이벤트 로깅 개요
평가된 구성에서는 시스템 로그를 통해 구성 변경 사항을 감사해야 합니다.
또한 Junos OS는 다음과 같은 이점을 제공합니다.
감사 이벤트에 대한 자동화된 응답을 보냅니다(syslog 항목 생성).
권한 있는 관리자가 감사 로그를 검사할 수 있도록 허용합니다.
감사 파일을 외부 서버로 보냅니다.
권한이 부여된 관리자가 시스템을 알려진 상태로 되돌릴 수 있습니다.
평가된 구성에 대한 로깅은 이벤트를 캡처해야 합니다. 로깅 이벤트는 다음과 같습니다.
표 1 에는 NDcPPv2에 대한 syslog 감사 샘플이 나와 있습니다.
요구 사항 |
Auditable 이벤트 |
추가 감사 기록 내용 |
이벤트 생성 방법 |
---|---|---|---|
FAU_GEN.1 |
없음 |
없음 |
|
FAU_GEN.2 |
없음 |
없음 |
|
FAU_STG_EXT.1 |
없음 |
없음 |
|
FAU_STG.1 |
없음 |
없음 |
|
FCS_CKM.1 |
없음 |
없음 |
|
FCS_CKM.2 |
없음 |
없음 |
|
FCS_CKM.4 |
없음 |
없음 |
|
FCS_COP.1/ 데이터 암호화 |
없음 |
없음 |
|
FCS_COP.1/SigGen |
없음 |
없음 |
|
FCS_COP.1/해시 |
없음 |
없음 |
|
FCS_COP.1/KeyedHash |
없음 |
없음 |
|
FCS_RBG_EXT.1 |
없음 |
없음 |
|
FDP_RIP.2 |
없음 |
없음 |
|
FIA_AFL.1 |
실패한 로그인 시도 횟수 한도를 초과했습니다. |
시도의 출처(예: IP 주소). |
sshd - SSHD_LOGIN_ATTEMPTS_THRESHOLD [junos@2636.1.1.1.2.164 limit="3" username="root"] 'root' 사용자가 도달한 인증 시도 실패에 대한 임계값(3) |
FIA_PMG_EXT.1 |
없음 |
없음 |
|
FIA_UIA_EXT.1 |
식별 및 인증 메커니즘의 모든 사용. |
제공된 사용자 ID, 시도 출처(예: IP 주소). |
성공적인 원격 로그인 mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username="root" authentication-level="super-user"] 인증된 사용자 'root'가 'super-user' 클래스에 할당되었습니다. mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username="root" class-name="super-user" local-peer="" pid="70652" ssh-connection="10.223.5.251 53476 10.204.134.54 22" client-mode="cli"] 사용자 'root' 로그인, 클래스 'super-user' [70652], ssh-connection '10.223.5.251 53476 10.204.134.54 22', 클라이언트 모드 'cli' 원격 로그인 실패 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] 호스트 '10.223.5.251'에서 사용자 'root'에 대한 로그인 실패 성공적인 로컬 로그인 로그인 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] 사용자 루트가 장치 ttyu0의 호스트 [알 수 없음]에서 로그인했습니다. 로그인 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] 사용자 루트가 장치 ttyu0의 호스트 [알 수 없음]에서 루트로 로그인했습니다. 로컬 로그인 실패 로그인 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 username="root" error-message="서비스 모듈 오류"] 사용자 루트 인증 중 실패: 서비스 모듈 오류 로그인 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="ttyu0"] 호스트 ttyu0에서 사용자 root에 대한 로그인에 실패했습니다. |
FIA_UAU_EXT.2 |
식별 및 인증 메커니즘의 모든 사용. |
시도의 출처(예: IP 주소). |
성공적인 원격 로그인 mgd 70652 UI_AUTH_EVENT [junos@2636.1.1.1.2.164 username="root" authentication-level="super-user"] 인증된 사용자 'root'가 'super-user' 클래스에 할당되었습니다. mgd 70652 UI_LOGIN_EVENT [junos@2636.1.1.1.2.164 username="root" class-name="super-user" local-peer="" pid="70652" ssh-connection="10.223.5.251 53476 10.204.134.54 22" client-mode="cli"] 사용자 'root' 로그인, 클래스 'super-user' [70652], ssh-connection '10.223.5.251 53476 10.204.134.54 22', 클라이언트 모드 'cli' 원격 로그인 실패 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] 호스트 '10.223.5.251'에서 사용자 'root'에 대한 로그인 실패 성공적인 로컬 로그인 로그인 2671 LOGIN_INFORMATION [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] 사용자 루트가 장치 ttyu0의 호스트 [알 수 없음]에서 로그인했습니다. 로그인 2671 LOGIN_ROOT [junos@2636.1.1.1.2.164 username="root" hostname="[unknown\]" tty-name="ttyu0"] 사용자 루트가 장치 ttyu0의 호스트 [알 수 없음]에서 루트로 로그인했습니다. 로컬 로그인 실패 로그인 70818 LOGIN_PAM_ERROR [junos@2636.1.1.1.2.164 username="root" error-message="서비스 모듈 오류"] 사용자 루트 인증 중 실패: 서비스 모듈 오류 로그인 70818 LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="ttyu0"] 호스트 ttyu0에서 사용자 root에 대한 로그인에 실패했습니다. |
FIA_UAU.7 |
없음 |
없음 |
|
FMT_MOF.1/ 수동 업데이트 |
수동 업데이트를 시작하려는 모든 시도. |
없음 |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FMT_MTD.1/코어데이터 |
TSF 데이터의 모든 관리 활동 |
없음 |
이 표에 나열된 감사 이벤트를 참조하십시오. |
FMT_SMF.1/IPS |
없음 |
없음 |
없음 |
FMT_SMF.1/ND |
없음 |
없음 |
없음 |
FMT_SMF.1/FFW |
TSF 데이터의 모든 관리 활동(방화벽 규칙의 생성, 수정 및 삭제 포함) |
없음 |
<30>1 2020-08-11T11:15:00.025-07:00 까르띠에 NSD 2095 NSD_SYS_TIME_CHANGE - 시스템 시간이 변경되었습니다. <38>1 2020-08-11T11:15:25.214-07:00 까르띠에 초기화 - - - 섀시 제어(PID 2059)가 status=69로 종료됨 <38>1 2020-08-11T11:15:25.217-07:00 까르띠에 초기화 - - - 섀시 제어(PID 47908) 시작 <29>1 2020-08-11T11:16:08.805-07:00 까르띠에 섀시 47908 CHASSISD_RECONNECT_SUCCESSFUL - 소프트 재시작 시 성공적으로 다시 연결됨 |
FMT_SMR.2 |
없음 |
없음 |
|
FPT_SKP_EXT.1 |
없음 |
없음 |
|
FPT_APW_EXT.1 |
없음 |
없음 |
|
FPT_TST_EXT.1 |
없음 |
없음 |
|
FPT_TUD_EXT.1 |
업데이트 시작; 업데이트 시도의 결과(성공 또는 실패) |
없음 |
UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="sec-officer" command="request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate "] User 'sec-officer', command 'request system software add /var/tmp/junos-srxsme-20.4R1.1.tgz no-validate ' |
FPT_STM_EXT.1 |
시간에 대한 불연속적인 변경 - 관리자가 자동화된 프로세스를 통해 작동하거나 변경되었습니다. |
시간에 대한 불연속 변경의 경우: 시간에 대한 이전 값과 새 값입니다. 성공 및 실패 시간(예: IP 주소)을 변경하려는 시도의 출처입니다. |
mgd 71079 UI_CMDLINE_READ_LINE [junos@2636.1.1.1.2.164 username="root" command="날짜 설정 202005201815.00 "] 사용자 'root', 명령 '날짜 설정 202005201815.00' mgd 71079 UI_COMMIT_PROGRESS [junos@2636.1.1.1.2.164 message="'네트워크 보안 데몬' 시그널링, pid 2641, 신호 31, 알림 오류가 활성화된 상태 0"] 커밋 작업 진행 중: '네트워크 보안 데몬' 시그널링, pid 2641, 신호 31, 알림 오류가 활성화된 상태 0 NSD 2641 NSD_SYS_TIME_CHANGE - 시스템 시간이 변경됨 |
FTA_SSL_EXT.1( 세션 종료를 선택한 경우) |
세션 잠금 메커니즘에 의한 로컬 대화형 세션의 종료The termination of a local interactive session by the session locking mechanism. |
없음 |
cli - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] 사용자 'root'에 대한 유휴 시간 제한을 초과하여 세션이 종료되었습니다. |
FTA_SSL.3 |
세션 잠금 메커니즘에 의한 원격 세션의 종료입니다. |
없음 |
cli - UI_CLI_IDLE_TIMEOUT [junos@2636.1.1.1.2.164 username="root"] 사용자 'root'에 대한 유휴 시간 제한을 초과하여 세션이 종료되었습니다. |
FTA_SSL.4 |
대화형 세션의 종료입니다. |
없음 |
mgd 71668 UI_LOGOUT_EVENT [junos@2636.1.1.1.2.164 username="root"] 사용자 'root' 로그아웃 |
FTA_TAB.1 |
없음 |
없음 |
|
FCS_SSHS_EXT.1 |
SSH 세션 설정 실패 |
실패 이유 |
sshd 72404 - - 1.1.1.2 포트 42168과(와) 협상할 수 없음: 일치하는 암호를 찾을 수 없습니다. 제공: chacha20-poly1305@openssh.com, aes128-ctr, aes192-ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, aes128-cbc, aes192-cbc, aes256-cbc |
FTP_ITC.1 |
신뢰할 수 있는 채널의 시작.신뢰할 수 있는 채널의 종료입니다. 신뢰할 수 있는 채널 기능의 실패 |
실패한 신뢰할 수 있는 채널 설정 시도의 개시자 및 대상 식별 |
신뢰할 수 있는 경로의 시작 sshd 72418 - - 10.223.5.251 포트 42482 ssh2에서 루트에 대해 허용되는 keyboard-interactive/pam 신뢰할 수 있는 경로의 종료 sshd 72418 - - 사용자 루트 10.223.5.251 포트 42482에서 연결이 끊어짐 신뢰할 수 있는 경로의 실패 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] 호스트 '10.223.5.251'에서 사용자 'root'에 대한 로그인 실패 |
FTP_TRP.1/관리자 |
신뢰할 수 있는 경로의 시작입니다. 신뢰할 수 있는 경로의 종료입니다. 신뢰할 수 있는 경로가 작동하지 않습니다. |
없음 |
신뢰할 수 있는 경로의 시작 sshd 72418 - - 10.223.5.251 포트 42482 ssh2에서 루트에 대해 허용되는 keyboard-interactive/pam 신뢰할 수 있는 경로의 종료 sshd 72418 - - 사용자 루트 10.223.5.251 포트 42482에서 연결이 끊어졌습니다. 신뢰할 수 있는 경로의 실패 sshd - SSHD_LOGIN_FAILED [junos@2636.1.1.1.2.164 username="root" source-address="10.223.5.251"] 호스트 '10.223.5.251'에서 사용자 'root'에 대한 로그인 실패 |
FCS_SSHS_EXT.1 |
SSH 세션 설정 실패 |
실패 이유 |
sshd 72404 - - 1.1.1.2 포트 42168과(와) 협상할 수 없음: 일치하는 암호를 찾을 수 없습니다. 그들의 제안: chacha20-poly1305@openssh.com, aes128-ctr, aes192-ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com, aes128-cbc, aes192-cbc, aes256-cbc |
FIA_X509_EXT.1/개정판 |
인증서의 유효성을 검사하지 못했습니다. |
실패 이유 |
verify-sig 72830 - - ecerts.pem 검증할 수 없음:주체 발급자 불일치:/C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProduction TestEc_2017_NO_DEFECTS/emailAddress =ca@juniper.net |
FIA_X509_EXT.2 |
없음 |
없음 |
|
FIA_X509_EXT.3 |
없음 |
없음 |
|
FMT_MOF.1/함수 |
외부 IT 엔터티에 대한 감사 데이터 전송 동작 수정, 감사 데이터 처리, 로컬 감사 저장 공간이 가득 찼을 때의 감사 기능. |
없음 |
mgd 71891 UI_RESTART_EVENT [junos@2636.1.1.1.2.164 username="root" process-name="네트워크 보안 데몬" description="즉시"] 사용자 'root' 재시작 데몬 '네트워크 보안 데몬' 즉시 초기화 - - - 네트워크 보안(PID 72907)이 신호 번호 9에 의해 종료되었습니다! 초기화 - - - 네트워크 보안(PID 72929) 시작됨 |
FMT_MOF.1/서비스 |
서비스 시작 및 중지. |
없음 |
|
FMT_MTD.1/ 크립토키 |
암호화 키 관리. |
없음 |
SSH 키 ssh-keygen 2706 - 지문이 있는 SSH 키 파일 /root/.ssh/id_rsa.pub 생성 SHA256:EQotXjlahhlVplg + YBLbFR3TdmJMpm6D1FSjRo6lVE4 ssh-keygen 2714 - 지문이 있는 SSH 키 파일 /root/.ssh/id_ecdsa.pub 생성 SHA256:ubQWoesME9bpOT1e/ sYv871hwWUzSG8hNqyMUe1cNc0 IPSEC 키 pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1="384" argument2="ECDSA" argument3="cert1"] cert1에 대해 384비트 ECDSA 키 쌍이 생성되었습니다. pkid 2458 PKID_PV_KEYPAIR_GEN [junos@2636.1.1.1.2.164 argument1="4096" argument2="RSA" argument3="cert2"] cert2에 대해 4096비트 RSA 키 쌍이 생성되었습니다. |
FFW_RUL_EXT.1 |
'log' 작업으로 구성된 규칙 적용 |
원본 및 대상 주소.원본 및 대상 포트. 전송 레이어 프로토콜 TOE 인터페이스 |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 source-address="1.1. 1.2" source-port="10001" destination-address="2.2.2.2" destination-port="21" connection-tag="0" service-name="junos-ftp" nat-source-address="1.1.1.2" nat-source-port="10001" nat-de stination-address="2.2.2.2" nat-destination-port="21" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protoco l-id="6" policy-name="p1" source-zone-name="ZO_A" destination-zone-name="ZO_B" session-id-32="5" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="UNKN OWN" nested-application="UNKNOWN" encrypted="UNKNOWN" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp= "N/A" dst-vrf-grp="N/A"] 세션 생성 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 1.1.1.2/10001->2.2.2.2/21 0x0 N/A N/A N/A N/A 6 p1 ZO_A ZO_B 5 N/A(N/A) ge-0/0/0.0 알 수 없는 알 수 없는 알 수 없는 N/A N/A -1 N/A N/A N/ A |
너무 많은 네트워크 트래픽으로 인해 손실된 패킷 표시 |
패킷을 처리할 수 없는 TOE 인터페이스입니다.패킷 삭제를 유발하는 규칙의 식별자 |
RT_FLOW - RT_FLOW_SESSION_DENY [junos@2636.1.1.1.2.164 source-address="1.1.1. 2" source-port="10001" destination-address="2.2.2.2" destination-port="21" connection-tag="0" service-name="junos-ftp" protocol-id="6" icmp-type="0" policy-name="p2" source-zone-na me="ZO_A" destination-zone-name="ZO_B" application="UNKNOWN" nested-application=" UNKNOWN" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" encrypted="No" reason="D enied by policy" session-id-32="3" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp=" N/A"] 세션 거부됨 1.1.1.2/10001->2.2.2.2/21 0x0 junos-ftp 6( 0) p2 ZO_A ZO_B 알 수 없음 알 수 없음 N/A(N/A) ge-0/0/0.0 정책 3에 의해 거부되지 않음 3 N/A N/A -1 N/A N/A N/A |
|
FFW_RUL_EXT.2 |
없음 |
없음 |
|
FCS_IPSEC_EXT.1 |
피어와의 세션 설정 |
세션 설정 중 송수신된 패킷의 전체 패킷 내용 |
kmd 6619 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name="vpn1" remote-address="5.5.5.1" local-address="11.11.11.1" ga teway-name="gw1" group-name="vpn1" tunnel-id="131073" interface-name="st0.0" internal-ip="사용할 수 없음" name="11.11.11.1" peer-name="5.5.5.1" client-name="해당 없음" vrrp-gro up-id="0" traffic-selector-name="& Quot; traffic-selector-cfg-local-id= "ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)" traffic-selector-cfg-remote-id= "ipv4_subnet(any:0,[0..7\]=0.0.0.0/0)" argume nt1="정적"] 5.5.5.1의 VPN vpn1이 작동 중입니다. Local-ip: 11.11.11.1, 게이트웨이 이름: gw1, vpn 이름: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 사용할 수 없음, Loca l IKE-ID: 11.11.11.1, 원격 IKE-ID: 5.5.5.1, AAA 사용자 이름: 해당 없음, VR ID: 0, 트래픽 선택기: , 트래픽 선택기 로컬 ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), Traffic-se 강사 원격 ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), SA 유형: 정적 |
FIA_X509_EXT.1 |
CA와의 세션 설정 |
세션 설정 중 송수신된 패킷의 전체 패킷 내용 |
kmd 7200 KMD_VPN_UP_ALARM_USER [junos@2636.1.1.1.2.164 vpn-name=""vpn1"" remote-address=""5.5.5.1"" local-address=""11.11.11.1"" ga teway-name=""gw1"" group-name=""vpn1"" tunnel-id=""131073"" interface-name=""st0.0"" internal-ip=""사용할 수 없음"" name=""11.11.11.1"" peer-name=" "5.5.5.1"" client-name=""해당 없음"" vrrp-group-id=""0"" traffic-selector-name= """" traffic-selector-cfg-local-id=""ipv4_subnet(any:0, [0..7\]=0.0.0.0/0)"" traffic-selector-cfg-remote-id= ""ipv4_subnet(any: 0,[0..7\]=0.0.0.0/0)"" argument1= ""Static""] 5.5.5.1의 VPN vpn1이 작동 중입니다. Local-ip: 11.11.11.1, 게이트웨이 이름: gw1, vpn 이름: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 사용할 수 없음, 로컬 IKE-ID: 11.11.11.1, 원격 IKE-ID: 5.5.5.1, AAA 사용자 이름: 해당 없음, VR id: 0, 트래픽 선택기: , 트래픽 선택기 로컬 ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), 트래픽 선택기 원격 ID: ipv4_subnet(any:0,[0..7]=0.0.0.0/0), SA 유형: 정적 |
FPF_RUL_EXT.1 |
'log' 작업으로 구성된 규칙 적용 |
원본 및 대상 주소. 원본 및 대상 포트. 전송 레이어 프로토콜 TOE 인터페이스 |
RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.164 source-address="1.1. 1.2" source-port="10001" destination-address="2.2.2.2" destination-port="53" connection-tag="0" service-name="junos-dns-udp" nat-source-address="1.1.1.2" nat-source-port="10001" na t-destination-address="2.2.2.2" nat-destination-port="53" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" pro tocol-id="17" policy-name="p1" source-zone-name="A" destination-zone-name="B" session-id-32="1" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="UNKNO WN" nested-application="UNKNOWN" encrypted="UNKNOWN" application-category="N/A" application-sub-category="N/A" application-risk="-1" application-characteristics="N/A" src-vrf-grp=" N/A" dst-vrf-grp="N/A"] 세션 생성 1.1.1.2/10001->2.2.2.2/53 0x0 junos-dns-udp 1.1.1.2/10001->2.2.2.2/53 0x0 N/A N/A N/A N/A 17 p1 A B 1 N/A(N/A) ge-0/0/0.0 알 수 없음 알 수 없음 알 수 없음 N/A N/A -1 N/A N/A N/A |
너무 많은 네트워크 트래픽으로 인해 손실된 패킷 표시 |
패킷을 처리할 수 없는 TOE 인터페이스 |
"""PERF_MON - RTPERF_CPU_UTIL_MAX [junos@2636.1.1.1.2.164 fpc-slot=""""0"pic-slot="""""0""] FPC 0 PIC 0 CPU 사용률이 99보다 크면 패킷 손실이 예상됩니다."" ""PERF_MON - RTPERF_CPU_THRESHOLD_EXCEEDED [junos@2636.1.1.1.2.164 fpc-slot=""""0"pic-slot=""""0"" current-value=""""93""""] FPC 0 PIC 0 CPU 사용률이 임계값을 초과함, 현재 값 = 93"" ""RT_FLOW - FLOW_RESOURCE_CHANGE [junos@2636.1.1.1.2.164 resource-name=""""세션 테이블"""" reason=""""이 꽉 찼습니다""] 플로우 리소스 세션 테이블이 꽉 찼습니다""" |
또한 주니퍼 네트웍스는 다음과 같은 권장 사항을 제시합니다.
구성에 대한 모든 변경 사항을 캡처합니다.
로깅 정보를 원격으로 저장합니다.
로그 세부 정보에 대한 자세한 내용은 로그 파일 크기, 개수 및 보관 속성 지정을 참조하십시오