ファイアウォールフィルターロギングアクション
IPv4およびIPv6ファイアウォールフィルターの場合、 syslog または log アクションを指定することで、一致するパケットヘッダーの概要をログまたはsyslogに書き込むようにフィルターを設定できます。両者の主な違いは、レコードの永続性です。ログはメモリ内にのみバッファリングされ、そのバッファがいっぱいになると、最も古いレコードが入ってくると新しいレコードに置き換えられます。一方、Syslogはディスクに保存するか、リモートsyslogサーバに転送することができます。どちらの場合も、パケットヘッダーの概要が記録されます(パケット自体のコピーではありません)。サービスフィルターとシンプルフィルターは、 log アクションも syslog アクション もサポートしていません。
syslogアクションとlogアクションの両方が、デバイスの CPU やディスク領域を大量に消費する可能性があります。ジュニパーでは、ログをリモートのsyslogサーバーに書き込むことでオフロードし、診断にのみ使用してログ記録を制限することを推奨します。
Syslog
前述のように、システムログはディスクに書き込んだり、リモートサーバーに送信したりできます。保存されたログは、 /var/log
ディレクトリに書き込まれます。デバイスで使用可能なすべてのログファイルのリストを表示するには、オプションを指定せずに show log
コマンドを実行します。特定のログファイル内で、ファイアウォールアクションログにイベントメッセージが散在している可能性があることに注意してください。
次の syslog 構成は、システムログが172.27.1.1のリモートサーバーに送信され、ローカルデバイスの「firewall」という名前のファイルに保存されていることを示しています。
host@device-RE0# show system syslog host 172.27.1.1 { firewall any; } <...> file firewall { firewall any; }
システム ログを表示するには、 show syslog message
コマンドを実行します。
特定のシステム ログ ファイルの内容を表示するには、 show log filename
コマンドまたは file show /var/log/filename
コマンドを実行します。
システム ログ ファイルの内容をクリアするには、 clear log filename
コマンドを実行します。現在のログ ファイルに書き込まれているレコードを含め、保存されているすべてのログを削除する all
オプションを含めることができます。
構成の詳細を次に示します。
firewall { family { filter filter-name { from { match-conditions; } then { ... syslog; terminating-action; } } } }
Log
log アクションは、ログ情報をバッファーに書き込みます。ログをリモート サーバーに書き込むオプションや、ログをディスクに書き込むオプションはありません。使用可能なバッファーがいっぱいになると、新しいログが最も古いログに置き換わるため、履歴レコードは保持されません。デバイスまたはPFEが再起動されるたびに、ログは消去されます。
構成の詳細を次に示します。
firewall { family { filter filter-name { from { match-conditions; } then { ... log; terminating-action; } } } }
ログを表示するには、 show firewall log
コマンドを実行します。
ログの詳細
次に、syslog およびログ エントリに通常どのような情報が含まれるかを示します。
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
フィールドについては、以下で説明します。
Date and Time
- パケットを受信した日時(デフォルトでは表示されていません)。Hostname
- 一致が発生したデバイスの名前。Interface
- パケットが通過した物理インターフェイス。フィルター操作。上記の例では、A です。
A
- 受諾 (または次の用語)D
- 破棄R
- 拒否
Protocol
- パケット プロトコル。は名前または番号で、送信元ポートと宛先ポートを含むこともできます。上記の例では、プロトコルはICMPであり、ICMPタイプとコードが含まれる場合があります。Source address
- パケットの送信元 IP アドレス。Destination address
- パケットの宛先 IP アドレス。Source port
- パケットの送信元ポート(TCP および UDP パケットのみ)。上記の例では、ポートは 0 です。Destination port
- パケットの宛先ポート(TCP および UDP パケットのみ)。上記の例では、ポートは 0 です。Packets in sample interval
- この例では、サンプル間隔(約 1 秒)に一致するパケットが 1 つだけ検出されたことを示しています。パケットがより速い速度で到着すると、システムログは自動的に情報を圧縮し、生成される出力が少なくなります。