セキュリティ デバイスのシステム ロギングの設定
セキュリティ デバイスのシステム ロギングについて
Junos OSは、システムログメッセージ( syslogメッセージとも呼ばれます)の設定と監視をサポートしています。ファイルを設定してシステム メッセージをログに記録し、重大度レベルなどの属性をメッセージに割り当てることもできます。再起動要求がシステムログファイルに記録され、 コマンドで show log 表示できます。
このセクションには、以下のトピックが含まれています。
制御プレーンとデータ プレーンのログ
Junos OS は、システムの制御プレーンとデータ プレーンで発生する記録イベントに対して、個別のログ メッセージを生成します。
制御プレーンのログ(システム ログとも呼ばれます)には、ルーティング プラットフォームで発生するイベントが含まれます。システムは、コントロールプレーンイベントを
eventdルーティングエンジン上のプロセスに送信し、Junos OSポリシーを使用して、システムログメッセージまたはその両方を生成することでイベントを処理します。コントロール プレーン ログをファイル、ユーザー端末、ルーティング プラットフォーム コンソール、リモート マシンに送信することを選択できます。制御プレーンのログを生成するには、 階層レベルで ステートメントを[system]使用syslogします。データ プレーン ログ( セキュリティ ログとも呼ばれます)には、主にデータ プレーン内で処理されるセキュリティ イベントが含まれます。セキュリティ ログはテキストまたはバイナリ形式で保存でき、ローカルに保存することも(イベント モード)、外部サーバーに送信することもできます(ストリーム モード)。2 進形式はストリーム・モードに必要であり、イベント・モードでログ・スペースを節約することを推奨します。
以下の点に注意してください。
セキュリティ ログはローカル(オン ボックス)または外部(オフボックス)に保存できますが、両方を保存することはできません。
SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 のデバイスは、デフォルトでストリーミング モードになります。バイナリ形式と外部サーバーを指定するには、 オフボックスバイナリセキュリティログファイルの設定を参照してください。
注:これらのデバイスでイベント モード ロギングを構成すると、ログがドロップされることがあります。
Junos OS リリース 15.1X49-D100 以降、SRX1500 デバイスのデフォルト モードはストリーム モードです。Junos OS リリース 15.1X49-D100 以前は、SRX1500 デバイスのデフォルト モードはイベント モードでした。
Junos OSリリース18.4R1とは別に、 Junos OS リリース 18.3R3 以降の他のすべてのリリースでは、18,4R2、19.1、19.2R1 は、SRX300、SRX320、SRX340、SRX345、SRX550、SRX550M デバイスのデフォルト ロギング モードです。データ プレーン イベントは、コントロール プレーン イベントと同様の方法でシステム ログ ファイルに書き込まれます。セキュリティログのバイナリ形式を指定するには、 オフボックスバイナリセキュリティログファイルの設定を参照してください。
Junos OS リリース 20.2R1 以降、解析エラーを回避するために、ストリーム ログ転送およびオンボックス レポートでエスケープをサポートしています。ストリーム モードでは、処理にログが送信されない場合の、および
binary形式でのsd-syslogエスケープをeventdサポートします。プロセスに送信されるeventdログでは、プロセスが構造体ログのeventdエスケープをescape有効にしているとして、オプションを有効にしないことをお勧めします。イベント・モードは、フォーマットでのみエスケープをbinaryサポートします。デフォルトでは、escapeオプションは無効になっています。コマンドを使用して オプションをescapeset security log escape有効にする必要があります。
冗長システム ログ サーバー
リモートサーバー向けのセキュリティシステムロギングトラフィックは、2つの同時システムログ宛先をサポートするネットワークインターフェイスポートを介して送信されます。各システム ロギング宛先は、個別に設定する必要があります。2 つのシステム ログ宛先アドレスが設定されている場合、同一のログが両方の宛先に送信されます。機能をサポートする任意のデバイスで 2 つの宛先を設定できますが、2 つ目の宛先を追加することは、主にスタンドアロンおよびアクティブ/バックアップに設定された シャーシ クラスタ の導入における冗長バックアップとして便利です。
以下の冗長サーバー情報を利用できます。
施設:
cron説明:cron スケジューリング プロセス
重大度レベル(重大度が最高から最も低い順):
debug説明:ソフトウェア・デバッグ・メッセージ
セキュリティ デバイスのストリーム ロギングについて
関連項目
セキュリティ ログのバイナリ形式を理解する
Junos OSは、システムのコントロールプレーンとデータプレーンで発生する記録イベントに対して、別々のログメッセージを生成します。制御プレーンは、ルーティング プラットフォームで発生するイベントを監視します。このようなイベントは、システム ログ メッセージに記録されます。システム ログ メッセージを生成するには、 階層レベルで ステートメントを[system]使用syslogします。
セキュリティログメッセージと呼ばれるデータプレーンログメッセージは、システムがデータプレーン内で直接処理するセキュリティイベントを記録します。セキュリティ ログ メッセージを生成するには、 階層レベルで ステートメントを[security]使用logします。
システム ログ メッセージは、BSD Syslog、Structured Syslog、WebTrends WELF(Enhanced Log Format)などのテキストベースの形式でログ ファイルで管理されます。
セキュリティログメッセージは、テキストベースの形式で維持することもできます。ただし、セキュリティ ロギングによって大量のデータが生成される可能性があるため、テキスト ベースのログ ファイルはストレージリソースと CPU リソースを迅速に消費する可能性があります。セキュリティー ロギングの実装に応じて、バイナリベースの形式のログ ファイルによって、オンボックスまたはオフボックス ストレージをより効率的に使用し、CPU 使用率を向上させることができます。セキュリティ ログ メッセージのバイナリ形式は、すべての SRX シリーズ デバイスで利用できます。
イベントモードで設定すると、データプレーンで生成されたセキュリティログメッセージがコントロールプレーンに送信され、デバイスにローカルに保存されます。バイナリ形式で保存されたセキュリティログメッセージは、システムログメッセージの維持に使用されるログファイルとは別のログファイルに保持されます。バイナリ ログ ファイルに格納されたイベントは、テキスト ベースのログ ファイルを対象とした高度なログ スクリプト コマンドではアクセスできません。別の CLI 操作コマンドは、デバイス上でローカルに保存されているバイナリ ログ ファイルのデコード、変換、表示をサポートしています。
ストリームモードで設定すると、データプレーンで生成されたセキュリティログメッセージがリモートデバイスにストリーミングされます。これらのメッセージがバイナリ形式で保存されると、外部ログ収集サーバーにジュニパー固有のバイナリ形式で直接ストリーミングされます。外部に保存されたバイナリ ログ ファイルは、Juniper Secure Analytics(JSA)または Security Threat Response Manager(STRM)を使用してのみ読み取ることができます。
Junos OS リリース 17.4R2 以降では、SRX300、SRX320、SRX340、SRX345 シリーズ デバイスおよび vSRX インスタンスで、デバイスがストリーム モードで設定されている場合、最大 8 つのシステム ログ ホストを設定できます。Junos OS リリース 17.4R2 以前のリリースでは、ストリーム モードで設定できるシステム ログ ホストは 3 つだけです。3 つ以上のシステム ログ ホストを設定すると、次のエラー メッセージが表示されます error: configuration check-out failed。
オンボックス(イベントモード)バイナリセキュリティログの設定については、 オンボックスバイナリセキュリティログファイルの設定を参照してください。オフボックス(ストリームモード)バイナリセキュリティログの設定については、 オフボックスバイナリセキュリティログファイルの設定を参照してください。
オンボックスロギングとレポートについて
このトピックでは、オンボックスロギングとレポートのCLI機能と、SRXデバイスのオンボックスレポートの設計面について説明します。
概要
ソリッドステートドライブ(SSD)へのオンボックストラフィックロギングは、8つの外部ログサーバーまたはファイルをサポートしています。
すべてのトラフィック ログ情報を含むオールインワン XML ファイルが追加されます。XML ファイルは、すべてのロギング ヘッダー ファイルとトラフィック ログ関連ドキュメントも生成します。
ローカルログ管理デーモン(llmd)と呼ばれる新しいプロセス(デーモン)は、サービス処理カード0(SPC0)でサポートされており、オンボックストラフィックログを処理します。SPC でフローされたトラフィックは、トラフィック ログに表示されます。llmd はこれらのログをローカル SSD に保存します。トラフィック ログは、4 つの異なる形式で保存されます。ログ形式については、 を参照してください 表 1 。
| ログ形式 | 説明 | 既定 |
|---|---|---|
| Syslog |
|
はい |
| Sd-syslog |
|
- |
| Welf |
|
- |
| バイナリ |
|
- |
オンボックス レポート メカニズムは、既存のロギング機能の拡張機能です。既存のロギング機能を変更して、システム トラフィック ログを収集し、ログを分析し、CLI を使用してテーブル形式でログのレポートを生成します。オンボックスレポート機能は、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供することを目的としています。オンボックスレポートは、さまざまなセキュリティイベントのJ-Webページを表やグラフで簡単に使用できます。レポートにより、ITセキュリティ管理がセキュリティ情報を一目で特定し、実行すべきアクションを迅速に決定できます。
オンボックスレポート機能は、Junos OSリリース15.1X49-D100以降を搭載したSRXシリーズデバイスで工場出荷時のデフォルト設定を読み込む際、デフォルトで有効になります。
SRXシリーズデバイスをJunos OS 15.1X49-D100より前のJunos OSリリースからアップグレードする場合、SRXデバイスは既存の設定を継承し、オンボックスのレポート機能はデフォルトで無効になっています。アップグレードされたデバイスでオンボックスレポート機能を有効にするには、 コマンドと set security log mode stream コマンドを設定set security log reportする必要があります。
Junos OSリリース19.3R1 以降、工場出荷時のデフォルト設定には、ソリッドステートドライブ(SSD)の寿命を延ばすためにオンボックスのレポート設定は含まれていません。階層で [edit security log] CLI コマンドを設定することで、オンボックスレポート機能をset security log report有効にできます。
J-Web ユーザーインターフェイスでこのタスクを実行するには、 SRXシリーズデバイス向け J-Webユーザーガイドを参照してください。
Junos OS リリース 21.3R1 以降、外部 SSD がない場合、オンボックスのレポート ログはメモリ ファイル システム(MFS)に保存されます。MFS に保存できるログの最大数は、外部 SSD に保存できるログよりも少なくなります。これにより、メモリの枯渇と障害を防ぐことができます。MFS に保存されたログは、デバイスの再起動または電源障害の後に保持されません。オンボックスレポートとオフボックスレポートに記録されたログ数を確認するには、を参照してください 表 2 。
| レポート モード | セッション | 画面 | IDP | UTM | IPsec-VPN | 空 |
|---|---|---|---|---|---|---|
| オフボックス | 1200,000 | 120,000 | 120,000 | 120,000 | 40,000 | 120,000 |
| オンボックス | 500,000 | 50,000 | 50,000 | 50,000 | 20,000 | 50,000 |
オンボックスレポート機能を set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close 使用して、J-Web上のアプリケーショントラッキングのすべてのアプリケーションとネストされたアプリケーションをリストするには、 コマンドを使用してセッションのセキュリティポリシーを設定する必要があります。詳細については、 その他のログ(セキュリティポリシー) を参照してください。
ログ メッセージが記録された後、ログ ファイル内にログ が保存され、さらに分析するために RE のデータベース テーブルに保存されます(SRX300、SRX320、SRX340、SRX345、SRX550M デバイスでは)、さらに分析を行うために SSD カードに保存されます(SRX1500、SRX4100、SRX4200 デバイス)。
この機能は、セッションの数またはボリュームまたはログのタイプに基づいた上位のレポートの受信、指定された時間範囲内で毎秒発生するイベントのキャプチャ、指定されたCLI条件のログコンテンツのキャプチャをサポートします。レポートを生成するには、「概要」、「トップ」、「詳細」、「間隔」などのさまざまな CLI 条件を使用します。CLI を使用すると、一度に 1 つのレポートのみを生成できます。すべての CLI 条件を同時に使用することはできません。CLI を使用すると、一度に 1 つのレポートのみを生成できます。
この機能のメリットは次のとおりです。
レポートは SRX シリーズ デバイス上でローカルに保存されるため、ログとレポートのストレージ用に個別のデバイスやツールを用意する必要はありません。
オンボックスレポートは、各種セキュリティイベントを表やグラフでまとめた使いやすいJ-Webページです。
セキュリティ ログを表示するためのシンプルで使いやすいインターフェイスを提供します。
生成されたレポートにより、ITセキュリティ管理チームはセキュリティ情報を一目で特定し、取られるアクションを迅速に決定することができます。
オンボックスレポート機能は以下をサポートします。
要件に基づいてレポートを生成する。例えば、セッションの数またはボリューム、IDP、UTM、IPsec VPNなどのアクティビティのログのタイプ。
指定した時間範囲内のリアルタイム イベントをキャプチャします。
CLI で指定されたさまざまな条件に基づいて、すべてのネットワーク アクティビティを論理的で整理されたわかりやすい形式でキャプチャします。
オンボックスロギングとレポートについて
オンボックスレポートメカニズムでは、CLIを使用してデバイスからレポートデータを取得します。SRX シリーズ デバイスは、必要なすべてのログを収集して保存します。これらの記録されたログは、さらに分析するために使用され、CLI を使用してテーブル形式でレポートを計算および生成します。レポート形式でCLIを使用して生成されたデータは、J-Webの表やグラフの形式でさらに取得できます。生成されるレポートは、J-Web の表やグラフをわかりやすくしています。画面、IDP、UTM、IPSec などの機能について、(セッション タイプに基づいて)ログの徹底的な分析が実行されます。
以下の基準に基づいて、レポートされるログ データのフィルターを定義できます。
上部、詳細、および間隔内の条件を同時に使用することはできません。
top <number>—このオプションを使用すると、 コマンドで指定されたとおり、上位のセキュリティイベントのレポートを生成できます。例えば:UTM を介して検出されたトップ 5 の IPS 攻撃または上位 6 つの URL。in-detail <number>—このオプションを使用すると、詳細なログコンテンツを生成できます。in-interval <time-period>—このオプションを使用すると、一定の間隔でログに記録されたイベントを生成できます。summary—このオプションを使用すると、イベントの概要を生成できます。この方法で、ニーズに合わせてレポートを微調整し、使用したいデータのみを表示できます。
インターバル内のカウントを示す最大インターバル数は30です。長い期間を指定した場合、最大間隔が 30 未満になるようにカウンターが組み立てられます。
詳細と概要の両方に「all」オプションがあります。異なるテーブルには異なる属性(セッションテーブルには属性「理由」はありませんが、UTMにはあります)があるため、「all」オプションには、開始時間と停止時間を除くフィルターはありません。開始時間と停止時間以外のフィルターがある場合は、エラーが表示されます。
例えば、セキュリティ ログ レポートを詳細に表示root@kujang>理由すべて1
error: "query condition error"
アプリケーションとユーザーを可視化するためのアプリケーション ファイアウォール ログには、アプリケーションとネストされたアプリケーションがリストされます。これらの機能のログにネスト されたアプリケーションがリストされると、ネストされたアプリケーションが J-Web にリストされます。ログにネストされたアプリケーションが適用不可能または不明としてリストされると、アプリケーションのみが J-Web に表示されます。
すべてのアプリケーションとネストされたアプリケーションのリストに対して、アプリケーションとユーザーを可視化するには、以下の CLI コマンドを使用します。
カウントごとのトップ ネスト アプリケーションの場合:
show security log report top session-close top-number <number> group-by application order-by count with userボリューム別のトップ ネスト アプリケーションの場合:
show security log report top session-close top-number <number> group-by application order-by volume with userネストされたアプリケーションを使用したカウントごとの上位ユーザーの場合:
show security log report top session-close top-number <number> group-by user order-by count with application
オンボックスレポート機能
オンボックスレポート機能は以下をサポートします。
Sqlite3 support as a library-sqlite3 は、Junos OS リリース 15.1X49-D100 より前はサポートされていませんでした。Junos OS リリース 15.1X49-D100 以降、SQL ログ データベース(SQLite バージョン 3)は、RE で実行されているデーモンと、SRX シリーズ デバイスにログを保存する他の潜在的なモジュールによって使用されます。
Junos OSリリース19.4R1では、オンボックスロギングデータベースをアップグレードして、クエリパフォーマンスを向上させました。
Running llmd in both Junos OS and Linux OS-転送デーモン(フロー式)は、バイナリログからデータベースインデックスをデコードし、インデックスとログの両方をローカルログ管理デーモン(llmd)に送信します。
SRX300、SRX320、SRX340、SRX345、SRX550Mのデバイスでは、Junos OSで動作します。SRX1500、SRX4100、SRX4200のデバイスでは、Linuxで動作します。そのため、Junos OSとLinux OSの両方で実行するllmdをサポートするため、llmdコードディレクトリはLinux側からJunos OS側に移動します。
Storing of logs into specified table of the sqlite3 database by llmd— 新しい syslog デーモンが導入され、SRX シリーズ デバイス上のローカル ログを収集してデータベースに保存します。
Junos OSリリース19.3R1以降、Junos OSは1つのテーブルではなく複数のテーブルにログをデータベースファイルに保存します。各テーブルには、最も古いログと最新のログのタイムスタンプが含まれています。開始時間と終了時間に基づいてクエリを開始すると、レポートを生成する最新のテーブルを検索します。
たとえば、過去 10 時間に生成されたデータベース ファイルの 1 つのテーブルに 500 万のログがあり、レポートを作成する場合は 30 分以上を費やす必要があります。Junos OS リリース 19.3R1 以降、1 つのテーブルが複数のテーブルに分離され、各テーブルに 050 万のログが含まれています。同じレポートを生成するには、1 つのテーブル情報で十分です。
より短い時間でクエリーを実行して、パフォーマンスを向上することをお勧めします。
Database table definitionセッションログの場合、データタイプは送信元アドレス、宛先アドレス、アプリケーション、ユーザーなどです。セキュリティ機能に関連するログの場合、データ タイプは攻撃名、URL、プロファイル プロトコルなどです。そのため、パフォーマンスを向上させ、ディスク容量を節約するために、異なるタイプのログを格納するように異なるテーブルが設計されています。SRXデバイスは、ログデータが記録されると、各ログタイプのデータベーステーブルを作成します。
データベース・テーブルの各タイプには、デバイス固有の最大レコード番号があります。テーブルレコード番号が制限に達すると、新しいログは最も古いログを置き換えます。Junos OSは、アクティブなトラフィックが通過したSRXシリーズデバイスにログを保存します。
Junos OS リリース 19.3R1 以降、データベース ファイルに複数のテーブルを作成してログを保存できるようになりました。テーブルにログを保存する容量を定義できます。
ログ数の制限がテーブル容量を超えた場合、Junos OSは2番目のテーブルにログを保存します。例えば、テーブル 1 のログの制限がテーブルの容量を超えた場合、Junos OS はテーブル 2 にログを保存します。
ログ数の制限がファイル1の最後のテーブルを超えた場合、Junos OSはファイル2のテーブル1にログを保存します。例えば、表 n はファイル 1 の最後の表です。ログがテーブルの容量を超えると、Junos OSはファイル2のテーブル1にログを保存します。
表番号を変更した後に即時に有効にするには、操作コマンドを使用
clear security log reportします。Database table rotation—データベーステーブルの各タイプには、デバイス固有の最大レコード番号があります。テーブルレコード番号が制限に達すると、新しいログは最も古いログを置き換えます。
以下 表 3 に、データベース ファイルサイズの容量について説明します。
表 3: データベース ファイル サイズの容量 デバイス
セッション
画面
IDP
UTM
IPsec-VPN
空
SRX300、SRX320、SRX340、SRX345、SRX550M
1.8G
0.18G
0.18G
0.18G
0.06G
0.18G
SRX1500
12G
2.25G
2.25G
2.25G
0.75G
2.25G
SRX4100 および SRX4200
15G
2.25G
2.25G
2.25G
0.75G
2.25G
SRX4600
22.5G
6G
6G
6G
0.75G
2.25G
vSRX
1.8G
0.18G
0.18G
0.18G
0.06G
0.18G
Calculating and displaying the reports that are triggered by CLI-データベースからのレポートは、CLIからインターフェイスとして受信されます。CLI を使用すると、レポートの詳細を計算して表示できます。
テーブルの選択
複数のテーブルからレポートを生成する場合は、タイムスタンプに基づいてテーブルを並べ替え、要求された開始時間とストップタイムに従ってテーブルを選択します。
たとえば、テーブル 1(1~3)、テーブル 2(3~5)、テーブル 3(6~8)の 3 つのテーブルがあります。1~3、3~6、6~8は、最新かつ最も古いログのタイムスタンプを示します。レポートを 4 から 6 まで要求すると、Junos OS は表 2 および表 3 からレポートを生成します。
表のライフタイム
コマンドを設定することで、テーブルのライフタイムを set security log report table-lifetime 決定できます。Junos OS は、テーブル識別時間がテーブルのライフタイムを超えた後、テーブルを削除します。たとえば、テーブルのライフタイムを 2 に設定し、現在の日付が 2019 年 7 月 26 日である場合、2019 年 7 月 24 日から 00:00:00 のログが削除されます。
デバイスで日付と時刻を手動で変更すると、テーブルのライフタイムが変更されます。例えば、テーブル識別時間が 2019 年 7 月 19~7 月で、テーブルのライフタイムを 10 に設定した場合、Junos OS は 2019 年 7 月 29 日から 7 月の間にテーブルを削除する必要があります。デバイスの日付を 2019 年 7 月 18 日に変更すると、表の実際のライフタイムは 2019 年 7 月 30 日になります。
テーブル高密度モード
Junos OSリリース19.4R1では、オンボックスロギングデータベースのデフォルトのストレージと検索メカニズムをアップグレードして、ログを管理しました。ログの保存と検索メカニズムの結果をカスタマイズできるようになりました。たとえば、トラフィック ログの数が減少すると想定される場合は、開始時間と停止時間とともにデフォルト設定を使用できます。
ただし、多数のトラフィック ログが生成され、ログが生成される時間間隔が長いことが予想される場合は、高密度モードを有効にします。高密度モードを有効にするには、 設定コマンドを set security log report table-mode dense 使用します。
シャーシ クラスタ シナリオ
シャーシ クラスタ内のオンボックス レポートでは、デバイスがアクティブなトラフィックを処理しているローカル ディスクにログが保存されます。これらのログは、シャーシ クラスタ ピアに同期されません。
各ノードは、各ノードがアクティブなトラフィックを処理している場合にログを保存します。アクティブ/パッシブ モードの場合、アクティブ ノードのみがトラフィックを処理し、ログもアクティブ ノードにのみ保存されます。フェイルオーバーの場合、新しいアクティブノードはトラフィックを処理し、ローカルディスクにログを保存します。アクティブ/アクティブ モードの場合、各ノードは独自のトラフィックを処理し、ログは対応するノードに保存されます。
関連項目
レポートの監視
オンボックスレポートには包括的なレポート機能が用意されており、セキュリティ管理チームがセキュリティイベントが発生したときにそれを見つけ出し、イベントに関する関連する詳細に即座にアクセスして確認し、適切な是正措置を迅速に決定できます。J-Web レポート機能は、多数のログ エントリーのコンパイルに相当する 1 ページまたは 2 ページのレポートを提供します。
このセクションには、以下のトピックが含まれています。
脅威監視レポート
目的
脅威レポートを使用して、ネットワークに対する現在の脅威に関する一般的な統計およびアクティビティ レポートを監視します。脅威の種類、送信元と宛先の詳細、脅威の頻度情報のロギング データを分析できます。このレポートは、統計の計算、表示、更新を行い、ネットワークの現在の状態を示すグラフィックプレゼンテーションを提供します。
対処
脅威レポートを表示するには、以下の手順にしたがっています。
ダッシュボードの右下をクリック Threats Report するか、J-Web ユーザーインターフェイスで を選択 Monitor>Reports>Threats します。脅威レポートが表示されます。
以下のいずれかのタブを選択します。
フィールド |
説明 |
|---|---|
| 一般統計ペイン | |
脅威カテゴリー |
脅威の次のカテゴリーのいずれか 1 つ:
|
重大度 |
脅威の重大度レベル:
|
過去24時間のヒット |
過去 24 時間に発生した脅威の数(カテゴリー別)。 |
現在の時間でのヒット数 |
過去 1 時間に発生した脅威の数(カテゴリー別)。 |
| 過去 24 時間における脅威カウント | |
重大度別 |
過去 24 時間に 1 時間ごとに受信した脅威の数を重大度レベルで並べ替えたグラフです。 |
カテゴリー別 |
過去 24 時間に受け取った脅威の数をカテゴリ別に分類したグラフです。 |
X 軸 |
現在の時間がディスプレイの最も右の列を占める 24 時間のスパン。グラフは1時間ごとに左にシフトします。 |
Y 軸 |
発生した脅威の数。発生した脅威の数に基づいて、軸が自動的に拡張されます。 |
| 最新の脅威 | |
脅威名 |
最新の脅威の名前。脅威のカテゴリーに応じて、脅威名をクリックして、スキャン エンジン サイトで脅威の説明を確認できます。 |
カテゴリー |
各脅威のカテゴリー:
|
送信元 IP/ポート |
脅威の送信元 IP アドレス(および該当する場合はポート番号)。 |
宛先 IP/ポート |
脅威の宛先 IP アドレス(および該当する場合はポート番号)。 |
プロトコル |
脅威のプロトコル名。 |
説明 |
カテゴリータイプに基づいた脅威の識別:
|
対処 |
脅威への対応として実行されたアクション。 |
ヒットタイム |
脅威が発生した時間。 |
| 過去 24 時間の脅威の傾向 | |
カテゴリー |
カテゴリ別の比較脅威数を表す円グラフのグラフィック:
|
Web フィルター カウンターの概要 |
|
カテゴリー |
Webフィルター数は、最大39のサブカテゴリーで分類されます。[一般統計] ウィンドウの [Web フィルター カウンター] の一覧をクリックすると、[Web フィルター カウンターの概要] ウィンドウが開きます。 |
過去24時間のヒット |
過去 24 時間におけるサブカテゴリーごとの脅威の数。 |
現在の時間でのヒット数 |
過去 1 時間のサブカテゴリーごとの脅威の数。 |
フィールド |
機能 |
|---|---|
| 最新のウィルスヒット数 | |
脅威名 |
ウィルス脅威の名前。ウィルスは、Web、FTP、電子メールなどのサービスに基づく場合や、重大度レベルに基づく場合があります。 |
重大度 |
各脅威の重大度レベル:
|
送信元 IP/ポート |
脅威の送信元の IP アドレス(およびポート番号(該当する場合))。 |
宛先 IP/ポート |
脅威の宛先の IP アドレス(および該当する場合はポート番号)。 |
プロトコル |
脅威のプロトコル名。 |
説明 |
カテゴリータイプに基づいた脅威の識別:
|
対処 |
脅威への対応として実行されたアクション。 |
最終ヒット時間 |
脅威が前回発生した時間です。 |
| 最新のスパム 電子メール送信者 | |
電子メールから |
スパムの送信元である電子メール アドレス。 |
重大度 |
脅威の重大度レベル:
|
ソース IP |
脅威の送信元の IP アドレス。 |
対処 |
脅威への対応として実行されたアクション。 |
最終送信時間 |
スパム 電子メールが最後に送信された時間。 |
| 最近ブロックされた URL リクエスト | |
URL |
ブロックされた URL リクエスト。 |
送信元 IP/ポート |
送信元の IP アドレス(およびポート番号(該当する場合))。 |
宛先 IP/ポート |
宛先の IP アドレス(およびポート番号(該当する場合))。 |
現在の時間でのヒット数 |
過去 1 時間に発生した脅威の数。 |
| 最近の IDP 攻撃 | |
攻撃 |
|
重大度 |
各脅威の重大度:
|
送信元 IP/ポート |
送信元の IP アドレス(およびポート番号(該当する場合))。 |
宛先 IP/ポート |
宛先の IP アドレス(およびポート番号(該当する場合))。 |
プロトコル |
脅威のプロトコル名。 |
対処 |
脅威への対応として実行されたアクション。 |
最終送信時間 |
IDP 脅威が前回送信された時間。 |
トラフィック監視レポート
目的
過去 24 時間のフロー セッションのレポートを確認して、ネットワーク トラフィックを監視します。トランスポートプロトコルによる接続統計とセッション使用状況のロギングデータを分析できます。
対処
過去 24 時間のネットワーク トラフィックを表示するには、J-Web ユーザー インターフェイスで を選択 Monitor>Reports>Traffic します。レポートの説明については、を参照してください 表 6 。
フィールド |
説明 |
|---|---|
| プロトコル当たり過去 24 時間のセッション | |
プロトコル名 |
プロトコルの名前。プロトコル別の時間ごとのアクティビティを表示するには、プロトコル名をクリックし、下部のペインにある「プロトコル アクティビティ チャート」を確認します。
|
総セッション数 |
過去 24 時間におけるプロトコルのセッションの総数。 |
バイトイン(KB) |
- 受信バイトの総数(KB)。 |
バイトアウト(KB) |
- 送信バイトの総数(KB 単位)。 |
パケット受信 |
- 受信パケットの総数。 |
パケット送信 |
送信パケットの総数。 |
| 直近の終了セッション | |
送信元 IP/ポート |
クローズドセッションの送信元IPアドレス(および該当する場合はポート番号)。 |
宛先 IP/ポート |
クローズドセッションの宛先IPアドレス(およびポート番号(該当する場合)。 |
プロトコル |
クローズドセッションのプロトコル。
|
バイトイン(KB) |
- 受信バイトの総数(KB)。 |
バイトアウト(KB) |
- 送信バイトの総数(KB 単位)。 |
パケット受信 |
- 受信パケットの総数。 |
パケット送信 |
送信パケットの総数。 |
タイムスタンプ |
セッションが閉じられた時間。 |
| プロトコルアクティビティチャート | |
バイトイン/アウト |
トラフィックを 1 時間あたりの送受信バイトとしてグラフィック表示します。バイト数は、[過去 24 時間/プロトコル] ウィンドウで選択されたプロトコルのバイト数です。選択内容を変更すると、このグラフは直ちに更新されます。 |
パケットの入出力 |
トラフィックを 1 時間あたりの送受信パケットとしてグラフィック表示。パケット数は、[プロトコル当たりの過去 24 時間のセッション] ペインで選択されたプロトコルの数です。選択内容を変更すると、このグラフは直ちに更新されます。 |
セッション |
1 時間あたりのセッション数としてのトラフィックのグラフィック表示。セッション数は、[プロトコル当たりの過去 24 時間のセッション] ペインで選択されたプロトコルの数です。選択内容を変更すると、このグラフは直ちに更新されます。 |
X 軸 |
カラム当たり1時間、24時間です。 |
Y 軸 |
バイト数、パケット数、セッション数。 |
| プロトコルセッションチャート | |
プロトコル別のセッション数 |
プロトコルごとの現在のセッション数としてのトラフィックのグラフィック表現。表示されるプロトコルは、TCP、UDP、ICMP です。 |
オンボックスバイナリセキュリティログファイルの設定
SRX シリーズ デバイスは、システム ログとセキュリティ ログという 2 種類のログを使用して、システム イベントを記録します。システム ログには、コントロール プレーン イベント(管理者ユーザーがログインする場合など)が記録されます。トラフィック ログとも呼ばれるセキュリティ ログは、特定のトラフィック処理に関するデータ プレーン イベントを記録します。例えば、セキュリティポリシーがポリシー違反により特定のトラフィックを拒否した場合、Junos OSはセキュリティログを生成します。システム ログの詳細については、 Junos OS システム ログの概要を参照してください。セキュリティログの詳細については、 セキュリティ デバイスのシステムロギングについてを参照してください。
システムログとセキュリティログの両方を、オンボックス(SRXシリーズデバイス上でローカルに保存)またはオフボックス(リモートデバイスにストリーミング)のいずれかでバイナリ形式で収集して保存できます。バイナリ形式を使用すると、ログファイルが効率的に保存され、CPU使用率が向上します。
階層レベルの ステートメントを使用して、セキュリティファイルをlog[security]バイナリ形式で設定できます。
オンボックスロギングは、イベントモードロギングとも呼ばれます。ストリームモード、オフボックスセキュリティログについては、 オフボックスバイナリセキュリティログファイルの設定を参照してください。イベントモードロギング用にバイナリ形式でセキュリティログを設定する場合、以下の手順で詳細に説明するように、ログファイル名、ファイルパス、およびその他の特性をオプションで定義できます。
コマンドを使用してデバイスに保存されているイベントモードログファイルの内容を表示し、 コマンドを使用clear security log fileしてshow security log fileバイナリイベントモードセキュリティログファイルの内容をクリアします。
コマンドは show security log 、テキストベースの形式の場合はイベントモードセキュリティログメッセージを表示し show security log file 、コマンドはバイナリ形式(オンボックス)の場合はイベントモードセキュリティログメッセージを表示します。Juniper Secure Analytics(JSA)は、オフボックス のバイナリ ロギングを読み取ります。
オフボックスバイナリセキュリティログファイルの設定
SRXシリーズデバイスには、2種類のログがあります。システム ログとセキュリティ ログです。システムは、管理者がデバイスにログインするなど、コントロールプレーンイベントを記録します。システム ログの詳細については、 Junos OS システム ログの概要を参照してください。セキュリティログ(トラフィックログとも呼ばれます)は、セキュリティポリシーがポリシーの違反により特定のトラフィックを拒否した場合など、特定のトラフィック処理に関するデータプレーンイベントを記録します。セキュリティログの詳細については、 セキュリティ デバイスのシステムロギングについてを参照してください。
2 種類のログを収集して、オンボックスまたはオフボックスで保存できます。以下の手順では、オフボックス(ストリームモード)ログのバイナリ形式でセキュリティログを設定する方法について説明します。
階層レベルの ステートメントを使用して、セキュリティファイルをlog[security]バイナリ形式で設定できます。
次の手順では、stream-mode セキュリティ ロギングのバイナリ形式を指定し、ログ ファイル名、パス、ログ ファイルの特性を定義します。イベントモード、オンボックスセキュリティログについては、 オンボックスバイナリセキュリティログファイルの設定を参照してください。
システム ログ メッセージのファイルへの送信
システム ログ メッセージを Compact¶Cf(Compact¶Cf)カード上のファイルに送信できます。ログファイルのデフォルトディレクトリは./var/log CFカードで別のディレクトリを指定するには、完全なパス名を含めます。
、 という名前securityのファイルを作成し、重大度レベルinfoでクラスのauthorizationログ メッセージをファイルに送信します。
ファイル名、ファシリティ、重大度レベルを設定するには、
{primary:node0}
user@host# set system syslog file security authorization info
イベントを通じてすべてのログメッセージを送信するようにシステムを設定する
設定のロギング プロセスは eventd 、Junos OS で最もよく使用されます。この設定では、コントロール プレーン のログとデータ プレーン、つまりセキュリティのログがデータ プレーンからルーティング エンジンの制御プレーン rtlogd プロセスに転送されます。その後、プロセスは rtlogd syslog または sd-syslog フォーマットのログをプロセスに eventd 転送するか、WELF フォーマットのログを外部またはリモートの WELF ログ コレクターに転送します。
すべてのログメッセージを送信するには:eventd
2 番目のリモート サーバーに重複するログを送信するには、2 番目のサーバーの新しい完全修飾 ホスト名 または IP アドレスで コマンドを繰り返します。
導入環境がアクティブ/アクティブシャーシクラスターの場合、アクティブノードのセキュリティロギングを別のリモートサーバーに送信するように設定して、ログの冗長性を実現することもできます。
ログ設定の名前を変更またはリダイレクトするには、削除して再作成する必要があります。コンフィギュレーションを削除するには、以下の手順にいます。
{primary:node0}
user@host# delete security log mode event