ファイアウォールフィルターロギングアクション
IPv4およびIPv6ファイアウォールフィルターの場合、 または アクションのいずれかを指定する ことで、一致するパケットヘッダーの概要をログまたは syslogに書き込むようにフィルターを構成できます。sysloglog 両者の主な違いは、レコードの永続性です。ログはメモリ内にのみバッファリングされ、そのバッファがいっぱいになると、最も古いレコードが入ってくると新しいレコードに置き換えられます。一方、Syslogはディスクに保存するか、リモートsyslogサーバに転送することができます。どちらの場合も、パケットヘッダーの概要が記録されます(パケット自体のコピーではありません)。サービスフィルターとシンプルフィルターは、 または アクションのいずれもサポートしていません。logsyslog
アクションと アクション の両方が、デバイスの CPU やディスク領域を大量に消費する可能性があります。sysloglog ジュニパーでは、ログをリモートのsyslogサーバーに書き込むことでオフロードし、診断にのみ使用してログ記録を制限することを推奨します。
Syslog
前述のように、システムログはディスクに書き込んだり、リモートサーバーに送信したりできます。保存されたログはディレクトリ に書き込まれます。/var/log
デバイス 上で使用可能なすべてのログファイルのリストを表示するには、オプションを指定せずにコマンドを実行します。show log
特定のログファイル内で、ファイアウォールアクションログにイベントメッセージが散在している可能性があることに注意してください。
次の 構成は、システムログが172.27.1.1のリモートサーバーに送信され、ローカルデバイスの「firewall」という名前のファイルに保存されていることを示しています。syslog
host@device-RE0# show system syslog host 172.27.1.1 { firewall any; } <...> file firewall { firewall any; }
システムログを表示するには、次のコマンドを実行します 。show syslog message
特定のシステム・ログ・ファイルの内容を表示するには、 または コマンドを実行します。show log filename
file show /var/log/filename
システムログファイルの内容をクリアするには、 コマンドを実行します 。clear log filename
現在のログ ファイルに書き込まれるレコードを含め、保存されているすべてのログを削除するオプションを含めることができます 。all
構成の詳細を次に示します。
firewall { family { filter filter-name { from { match-conditions; } then { ... syslog; terminating-action; } } } }
Log
このアクションは 、ログ情報をバッファーに書き込みます。log ログをリモート サーバーに書き込むオプションや、ログをディスクに書き込むオプションはありません。使用可能なバッファーがいっぱいになると、新しいログが最も古いログに置き換わるため、履歴レコードは保持されません。デバイスまたはPFEが再起動されるたびに、ログは消去されます。
構成の詳細を次に示します。
firewall { family { filter filter-name { from { match-conditions; } then { ... log; terminating-action; } } } }
ログを表示するには、次のコマンドを実行します 。show firewall log
ログの詳細
次に、syslog およびログ エントリに通常どのような情報が含まれるかを示します。
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
フィールドについては、以下で説明します。
Date and Time
- パケットを受信した日時(デフォルトでは表示されていません)。Hostname
- 一致が発生したデバイスの名前。Interface
- パケットが通過した物理インターフェイス。フィルター操作。上記の例では、A です。
A
- 受諾 (または次の用語)D
- 破棄R
- 拒否
Protocol
- パケット プロトコル。は名前または番号で、送信元ポートと宛先ポートを含むこともできます。上記の例では、プロトコルはICMPであり、ICMPタイプとコードが含まれる場合があります。Source address
- パケットの送信元 IP アドレス。Destination address
- パケットの宛先 IP アドレス。Source port
- パケットの送信元ポート(TCP および UDP パケットのみ)。上記の例では、ポートは 0 です。Destination port
- パケットの宛先ポート(TCP および UDP パケットのみ)。上記の例では、ポートは 0 です。Packets in sample interval
- この例では、サンプル間隔(約 1 秒)に一致するパケットが 1 つだけ検出されたことを示しています。パケットがより速い速度で到着すると、システムログは自動的に情報を圧縮し、生成される出力が少なくなります。