テナント システムのセキュリティ ログ
テナントシステムのセキュリティログには、システムのデータプレーンを制御するためのセキュリティイベントが含まれます。セキュリティ ログは、テナント システム インターフェイスから外部サーバーにバイナリ形式で送信されます。セキュリティ ログはテナント システムごとに生成されます。
テナントシステムのセキュリティログの理解
Junos OS は、システムの制御プレーンとデータ プレーンで発生する記録イベントに対して、個別のログ メッセージを生成します。データ プレーン ログ(セキュリティ ログとも呼ばれます)には、主にデータ プレーン内で処理されるセキュリティ イベントが含まれます。セキュリティ ログはテキストまたはバイナリ形式で保存でき、ローカルに保存することも(イベント モード)、外部サーバーに送信することもできます(ストリーム モード)。バイナリ形式はストリーム モードに必要であり、イベント モードでログ スペースを節約することをお勧めします。
テナントごとにセキュリティログを設定すると、テナントごとにセキュリティログが生成されます。
テナント システムのセキュリティ ログは、テナント システム インターフェイスから送信されます。割り当てられたルーティングインスタンスと、テナントシステム内のルーティングテーブルに属するインターフェイスを設定できます。
テナント システムのストリーム番号を設定する場合、セキュリティ プロファイルは、最大ポリシー数と予約済みポリシー数で定義する必要があります。一次管理者は、セキュリティー・プロファイルを使用してリソース割り当てを指定できます。
テナント システムが必要とするリソースが予約済み量を超える場合、利用可能で他のテナント システムに割り当てられない場合は、グローバルな最大量に設定されたリソースを利用できます。ストリーム番号の最大クォータは、テナント システムが使用できる空きグローバル リソースの部分を指定します。最大許容クォータは、セキュリティー・プロファイル内のリソースに指定された量が使用可能であることを保証しません。予約済みクォータにより、指定されたリソース量が常にテナント システムで使用可能になります。 表 1 は、ロギング ストリーム番号の容量の比較を示しています。
プラットフォーム |
テナント システム + 論理システムのロギング ストリーム番号容量 |
テナントシステムのロギングストリーム数クォータの予約 |
テナント システムの最大許容ストリーム数クォータ |
グローバルで許可される最大ストリーム数の割り当て |
SRX5400、SRX5600、SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100および4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
デバイスがテナントシステム用に設定されている場合、コンテキスト内で生成されるセキュリティログのログ名には、論理システムと同じ _LS サフィックスが付けられます。以下のセキュリティ ログは、テナント システム用に構成されたデバイスのRT_FLOW_SESSION_CLOSE_LS ログの属性を示しています。
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
上記の例では、セキュリティログには最初の属性として TSYS1 が含まれています。
Junos OS リリース 19.1R1 以降、各テナント システムでオンボックスのレポート設定がサポートされ、ログはこれらの設定に基づいて処理されます。 set security log report オンボックスレポートを有効にするには、 および set security log mode stream コマンドを設定します。ストリーム モードのオンボックス レポート機能は、テナント システムでもサポートされています。
システム ログ エクスプローラで Syslog メッセージを表示できます。
例:テナントシステムのセキュリティログの設定
この例では、テナント システムのセキュリティ ログを構成する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 18.3R1 以降のリリース。
開始する前に、以下を行います。
1 次論理システムと 2 つのテナント・システムのセキュリティー・プロファイルを使用してテナント・システムを構成する方法を理解する。図 1 を参照してください。
概要
SRX シリーズ ファイアウォールには、システム ログとセキュリティ ログという 2 種類のログがあります。システムは、コントロール プレーン イベント(たとえば、管理者がデバイスにログインする)を記録します。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。例えば、セキュリティポリシーがポリシーの違反により特定のトラフィックを拒否した場合などです。
2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。以下の手順では、オフボックス(ストリームモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。
オフボックスロギングでは、テナントシステムのセキュリティログがテナントシステムインターフェイスから送信されます。テナントシステムインターフェイスがすでにルーティングインスタンスで設定されている場合は、 階層で edit tenants tenant-name security log stream log-stream-name host を設定routing-instance routing-instance-nameします。インターフェイスがルーティングインスタンスで設定されていない場合、階層でset tenants tenant-name security log stream log-stream-name hostルーティングインスタンスを設定しないでください。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
手順
手順
以下の手順では、テナント システムのセキュリティ ログを構成する方法を指定します。
ログ ファイルのロギング モードと形式を指定します。オフボックスのストリームモードロギングの場合。
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
オフボックスセキュリティロギングでは、ログメッセージを生成したSRXシリーズファイアウォールを識別する送信元アドレスを指定します。送信元アドレスは必須です。
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
ルーティングインスタンスを指定し、インターフェイスを定義します。
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
テナント システムのルーティング インスタンスを定義します。インターフェイスがすでにルーティングインスタンスで設定されている場合は、 階層で
edit tenants tenant-name security log stream log-stream-name hostを設定routing-instance routing-instance-nameします。インターフェイスがルーティングインスタンスで設定されていない場合、階層でset tenants tenant-name security log stream log-stream-name hostルーティングインスタンスを設定しないでください。[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
デバイスのセキュリティログトランスポートプロトコルを指定します。
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
手順
手順
以下の手順では、テナント システムのセキュリティ プロファイルを構成する方法を指定します。
セキュリティプロファイルを設定し、最大ポリシーと予約済みポリシーの数を指定します。
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
設定したセキュリティプロファイルをTSYS1に割り当てます。
[edit ] user@host# set system security-profile p1 tenant TSYS1
結果
設定モードから、 、 、 show tenants TSYS1 security logコマンドを入力して設定をshow system security-profileshow tenants TSYS1 routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show tenants TSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream TN1_s {
format binary;
host {
1.3.54.22;
routing-instance TN1_ri;
}
}
[edit]
user@host# show tenants TSYS1 routing-instances
TN1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
tenant TSYS1;
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
セキュリティ ログの詳細出力の検証
目的
出力に、すべてのテナント システムのリソース情報が表示されていることを確認します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number tenant all 入力します。
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 0 0 8 TSYS1 p1 1 1 2
意味
出力には、テナント システムのリソース情報が表示されます。
テナント システムのオンボックス レポートについて
Junos OS リリース 19.1R1 以降、テナント システムのオンボックス レポート設定がサポートされ、ログはこれらの設定に基づいて処理されます。
ストリーム モードは、以下を含む一連のロギング サービスです。
オフボックス ロギング(SRX シリーズ)
オンボックスロギングおよびレポート(SRX1500、SRX4100、SRX4200、SRX4600シリーズ)
テナント システムごとの構成はオフボックス ロギングでサポートされ、ログはこれらの設定に基づいて処理されます。オフボックス ロギング用のテナント システム ログは、テナント システム インターフェイスからのみ生成できます。
オンボックス レポート メカニズムは、既存のロギング機能の拡張機能です。既存のロギング機能を変更して、システム トラフィック ログの収集、ログの分析、ログのレポートの生成を行います。オンボックスレポート機能は、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供することを目的としています。
および set security log mode stream コマンドをset security log report設定して、テナントシステムのデバイス上でオンボックスレポート機能を有効にします。ストリーム モードのオンボックス レポート機能は、テナント システムでもサポートされています。
オンボックスレポート機能は以下をサポートします。
要件に基づいてレポートを生成する。例えば、セッションの数またはボリューム、IDP、コンテンツセキュリティ、IPsec VPNなどのアクティビティに関するログのタイプ。
指定した時間範囲内のリアルタイム イベントをキャプチャします。
CLI で指定されたさまざまな条件に基づいて、すべてのネットワーク アクティビティを論理的で整理されたわかりやすい形式でキャプチャします。
テナント システムのオンボックス レポートの設定
SRX シリーズ ファイアウォールは、テナント システム ユーザー向けにさまざまなタイプのレポートをサポートします。
レポートは SRX シリーズ ファイアウォールにローカルに保存されるため、ログとレポートのストレージ用に個別のデバイスやツールを用意する必要はありません。オンボックスレポートは、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供します。
開始する前に、以下を行います。
テナント システムのセキュリティ ログを構成する方法を理解する。例: テナントシステムのセキュリティログの設定を参照してください。
テナントシステムのオンボックスレポートを設定するには:
デフォルトでは、 report オプションは無効になっています。
テナント システムのオンボックス およびオフボックス ロギングについて
SRX シリーズ デバイスには、システム ログとセキュリティ ログという 2 種類のログがあります。システムは、管理者がデバイスにログインするなど、コントロールプレーンイベントを記録します。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。例えば、セキュリティポリシーがポリシーの違反により特定のトラフィックを拒否した場合などです。
Junos OS リリース 19.2R1 以降、各テナント システムでオンボックス ロギング設定がサポートされ、ログはこれらの設定に基づいて処理されます。
2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。
ストリーム モードは、以下を含む一連のロギング サービスです。
オフボックス ロギング(SRX シリーズ)
オンボックス ロギング(SRX1500、SRX4100、SRX4200、SRX4600 シリーズ)
テナント システムごとの構成はオフボックス ロギングでサポートされ、ログはこれらの設定に基づいて処理されます。オフボックス ロギング用のテナント システム ログは、テナント システム インターフェイスからのみ生成できます。
階層レベルでログステートメントを使用して、 stream-modeの場合はバイナリ/syslog/sd-syslog/welf 形式で、イベントモードではバイナリ形式でセキュリティファイルを [set tenants TSYS1 security] 設定します。
テナント システムのセキュリティ ログ ファイル パスを設定することはできません。
バイナリ形式のログを使用したストリームモードでのオンボックスロギングの場合、 set security log stream stream-name file コマンドはテナントシステムごとに設定されています。ファイル名は .bin で終わる必要があります。例えば、テナント・システム TSYS1 での TSYS1_f1.bin 。新しいファイル TSYS1_f1.bin は 、/var/traffic-log/tenant-systems/TSYS1 ディレクトリに作成されます。
他の形式のログとストリーム モードを使用したオンボックス ロギングの set security log stream stream-name file 場合、 コマンドはテナント システムごとに設定されます。例えば、テナント・システム TSYS1 です。名前が設定された新しいファイルは /var/traffic-log/tenant-systems/TSYS1 ディレクトリに作成されます。
テナント システムのオンボックス バイナリ セキュリティ ログ ファイルの設定
SRX シリーズ デバイスは、システム ログとセキュリティ ログという 2 種類のログをサポートします。
2 種類のログが収集され、オンボックスまたはオフボックスで保存されます。次の手順では、テナント システムのオンボックス(イベント モードおよびストリームモード)ログのバイナリ形式でセキュリティ ログを構成する方法について説明します。
以下の手順では、イベント モード セキュリティ ロギングのバイナリ形式を指定し、テナント システムのログ ファイル名、パス、ログ ファイルの特性を定義します。
ログ ファイルのロギング モードと形式を指定します。オンボックスのイベントモードロギングの場合:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(オプション)ログファイル名を指定します。
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
メモ:セキュリティログファイル名は必須ではありません。セキュリティログファイル名が設定されていない場合、デフォルトではファイルbin_messagesは/var/logディレクトリに作成されます。
コマンドを入力して、設定を
show tenants TSYS1確認します。[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
以下の手順では、ストリームモードセキュリティロギングのバイナリ形式を指定し、テナントシステムのログファイル名とログファイルの特性を定義します。
ログ ファイルのロギング モードと形式を指定します。オンボックスの場合、ストリームモードのロギング:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(オプション)ログファイル名を指定します。
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
コマンドを入力して、設定を
show tenants TSYS1確認します。[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
テナント システムのオフボックス バイナリ セキュリティー ログ ファイルの設定
SRX シリーズ デバイスは、システム ログとセキュリティ ログという 2 種類のログをサポートします。
2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。以下の手順では、オフボックス(ストリームモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。
以下の手順では、ストリームモード セキュリティ ロギングのバイナリ形式を指定し、テナント システムのロギング モード、送信元アドレス、ホスト名の特性を定義します。
ログ ファイルのロギング モードと形式を指定します。オフボックスのストリームモードロギングの場合:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
オフボックス セキュリティ ロギングの送信元アドレスを指定します。
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
ホスト名を指定します。
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
コマンドを入力して、設定を
show tenants TSYS1確認します。[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }