Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXシリーズシャーシクラスタのログメッセージ

セッションとパケットフローの概要

特定のセッションに関する詳細情報など、デバイスでアクティブなセッションやパケットフローに関する情報を取得できます。(SRXシリーズ デバイスには、失敗したセッションに関する情報も表示されます。)この情報を表示して、アクティビティを監視したり、デバッグしたりできます。

たとえば、次の show security flow session 目的でコマンドを実行します。

  • サービスを含む、着信および発信 IP フローのリストを表示します。

  • フローに関連付けられたセキュリティ属性(例えば、そのフローに属するトラフィックに適用されるポリシー)を表示します。

  • セッションタイムアウト値、セッションがアクティブになった日時、アクティブであった時間、およびセッションにアクティブなトラフィックがあるかどうかを表示します。

このコマンドの詳細については、 Junos OS CLIリファレンスを参照してください

関連するポリシー構成にログ オプションが含まれている場合も、セッション情報をログに記録できます。セッションロギングインフラストラクチャは、セッションが作成、クローズ、拒否、または拒否されたときにセッションログメッセージをログに記録します。SRX3000行とSRX5000行では、ログメッセージはルーティングエンジンをバイパスして、外部のsyslogサーバー/リポジトリに直接ストリーミングされます。SRXシリーズのデバイスは、従来のsyslogと構造化されたsyslogの両方をサポートしています。SRX3000回線とSRX5000回線は1秒間に1000件のログメッセージをサポートするため、管理ステーションはこの量を処理できるように装備されている必要があります。これらのログの設定例と詳細については、 『Junos OS セキュリティ設定ガイド 』を参照してください。ログは、プライマリノードとセカンダリノードの両方の管理インターフェイスを介して利用できます。これらのログ メッセージを受信する外部サーバが、両方のノードから到達可能であることを確認してください。

ハイエンドのSRXシリーズデバイスは、トラフィックの処理とログメッセージの生成を行う分散処理アーキテクチャを採用しています。SRXシリーズ デバイスでは、ファイアウォールがシャーシ内の各SPUでトラフィック セッションを処理します。作成された各セッションは、シャーシ内の同じ SPU(ログ メッセージを生成する SPU)によって処理されます。

ログ メッセージを生成する標準的な方法は、各 SPU でメッセージを UDP syslog メッセージとして生成し、データ プレーンから syslog サーバーに直接送信することです。SRXシリーズ デバイスは、非常に高いトラフィック レートを記録できます。1秒あたり最大750 MBのログメッセージを記録でき、これはコントロールプレーンの制限を超えています。そのため、特定の状況を除き、コントロールプレーンにメッセージをロギングすることはお勧めしません。

Junos OSリリース9.6以降を実行するSRXシリーズブランチデバイスおよびJunos OSリリース10.0以降を実行するハイエンドSRXシリーズデバイスの場合、デバイスはデータプレーンにログを記録するのではなく、制限された最大レート(毎秒1000ログメッセージ)でコントロールプレーンにメッセージを記録できます。ログ メッセージが syslog を使用してデータ プレーンを介して送信される場合、Juniper Security Threat Response Manager(STRM)などの syslog コレクターを使用して、表示、レポート、および警告用のログを収集する必要があります。Junos OSリリース9.6以降を実行するSRXシリーズブランチデバイスと、Junos OSリリース10.0以降を実行するハイエンドSRXシリーズデバイスでは、デバイスはデータプレーンまたはコントロールプレーンにのみログメッセージを送信でき、両方に同時に送信することはできません。

ハイエンドSRXシリーズデバイスロギングの設定

  1. ロギング形式を設定します。

    システムログメッセージには、構造化と標準の2つの形式がサポートされています。構造化された syslog は、フィールドの先頭にタイトルを付けるため、一般的に好まれます。たとえば、送信元 IP アドレス フィールドは、IP アドレス 10.102.110.52 ではなく、source-address="10.102.110.52" です。次のコマンドでは、 format sd-syslog オプションは構造化 syslog を設定し、 オプションは format syslog 標準 syslog を設定します。

    user@host# set security log format sd-syslog

  2. syslogの送信元アドレスを設定します。

    syslog 送信元アドレスは、任意の IP アドレスにすることができます。デバイスに割り当てられている IP アドレスである必要はありません。代わりに、この IP アドレスは、syslog ソースを識別するために syslog コレクターで使用されます。ベスト プラクティスは、トラフィックが送信されるインターフェイスの IP アドレスとして送信元アドレスを設定することです。

    user@host# set security log source-address ip-address

  3. システムログストリームを設定します。

    システム ログ ストリームは、syslog メッセージの送信先の宛先 IP アドレスを識別します。Junos OSリリース9.5以降を実行するハイエンドSRXシリーズデバイスでは、最大2つのsyslogストリームを定義できます(すべてのメッセージがsyslogストリームに送信されます)。ストリームに名前を付ける必要があることに注意してください。この名前は任意ですが、設定で簡単に識別できるように、syslogコレクタの名前を使用することをお勧めします。

    ログ メッセージの送信先の UDP ポートを定義することもできます。デフォルトでは、ログメッセージはUDPポート1514に送信されます。

    システムログサーバーのIPアドレスを設定するには:

    user@host# set security log stream name host ip-address

    システム ログ サーバーの IP アドレスを設定し、UDP ポート番号を指定するには:

    user@host# set security log stream name host ip-address port port

ハイエンドSRXシリーズ デバイス データ プレーンの設定 コントロールプレーンへのロギング

管理ステーションがデータプレーンからログメッセージを受信できない場合は、管理接続を介してメッセージを送信するように設定します。コントロールプレーンにログインすると、SRXシリーズデバイスはこれらのsyslogメッセージをfxp0インターフェイスから送信することもできます。イベント ログが設定されている場合、データ プレーンからのすべてのログ メッセージはコントロール プレーンに送信されます。

  1. イベント ログを構成します。

    user@host# set security log mode event

  2. イベントログメッセージのレートを制限します。

    大量のログ メッセージを処理するコントロール プレーンのリソースが限られているため、データ プレーンからコントロール プレーンへのイベント ログ メッセージのレート制限が必要になる場合があります。これは、コントロールプレーンがBGPなどの動的ルーティングプロトコルの処理や大規模なルーティング実装でビジー状態の場合に特に当てはまります。次のコマンドは、コントロール プレーンを圧倒しないように、ログ メッセージのレートを制限します。レート制限されたログメッセージは破棄されます。ハイエンドSRXシリーズデバイスのベストプラクティスは、コントロールプレーンに1秒あたり1000件以下のログメッセージを記録することです。

    user@host# set security log mode event event-rate logs per second

データ プレーンを介してトラフィック ログ メッセージを送信するための SRX シリーズ ブランチ デバイスの設定

SRXシリーズ ブランチ デバイスのトラフィック ログ メッセージは、ストリーム モードでデータ プレーン セキュリティ ログを介して送信できます。これは、ストリーム モードを使用してのみ可能であることに注意してください。次に、構成とログ出力の例を示します。

構成

ログメッセージ出力の例

Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]

Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]

この場合、SRXシリーズ デバイス トラフィック ログ メッセージは、データプレーンを介して外部のsyslogサーバーに送信されます。これにより、ルーティング エンジンがロギングのボトルネックにならないようになります。また、過剰なロギング中にルーティング エンジンが影響を受けないようにします。トラフィック ログ メッセージに加えて、コントロール プレーンとルーティング エンジンに送信されたログ メッセージはフラッシュ メモリ内のファイルに書き込まれます。このタイプのロギングを有効にするための構成例を次に示します。

構成

Syslog(セルフログ):この設定は、必要な self ロギングに従ってカスタマイズできます。

トラフィックログ(データプレーンを使用)

この場合、トラフィック ログ メッセージとルーティング エンジンに送信されたログ メッセージの両方が syslog サーバに送信されます。このタイプのロギングを有効にするための構成例を次に示します。

構成

Syslog(syslogサーバー)

トラフィックログ

コントロール プレーン ログの設定

SRXシリーズのデバイスコントロールプレーンは、SRXシリーズプラットフォームの全体的な制御を担当し、ルーティングプロトコルの操作、ルーティングテーブルの計算、管理者の管理、SNMPの管理、認証、その他多くのミッションクリティカルな機能などのタスクを実行するために、多くのソフトウェアプロセスを実行します。コントロールプレーンで生成されるログメッセージは多岐にわたります。コントロールプレーンでは、どのログメッセージを両方のファイルに書き込むか、またsyslogサーバーに送信するかを定義するためのきめ細かなサポートを提供します。このトピックでは、コントロール プレーンでさまざまな syslog オプションを設定する方法の概要を説明します。このセクションでは、syslog サービスを介したログ メッセージの送信についてのみ説明します。

  1. syslog サーバと選択したログ メッセージを設定します。

    SRXシリーズデバイスからログメッセージを受信するようにsyslogサーバーを設定するには、ストリームを受信するsyslogホストと、送信するファシリティおよび重大度を定義します。複数のファシリティと優先度を設定して、複数のログメッセージタイプを送信できます。すべてのメッセージ・タイプを送信するには、ファシリティと重大度の オプションを指定します any

    user@host# set system syslog host syslog server facility severity

  2. syslogの送信元IPアドレスを設定します。

    SRXシリーズデバイスは任意のアドレスでsyslogメッセージを送信できるため、syslogストリームの送信元IPアドレスが必要です。どのインターフェイスが選択されているかに関係なく、同じIPアドレスを使用する必要があります。

    user@host# set system syslog host syslog server source-address source-address

  3. (オプション)正規表現のマッチングを設定します。

    管理者は、syslog サーバに送信されるログ メッセージをフィルタリングしたい場合があります。ログフィルタリングは、 match ステートメントで指定できます。この例では、ステートメント正規表現(IDP)で match 定義されたログのみが syslog サーバに送信されます。

    user@host# set system syslog host syslog server facility severity match IDP

SRXシリーズブランチデバイスをロギング用に構成する

コントロールプレーンを使用して、トラフィックログのみをsyslogサーバーに送信するようにSRXシリーズデバイスを設定できます。

この構成では、次のようになります。

  • セキュリティ ログは構成されません。

  • コントロール プレーンのログは受信されません。

matchトラフィックログメッセージのみを送信するには、 ステートメント正規表現を使用します。これらのログ メッセージは、フラッシュ メモリに書き込まれることなく、syslog サーバに直接送信されます。この設定では、通常ルーティング エンジンに送信されるログ メッセージは syslog サーバに送信されません。ただし、別のファイルを作成し、図のようにコントロールプレーンのログメッセージをルーティングエンジン上のファイルに書き込むことは可能です。

構成

ログメッセージの例:

以下の設定では、トラフィック ログ メッセージと制御ログ メッセージの両方が syslog サーバに送信されますが、syslog サーバが過負荷になり、クラスタが不安定になる可能性があります。この構成を使用することはお勧めしません。

構成

セキュリティログイベントモードは、SRXシリーズブランチデバイスのデフォルトモードであり、これらのデバイスでは推奨されません。既定の動作を変更することをお勧めします。

メモ:

ローカル フラッシュの広範なロギングは、コントロール プレーンが不安定になるなど、デバイスに望ましくない影響を与える可能性があります。

fxp0 インターフェイスと同じサブネット内の IP アドレスを使用したデータ プレーン ログ メッセージの送信

Juniper Networks Security Threat Response Manager(STRM)などの障害管理やパフォーマンス管理のアプリケーションやシステムを展開することをお勧めします。STRM は管理ネットワークを介してログ メッセージを収集し、fxp0 インターフェイスを介して接続されます。障害管理およびパフォーマンス管理アプリケーションは、fxp0インターフェイスを介してSRXシリーズ デバイスを管理しますが、SRXシリーズ デバイスも同じネットワーク上のSTRMにデータ プレーン ログ メッセージを送信する必要があります。たとえば、ログ メッセージのレートが毎秒 1000 ログ メッセージを超える場合、コントロール プレーンへのロギングはサポートされていません。問題は、同じ仮想ルーター内の 2 つのインターフェイスを同じサブネット内に配置できず、fxp0 インターフェイスを inet.0 以外の仮想ルーターに移動できないことです。

これらの問題を回避するには、デフォルトの仮想ルーターinet.0以外の仮想ルーターにデータプレーンインターフェイスを配置し、inet.0ルーティングテーブルにルートを配置して、その仮想ルーターを介してSTRMにトラフィックをルーティングします。次の構成例は、これを行う方法を示しています。

この例では:

  • fxp0 の IP アドレスは 172.19.200.164/24 です。

  • アプリケーション A (AppA) の IP アドレスは 172.19.200.175 です。

  • STRMのIPアドレスは172.19.200.176です。

  • ge-0/0/7インターフェイスはデータプレーンインターフェイスで、IPアドレスは172.19.200.177/24(fxp0インターフェイスと同じサブネット内)です。

この例を構成するには、以下のステートメントを含めます。

メモ:

AppA はデフォルトのルーティング インスタンスで fxp0 インターフェイスを使用してデバイスを管理するため、AppA は ge-0/0/7 インターフェイスを管理できるようになりました。これを行うには、AppA は Logging@<snmp-community-string-name> メッセージ形式を使用して、SNMP を使用して ge-0/0/7 インターフェイス データにアクセスする必要があります。