Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティデバイスのシステムロギングを設定する

セキュリティデバイスのシステムロギング概要

Junos OSは、システムログメッセージ( syslogメッセージとも呼ばれる)の設定と監視をサポートしています。システム メッセージをログに記録するようにファイルを設定し、重大度レベルなどの属性をメッセージに割り当てることもできます。再起動要求はシステムログファイルに記録され、このコマンドで 確認できます。show log

このセクションでは、以下のトピックについて説明します。

コントロールプレーンとデータプレーンのログ

Junos OSは、システムのコントロールプレーンとデータプレーンで発生するイベントを記録するために、別々のログメッセージを生成します。

  • コントロールプレーンログは、システムログとも呼ばれ、ルーティングプラットフォームで発生するイベントが含まれます。システムは、ルーティングエンジン上のプロセスに コントロールプレーンイベントを送信し、プロセスはJunos OSポリシーを使用するか、システムログメッセージを生成するか、またはその両方を使用してイベントを処理します。eventd コントロールプレーンログを、ファイル、ユーザー端末、ルーティングプラットフォームコンソール、またはリモートマシンに送信するように選択できます。コントロール プレーン ログを生成するには、 階層レベルで ステートメントを使用します。syslog[system]

  • データ プレーン ログ (セキュリティ ログとも呼ばれます) には、主にデータ プレーン内で処理される セキュリティ イベントが含まれます。セキュリティ ログはテキスト形式またはバイナリ形式にすることができ、ローカルに保存するか(イベント モード)、外部サーバーに送信できます(ストリーム モード)。バイナリ形式はストリーム モードに必要であり、イベント モードでログ領域を節約するために推奨されます。

    次の点に注意してください。

    • セキュリティ ログは、ローカル(オンボックス)または外部(オフボックス)に保存できますが、両方を保存することはできません。

    • SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、および SRX5800 デバイスは、デフォルトでストリーム モードになっています。バイナリ形式と外部サーバーを指定するには、「 オフボックス バイナリ セキュリティ ログ ファイルの構成」を参照してください。オフボックス バイナリ セキュリティ ログ ファイルを構成する

      注:

      これらのデバイスでイベント モードのログ記録を設定すると、ログが削除される可能性があります。

      Junos OSリリース15.1X49-D100以降、SRX1500デバイスのデフォルトモードはストリームモードです。Junos OS リリース 15.1X49-D100 以前は、SRX1500デバイスのデフォルト モードはイベント モードでした。

    • Junos OSリリース18.4R1、18、4R2、19.1、19.2R1を除き、Junos OSリリース18.3R3以降の他のすべてのリリースでは、SRX300、SRX320、SRX340、SRX345、SRX550、およびSRX550Mデバイスのデフォルトのロギングモードはストリームモードです。データ プレーン イベントは、コントロール プレーン イベントと同様の方法でシステム ログ ファイルに書き込まれます。セキュリティ ログのバイナリ形式を指定するには、「 オフボックス バイナリ セキュリティ ログ ファイルの構成」を参照してください。オフボックス バイナリ セキュリティ ログ ファイルを構成する

    Junos OSリリース20.2R1以降、解析エラーを回避するために、ストリームログ転送とオンボックスレポートでのエスケープがサポートされています。ストリーム・モードは、ログがプロセスに送信されない場合のエスケープとフォーマットをサポートします。sd-syslogbinary eventd プロセスに送信されるログについては、プロセスによって構造ログのエスケープが有効になっているため、オプションを有効にしないことをお勧めします。eventdescapeeventd イベントモードは 、形式のエスケープのみをサポートします。binary デフォルトでは、 このオプションは無効になっています。escape コマンドを使用して、 オプション を有効にする必要があります。escapeset security log escape

冗長システムログサーバ

リモートサーバー向けのセキュリティシステムロギングトラフィックは、2つの同時システムログ宛先をサポートするネットワークインターフェイスポートを介して送信されます。各システム ロギングの宛先は、個別に構成する必要があります。2 つのシステム ログ宛先アドレスが設定されている場合、同一のログが両方の宛先に送信されます。この機能をサポートする任意のデバイスで 2 つの宛先を設定できますが、2 番目の宛先を追加することは、主にスタンドアロンおよびアクティブ/バックアップ構成済みの シャーシ クラスタ 展開の冗長バックアップとして役立ちます。

次の冗長サーバー情報を使用できます。

  • 施設: cron

  • 説明:cronスケジューリングプロセス

  • 重大度レベル(重大度の高いものから低いものへ): debug

  • 説明:ソフトウェア・デバッグ・メッセージ

セキュリティ ログのバイナリ形式

Junos OSは、システムのコントロールプレーンとデータプレーンで発生するイベントを記録するために、別々のログメッセージを生成します。コントロールプレーンは、ルーティングプラットフォームで発生するイベントを監視します。このようなイベントは、システムログメッセージに記録されます。システムログメッセージを生成するには、 階層レベルで ステートメントを使用します。syslog[system]

セキュリティ ログ メッセージと呼ばれるデータ プレーン ログ メッセージは、システムがデータ プレーン内で直接処理するセキュリティ イベントを記録します。セキュリティ ログ メッセージを生成するには、 階層レベルで ステートメントを使用します。log[security]

システムログメッセージは、BSD Syslog、Structured Syslog、WebTrends Enhanced Log Format(WELF)などのテキストベースの形式でログファイルに保持されます。

セキュリティログメッセージは、テキストベースの形式で管理することもできます。ただし、セキュリティ ログでは大量のデータが生成される可能性があるため、テキスト ベースのログ ファイルは記憶域と CPU リソースをすぐに消費する可能性があります。セキュリティ ログの実装によっては、バイナリ ベースの形式のログ ファイルを使用すると、オンボックスまたはオフボックス ストレージをより効率的に使用し、CPU 使用率を向上させることができます。セキュリティログメッセージのバイナリ形式は、すべてのSRXシリーズファイアウォールで利用できます。

イベントモードで設定された場合、データプレーンで生成されたセキュリティログメッセージはコントロールプレーンに送信され、デバイスにローカルに保存されます。バイナリ形式で保存されたセキュリティログメッセージは、システムログメッセージの保守に使用されるログファイルとは別のログファイルに保持されます。バイナリログファイルに保存されたイベントは、テキストベースのログファイル向けの高度なログスクリプトコマンドではアクセスできません。別のCLI操作コマンドは、デバイスにローカルに保存されているバイナリログファイルのデコード、変換、および表示をサポートします。

ストリームモードで設定された場合、データプレーンで生成されたセキュリティログメッセージがリモートデバイスにストリーミングされます。これらのメッセージがバイナリ形式で保存されると、ジュニパー固有のバイナリ形式で外部のログ収集サーバーに直接ストリーミングされます。外部に保存されたバイナリログファイルは、Juniper Secure Analytics(JSA)またはSecurity Threat Response Manager(STRM)を使用してのみ読み取ることができます。

Junos OS リリース 17.4R2 以降、SRX300、SRX320、SRX340、SRX345 シリーズ デバイスおよび vSRX 仮想ファイアウォールインスタンスでは、デバイスがストリーム モードで設定された場合、最大 8 つのシステム ログ ホストを設定できます。Junos OSリリース17.4R2以前のリリースでは、ストリームモードで設定できるシステムログホストは3つだけです。システム ログ ホストを 3 つ以上設定すると、次のエラー メッセージが表示されます 。error: configuration check-out failed

オンボックス(イベントモード)のバイナリセキュリティログの設定については、「 オンボックスバイナリセキュリティログファイルの設定」を参照してください。オンボックス バイナリ セキュリティ ログ ファイルの設定オフボックス(ストリームモード)バイナリセキュリティログの設定については、 オフボックスバイナリセキュリティログファイルの設定を参照してください。オフボックス バイナリ セキュリティ ログ ファイルを構成する

オンボックス ログ作成とレポート

このトピックでは、オンボックス ロギングおよびレポーティング CLI 機能と、SRX デバイスのオンボックス レポーティングの設計面について説明します。

概要

ソリッドステートドライブ(SSD)へのオンボックストラフィックロギングは、8つの外部ログサーバーまたはファイルをサポートします。

すべてのトラフィック ログ情報を含むオールインワン XML ファイルが追加されます。XML ファイルは、すべてのロギング ヘッダー ファイルとトラフィック ログ関連ドキュメントも生成します。

ローカルログ管理デーモン(llmd)と呼ばれる新しいプロセス(デーモン)は、サービス処理カード0(SPCs0)でサポートされており、オンボックストラフィックロギングを処理します。SPC のフローによって生成されたトラフィックは、トラフィック ログにリストされます。llmdは、これらのログをローカルSSDに保存します。トラフィックログは4つの異なる形式で保存されます。ログ形式については、を参照してください。表 1

表 1: ログ形式
ログ形式 説明 デフォルト
Syslog
  • ログを保存するための従来のログ形式。
Sd-syslog
  • 構造化システム ログ ファイル形式。
  • したがって、最も説明的で長いため、保存により多くのスペースが必要になります。
  • サイズのため、この形式で保存されたログの転送に時間がかかります。
-
ウェルフ
  • WebTrends拡張ログファイル形式は、業界標準のログファイル交換形式です。
  • Firewall Suite 2.0 以降、Firewall Reporting Center 1.0 以降、Security Reporting Center 2.0 以降と互換性があります。
-
バイナリ
  • ジュニパー独自のフォーマット。
  • 他のすべてのログ形式の中で最も説明的ではなく、他のログ形式と比較して必要なスペースが最も少なくなります。
-
プロトブフ
  • 構造化データをシリアル化するための、言語に依存せず、プラットフォームに依存しない、拡張可能な Google のメカニズム。

  • データのエンコードには別の方法が使用されます。

  • ファイルサイズはsyslogやsd-syslogに比べて小さいです。

 

オンボックス レポート メカニズムは、既存のログ機能の拡張機能です。既存のロギング機能は、システム トラフィック ログを収集し、ログを分析し、CLI を使用してこれらのログのレポートを表形式で生成するように変更されます。オンボックスレポート機能は、セキュリティログを表示するためのシンプルで使いやすいインターフェイスを提供することを目的としています。オンボックスレポートは、表やグラフの形式で、さまざまなセキュリティイベントのJ-Webページを簡単に使用できます。このレポートにより、ITセキュリティ管理者はセキュリティ情報を一目で識別し、実行するアクションを迅速に決定できます。ログの徹底的な分析は、screen、IDP、コンテンツセキュリティ、IPSecなどの機能について(セッションタイプに基づいて)実行されます。

以下の基準に基づいて、報告されるログ・データのフィルターを定義できます。

注:

トップ、詳細、およびインターバル内の条件を同時に使用することはできません。

  • top <number>- このオプションを使用すると、コマンドで指定された上位のセキュリティ イベントのレポートを生成できます。例えば:コンテンツ セキュリティで検出された IPS 攻撃の上位 5 件または上位 6 件の URL。

  • in-detail <number>- このオプションを使用すると、詳細ログの内容を生成できます。

  • in-interval <time-period>- このオプションを使用すると、特定の時間間隔の間にログに記録されたイベントを生成できます。

  • summary- このオプションを使用すると、イベントのサマリーを生成できます。このようにして、ニーズに合わせてレポートを微調整し、使用するデータのみを表示できます。

間隔内のカウントを示す最大間隔内数は 30 です。長い期間を指定すると、最大間隔が 30 未満になるようにカウンターが組み立てられます。

異なるテーブルには異なる属性があるため(セッションテーブルには属性「reason」はありませんが、コンテンツセキュリティには属性があります)、詳細オプションと要約オプションの両方に「all」オプションがあります。開始時刻と停止時刻以外のフィルターがある場合は、エラーが表示されます。

たとえば、以下のように表示されます。root@host> セキュリティ ログを表示する 理由1 すべての理由を詳細に報告する

アプリケーションとユーザーの可視性のアプリケーション ファイアウォール ログには、アプリケーションと入れ子になったアプリケーションが一覧表示されます。これらの機能のログにネストされたアプリケーションがリストされている場合、ネストされたアプリケーションはJ-Webにリストされます。ログにネストされたアプリケーションが該当しない、または不明としてリストされている場合、そのアプリケーションのみがJ-Webに表示されます。

次の CLI コマンドを使用して、すべてのアプリケーションおよびネストされたアプリケーションをリストするアプリケーションとユーザーを表示します。

  • カウントによる上位のネストされたアプリケーションの場合—show security log report top session-close top-number <number> group-by application order-by count with user

  • ボリュームによる上位のネストされたアプリケーションの場合—show security log report top session-close top-number <number> group-by application order-by volume with user

  • ネストされたアプリケーションのカウントによる上位ユーザーの場合—show security log report top session-close top-number <number> group-by user order-by count with application

Junos OSリリース15.1X49-D100以降を搭載したSRXシリーズファイアウォールに工場出荷時のデフォルト設定をロードすると、オンボックスレポート機能がデフォルトで有効になります。

SRXシリーズファイアウォールをJunos OS 15.1X49-D100より前のJunos OSリリースからアップグレードする場合、SRXシリーズファイアウォールは既存の設定を継承し、オンボックスレポート機能はデフォルトで無効になっています。アップグレードされるデバイスでオンボックスレポート機能を有効にするには、 コマンドと コマンドを設定する必要があります。set security log reportset security log mode stream

Junos OSリリース19.3R1 以降、工場出荷時のデフォルト設定には、ソリッドステートドライブ(SSD)の寿命を延ばすためのオンボックスレポート構成が含まれていません。オンボックスレポート機能を有効にするには、 階層で CLI コマンドを設定します。set security log report[edit security log]

J-Webユーザーインターフェイスでこのタスクを実行するには、 SRXシリーズデバイス向けJ-Webユーザーガイド を参照してください。https://www.juniper.net/documentation/us/en/software/jweb-srx21.2/jweb-srx/index.html

Junos OS リリース 21.3R1 以降、外部 SSD がない場合、オンボックスのレポート ログはメモリ ファイル システム(MFS)に保存されます。MFS に保管できるログの最大数は、外部 SSD に保管できるログ数よりも少なくなります。これにより、メモリの枯渇や障害を防ぐことができます。MFS に保管されたログは、装置のリブートまたは電源障害の後は保持されません。オンボックス レポートとオフボックス レポートに記録されたログの数を確認するには、を参照してください。表 2

表 2: ログの数
レポートモード セッション 画面 IDP コンテンツセキュリティ IPsec-VPN
オフボックス 1200,000 120,000 120,000 120,000 40,000 120,000
オンボックス 500,000 50,000 50,000 50,000 20,000 50,000
注:

オンボックスレポート機能を使用してJ-Web のアプリケーショントラッキングですべてのアプリケーションとネストされたアプリケーションを一覧表示するには、コマンドを使用してセッションのセキュリティポリシーを設定する必要があります。set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close 詳細については、その他の ログ(セキュリティポリシー)については、 を参照してください。log (Security Policies)

ログ メッセージが記録された後、ログはログ ファイル内に保存され、さらに分析するために RE のデータベース テーブル(SRX300、SRX320、SRX340、SRX345、および SRX550M デバイス)またはさらなる分析のために SSD カード(SRX1500、SRX4100、および SRX4200 デバイス上)に保存されます。

注:

この機能は、セッションの数や量、ログのタイプに基づく最上位レポートの受信をサポートし、指定された時間範囲内に毎秒発生するイベントをキャプチャし、指定されたCLI条件のログコンテンツをキャプチャします。レポートの生成には、「サマリー」、「トップ」、「詳細」、「インインターバル」などのさまざまなCLI条件が使用されます。CLI を使用して一度に生成できるレポートは 1 つだけです。すべてのCLI条件を同時に使用することはできません。CLI を使用して一度に生成できるレポートは 1 つだけです。

この機能の利点は次のとおりです。

  • レポートはSRXシリーズのファイアウォールにローカルに保存され、ログとレポートを保存するための個別のデバイスやツールは必要ありません。

  • オンボックスレポートは、さまざまなセキュリティイベントを表やグラフでまとめた使いやすいJ-Webページです。

  • セキュリティ ログを表示するためのシンプルで使いやすいインターフェイスを提供します。

  • 生成されたレポートにより、ITセキュリティ管理チームはセキュリティ情報を一目で識別し、実行するアクションを迅速に決定できます。

オンボックスレポート機能では、以下がサポートされます。

  • 要件に基づいてレポートを生成する。たとえば、以下のように表示されます。セッションの数またはボリューム、IDP、コンテンツセキュリティ、IPsec VPNなどのアクティビティのログタイプ。

  • 指定した時間範囲内のリアルタイムイベントをキャプチャします。

  • CLIで指定したさまざまな条件に基づいて、すべてのネットワークアクティビティを論理的に整理されたわかりやすい形式でキャプチャします。

オンボックスレポート機能

オンボックスレポート機能では、以下がサポートされます。

  • Sqlite3 support as a library—sqlite3は、Junos OSリリース15.1X49-D100以前はサポートされていません。Junos OSリリース15.1X49-D100以降、SQLログデータベース(SQLiteバージョン3)は、REで実行されているデーモンや、SRXシリーズファイアウォールにログを保存するためのその他のモジュールによって使用されます。

    Junos OS リリース 19.4R1 では、クエリのパフォーマンスを向上させるために、オンボックス ログ データベースをアップグレードしました。

  • Running llmd in both Junos OS and Linux OS- 転送デーモン(flowd)はバイナリログからデータベースインデックスをデコードし、インデックスとログの両方をローカルログ管理デーモン(llmd)に送信します。

    SRX300、SRX320、SRX340、SRX345、およびSRX550Mデバイスでは、llmdはJunos OSで動作します。SRX1500、SRX4100、および SRX4200 デバイスでは、llmd は Linux で実行されます。そのため、llmdをJunos OSとLinux OSの両方で動作させるために、llmdコードディレクトリをLinux側からJunos OS側に移動しています。

  • Storing of logs into specified table of the sqlite3 database by llmd— SRXシリーズファイアウォール上のローカルログを収集し、データベースに保存するための新しいsyslogデーモンが導入されました。

    Junos OS リリース 19.3R1 以降、Junos OS は、データベース ファイルの単一テーブルではなく、複数のテーブルにログを保存します。各テーブルには、最も古いログと最新のログのタイムスタンプが含まれています。開始時刻と終了時刻に基づいてクエリを開始すると、llmd は最新のテーブルを検索してレポートを生成します。

    たとえば、過去 10 時間に生成されたデータベース ファイルの 1 つのテーブルに 500 万のログがあり、レポートを作成する場合は、30 分以上を費やす必要があります。Junos OS Release 19.3R1 以降、1 つのテーブルが複数のテーブルに分割され、各テーブルには 50 万のログが含まれます。同じレポートを生成するには、1 つのテーブル情報で十分です。

    パフォーマンスを向上させるために、より短い時間でクエリを実行することをお勧めします。

    • Database table definition- セッション ログの場合、データ タイプは送信元アドレス、宛先アドレス、アプリケーション、ユーザなどです。セキュリティ機能に関連するログの場合、データ型は攻撃名、URL、プロファイル プロトコルなどです。したがって、パフォーマンスを向上させ、ディスク領域を節約するために、さまざまな種類のログを格納するために、さまざまなテーブルが設計されています。SRXシリーズファイアウォールは、ログデータが記録されるときに、ログタイプごとにデータベーステーブルを作成します。

      各タイプのデータベース表には、装置固有の最大レコード番号があります。テーブルレコード番号が制限に達すると、新しいログが最も古いログに置き換わります。Junos OSは、アクティブなトラフィックが通過するSRXシリーズファイアウォールにログを保存します。

      Junos OS リリース 19.3R1 以降、ログ を保存するデータベース ファイルに複数のテーブルを作成できます。ログをテーブルに格納する容量を定義できます。

      ログ数の上限がテーブル容量を超えた場合、Junos OS はログを 2 番目のテーブルに保存します。例えば、テーブル1のログ制限がテーブル容量を超えた場合、Junos OSはテーブル2にログを格納します。

      ログ数の上限がファイル 1 の最後のテーブルを超える場合、Junos OS はログ をファイル 2 のテーブル 1 に保存します。たとえば、テーブル n はファイル 1 の最後のテーブルです。ログがテーブル容量を超えると、Junos OS はファイル 2 のテーブル 1 にログを保存します。

      テーブル番号を変更した後、すぐに有効にするには、操作コマンドを使用してください 。clear security log report

    • Database table rotation- 各タイプのデータベース テーブルには、デバイス固有の最大レコード番号があります。テーブルレコード番号が制限に達すると、新しいログが最も古いログに置き換わります。

      次に 、データベースファイルサイズの容量について説明します。表 3

      表 3: データベースファイルサイズの容量

      デバイス

      セッション

      画面

      IDP

      コンテンツセキュリティ

      IPsec-VPN

      SRX300、SRX320、SRX340、SRX345、およびSRX550M

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

      SRX1500

      12G

      2.25G

      2.25グラム

      2.25グラム

      0.75G

      2.25グラム

      SRX4100とSRX4200

      15G

      2.25グラム

      2.25グラム

      2.25グラム

      0.75G

      2.25グラム

      SRX4600

      22.5G

      6G

      6G

      6G

      0.75G

      2.25グラム

      vSRX 仮想ファイアウォール

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

  • Calculating and displaying the reports that are triggered by CLI- データベースからのレポートは、インターフェイスである CLI から受信されます。CLI を使用して、レポートの詳細を計算して表示できます。

テーブル選択

複数のテーブルからレポートを生成する場合、llmdはタイムスタンプに基づいてテーブルをソートし、要求された開始時刻と停止時刻に従ってテーブルを選択します。

たとえば、テーブル 1 (1 から 3)、テーブル 2 (3 から 5)、およびテーブル 3 (6 から 8) の 3 つのテーブルがあるとします。1 から 3、3 から 6、および 6 から 8 は、最新および最も古いログのタイム スタンプを示します。4から6へのレポートを要求すると、Junos OSは表2と表3からレポートを生成します。

テーブルの有効期間

テーブルの有効期間は、コマンドを設定する ことで決定できます。set security log report table-lifetime Junos OSは、テーブルの識別時間がテーブルのライフタイムを超えた後、テーブルを削除します。たとえば、テーブルの有効期間を 2 に設定し、現在の日付が 2019 年 7 月 26 日の場合、2019 年 7 月 24 日 00:00:00 にログが削除されます。

デバイスで日付と時刻を手動で変更すると、テーブルの有効期間が変更されます。例えば、テーブルの識別時間が2019年7月19日で、テーブルの有効期間を10に設定した場合、Junos OSは2019年7月29日にテーブルを削除するはずです。デバイスの日付を 2019 年 7 月 18 日に変更すると、テーブルの実質有効期間は 2019 年 7 月 30 日になります。

テーブル密度モード

Junos OS リリース 19.4R1 では、ログを管理するために、オンボックス ログ データベースのデフォルトのストレージおよび検索メカニズムをアップグレードしました。ログの保存と検索メカニズムの結果をカスタマイズできるようになりました。たとえば、トラフィック ログの数を減らすことが予想される場合は、開始時間と停止時間を含むデフォルト設定を使用できます。

ただし、トラフィック ログの数が多く、ログが生成される時間間隔が長くなることが予想される場合は、デンス モードを有効にします。デンスモードを有効にするには、 コンフィグレーションコマンドを使用します 。set security log report table-mode dense

シャーシ クラスタのシナリオ

シャーシ クラスタでのオンボックス レポートの場合、ログはデバイスがアクティブなトラフィックを処理しているローカル ディスクに保存されます。これらのログは、シャーシ クラスタ ピアには同期されません。

各ノードは、アクティブなトラフィックを処理しているときにログを保存する役割を担います。アクティブ/パッシブモードの場合、アクティブノードのみがトラフィックを処理し、ログもアクティブノードにのみ保存されます。フェイルオーバーの場合、新しいアクティブノードはトラフィックを処理し、ログをローカルディスクに保存します。アクティブ/アクティブモードの場合、各ノードは独自のトラフィックを処理し、ログはそれぞれのノードに保存されます。

レポートの監視

オンボックス レポートは、セキュリティ管理チームがセキュリティ イベントが発生したときにそれを特定し、イベントに関する関連する詳細にすぐにアクセスして確認し、適切な是正措置を迅速に決定できる包括的なレポート機能を提供します。J-Webレポート機能では、1ページまたは2ページのレポートが提供されます。これは、多数のログ エントリをまとめたものと同じです。

このセクションでは、以下のトピックについて説明します。

脅威監視レポート

目的

脅威レポートを使用して、ネットワークに対する現在の脅威に関する一般的な統計とアクティビティ レポートを監視します。脅威の種類、送信元と送信先の詳細、および脅威の頻度情報について、ログ データを分析できます。このレポートは、統計情報の計算、表示、更新を行い、ネットワークの現在の状態をグラフィックで表示します。

アクション

脅威レポートを表示するには:

  1. ダッシュボードの右下にある をクリックする か、J-Webユーザー インターフェイスで を選択します 。Threats ReportMonitor>Reports>Threats 脅威レポートが表示されます。

  2. 次のいずれかのタブを選択します。

    • Statistics ] タブ。ページコンテンツの説明については、を参照してください 。表 4

    • Activities ] タブ。ページコンテンツの説明については、を参照してください 。表 5

表 4: 脅威レポートの[統計]タブの出力

フィールド

説明

一般統計ペイン

脅威カテゴリ

次の脅威のカテゴリのいずれか:

  • トラフィック

  • IDP

  • コンテンツセキュリティ

    • ウィルス対策

    • アンチスパム

    • [Web フィルター(Web フィルター)]:[Web フィルター] カテゴリをクリックして、39 のサブカテゴリのカウンターを表示します。

    • コンテンツ フィルタ

  • ファイアウォール イベント

  • DNS

重大 度

脅威の重大度レベル:

  • Emerg

  • 警告

  • 批判的

  • Err

  • 警告

  • 通知

  • 情報

  • デバッグ

過去 24 時間のヒット数

過去 24 時間にカテゴリごとに検出された脅威の数。

現在の時間のヒット数

過去 1 時間にカテゴリごとに検出された脅威の数。

過去 24 時間の脅威カウント

重大度別

過去 24 時間に受信した脅威の数を重大度レベルで並べ替えて表したグラフです。

カテゴリー別

過去 24 時間に受信した脅威の数をカテゴリ別に表したグラフ。

X 軸

現在の時間がディスプレイの右端の列を占める 24 時間の範囲。グラフは 1 時間ごとに左にシフトします。

Y 軸

検出された脅威の数。軸は、発生した脅威の数に基づいて自動的にスケーリングされます。

最新の脅威

脅威名

最新の脅威の名前。脅威のカテゴリによっては、脅威名をクリックしてスキャン エンジン サイトに移動し、脅威の説明を確認できます。

カテゴリー

各脅威のカテゴリ:

  • トラフィック

  • IDP

  • コンテンツセキュリティ

    • ウィルス対策

    • アンチスパム

    • Web フィルター

    • コンテンツ フィルタ

  • ファイアウォール イベント

  • DNS

送信元IP/ポート

脅威の送信元 IP アドレス(および該当する場合はポート番号)。

宛先IP/ポート

脅威の宛先 IP アドレス(および該当する場合はポート番号)。

プロトコル

脅威のプロトコル名。

説明

カテゴリタイプに基づく脅威の識別:

  • アンチウィルス - URL

  • Web フィルター - カテゴリ

  • コンテンツ フィルター - 理由

  • アンチスパム - 送信者の電子メール

アクション

脅威に対して取られた措置。

ヒットタイム

脅威が発生した時刻。

過去 24 時間の脅威の傾向

カテゴリー

カテゴリ別の比較脅威数を表す円グラフのグラフィック:

  • トラフィック

  • IDP

  • コンテンツセキュリティ

    • ウィルス対策

    • アンチスパム

    • Web フィルター

    • コンテンツ フィルタ

  • ファイアウォール イベント

  • DNS

Web フィルタ カウンタの概要

カテゴリー

Webフィルタ数を最大39のサブカテゴリ別に分類しました。[全般統計] ペインの [Web フィルタ] リストをクリックすると、[Web フィルタ カウンタの概要] ペインが開きます。

過去 24 時間のヒット数

過去 24 時間のサブカテゴリごとの脅威の数。

現在の時間のヒット数

過去 1 時間のサブカテゴリごとの脅威の数。

表 5: 脅威レポートの[アクティビティ]タブの出力

フィールド

機能

最新のウイルスヒット

脅威名

ウイルスの脅威の名前。ウイルスは、Web、FTP、電子メールなどのサービス、または重大度レベルに基づいています。

重大 度

各脅威の重大度レベル:

  • Emerg

  • 警告

  • 批判的

  • Err

  • 警告

  • 通知

  • 情報

  • デバッグ

送信元IP/ポート

脅威の送信元のIPアドレス(および該当する場合はポート番号)。

宛先IP/ポート

脅威の送信先のIPアドレス(および該当する場合はポート番号)。

プロトコル

脅威のプロトコル名。

説明

カテゴリタイプに基づく脅威の識別:

  • アンチウィルス - URL

  • Web フィルター - カテゴリ

  • コンテンツ フィルター - 理由

  • アンチスパム - 送信者の電子メール

アクション

脅威に対して取られた措置。

最終ヒット時刻

脅威が最後に発生した時刻。

最新のスパムメール送信者

メールから

スパムの送信元である電子メール アドレス。

重大 度

脅威の重大度レベル:

  • Emerg

  • 警告

  • 批判的

  • Err

  • 警告

  • 通知

  • 情報

  • デバッグ

送信元 IP

脅威の送信元のIPアドレス。

アクション

脅威に対して取られた措置。

最終送信時刻

スパム電子メールが最後に送信された時刻。

最近ブロックされた URL 要求

URL

ブロックされた URL 要求。

送信元IP/ポート

送信元の IP アドレス(および該当する場合はポート番号)。

宛先IP/ポート

宛先の IP アドレス(および該当する場合はポート番号)。

現在の時間のヒット数

過去 1 時間に発生した脅威の数。

最新のIDP攻撃

攻撃

重大 度

各脅威の重大度:

  • Emerg

  • 警告

  • 批判的

  • Err

  • 警告

  • 通知

  • 情報

  • デバッグ

送信元IP/ポート

送信元の IP アドレス(および該当する場合はポート番号)。

宛先IP/ポート

宛先の IP アドレス(および該当する場合はポート番号)。

プロトコル

脅威のプロトコル名。

アクション

脅威に対して取られた措置。

最終送信時刻

IDP脅威が最後に送信された時刻。

トラフィック監視レポート

目的

過去 24 時間のフロー セッションのレポートを確認して、ネットワーク トラフィックを監視します。トランスポートプロトコルによる接続統計とセッション使用状況のロギングデータを分析できます。

アクション

過去 24 時間のネットワーク トラフィックを表示するには、J-Web ユーザー インターフェイスで を選択します 。Monitor>Reports>Traffic レポートの説明については、 を参照してください 。表 6

表 6: トラフィック レポート出力

フィールド

説明

プロトコルごとの過去 24 時間のセッション

プロトコル名

プロトコルの名前。プロトコル別に時間単位のアクティビティを表示するには、プロトコル名をクリックし、下部ペインの [プロトコル アクティビティ チャート] を確認します。

  • TCP

  • UDP

  • Icmp

合計セッション

過去 24 時間のプロトコルのセッションの合計数。

バイト数 (KB)

受信バイトの合計数 (KB)。

出力バイト数 (KB)

送信バイトの総数 (KB)。

受信パケット

着信パケットの総数。

パケット出力

発信パケットの総数。

最近終了したセッション

送信元IP/ポート

終了したセッションの送信元 IP アドレス(および該当する場合はポート番号)。

宛先IP/ポート

終了したセッションの宛先 IP アドレス(および該当する場合はポート番号)。

プロトコル

閉じたセッションのプロトコル。

  • TCP

  • UDP

  • Icmp

バイト数 (KB)

受信バイトの合計数 (KB)。

出力バイト数 (KB)

送信バイトの総数 (KB)。

受信パケット

着信パケットの総数。

パケット出力

発信パケットの総数。

タイムスタンプ

セッションが閉じられた時刻。

プロトコルアクティビティチャート

バイトイン/アウト

1時間あたりの着信および発信バイトとしてのトラフィックのグラフィック表現。バイト数は、[プロトコルごとの過去 24 時間のセッション] ペインで選択されたプロトコルのバイト数です。選択を変更すると、このグラフはすぐに更新されます。

パケット入力/出力

1時間あたりの着信および発信パケットとしてのトラフィックのグラフィック表現。パケット数は、[プロトコルごとの過去 24 時間のセッション] ペインで選択されたプロトコルの数です。選択を変更すると、このグラフはすぐに更新されます。

セッション

1時間あたりのセッション数としてのトラフィックのグラフィック表現。セッション数は、[プロトコルごとの過去 24 時間のセッション] ウィンドウで選択したプロトコルの数です。選択を変更すると、このグラフはすぐに更新されます。

X 軸

24 時間、列ごとに 1 時間。

Y 軸

バイト数、パケット数、またはセッション数。

プロトコルセッションチャート

プロトコル別セッション数

プロトコルごとの現在のセッション数としてのトラフィックのグラフィック表現。表示されるプロトコルは、TCP、UDP、ICMP です。

オンボックス バイナリ セキュリティ ログ ファイルの設定

SRXシリーズファイアウォールは、システムログとセキュリティログの2種類のログを使用してシステムイベントを記録します。システム ログには、管理者ユーザーのログイン時などのコントロール プレーン イベントが記録されます。セキュリティ ログは、トラフィック ログとも呼ばれ、特定のトラフィック処理に関するデータ プレーン イベントを記録します。たとえば、ポリシー違反を理由にセキュリティ ポリシーが特定のトラフィックを拒否した場合、Junos OS はセキュリティ ログを生成します。システム ログの詳細については、 Junos OS システム ログの概要を参照してください。セキュリティ ログの詳細については、 セキュリティ デバイスのシステム ログについてを参照してください。セキュリティデバイスのシステムロギング概要

システムログとセキュリティログの両方を、オンボックス(SRXシリーズファイアウォールにローカルに保存)またはオフボックス(リモートデバイスにストリーミング)のいずれかでバイナリ形式で収集および保存できます。バイナリ形式を使用すると、ログ ファイルが効率的に格納され、CPU 使用率が向上します。

階層レベルで ステートメントを使用して、バイナリ形式のセキュリティ・ファイルを設定できます。log[security]

オンボックス ログは、イベント モード ログとも呼ばれます。ストリーム モードのオフボックス セキュリティ ログについては、「 オフボックス バイナリ セキュリティ ログ ファイルの構成」を参照してください。オフボックス バイナリ セキュリティ ログ ファイルを構成するイベント モード ログ用にバイナリ形式でセキュリティ ログを構成する場合、次の手順で詳しく説明するように、ログ ファイル名、ファイル パス、およびその他の特性をオプションで定義できます。

  1. オンボックス ログのログ モードと形式を指定します。
    注:

    システム ログを外部の宛先 (オフボックスまたはストリーム モード) に送信するようにシステム ログを構成すると、イベント モードのセキュリティ ログを使用している場合でも、セキュリティ ログもその宛先に送信されます。外部宛先へのシステムログの送信の詳細については、 例を参照してください。システム ロギングの設定

    注:

    オフボックスとオンボックスのセキュリティ ログ モードを同時に有効にすることはできません。

  2. (オプション)ログ ファイルの名前とパスを定義します。
    注:

    セキュリティ ログのファイル名は必須ではありません。セキュリティログのファイル名が設定されていない場合、デフォルトではbin_messagesファイルは/var/logディレクトリに作成されます。

  3. (オプション)ログ・ファイルの最大サイズと、アーカイブできるログ・ファイルの最大数を変更します。
    注:

    既定では、ログ ファイルの最大サイズは 3 MB で、合計 3 つのログ ファイルをアーカイブできます。

    次のサンプル コマンドでは、それぞれ 5 MB と 5 つのアーカイブ ファイルの値を設定します。

  4. (オプション)hpl フラグを設定して、バイナリー・セキュリティー・ログ・ファイルの診断トレースを使用可能にします。smf_hpl プレフィックスは、すべてのバイナリロギングトレースを識別します。
  5. default-permit セキュリティ ポリシーでは、 のトラフィック ログ はセッションの終了時に生成されます。RT_FLOW
  6. (オプション)の トラフィックログは、セッションの開始時に生成されます。RT_FlOW

コマンドを使用してデバイス に保存されているイベントモードログファイルの内容を表示し、 コマンドを使用して バイナリイベントモードセキュリティログファイルの内容をクリアします。show security log fileclear security log file

注:

コマンドは、イベントモードのセキュリティログメッセージがテキストベースの場合はそのメッセージを表示し、イベントモードのセキュリティログメッセージがバイナリ形式(オンボックス)の場合は表示します。show security logshow security log file オフボックスのバイナリロギングは、Juniper Secure Analytics(JSA)が読み取ります。

オフボックス バイナリ セキュリティ ログ ファイルを構成する

SRXシリーズファイアウォールには、2種類のログがあります。システム ログとセキュリティ ログ。システム ログには、デバイスへの管理者ログインなどのコントロール プレーン イベントが記録されます。システムログの詳細については、 Junos OSシステムログの概要を参照してください。トラフィック ログとも呼ばれるセキュリティ ログは、ポリシー違反のためにセキュリティ ポリシーが特定のトラフィックを拒否した場合など、特定のトラフィック処理に関するデータ プレーン イベントを記録します。セキュリティ ログの詳細については、「 セキュリティ デバイスのシステム ログについて」を参照してください。セキュリティデバイスのシステムロギング概要

2種類のログは、オンボックスまたはオフボックスで収集および保存できます。次の手順では、オフボックス (ストリーム モード) ログ用にバイナリ形式でセキュリティ ログを構成する方法について説明します。

階層レベルで ステートメントを使用して、バイナリ形式のセキュリティ・ファイルを設定できます。log[security]

次の手順では、ストリーム モード セキュリティ ログのバイナリ形式を指定し、ログ ファイル名、パス、およびログ ファイルの特性を定義します。イベント モードのオンボックス セキュリティ ログについては、「 オンボックス バイナリ セキュリティ ログ ファイルの構成」を参照してください。オンボックス バイナリ セキュリティ ログ ファイルの設定

  1. ログ ファイルのログ モードと形式を指定します。オフボックスのストリームモードロギングの場合:
    注:

    オフボックスとオンボックスのセキュリティ ログ モードを同時に有効にすることはできません。

  2. オフボックスセキュリティログの場合は、ログメッセージを生成したSRXシリーズファイアウォールを識別する送信元アドレスを指定します。送信元アドレスは必須です。
  3. 必要に応じて、ログ ファイル名とパスを定義します。
    注:

    セキュリティ ログのファイル名は必須ではありません。セキュリティログのファイル名が設定されていない場合、デフォルトではbin_messagesファイルは/var/logディレクトリに作成されます。

  4. オプションで、ログ・ファイルの最大サイズと、アーカイブできるログ・ファイルの最大数を変更します。既定では、ログ ファイルの最大サイズは 3 MB で、合計 3 つのログ ファイルをアーカイブできます。
  5. オプションで、hpl フラグを選択して、バイナリロギングの診断トレースを有効にします。プレフィックス smf_hpl は、すべてのバイナリロギングトレースを識別します。
  6. Juniper Secure Analytics(JSA)またはSecurity Threat Response Manager(STRM)を使用して、デバイスに保存されているイベントモードログファイルの内容を表示します。

イベントモードでのオンボックスProtobufセキュリティログファイルの設定

Protocol Buffers (Protobuf) is a data format used to serialize structured security logs. You can configure the security log using protobuf format. Data plane use the Protobuf to encode the log and send the log to rtlog process. The rtlog process saves the log file based on the device configuration. By default, the log files are stored in /var/log/filename.pb directory. You can decode the file data using rtlog process.
イベントモードで Protobuf フォーマットを設定するには、次の手順に従います。
  1. オンボックス ログのログ モードと形式を指定します。
  2. ログ ファイルの名前とパスを定義します。
  3. ログ・ファイルの最大サイズと、アーカイブできるログ・ファイルの最大数を変更します。

コマンドを使用して、デバイス に保存されているprotobufログファイルの内容を表示します。show security log file file1.pb

user@host> show security log file file1.pb

ストリームモードでのオンボックスProtobufセキュリティログファイルの設定

Data plane use the Protobuf to encode the log and send the log to llmd process. The llmd process saves the log file based on the device configuration. By default, the log files are stored in /var/traffic-log/filename.pb directory. You can decode the log file data using uspinfo process.
ストリーム モードで Protobuf 形式をファイルに構成するには、次のようにします。
  1. オンボックス ログのログ モードと形式を指定します。
  2. ログ ファイルの名前を定義します。
  3. アーカイブできるログ ファイルの最大サイズを変更します。

コマンドを使用して、デバイス に保存されているprotobufログファイルの内容を表示します。show security log stream file file2.pb

user@host> show security log file file2.pb

オフボックス Protobuf セキュリティ ログ ファイルを構成する

データ プレーンは、Protobuf 形式 を および モードで使用してログを エンコードし、ホストに送信します。streamstream-event セキュリティ ログ データは、異なるトランスポート プロトコルとポート番号を使用してホストに送信されます。ホストは protobuf ログを受信し、ファイルに保存します。、 、および ファイルをホストにコピーします。hplc_collect.pyhplc_view.pysecurity_log.xmlprotobuflog.proto は 、ホスト上でログファイルを収集して保存するために使用されます。hplc_collect.py は 、ホスト上のファイル・データをデコードするために使用され、を使用してデータ を表示できます。protobuflog.protohplc_view.py ファイルがホストにパブリッシュされ、ホストに コピーされます。/share/juniper および ファイルは、最新の Python バージョン 3 をサポートしています。hplc_collect.pyhplc_view.py

ホストするストリーム イベント モードで Protobuf 形式を構成するには:
  1. オフボックス・ロギングのロギング・モードおよびログ・ストリーム形式を指定します。は 、ストリームモードとイベントモードの組み合わせです。Stream-event
  2. オフボックスセキュリティログの場合は、ログメッセージを生成したSRXシリーズファイアウォールを識別する送信元アドレスを指定します。
  3. ログ ファイルの名前とパスを定義します。
  4. ログストリーム s1 をホストとポートの設定で構成します。
  5. ログ・ファイルの最大サイズと、アーカイブできるログ・ファイルの最大数を変更します。
  6. log.trace ファイルをデコードして、ログの内容を表示するように構成します。

システムログメッセージをファイルに送信する

システム ログ メッセージをコンパクトフラッシュ(CF)カード上のファイルに送信できます。ログ・ファイルのデフォルト・ディレクトリは です。/var/log CF カードに別のディレクトリを指定するには、完全なパス名を含めます。

という名前のファイルを作成し、重大度レベルのクラスのログメッセージをそのファイルに送信します。securityauthorizationinfo

ファイル名、ファシリティ、重大度レベルを設定するには:

eventdを介してすべてのログメッセージを送信するようにシステムを設定します

Junos OS では、 設定のログ記録プロセスが最も一般的に使用されます。eventd この構成では、コントロールプレーンのログとデータプレーン、またはセキュリティログがデータプレーンからルーティングエンジンコントロール プレーンプロセスに転送されます。rtlogd その後、 プロセスは syslog または sd-syslog 形式のログをプロセスに転送する か、WELF 形式のログを外部またはリモートの WELF ログ コレクターに転送します。rtlogdeventd

すべてのログメッセージを送信 するには:eventd

  1. セキュリティ ログを処理し、リモート サーバーに送信するプロセスを設定します。eventd
  2. システムログメッセージを受信するサーバーを設定します。

    ここで 、はログを受信するサーバーの完全修飾ホスト名またはIPアドレスです。hostname

注:

重複したログを 2 番目のリモート サーバーに送信するには、2 番目のサーバーの新しい完全修飾 ホスト名 または IP アドレスを使用してコマンドを繰り返します。

導入がアクティブ/アクティブ シャーシ クラスタの場合は、ロギングの冗長性を実現するために、アクティブ ノードでセキュリティ ログを別々のリモート サーバに送信するように設定することもできます。

ロギング設定の 1 つを名前変更またはリダイレクトするには、そのロギング設定を削除して再作成する必要があります。コンフィギュレーションを削除するには:

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
15.1X49-D100
Junos OSリリース15.1X49-D100以降、SRX1500デバイスのデフォルトモードはストリームモードです。Junos OS リリース 15.1X49-D100 以前は、SRX1500デバイスのデフォルト モードはイベント モードでした。
17.4R2
Junos OS リリース 17.4R2 以降、SRX300、SRX320、SRX340、SRX345 シリーズ デバイスおよび vSRX 仮想ファイアウォールインスタンスでは、デバイスがストリーム モードで設定された場合、最大 8 つのシステム ログ ホストを設定できます。Junos OSリリース17.4R2以前のリリースでは、ストリームモードで設定できるシステムログホストは3つだけです。システム ログ ホストを 3 つ以上設定すると、次のエラー メッセージが表示されます 。error: configuration check-out failed
Junos OS Release 15.1X49-D100
Junos OSリリース15.1X49-D100以降を搭載したSRXシリーズファイアウォールに工場出荷時のデフォルト設定をロードすると、オンボックスレポート機能がデフォルトで有効になります。
Junos OS Release 19.3R1
Junos OS リリース 19.3R1 以降、SRX300、SRX320、SRX340、SRX345、SRX550、およびSRX550Mデバイスでは、 デフォルトでストリーム モードになっています。
Junos OS Release 19.3R1
Junos OSリリース19.3R1 以降、工場出荷時のデフォルト設定には、ソリッドステートドライブ(SSD)の寿命を延ばすためのオンボックスレポート構成が含まれていません。