セキュリティデバイスのシステムログを設定する
機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。
プラットフォームに関連する注意事項については、「 プラットフォーム固有のシステムログ動作」 セクションを参照してください。
セキュリティデバイスのシステムログ概要
Junos OSは、システムログメッセージ( syslogメッセージとも呼ばれます)の設定と監視をサポートしています。システムメッセージをログに記録するようにファイルを構成し、重大度レベルなどの属性をメッセージに割り当てることができます。再起動要求はシステムログファイルに記録され、 show log コマンドで表示できます。
このセクションでは、以下のトピックについて説明します。
コントロールプレーンとデータプレーンのログ
Junos OSは、システムのコントロールプレーンとデータプレーンで発生するイベントを記録するために個別のログメッセージを生成します。
コントロールプレーンログは、システムログとも呼ばれ、ルーティングプラットフォームで発生するイベントを含みます。システムはコントロールプレーンイベントをルーティングエンジン上の
eventdプロセスに送信し、その後、Junos OSポリシーを使用するか、システムログメッセージを生成するか、またはその両方を使用してイベントを処理します。コントロールプレーンログをファイル、ユーザー端末、ルーティングプラットフォームコンソール、またはリモートマシンのいずれかに送信することを選択できます。コントロールプレーンログを生成するには、[system]階層レベルでsyslogステートメントを使用します。-
データプレーンログは、 セキュリティログとも呼ばれ、主にデータプレーン内で処理されるセキュリティイベントが含まれます。
セキュリティログは、テキスト形式またはバイナリ形式にすることができ、ローカルに保存するか(イベントモード)、外部サーバーに送信することができます(ストリームモード)。
ストリームモードでは、ログ形式をbinary、protobuf、sd-syslog、またはsyslogとして設定できます。イベントモードでログ領域を節約するために、バイナリ形式を推奨します。
以下の点に注意してください。
-
セキュリティログは、ローカル(オンボックス)、外部(オフボックス)、またはその両方に同時に保存できます。
-
デフォルトのログ モードはストリーム モードです。データプレーンイベントは、コントロールプレーンイベントと同様の方法でシステムログファイルに書き込まれます。セキュリティログのバイナリ形式を指定するには、オフボックスバイナリセキュリティログファイルの設定を参照してください
注:SRXシリーズファイアウォールでイベントモードのログ記録を設定すると、デバイスがログをドロップすることがあります。
解析エラーを回避するために、ストリームログ転送とオンボックスレポートでエスケープをサポートしています。ストリームモードは、ログがプロセスに送信されない場合、
sd-syslogおよびbinary形式eventdエスケープをサポートします。eventdプロセスに送信されるログでは、eventdプロセスで構造ログのエスケープが有効になっているため、escapeオプションを有効にしないことをお勧めします。イベントモードは、binary形式でのみエスケープをサポートします。デフォルトでは、escapeオプションは無効になっています。set security log escapeコマンドを使用して、escapeオプションを有効にする必要があります。 -
冗長システムログサーバー
リモートサーバー向けのセキュリティシステムのログトラフィックは、2つの同時システムログ宛先をサポートするネットワークインターフェイスポートを介して送信されます。各システムログ宛先は個別に設定する必要があります。2つのシステムログ宛先アドレスが設定されている場合、同一のログが両方の宛先に送信されます。この機能をサポートするどのデバイスでも 2 つの宛先を設定できますが、2 つ目の宛先を追加することは、主にスタンドアロンおよびアクティブ/バックアップ設定の シャーシ クラスター 導入時の冗長バックアップとして役立ちます。
以下の冗長サーバー情報が利用可能です。
施設:
cron説明:cronスケジューリングプロセス
重大度レベル(重大度が高いものから低いものへ):
debug説明: ソフトウェア デバッグ メッセージ
セキュリティログのバイナリ形式
Junos OSは、システムのコントロールプレーンとデータプレーンで発生するイベントを記録するために、別々のログメッセージを生成します。コントロールプレーンは、ルーティングプラットフォームで発生するイベントを監視します。このようなイベントはシステムログメッセージに記録されます。システムログメッセージを生成するには、[system]階層レベルでsyslogステートメントを使用します。
セキュリティログメッセージと呼ばれるデータプレーンログメッセージは、システムがデータプレーン内で直接処理するセキュリティイベントを記録します。セキュリティログメッセージを生成するには、[security]階層レベルでlogステートメントを使用します。
システムログメッセージは、BSD Syslog、Structured Syslog、WebTrends Enhanced Log Format(WELF)などのテキストベースの形式でログファイルで維持されます。
セキュリティログメッセージは、テキストベースの形式で維持することもできます。ただし、セキュリティログでは大量のデータが生成されるため、テキストベースのログファイルはストレージとCPUリソースをすばやく消費する可能性があります。セキュリティログの実装によっては、バイナリベースの形式のログファイルを使用すると、オンボックスまたはオフボックスストレージをより効率的に使用し、CPU使用率を向上させることができます。セキュリティログメッセージのバイナリ形式は、すべてのSRXシリーズファイアウォールで使用できます。
イベントモードで設定すると、データプレーンで生成されたセキュリティログメッセージはコントロールプレーンに送信され、デバイスにローカルに保存されます。バイナリ形式で保存されたセキュリティログメッセージは、システムログメッセージの維持に使用されるファイルとは別のログファイルで維持されます。バイナリログファイルに保存されたイベントには、テキストベースのログファイル用の高度なログスクリプトコマンドではアクセスできません。別のCLI操作コマンドは、デバイスにローカルに保存されているバイナリログファイルのデコード、変換、および表示をサポートします。
ストリームモードで設定すると、データプレーンで生成されたセキュリティログメッセージがリモートデバイスにストリーミングされます。これらのメッセージがバイナリ形式で保存されると、ジュニパー固有のバイナリ形式で外部のログ収集サーバーに直接ストリーミングされます。外部に保存されたバイナリログファイルは、ジュニパー Secure Analytics(JSA)またはセキュリティ脅威応答マネージャー(STRM)を使用してのみ読み取ることができます。
デバイスがストリームモードで設定されている場合、最大8つのシステムログホストを設定できます。
オンボックス(イベントモード)バイナリセキュリティログの設定については、 オンボックスバイナリセキュリティログファイルの設定を参照してください。オフボックス(ストリームモード)バイナリセキュリティログの設定については、 オフボックスバイナリセキュリティログファイルの設定を参照してください。
オンボックスロギングとレポート
このトピックでは、SRXデバイスのオンボックスログとレポート作成のCLI機能、およびオンボックスレポートの設計面について説明します。
概要
ソリッドステートドライブ(SSD)へのオンボックストラフィックログは、8つの外部ログサーバーまたはファイルをサポートします。
すべてのトラフィックログ情報を含むオールインワンのXMLファイルが追加されます。また、XMLファイルは、すべてのロギングヘッダーファイルとトラフィックログ関連のドキュメントを生成します。
サービス処理カード0(SPCs0)では、 ローカルログ管理されたデーモン(llmd) と呼ばれる新しいプロセス(デーモン)がサポートされており、オンボックストラフィックロギングを処理できます。SPCでフローによって生成されたトラフィックは、トラフィックログにリストされます。LLMD はこれらのログをローカル SSD に保存します。トラフィックログは、4つの異なるフォーマットで保存されます。ログ形式については、 表1 を参照してください。
| ログ形式 | 説明 | デフォルト |
|---|---|---|
| Syslog |
|
はい |
| sd-syslog |
|
- |
| ウェルフ |
|
- |
| バイナリ |
|
- |
| protobuf |
|
オンボックスレポートメカニズムは、既存のロギング機能を強化したものです。既存のロギング機能は、システムトラフィックログを収集し、ログを分析し、CLIを使用してこれらのログのレポートをテーブル形式で生成するように変更されています。オンボックスレポート機能は、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供することを目的としています。オンボックスレポートは、テーブルやグラフの形式で、さまざまなセキュリティイベントの使いやすいJ-Webページです。このレポートにより、ITセキュリティ管理者はセキュリティ情報を一目で特定し、実行すべきアクションを迅速に決定できます。画面、IDP、コンテンツセキュリティ、IPSecなどの機能について、ログの詳細な分析が(セッションタイプに基づいて)実行されます。
以下の基準に基づいて、レポートされるログデータのフィルターを定義できます。
top、in-detail、in-intervalの条件を同時に使用することはできません。
-
top <number>—このオプションを使用すると、コマンドで指定されているトップセキュリティイベントのレポートを生成できます。例:コンテンツセキュリティを通じて検出された上位5つのIPS攻撃または上位6つのURL。 -
in-detail <number>—このオプションでは、詳細なログコンテンツを生成できます。 -
in-interval <time-period>—このオプションでは、特定の時間間隔の間にログに記録されたイベントを生成できます。 -
summary—このオプションでは、イベントの概要を生成できます。このようにして、必要に応じてレポートを微調整し、使用するデータのみを表示できます。
インターバル内のカウントを示すインターバル内の最大数は30です。長い期間が指定された場合、最大インインターバルが 30 未満になるようにカウンターが組み立てられます。
テーブルが異なれば属性も異なるため(セッションテーブルには「reason」属性がないが、コンテンツセキュリティには属性が持つ)、in-detailとsummaryの両方に「all」オプションがあります。「all」オプションには開始時間と停止時間以外のフィルタがありません。開始時刻と停止時刻以外のフィルターがある場合は、エラーが表示されます。
例:root@host> show security log report in-detail all reason reason1
error: "query condition error"
アプリケーションとユーザーの可視性のためのアプリケーションファイアウォールログには、アプリケーションとネストされたアプリケーションが一覧表示されます。これらの機能のログにネストされたアプリケーションがリストされている場合、ネストされたアプリケーションがJ-Webにリストされます。ログにネストされたアプリケーションが適用できないまたは不明としてリストされている場合、アプリケーションのみがJ-Webにリストされます。
以下のCLIコマンドを使用して、リストにあるすべてのアプリケーションとネストされたアプリケーションのアプリケーションとユーザーを可視化します。
-
カウント別上位ネストアプリケーションの場合—
show security log report top session-close top-number <number> group-by application order-by count with user -
ボリューム別に見た上位ネストされたアプリケーションの場合—
show security log report top session-close top-number <number> group-by application order-by volume with user -
ネストされたアプリケーションを持つカウント別上位ユーザーの場合—
show security log report top session-close top-number <number> group-by user order-by count with application
オンボックスレポート機能は、工場出荷時のデフォルト設定をデバイスに読み込むと、デフォルトで有効になります。
工場出荷時のデフォルト設定には、ソリッドステートドライブ(SSD)の寿命を延ばすためのオンボックスレポート設定は含まれていません。オンボックスレポート機能を有効にするには、階層で set security log report CLIコマンドを設定します [edit security log] 。
J-Webユーザーインターフェイスでこのタスクを実行するには、 SRXシリーズデバイス向けJ-Webユーザーガイド を参照してください。
オンボックスのレポートログは、外付けSSDがない場合、メモリファイルシステム(MFS)に保存されます。MFS に保存できるログの最大数は、外付け SSD に保存できるログ数よりも少なくなります。これにより、メモリの枯渇と障害を防ぎます。MFS に保存されたログは、デバイスの再ブート後または電源障害後に保持されません。表 2 を参照して、オンボックスレポートとオフボックスレポートで記録されたログの数を知ってください。
| レポートモード | セッション | 画面 | IDP | コンテンツセキュリティ | IPsec-VPN | スカイ |
|---|---|---|---|---|---|---|
| オフボックス | 1200,000 | 120,000 | 120,000 | 120,000 | 40,000 | 120,000 |
| オンボックス | 500,000 | 50,000 | 50,000 | 50,000 | 20,000 | 50,000 |
set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-closeコマンドを使用してセッションのセキュリティポリシーを設定し、オンボックスレポート機能を使用してJ-Webのアプリケーショントラッキングにすべてのアプリケーションとネストされたアプリケーションをリストアップする必要があります。詳細については、ログ(セキュリティポリシー)を参照してください。
ログメッセージが記録された後、ログはログファイルに保存され、詳細な分析のためにルーティングエンジンのデータベーステーブルに保存され、詳細な分析のためにSSDカードに保存されます。
この機能は、セッションの数またはボリューム、またはログのタイプに基づいて上位レポートの受信をサポートし、指定された時間範囲内で毎秒発生するイベントをキャプチャし、指定されたCLI条件のログコンテンツをキャプチャします。レポートの生成には、「summary」、「top」、「in-detail」、「in-interval」などのさまざまなCLI条件が使用されます。CLIを使用して一度に生成できるレポートは1つだけです。すべてのCLI条件を同時に使用することはできません。CLIを使用して一度に生成できるレポートは1つだけです。
この機能のメリットは次のとおりです。
-
レポートはSRXシリーズファイアウォールにローカルに保存され、ログとレポートを保存するために個別のデバイスやツールは必要ありません。
-
オンボックスレポートは、表やグラフの形式で各種セキュリティイベントの使いやすいJ-Webページです。
-
セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供します。
-
生成されたレポートにより、ITセキュリティ管理チームはセキュリティ情報を一目で特定し、実行すべきアクションを迅速に決定できます。
オンボックスレポート機能では、以下がサポートされます。
-
要件に基づいたレポートを生成します。例:セッションの数またはボリューム、IDP、コンテンツセキュリティ、IPsec VPNなどのアクティビティのログの種類。
-
指定した時間範囲内のリアルタイムイベントをキャプチャする。
-
CLIで指定したさまざまな条件に基づいて、すべてのネットワークアクティビティを、論理的で整理された、わかりやすい形式でキャプチャします。
オンボックス レポート機能
オンボックスレポート機能では、以下がサポートされます。
-
Sqlite3 support as a library—SQLログデータベース(SQLiteバージョン3)は、REで実行されているデーモンやその他の潜在的なモジュールによって使用され、SRXシリーズファイアウォールにログを保存します。
-
Running llmd in both Junos OS and Linux OS—転送デーモン(flowd)は、バイナリログからデータベースインデックスをデコードし、インデックスとログの両方をローカルログ管理されたデーモン(llmd)に送信します。
-
Storing of logs into specified table of the sqlite3 database by llmd— 新しいsyslogデーモンを導入して、SRXシリーズファイアウォール上のローカルログを収集し、データベースに保存します。
Junos OSは、ログをデータベースファイル内の単一のテーブルではなく、複数のテーブルに保存します。各テーブルには、最も古いログと最新のログのタイムスタンプが含まれています。開始時刻と終了時刻に基づいてクエリを開始すると、llmd は最新のテーブルを見つけてレポートを生成します。
データベース・テーブルに過去 10 時間に生成された 500 万個のログが含まれている場合、そのテーブルからレポートを生成するには 30 分以上かかることがあります。パフォーマンスを向上させるために、大きなテーブルは複数の小さなテーブルに分割され、それぞれに 50 万個のログが含まれているため、同じレポートを生成するには 1 つの小さなテーブルのみをクエリする必要があります。
パフォーマンスを向上させるために、より短い時間でクエリを実行することをお勧めします。
-
Database table definition—セッションログの場合、データタイプは送信元アドレス、宛先アドレス、アプリケーション、ユーザーなどです。セキュリティ機能に関連するログの場合、データタイプは攻撃名、URL、プロファイルプロトコルなどです。そのため、パフォーマンスの向上とディスク容量の節約に役立つように、異なるテーブルでさまざまなタイプのログを格納するように設計されています。SRXシリーズファイアウォールは、ログデータが記録されるときに、ログタイプごとにデータベーステーブルを作成します。
データベース表のタイプごとに、デバイス固有の最大レコード数があります。表レコード数が制限に達すると、新しいログが最も古いログに置き換わります。Junos OSは、アクティブなトラフィックが通過するデバイスにログインを保存します。
データベースファイルに複数のテーブルを作成して、ログを保存できます。テーブルにログを保存する容量を定義できます。
ログ数の制限がテーブルの容量を超えると、Junos OSはログを2番目のテーブルに保存します。例えば、表1のログの制限がテーブルの容量を超えた場合、Junos OSは表2にログを保存します。
ログ数の制限がファイル 1 の最後のテーブルを超えると、Junos OS はファイル 2 のテーブル 1 にログを保存します。例えば、テーブルnはファイル1の最後のテーブルです。ログがテーブルの容量を超えると、Junos OSはファイル2のテーブル1にログを保存します。
表番号を変更した後すぐに有効にするには、
clear security log report操作コマンドを使用します。 -
Database table rotation—データベーステーブルの各タイプには、デバイス固有の最大レコード数があります。表レコード数が制限に達すると、新しいログが最も古いログに置き換わります。
補足プラットフォーム情報では、データベースファイルの容量について説明します。
-
-
Calculating and displaying the reports that are triggered by CLI—データベースからのレポートは、インターフェイスとしてのCLIから受信されます。CLIを使用して、レポートの詳細を計算して表示できます。
テーブルの選択
複数のテーブルからレポートを生成する場合、llmd はタイムスタンプに基づいてテーブルをソートし、要求された開始時刻と終了時刻に従ってテーブルを選択します。
例えば、表1(1〜3)、表2(3〜5)、表3(6〜8)の3つの表があります。1から3、3から6、および6から8は、最新および最も古いログのタイムスタンプを示します。4から6までのレポートをリクエストすると、Junos OSは表2と表3からレポートを生成します。
テーブルのライフタイム
set security log report table-lifetimeコマンドを設定することで、テーブルのライフタイムを決定できます。Junos OSは、テーブル識別時間がテーブルの有効期間を超えた後、テーブルを削除します。例えば、テーブルのライフタイムを2として設定し、現在の日付が2019年7月26日の場合、2019年7月24日00:00:00にログが削除されることを意味します。
デバイスで日付と時刻を手動で変更すると、テーブルの有効期間が変更されます。例えば、テーブル識別時刻が 2019 年 7 月 19 日で、テーブルのライフタイムを 10 として設定した場合、Junos OS は 2019 年 7 月 29 日にテーブルを削除する必要があります。デバイスの日付を18-July-2019に変更すると、テーブルの実際のライフタイムは30-July-2019になります。
テーブル密度モード
オンボックスのログデータベースのデフォルトのストレージと検索メカニズムをアップグレードして、ログを管理しました。ログストレージと検索メカニズムの結果をカスタマイズできるようになりました。例えば、トラフィックログが少ないことが予想される場合は、開始時刻と終了時刻を持つデフォルト設定を使用できます。
ただし、大量のトラフィックログと、ログが生成される時間間隔が長くなることが予想される場合は、高デンスモードを有効にします。デンスモードを有効にするには、 set security log report table-mode dense 設定コマンドを使用します。
Junos OSリリース22.4以前からJunos OSリリース23.2以降にアップグレードする前に、 set security log report table-mode dense 設定を削除する必要があります。
シャーシクラスターのシナリオ
シャーシクラスターでのオンボックスレポートの場合、ログはデバイスがアクティブなトラフィックを処理しているローカルディスクに保存されます。これらのログは、シャーシ クラスター ピアには同期されません。
各ノードは、各ノードがアクティブなトラフィックを処理する際にログを保存する責任があります。アクティブ/パッシブモードの場合、アクティブノードのみがトラフィックを処理し、ログもアクティブノードにのみ保存されます。フェイルオーバーの場合、新しいアクティブノードがトラフィックを処理し、ローカルディスクにログを保存します。アクティブ/アクティブモードでは、各ノードが独自のトラフィックを処理し、ログはそれぞれのノードに保存されます。
関連項目
レポートの監視
オンボックスレポートは、セキュリティイベントが発生したときにセキュリティイベントを特定し、イベントに関する詳細情報に即座にアクセスして確認し、適切な是正措置を迅速に決定できる、包括的なレポート機能を提供します。J-Webレポート機能は、多数のログエントリーのコンパイルに相当する1ページまたは2ページのレポートを提供します。
このセクションでは、以下のトピックについて説明します。
脅威監視レポート
目的
脅威レポートを使用して、ネットワークに対する現在の脅威の一般的な統計とアクティビティレポートを監視します。脅威のタイプ、送信元と宛先の詳細、脅威の頻度情報のロギングデータを分析できます。レポートは、統計情報を計算、表示、更新し、ネットワークの現在の状態をグラフィックで表示します。
アクション
脅威レポートを表示するには:
ダッシュボードの右下にある 脅威レポート をクリックするか、J-Webユーザーインターフェイスで 監視>レポート>脅威 を選択します。脅威レポートが表示されます。
以下のタブのいずれかを選択します。
フィールド |
説明 |
|---|---|
| 「一般統計情報」ペイン | |
脅威カテゴリ |
以下の脅威のカテゴリのいずれか:
|
重大度 |
脅威の重大度レベル:
|
過去24時間のヒット数 |
過去24時間にカテゴリごとに遭遇した脅威の数 |
現在の時間のヒット数 |
過去1時間にカテゴリごとに遭遇した脅威の数 |
| 過去24時間の脅威カウント | |
重大度別 |
過去24時間に毎時間受信した脅威数を表したグラフを重大度レベルでソート。 |
カテゴリー別 |
過去24時間に毎時間受信した脅威の数をカテゴリ別にソートしたグラフ。 |
X軸 |
24時間で、現在の時間がディスプレイの一番右の列を占めています。グラフは1時間ごとに左にシフトします。 |
Y軸 |
遭遇した脅威の数軸は、遭遇した脅威の数に基づいて自動的にスケーリングされます。 |
| 最新の脅威 | |
脅威名 |
最新の脅威の名前脅威のカテゴリに応じて、脅威名をクリックしてスキャンエンジンサイトに移動し、脅威の説明を確認できます。 |
カテゴリー |
各脅威のカテゴリ:
|
送信元IP/ポート |
脅威の送信元IPアドレス(および該当する場合はポート番号)。 |
宛先IP/ポート |
脅威の宛先IPアドレス(および該当する場合はポート番号)。 |
プロトコル |
脅威のプロトコル名 |
説明 |
カテゴリタイプに基づく脅威の特定:
|
アクション |
脅威に対応して実行されたアクション。 |
ヒット時刻 |
脅威が発生した時刻 |
| 過去24時間の脅威のトレンド | |
カテゴリー |
カテゴリ別の脅威数の比較を表す円グラフグラフィック:
|
Webフィルターカウンターの概要 |
|
カテゴリー |
Webフィルター数は、最大39のサブカテゴリに分類されます。一般統計情報ペインでWebフィルターリストをクリックすると、Webフィルターカウンターサマリーペインが開きます。 |
過去24時間のヒット数 |
過去24時間におけるサブカテゴリごとの脅威数 |
現在の時間のヒット数 |
過去1時間のサブカテゴリごとの脅威数 |
フィールド |
機能 |
|---|---|
| 最新のウイルスヒット | |
脅威名 |
ウイルス脅威の名前。ウイルスは、Web、FTP、電子メールなどのサービスに基づいている場合や、重大度レベルに基づいている場合があります。 |
重大度 |
各脅威の重大度レベル:
|
送信元IP/ポート |
脅威の送信元のIPアドレス(および該当する場合はポート番号)。 |
宛先IP/ポート |
脅威の宛先のIPアドレス(および該当する場合はポート番号)。 |
プロトコル |
脅威のプロトコル名 |
説明 |
カテゴリタイプに基づく脅威の特定:
|
アクション |
脅威に対応して実行されたアクション。 |
最後にヒットした時刻 |
最後に脅威が発生した時刻。 |
| 最新のスパムメール送信者 | |
メールから |
スパムの送信元である電子メールアドレス。 |
重大度 |
脅威の重大度レベル:
|
送信元IP |
脅威のソースのIPアドレス。 |
アクション |
脅威に対応して実行されたアクション。 |
最終送信時刻 |
スパムメールが最後に送信された時刻。 |
| 最近ブロックされたURLリクエスト | |
URL |
ブロックされたURLリクエスト。 |
送信元IP/ポート |
送信元のIPアドレス(および該当する場合はポート番号)。 |
宛先IP/ポート |
宛先のIPアドレス(および該当する場合はポート番号)。 |
現在の時間のヒット数 |
過去1時間に発生した脅威の数 |
| 最新のIDP攻撃 | |
攻撃 |
|
重大度 |
各脅威の重大度:
|
送信元IP/ポート |
送信元のIPアドレス(および該当する場合はポート番号)。 |
宛先IP/ポート |
宛先のIPアドレス(および該当する場合はポート番号)。 |
プロトコル |
脅威のプロトコル名 |
アクション |
脅威に対応して実行されたアクション。 |
最終送信時刻 |
最後にIDP脅威が送信された時刻。 |
トラフィック監視レポート
目的
過去24時間のフローセッションのレポートを確認して、ネットワークトラフィックを監視します。トランスポートプロトコルによる接続統計とセッション使用状況のロギングデータを分析できます。
アクション
過去24時間のネットワークトラフィックを表示するには、J-Webユーザーインターフェイスで 監視>レポート>トラフィック を選択します。レポートの説明については、 表5 を参照してください。
フィールド |
説明 |
|---|---|
| プロトコルごとの過去24時間のセッション数 | |
プロトコル名 |
プロトコルの名前。プロトコル別の時間ごとのアクティビティを確認するには、プロトコル名をクリックし、下のペインにある「プロトコルアクティビティチャート」を確認します。
|
セッション合計数 |
過去24時間におけるプロトコルのセッションの合計数 |
バイトイン(KB) |
受信バイトの合計数(KB)。 |
バイト出力(KB) |
送信バイトの合計数(KB)。 |
パケット受信 |
受信パケットの合計数。 |
パケットアウト |
発信パケットの合計数。 |
| 直近のクローズセッション | |
送信元IP/ポート |
クローズドセッションの送信元IPアドレス(および該当する場合はポート番号)。 |
宛先IP/ポート |
終了したセッションの宛先IPアドレス(および該当する場合はポート番号)。 |
プロトコル |
非公開セッションの議定書。
|
バイトイン(KB) |
受信バイトの合計数(KB)。 |
バイト出力(KB) |
送信バイトの合計数(KB)。 |
パケット受信 |
受信パケットの合計数。 |
パケットアウト |
発信パケットの合計数。 |
タイムスタンプ |
セッションが終了した時間 |
| プロトコルアクティビティチャート | |
バイト入出力 |
トラフィックを1時間あたりの着信および発信バイトとしてグラフィックで表現します。バイトカウントは、プロトコルごとの過去24時間のセッションペインで選択したプロトコルのものです。選択を変更すると、このチャートがすぐに更新されます。 |
パケット入出力 |
1時間あたりの着信パケットと発信パケットとしてのトラフィックのグラフィック表現。パケット数は、プロトコルごとの過去24時間のセッションペインで選択したプロトコルのものです。選択を変更すると、このチャートがすぐに更新されます。 |
セッション |
1時間あたりのセッション数としてのトラフィックのグラフィック表現。セッションカウントは、プロトコルごとの過去24時間のセッションペインで選択したプロトコルのものです。選択を変更すると、このチャートがすぐに更新されます。 |
X軸 |
1列につき1時間、24時間。 |
Y軸 |
バイト、パケット、またはセッションカウント。 |
| プロトコルセッションチャート | |
プロトコル別セッション数 |
プロトコルごとの現在のセッションカウントとしてのトラフィックのグラフィック表現。表示されるプロトコルは、TCP、UDP、ICMPです。 |
オンボックス バイナリ セキュリティ ログ ファイルを設定する
SRXシリーズファイアウォールは、システムログとセキュリティログの2種類のログを使用して、システムイベントを記録します。システムログには、管理者ユーザーがログインしたときなど、コントロールプレーンのイベントが記録されます。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。例えば、Junos OSは、ポリシー違反を理由にセキュリティポリシーが特定のトラフィックを拒否した場合に、セキュリティログを生成します。システムログの詳細については、 Junos OSシステムログの概要を参照してください。セキュリティログの詳細については、 セキュリティデバイスのシステムログについてを参照してください。
システムログとセキュリティログの両方をバイナリ形式で収集し、オンボックス(つまり、SRXシリーズファイアウォールにローカルに保存される)またはオフボックス(リモートデバイスにストリーミング)のいずれかで保存できます。バイナリ形式を使用すると、ログ ファイルが効率的に保存され、CPU 使用率が向上します。
[security]階層レベルでlogステートメントを使用して、バイナリ形式でセキュリティファイルを設定できます。
オンボックスロギングは、イベントモードロギングとも呼ばれます。ストリームモードのオフボックスセキュリティログについては、 オフボックスバイナリセキュリティログファイルの設定を参照してください。イベントモードログ用にセキュリティログをバイナリ形式で設定する場合、オプションでログファイル名、ファイルパス、およびその他の特性を定義できます。詳細は以下の手順に記載されています。
show security log fileコマンドを使用してデバイスに保存されているイベントモードログファイルの内容を表示し、clear security log fileコマンドを使用してバイナリイベントモードセキュリティログファイルの内容をクリアします。
show security logコマンドは、イベントモードセキュリティログメッセージがテキストベースの形式であればそれを表示し、show security log fileコマンドは、バイナリ形式(オンボックス)の場合、イベントモードセキュリティログメッセージを表示します。オフボックスバイナリログは、JSA ジュニパー Secure Analytics によって読み取られます。
オフボックス バイナリ セキュリティ ログ ファイルを設定する
SRXシリーズファイアウォールには、システムログとセキュリティログの2種類のログがあります。システムログは、デバイスへの管理者ログインなどのコントロールプレーンのイベントを記録します。システムログの詳細については、 Junos OSシステムログの概要を参照してください。セキュリティログは、トラフィックログとも呼ばれ、特定のトラフィック処理に関するデータプレーンイベントを記録します。たとえば、ポリシーの違反によりセキュリティポリシーが特定のトラフィックを拒否した場合などです。セキュリティログの詳細については、 セキュリティデバイスのシステムログについてを参照してください。
この2種類のログは、オンボックスまたはオフボックスのどちらでも収集して保存できます。以下の手順では、オフボックス(ストリームモード)ログ用にセキュリティログをバイナリ形式で設定する方法について説明します。
[security]階層レベルでlogステートメントを使用して、バイナリ形式でセキュリティファイルを設定できます。
以下の手順では、ストリームモードセキュリティロギングのバイナリ形式を指定し、ログファイル名、パス、ログファイルの特性を定義します。イベントモードのオンボックスセキュリティログについては、 オンボックスバイナリセキュリティログファイルの設定を参照してください。
イベントモードでオンボックスプロトコルセキュリティログファイルを設定する
show security log file file1.pbコマンドを使用して、デバイスに保存されているprotobufログファイルの内容を表示します。
user@host> show security log file file1.pb
<14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - SECINTEL_ACTION_LOG [junos@2636.1.1.1.2.129 category="secintel" sub-category="CC" action="block" action-detail="test" http-host="test" threat-severity="5" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" feed-name="test" policy-name="test" profile-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" occur-count="3"] <14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - AAMW_ACTION_LOG [junos@2636.1.1.1.2.129 hostname="test" file-category="virus" verdict-number="5" malware-info="Test-File" action="block" list-hit="test" file-hash-lookup="test" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" policy-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" sample-sha256="da26ba1e13ce4702bd5154789ce1a699ba206c12021d9823380febd795f5b002" file-name="test_name" url="www.test.com"] ...
ストリームモードでオンボックスプロトコルセキュリティログファイルを設定する
llmd 。
llmd プロセスでは、デバイス設定に基づいてログファイルが保存されます。デフォルトでは、ログファイルは
/var/traffic-log/filename.pb ディレクトリに保存されます。
uspinfo プロセスを使用してログファイルデータをデコードできます。
show security log stream file file2.pbコマンドを使用して、デバイスに保存されているprotobufログファイルの内容を表示します。
user@host> show security log file file2.pb
<14>1 2023-03-15T22:27:34 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="HTTP" nested-application="BING" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" source-tenant="N/A" destination-service="N/A"] <14>1 2023-03-15T22:27:57 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" packets-from-client="11129" bytes-from-client="583566" packets-from-server="154153" bytes-from-server="218074629" elapsed-time="23" application="HTTP" nested-application="BING" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" secure-web-proxy-session-type="NA" peer-session-id="0" peer-source-address="0.0.0.0" peer-source-port="0" peer-destination-address="0.0.0.0" peer-destination-port="0" hostname="NA NA" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" session-flag="0" source-tenant="N/A" destination-service="N/A" user-type="N/A"] ...
オフボックスProtobufセキュリティログファイルを設定する
データプレーンは、 stream および stream-event モードでProtobuf形式を使用してログをエンコードし、ログをホストに送信します。セキュリティログデータは、異なるトランスポートプロトコルとポート番号を使用してホストに送信されます。ホストはprotobufログを受信し、ファイルに保存します。 hplc_collect.py、 hplc_view.py、 security_log.xml 、 protobuflog.proto ファイルをホストにコピーします。 hplc_collect.py は、ホスト上のログファイルを収集して保存するために使用されます。 protobuflog.proto はホスト上のファイルデータをデコードするために使用され、 hplc_view.pyを使用してデータを表示できます。ファイルは /share/juniper に公開され、ホストにコピーされます。 hplc_collect.py ファイルと hplc_view.py ファイルは、最新のPythonバージョン3をサポートしています。
システムログメッセージをファイルに送信する
システムログメッセージをコンパクトフラッシュ(CF)カード上のファイルに送信できます。ログファイルのデフォルトディレクトリは /var/logです。CFカードで別のディレクトリを指定するには、完全なパス名を含めます。
securityという名前のファイルを作成し、そのファイルにinfoされた重大度レベルでauthorizationクラスのログメッセージを送信します。
ファイル名、ファシリティ、および重大度レベルを設定するには:
{primary:node0}
user@host# set system syslog file security authorization info
すべてのログメッセージをeventd経由で送信するようにシステムを構成する
Junos OSには、設定のロギングの eventd プロセスが最も一般的に使用されます。この設定では、コントロールプレーンログとデータプレーン、またはセキュリティログが、プロセス rtlogd データプレーンからルーティングエンジンコントロールプレーンに転送されます。次に、 rtlogd プロセスは、syslogまたはsd-syslog形式のログを eventd プロセスに転送するか、WELF形式のログを外部またはリモートのWELFログコレクターに転送します。
eventd経由ですべてのログメッセージを送信するには:
重複したログを2番目のリモートサーバーに送信するには、新しい完全修飾 ホスト名 または2番目のサーバーのIPアドレスでコマンドを繰り返します。
導入がアクティブ/アクティブシャーシクラスターである場合、アクティブノード上のセキュリティログを別のリモートサーバーに送信するように設定して、ログの冗長性を実現することもできます。
ログ設定の名前を変更またはリダイレクトするには、その設定を削除して再作成する必要があります。設定を削除するには:
{primary:node0}
user@host# delete security log mode event
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。
dense モードがデフォルトで有効になります。