形式またはバイナリ形式で、ローカルに保存したり(イベントモード)、外部サーバーに送信したり(ストリームモード)することができます。バイナリ形式はストリーム モードで必要であり、イベント モードでログ領域を節約するために推奨されます。
テナントごとにセキュリティログを設定すると、セキュリティログはテナントごとに生成されます。
テナントシステムのセキュリティログは、テナントシステムインターフェイスから送信されます。割り当てられたルーティングインスタンスと、テナントシステム内のルーティングテーブルに属するインターフェイスを設定することができます。
セキュリティプロファイルは、テナントシステムのストリーム番号を設定する際に、最大ポリシーと予約ポリシーの数で定義する必要があります。プライマリ管理者は、セキュリティプロファイルを使用してリソース割り当てを指定できます。
テナントシステムが予約された量よりも多くのリソースを必要とする場合、利用可能なリソースがあり、他のテナントシステムに割り当てられていなければ、グローバル最大量に設定されたリソースを活用できます。ストリーム数の最大許容クォータは、テナントシステムが使用できる無料のグローバルリソースの部分を指定します。許可される最大クォータは、セキュリティプロファイルのリソースに指定された量が利用可能であることを保証するものではありません。予約されたクォータにより、指定されたリソース量をテナントシステムで常に利用できるようになります。 表1 は、ログストリーム数の容量を比較したものです。
プラットフォーム |
テナントシステム+論理システムのストリーム番号容量のロギング |
テナントシステムの予約済みログストリーム数クォータ |
テナントシステムに許可される最大ストリーム数クォータ |
グローバルに許可される最大ストリーム数クォータ |
SRX5400、SRX5600、SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100および4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
デバイスがテナントシステム用に設定されている場合、コンテキスト内で生成されたセキュリティログのログ名には、論理システムと同じ _LS サフィックスが付います。以下のセキュリティログは、テナントシステム用に設定されたデバイスのRT_FLOW_SESSION_CLOSE_LSログの属性を示しています。
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
上記の例では、セキュリティログに最初の属性として TSYS1 が含まれています。
Junos OS リリース 19.1R1 以降、各テナント システムでオンボックス レポート構成がサポートされ、ログはこれらの構成に基づいて処理されます。 set security log report および set security log mode stream コマンドを設定して、オンボックスレポートを有効にします。ストリームモードによるオンボックスレポート機能は、テナントシステムでもサポートされています。
システムログエクスプローラでSyslogメッセージを表示できます。
例:テナントシステムのセキュリティログを設定する
この例では、テナントシステムのセキュリティログを設定する方法を示しています。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OSリリース18.3R1以降のリリース。
始める前に:
プライマリ論理システムと2つのテナントシステムのセキュリティプロファイルを使用してテナントシステムを設定する方法を理解します。 例:テナントシステム、テナントシステム管理者、および相互接続VPLSスイッチの作成を参照してください。
概要
SRXシリーズファイアウォールには、システムログとセキュリティログの2種類のログがあります。システムログは、デバイスへの管理者ログインなどのコントロールプレーンイベントを記録します。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。たとえば、ポリシーの違反によりセキュリティポリシーが特定のトラフィックを拒否した場合などです。
この2種類のログは、オンボックスまたはオフボックスのどちらでも収集して保存できます。以下の手順では、オフボックス(ストリームモード)ログ用にセキュリティログをバイナリ形式で設定する方法について説明します。
オフボックスログでは、テナントシステムのセキュリティログがテナントシステムインターフェイスから送信されます。テナントシステムインターフェイスがすでにルーティングインスタンスで設定されている場合は、edit tenants tenant-name security log stream log-stream-name host階層でrouting-instance routing-instance-nameを設定します。インターフェイスがルーティングインスタンスで設定されていない場合、ルーティングインスタンスはset tenants tenant-name security log stream log-stream-name host階層で設定しないでください。
設定
CLIクイックコンフィグレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
手順
ステップバイステップの手順
以下の手順では、テナントシステムのセキュリティログを設定する方法を指定します。
ログ ファイルのログ モードと形式を指定します。オフボックス、ストリームモードロギング用。
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
オフボックスセキュリティログの場合は、ログメッセージを生成したSRXシリーズファイアウォールを識別する送信元アドレスを指定します。送信元アドレスは必須です。
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
ルーティングインスタンスを指定し、インターフェイスを定義します。
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
テナントシステムのルーティングインスタンスを定義します。インターフェイスがすでにルーティングインスタンスで設定されている場合は、
edit tenants tenant-name security log stream log-stream-name host階層でrouting-instance routing-instance-nameを設定します。インターフェイスがルーティングインスタンスで設定されていない場合、ルーティングインスタンスは階層set tenants tenant-name security log stream log-stream-name host設定しないでください。[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
デバイスのセキュリティログトランスポートプロトコルを指定します。
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
手順
ステップバイステップの手順
以下の手順では、テナントシステムのセキュリティプロファイルを設定する方法を指定します。
セキュリティプロファイルを設定し、最大ポリシーと予約ポリシーの数を指定します。
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
構成済みのセキュリティー・プロファイルを TSYS1 に割り当てます。
[edit ] user@host# set system security-profile p1 tenant TSYS1
結果
設定モードから、 show system security-profile、 show tenants TSYS1 security log、 show tenants TSYS1 routing-instances コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show tenants TSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream TN1_s {
format binary;
host {
1.3.54.22;
routing-instance TN1_ri;
}
}
[edit]
user@host# show tenants TSYS1 routing-instances
TN1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
tenant TSYS1;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
セキュリティログの詳細な出力の検証
目的
出力にすべてのテナントシステムのリソース情報が表示されていることを確認します。
アクション
動作モードから、 show system security-profile security-log-stream-number tenant all コマンドを入力します。
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 0 0 8 TSYS1 p1 1 1 2
意味
出力には、テナントシステムのリソース情報が表示されます。
テナントシステムのオンボックスレポートについて
Junos OSリリース19.1R1以降、テナントシステムでオンボックスレポート設定がサポートされ、ログはこれらの設定に基づいて処理されます。
ストリームモードは、以下を含む一連のロギングサービスです。
オフボックスログ(SRXシリーズ)
オンボックス ロギングとレポート(SRX1500、SRX4100、SRX4200、SRX4600 シリーズ)
オフボックスログではテナントごとのシステム設定がサポートされており、ログはこれらの設定に基づいて処理されます。オフボックスログ用のテナントシステムログは、テナントシステムインターフェイスからのみ生成できます。
オンボックスレポートメカニズムは、既存のロギング機能を強化したものです。既存のロギング機能は、システムトラフィックログを収集し、ログを分析し、これらのログのレポートを生成するように変更されています。オンボックスレポート機能は、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供することを目的としています。
set security log reportおよびset security log mode streamコマンドを設定して、テナントシステムのデバイスでオンボックスレポート機能を有効にします。ストリームモードによるオンボックスレポート機能は、テナントシステムでもサポートされています。
オンボックスレポート機能では、以下がサポートされます。
要件に基づいたレポートを生成します。例:セッションのカウントまたはボリューム、IDP、コンテンツセキュリティ、IPsec VPNなどのアクティビティのログタイプ。
指定した時間範囲内のリアルタイムイベントをキャプチャする。
CLIで指定したさまざまな条件に基づいて、すべてのネットワークアクティビティを、論理的で整理された、わかりやすい形式でキャプチャします。
テナントシステムのオンボックスレポートの設定
SRXシリーズファイアウォールは、テナントシステムユーザー向けにさまざまなタイプのレポートをサポートしています。
レポートはSRXシリーズファイアウォールにローカルに保存され、ログとレポートを保存するために個別のデバイスやツールは必要ありません。オンボックスレポートは、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供します。
始める前に:
テナントシステムのセキュリティログを設定する方法を理解します。例:テナントシステムのセキュリティログの設定を参照してください。
テナントシステムのオンボックスレポートを設定するには:
デフォルトでは、 report オプションは無効になっています。
テナント システムのオンボックス ログとオフボックス ログについて
SRXシリーズデバイスには、システムログとセキュリティログの2種類のログがあります。システムログは、デバイスへの管理者ログインなどのコントロールプレーンのイベントを記録します。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。たとえば、ポリシーの違反によりセキュリティポリシーが特定のトラフィックを拒否した場合などです。
Junos OSリリース19.2R1以降、各テナントシステムでオンボックスログ設定がサポートされ、ログはこれらの設定に基づいて処理されます。
この2種類のログは、オンボックスまたはオフボックスのどちらでも収集して保存できます。
ストリームモードは、以下を含む一連のロギングサービスです。
オフボックスログ(SRXシリーズ)
オンボックス ロギング(SRX1500、SRX4100、SRX4200、SRX4600 シリーズ)
オフボックスログではテナントごとのシステム設定がサポートされており、ログはこれらの設定に基づいて処理されます。オフボックスログ用のテナントシステムログは、テナントシステムインターフェイスからのみ生成できます。
[set tenants TSYS1 security]階層レベルのlogステートメントを使用して、ストリームモードはバイナリ/syslog/sd-syslog/welf形式、イベントモードはバイナリ形式でセキュリティファイルを設定します。
テナントシステムのセキュリティログファイルパスは設定できません。
バイナリ形式のログを使用したストリームモードを使用したオンボックスログでは、 set security log stream stream-name file コマンドはテナントシステムごとに設定されます。ファイル名の末尾は .binでなければなりません。例えば、テナントシステムTSYS1の TSYS1_f1.bin です。新しいファイル TSYS1_f1.bin が /var/traffic-log/tenant-systems/TSYS1 ディレクトリに作成されます。
他のフォーマットのログを使用したストリームモードによるオンボックスログの場合、 set security log stream stream-name file コマンドはテナントシステムごとに設定されます。例えば、テナントシステムTSYS1です。設定された名前の新しいファイルが /var/traffic-log/tenant-systems/TSYS1 ディレクトリに作成されます。
テナントシステム用オンボックスバイナリセキュリティログファイルの設定
SRXシリーズデバイスは、システムログとセキュリティログの2種類のログをサポートしています。
この2種類のログは、オンボックスまたはオフボックスで収集および保存されます。次の手順では、テナントシステムのオンボックス(イベントモードおよびストリームモード)ログ用にセキュリティログをバイナリ形式で設定する方法について説明します。
以下の手順では、イベントモードセキュリティロギングのバイナリ形式を指定し、テナントシステムのログファイル名、パス、ログファイルの特性を定義します。
ログ ファイルのログ モードと形式を指定します。オンボックス、イベントモードロギングの場合:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(オプション)ログファイル名を指定します。
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
注:セキュリティログファイル名は必須ではありません。セキュリティログファイル名が設定されていない場合、デフォルトではファイルbin_messagesが/var/logディレクトリに作成されます。
show tenants TSYS1コマンドを入力して、設定を確認します。[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
以下の手順では、ストリームモードセキュリティロギングのバイナリフォーマットを指定し、テナントシステムのログファイル名とログファイルの特性を定義します。
ログ ファイルのログ モードと形式を指定します。オンボックス、ストリームモードロギングの場合:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(オプション)ログファイル名を指定します。
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
show tenants TSYS1コマンドを入力して、設定を確認します。[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
テナントシステム用のオフボックスバイナリセキュリティログファイルの設定
SRXシリーズデバイスは、システムログとセキュリティログの2種類のログをサポートしています。
この2種類のログは、オンボックスまたはオフボックスのどちらでも収集して保存できます。以下の手順では、オフボックス(ストリームモード)ログ用にセキュリティログをバイナリ形式で設定する方法について説明します。
以下の手順では、ストリームモードセキュリティロギングのバイナリフォーマットを指定し、テナントシステムのロギングモード、送信元アドレス、ホスト名の特性を定義します。
ログ ファイルのログ モードと形式を指定します。オフボックス、ストリームモードロギングの場合:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
オフボックスセキュリティロギングの送信元アドレスを指定します。
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
ホスト名を指定します。
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
show tenants TSYS1コマンドを入力して、設定を確認します。[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。