Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

TLS経由でSyslogを設定する

トランスポート層セキュリティ(TLS)プロトコルを介してシステムログメッセージ(syslogメッセージとも呼ばれます)を安全に転送するようにデバイスを設定する方法をご覧ください。

コントロールプレーンのログ

コントロールプレーンログは、システムログとも呼ばれ、ルーティングプラットフォームで発生するイベントを含みます。システムはコントロールプレーンイベントをルーティングエンジン上のイベントドプロセスに送信し、その後、Junos OSポリシーを使用するか、システムログメッセージを生成するか、またはその両方を実行してイベントを処理します。コントロールプレーンログをファイル、ユーザー端末、ルーティングプラットフォームコンソール、またはリモートマシンのいずれかに送信することを選択できます。コントロールプレーンログを生成するには、 [system]階層レベルで syslogステートメントを使用します。

例:TLS経由でSyslogを設定する

この例では、syslogメッセージ(コントロールプレーンログ)をTLS経由で安全に転送するようにジュニパーネットワークスデバイスを設定する方法を示しています。

要件

この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

  • Junos OS リリース 21.2R1 以降

  • Junos OS Evolvedリリース23.4R1以降

  • Junos OSまたはJunos OS Evolvedを実行しているデバイス(syslogクライアント)

  • Syslogサーバー

概要

TLSプロトコルを使用して、syslogクライアントからsyslogサーバーにシステムログメッセージ(コントロールプレーンログ)を安全に転送できるようにします。TLSは証明書を使用して通信を認証し、暗号化します。

TLS上のSyslogは、RFC 5425で定義されたエンドエンティティ証明書ベースの承認ポリシーをサポートしますが、サブジェクト名の承認ポリシーはサポートしていません。

  • サーバー認証(または一方向TLS)—クライアントはサーバーのIDを検証し、サーバーを信頼します。
  • 相互認証—サーバーとクライアントの両方が互いを信頼します。

ネットワークに応じて、サーバー認証または相互認証のいずれかを選択できます。必要な情報にすばやくアクセスするには、 表 1 のリンクをクリックします。

表1:TLS認証モード

認証モード

手順

情報が配置されているセクション

サーバー認証

PKIを設定する

デバイスの設定

サーバー認証

設定

次の例では、TLSプロトコルを使用して、syslogメッセージ(コントロールプレーンログ)をジュニパーデバイスからリモートsyslogサーバーに安全に転送します。図1は、この例で使用されている基本的なトポロジーを示しています。

図1:Syslog over TLS Network diagram showing a Certificate Authority issuing certificates to a Juniper device at IP 10.102.70.224 and Syslog server at IP 10.102.70.223 with mutual authentication and TLS transmission of Syslog messages.

デバイスでPKIを設定するについては、「 Junos OSでPKIを設定する」を参照してください。

デバイスでサーバー認証を構成する
ステップバイステップの手順

次の手順では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

デバイスを設定するには:

  1. システムログメッセージを受信するsyslogサーバーを指定します。syslogサーバーのIPアドレスまたは完全修飾ホスト名を指定できます。この例では、syslogサーバーのIPアドレスとして10.102.70.233を使用します。

  2. syslogサーバーのポート番号を指定します。

  3. デバイスのsyslogトランスポートプロトコルを指定します。この例では、TLSをトランスポートプロトコルとして使用します。

  4. 信頼できる認証機関(CA)グループの名前を指定するか、使用するCAプロファイルの名前を指定します。この例では、example-caをCAプロファイルとしてCAとして使用します。

  5. すべてのログメッセージを送信するようにデバイスを構成します。

  6. 設定をコミットします。

結果

設定モードで、 show system syslog コマンドを使用して設定を確認します。

検証

設定が正常に機能していることを確認するには、syslogサーバーで show log コマンドを入力します。

関連項目

データプレーンログ

データプレーンログは、セキュリティログとも呼ばれ、データプレーン内で処理されるセキュリティイベントが含まれます。セキュリティログはテキスト形式またはバイナリ形式にすることができ、ローカルに保存するか(イベントモード)、ログを外部サーバーに送信するようにデバイスを設定できます(ストリームモード)。ストリームモードにはバイナリ形式が必要です。イベントモードでログ領域を節約するために、バイナリ形式をお勧めします。

例:SRXシリーズファイアウォールでTLS syslogプロトコルを設定する

この例では、SRXシリーズファイアウォールでトランスポート層セキュリティ(TLS)syslogプロトコルを設定し、TLS syslogイベント転送をサポートするネットワークデバイスから暗号化されたsyslogイベントを受信する方法を示します。

要件

開始する前に、サーバー証明書の検証と暗号化または復号化機能を有効にします。

概要

TLS syslogプロトコルを使用すると、ログソースは、TLS syslogイベント転送をサポートするネットワークデバイスから暗号化されたsyslogイベントを受信できます。ログソースは、受信するTLS syslogイベントのリッスンポートを作成し、ネットワークデバイスの証明書ファイルを生成します。

この例では、1つのSSL-Iプロファイルに関連付けられたsyslogコレクタを設定します。各SSL-Iプロファイルで、ユーザーは優先暗号スイートや信頼できるCA証明書などを指定できます。複数のSSL-Iプロファイルを設定し、プロファイルを異なるコレクターサーバーに関連付けることができます。

設定

手順
CLIクイックコンフィグレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップの手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。

TLS syslogプロトコルを設定するには:

  1. ログモードをストリーミングに設定します。

  2. リモートセキュリティメッセージログ用の構造化システムログ(sd-syslog)形式を指定します。

  3. ホスト送信元インターフェイス番号を設定します。

  4. データのログ記録に使用するセキュリティログトランスポートプロトコルとしてTLSを指定します。

  5. TLSプロファイル名を指定します。

  6. サーバー1にログを送信するにに構造化syslog形式を使用するようにログストリームを設定します。

  7. サーバー1のログのカテゴリをすべてに設定します。

  8. サーバー名またはIPアドレスを入力して、サーバーホストパラメーターを指定します。

  9. SSL開始アクセスプロファイルのプロトコルバージョン all を定義します。

  10. ピアから証明書を要求するときに使用するSSL開始プロファイルに、すべてのCAプロファイルグループをアタッチします。

  11. サーバーの認証失敗を無視するようにSSL開始アクセスプロファイルを設定します。

結果

設定モードで、 show security log コマンドを使用して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するために、syslogサーバーで show log コマンドを入力します。