SRXシリーズシャーシクラスタのログメッセージ
セッションとパケットフローの概要
特定のセッションに関する詳細情報など、デバイスでアクティブなセッションやパケットフローに関する情報を取得できます。(SRXシリーズ デバイスには、失敗したセッションに関する情報も表示されます。)この情報を表示して、アクティビティを監視したり、デバッグしたりできます。
たとえば、次の show security flow session
目的でコマンドを実行します。
サービスを含む、着信および発信 IP フローのリストを表示します。
フローに関連付けられたセキュリティ属性(例えば、そのフローに属するトラフィックに適用されるポリシー)を表示します。
セッションタイムアウト値、セッションがアクティブになった日時、アクティブであった時間、およびセッションにアクティブなトラフィックがあるかどうかを表示します。
このコマンドの詳細については、 Junos OS CLIリファレンスを参照してください。
関連するポリシー構成にログ オプションが含まれている場合も、セッション情報をログに記録できます。セッションロギングインフラストラクチャは、セッションが作成、クローズ、拒否、または拒否されたときにセッションログメッセージをログに記録します。SRX3000行とSRX5000行では、ログメッセージはルーティングエンジンをバイパスして、外部のsyslogサーバー/リポジトリに直接ストリーミングされます。SRXシリーズのデバイスは、従来のsyslogと構造化されたsyslogの両方をサポートしています。SRX3000回線とSRX5000回線は1秒間に1000件のログメッセージをサポートするため、管理ステーションはこの量を処理できるように装備されている必要があります。これらのログの設定例と詳細については、 『Junos OS セキュリティ設定ガイド 』を参照してください。ログは、プライマリノードとセカンダリノードの両方の管理インターフェイスを介して利用できます。これらのログ メッセージを受信する外部サーバが、両方のノードから到達可能であることを確認してください。
ハイエンドのSRXシリーズデバイスは、トラフィックの処理とログメッセージの生成を行う分散処理アーキテクチャを採用しています。SRXシリーズ デバイスでは、ファイアウォールがシャーシ内の各SPUでトラフィック セッションを処理します。作成された各セッションは、シャーシ内の同じ SPU(ログ メッセージを生成する SPU)によって処理されます。
ログ メッセージを生成する標準的な方法は、各 SPU でメッセージを UDP syslog メッセージとして生成し、データ プレーンから syslog サーバーに直接送信することです。SRXシリーズ デバイスは、非常に高いトラフィック レートを記録できます。1秒あたり最大750 MBのログメッセージを記録でき、これはコントロールプレーンの制限を超えています。そのため、特定の状況を除き、コントロールプレーンにメッセージをロギングすることはお勧めしません。
Junos OSリリース9.6以降を実行するSRXシリーズブランチデバイスおよびJunos OSリリース10.0以降を実行するハイエンドSRXシリーズデバイスの場合、デバイスはデータプレーンにログを記録するのではなく、制限された最大レート(毎秒1000ログメッセージ)でコントロールプレーンにメッセージを記録できます。ログ メッセージが syslog を使用してデータ プレーンを介して送信される場合、Juniper Security Threat Response Manager(STRM)などの syslog コレクターを使用して、表示、レポート、および警告用のログを収集する必要があります。Junos OSリリース9.6以降を実行するSRXシリーズブランチデバイスと、Junos OSリリース10.0以降を実行するハイエンドSRXシリーズデバイスでは、デバイスはデータプレーンまたはコントロールプレーンにのみログメッセージを送信でき、両方に同時に送信することはできません。
ハイエンドSRXシリーズデバイスロギングの設定
ハイエンドSRXシリーズ デバイス データ プレーンの設定 コントロールプレーンへのロギング
管理ステーションがデータプレーンからログメッセージを受信できない場合は、管理接続を介してメッセージを送信するように設定します。コントロールプレーンにログインすると、SRXシリーズデバイスはこれらのsyslogメッセージをfxp0インターフェイスから送信することもできます。イベント ログが設定されている場合、データ プレーンからのすべてのログ メッセージはコントロール プレーンに送信されます。
イベント ログを構成します。
user@host#
set security log mode event
イベントログメッセージのレートを制限します。
大量のログ メッセージを処理するコントロール プレーンのリソースが限られているため、データ プレーンからコントロール プレーンへのイベント ログ メッセージのレート制限が必要になる場合があります。これは、コントロールプレーンがBGPなどの動的ルーティングプロトコルの処理や大規模なルーティング実装でビジー状態の場合に特に当てはまります。次のコマンドは、コントロール プレーンを圧倒しないように、ログ メッセージのレートを制限します。レート制限されたログメッセージは破棄されます。ハイエンドSRXシリーズデバイスのベストプラクティスは、コントロールプレーンに1秒あたり1000件以下のログメッセージを記録することです。
user@host#
set security log mode event event-rate logs per second
データ プレーンを介してトラフィック ログ メッセージを送信するための SRX シリーズ ブランチ デバイスの設定
SRXシリーズ ブランチ デバイスのトラフィック ログ メッセージは、ストリーム モードでデータ プレーン セキュリティ ログを介して送信できます。これは、ストリーム モードを使用してのみ可能であることに注意してください。次に、構成とログ出力の例を示します。
構成
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
ログメッセージ出力の例
Sep 06 16:54:22 10.204.225.164 1 2010-09-06T04:24:22.094 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="62736" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="62736" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="206" packets-from-client="64" bytes-from-client="3525" packets-from-server="55" bytes-from-server="3146" elapsed-time="21"]
Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]
Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]
この場合、SRXシリーズ デバイス トラフィック ログ メッセージは、データプレーンを介して外部のsyslogサーバーに送信されます。これにより、ルーティング エンジンがロギングのボトルネックにならないようになります。また、過剰なロギング中にルーティング エンジンが影響を受けないようにします。トラフィック ログ メッセージに加えて、コントロール プレーンとルーティング エンジンに送信されたログ メッセージはフラッシュ メモリ内のファイルに書き込まれます。このタイプのロギングを有効にするための構成例を次に示します。
構成
Syslog(セルフログ):この設定は、必要な self ロギングに従ってカスタマイズできます。
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file messages kernel info
トラフィックログ(データプレーンを使用)
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
この場合、トラフィック ログ メッセージとルーティング エンジンに送信されたログ メッセージの両方が syslog サーバに送信されます。このタイプのロギングを有効にするための構成例を次に示します。
構成
Syslog(syslogサーバー)
set system syslog host 10.204.225.218 any notice
set system syslog host 10.204.225.218 authorization info
set system syslog host 10.204.225.218 kernel info
トラフィックログ
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
コントロール プレーン ログの設定
SRXシリーズのデバイスコントロールプレーンは、SRXシリーズプラットフォームの全体的な制御を担当し、ルーティングプロトコルの操作、ルーティングテーブルの計算、管理者の管理、SNMPの管理、認証、その他多くのミッションクリティカルな機能などのタスクを実行するために、多くのソフトウェアプロセスを実行します。コントロールプレーンで生成されるログメッセージは多岐にわたります。コントロールプレーンでは、どのログメッセージを両方のファイルに書き込むか、またsyslogサーバーに送信するかを定義するためのきめ細かなサポートを提供します。このトピックでは、コントロール プレーンでさまざまな syslog オプションを設定する方法の概要を説明します。このセクションでは、syslog サービスを介したログ メッセージの送信についてのみ説明します。
SRXシリーズブランチデバイスをロギング用に構成する
コントロールプレーンを使用して、トラフィックログのみをsyslogサーバーに送信するようにSRXシリーズデバイスを設定できます。
この構成では、次のようになります。
セキュリティ ログは構成されません。
コントロール プレーンのログは受信されません。
match
トラフィックログメッセージのみを送信するには、 ステートメント正規表現を使用します。これらのログ メッセージは、フラッシュ メモリに書き込まれることなく、syslog サーバに直接送信されます。この設定では、通常ルーティング エンジンに送信されるログ メッセージは syslog サーバに送信されません。ただし、別のファイルを作成し、図のようにコントロールプレーンのログメッセージをルーティングエンジン上のファイルに書き込むことは可能です。
構成
set system syslog host 10.204.225.218 any any
set system syslog host 10.204.225.218 match RT_FLOW_SESSION
set system syslog file messages any any
ログメッセージの例:
Sep 06 15:22:29 10.204.225.164 Sep 6 02:52:30 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 Sep 06 15:22:43 10.204.225.220 Sep 6 02:52:30 last message repeated 10 times Sep 06 15:23:49 10.204.225.164 Sep 6 02:53:49 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 60(3307) 46(2784) 79
以下の設定では、トラフィック ログ メッセージと制御ログ メッセージの両方が syslog サーバに送信されますが、syslog サーバが過負荷になり、クラスタが不安定になる可能性があります。この構成を使用することはお勧めしません。
構成
set system syslog host 10.204.225.218 any any
set system syslog file messages any any
セキュリティログイベントモードは、SRXシリーズブランチデバイスのデフォルトモードであり、これらのデバイスでは推奨されません。既定の動作を変更することをお勧めします。
ローカル フラッシュの広範なロギングは、コントロール プレーンが不安定になるなど、デバイスに望ましくない影響を与える可能性があります。
fxp0 インターフェイスと同じサブネット内の IP アドレスを使用したデータ プレーン ログ メッセージの送信
Juniper Networks Security Threat Response Manager(STRM)などの障害管理やパフォーマンス管理のアプリケーションやシステムを展開することをお勧めします。STRM は管理ネットワークを介してログ メッセージを収集し、fxp0 インターフェイスを介して接続されます。障害管理およびパフォーマンス管理アプリケーションは、fxp0インターフェイスを介してSRXシリーズ デバイスを管理しますが、SRXシリーズ デバイスも同じネットワーク上のSTRMにデータ プレーン ログ メッセージを送信する必要があります。たとえば、ログ メッセージのレートが毎秒 1000 ログ メッセージを超える場合、コントロール プレーンへのロギングはサポートされていません。問題は、同じ仮想ルーター内の 2 つのインターフェイスを同じサブネット内に配置できず、fxp0 インターフェイスを inet.0 以外の仮想ルーターに移動できないことです。
これらの問題を回避するには、デフォルトの仮想ルーターinet.0以外の仮想ルーターにデータプレーンインターフェイスを配置し、inet.0ルーティングテーブルにルートを配置して、その仮想ルーターを介してSTRMにトラフィックをルーティングします。次の構成例は、これを行う方法を示しています。
この例では:
fxp0 の IP アドレスは 172.19.200.164/24 です。
アプリケーション A (AppA) の IP アドレスは 172.19.200.175 です。
STRMのIPアドレスは172.19.200.176です。
ge-0/0/7インターフェイスはデータプレーンインターフェイスで、IPアドレスは172.19.200.177/24(fxp0インターフェイスと同じサブネット内)です。
この例を構成するには、以下のステートメントを含めます。
set interfaces fxp0 unit 0 family inet address 172.19.200.164/24 set system syslog host 172.19.200.176 any any set system syslog host 172.19.200.176 source-address 172.19.200.177 set interface ge-0/0/7 unit 0 family inet address 172.19.200.177/24 set security log format sd-syslog set security log source-address 172.19.200.177 set security log stream Log host 172.19.200.176 set routing-instances Logging instance-type virtual-router set routing-instances Logging interface ge-0/0/7.0 set routing-options static route 172.19.200.176/32 next-table Logging.inet.0
AppA はデフォルトのルーティング インスタンスで fxp0 インターフェイスを使用してデバイスを管理するため、AppA は ge-0/0/7 インターフェイスを管理できるようになりました。これを行うには、AppA は Logging@<snmp-community-string-name> メッセージ形式を使用して、SNMP を使用して ge-0/0/7 インターフェイス データにアクセスする必要があります。