Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

IDP 이벤트 로깅

침입 탐지 및 방지(IDP)가 활성화된 후에도 기본 Junos OS 시스템 로깅이 계속 작동합니다.

자세한 내용은 다음 주제를 참조하십시오.

IDP 로깅 이해

IDP 지원 디바이스는 사용자 로그인과 같은 일상적인 작업으로 인해 발생하는 이벤트를 계속해서 기록합니다. 구성 파일에 액세스하지 못하는 것과 같은 실패 및 오류 상태를 기록합니다. 시스템 메시지를 기록하도록 파일을 구성하고 심각도 수준과 같은 속성을 메시지에 할당할 수도 있습니다. IDP는 일반 시스템 로그 메시지 외에도 공격에 대한 이벤트 로그를 생성합니다.

IDP는 로깅이 활성화된 IDP 정책 규칙과 일치할 때 이벤트 로그를 생성합니다. 로깅에 대한 규칙을 구성할 때 디바이스는 해당 규칙과 일치하는 각 이벤트에 대한 로그 항목을 만듭니다. CLI 또는 J-Web을 사용하여 정책 규칙을 구성하여 이벤트 로그를 생성할 수 있습니다.

참고:

IDP 공격 탐지 이벤트 로그 메시지(IDP_ATTACK_LOG_EVENT_LS)에서는 시간 경과, 인바이트, 아웃바이트, inpackets 및 outpackets 필드가 채워지지 않습니다.

공격 중에 IDP 이벤트 로그가 생성되므로 로그 생성이 버스트에서 발생하여 공격 중에 훨씬 더 많은 양의 메시지를 생성합니다. 다른 이벤트 메시지와 비교해보면, 공격 생성 메시지의 메시지 크기도 훨씬 큽 로그 볼륨과 메시지 크기는 로그 관리에 중요한 문제입니다. 로그 메시지의 양을 더 잘 관리하기 위해 IDP는 로그 억제를 지원합니다.

로그 억제를 구성하여 동일한 기간 동안 동일 또는 유사한 세션에서 발생하는 동일한 로그의 여러 인스턴스를 억제할 수 있습니다. 로그 억제를 활성화하면 여러 번 발생하는 동일한 이벤트 또는 공격에 대해 최소 수의 로그가 생성됩니다.

더 보기

IDP 로그 억제 속성 이해

로그 억제 기능은 여러 번 발생하는 동일한 이벤트 또는 공격에 대해 최소 수의 로그가 생성되도록 합니다. 로그 억제는 기본적으로 활성화됩니다. 필요에 따라 로그를 억제하도록 특정 로그 억제 속성을 구성할 수 있습니다. 로그 억제를 구성할 때 보고 간격을 너무 높게 설정하면 로그 억제가 센서 성능에 부정적인 영향을 미칠 수 있음을 명심하십시오.

다음과 같은 로그 억제 속성을 구성할 수 있습니다.

  • 로그 억제를 수행하는 동안 대상 주소를 포함합니다. 이벤트에 대한 로그 레코드를 일치하는 소스 주소와 결합하도록 선택할 수 있습니다. 기본적으로 IDP 센서는 로그 억제를 위해 이벤트와 일치할 때 대상을 고려하지 않습니다.

  • 로그 억제가 시작된 로그 발생 수 - 로그 억제가 시작되기 전에 특정 이벤트가 발생해야 하는 인스턴스 수를 지정할 수 있습니다. 기본적으로 로그 억제는 첫 번째 발생 후 시작됩니다.

  • 로그 억제가 작동할 수 있는 최대 로그 수 — 로그 억제가 활성화된 경우, 침입 탐지 및 방지(IDP)는 로그 레코드를 캐시하여 동일한 이벤트의 여러 발생 시점을 식별할 수 있도록 해야 합니다. IDP에서 동시에 추적되는 로그 레코드의 개수를 지정할 수 있습니다. 기본적으로 IDP에서 작동할 수 있는 최대 로그 레코드 수는 16,384입니다.

  • 억제된 로그가 보고되는 시간 - 로그 억제가 활성화된 경우 IDP는 동일한 이벤트의 발생 횟수를 유지합니다. 지정된 시간(초)이 경과한 후 IDP는 발생 수를 포함하는 단일 로그 항목을 씁니다. 기본적으로 IDP는 5초 후에 억제된 로그를 보고합니다.

예: IDP 로그 억제 속성 구성

이 예는 로그 억제 속성을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 수행합니다.

개요

로그 억제 기능은 여러 번 발생하는 동일한 이벤트 또는 공격에 대해 최소 수의 로그가 생성되도록 합니다. 로그 억제는 기본적으로 활성화됩니다. 필요에 따라 로그를 억제하도록 특정 로그 억제 속성을 구성할 수 있습니다.

이 예에서는 이벤트의 두 번째 발생 후 시작하도록 로그 억제를 구성하고 20초 후에 로그가 보고되도록 지정합니다.

구성

절차

단계별 절차

로그 억제 속성을 구성하려면 다음을 수행합니다.

  1. 로그 억제를 시작할 로그 번호를 지정합니다.

  2. 억제된 로그가 보고되는 최대 시간을 지정합니다.

  3. 디바이스 구성이 완료되면 구성을 커밋합니다.

확인

로그 통계를 확인하려면 명령을 입력합니다 show security idp counters log .

더 보기

IC 시리즈 UAC 어플라이언스 IDP 로그 정보 사용량 이해

UAC(Unified Access Control) 어플라이언스를 위한 IC 시리즈 UAC 어플라이언스는 주니퍼 네트웍스 디바이스에서 전송된 침입 탐지 및 방지(IDP) 공격 로그 정보를 사용하여 IDP 로그가 공격을 탐지했음을 나타내는 트래픽에 대한 액세스 정책을 적용할 수 있습니다. 이러한 IDP 로그는 안전한 통신 채널을 사용하여 IC 시리즈 어플라이언스로 직접 안전하게 전송됩니다. IDP 공격 로그는 JUEP 통신 채널을 통해 IC 시리즈 어플라이언스로 전송됩니다.

이 주제에는 다음 섹션이 포함되어 있습니다.

IC 시리즈 UAC 어플라이언스로의 메시지 필터링

IDP 로그 메시지를 수신하도록 IC 시리즈 UAC 어플라이언스 구성 시, IC 시리즈 어플라이언스에서 특정 필터링 매개 변수를 설정합니다. 이 필터링이 없으면 IC 시리즈 어플라이언스에서 로그 메시지가 너무 많이 수신될 수 있습니다. 필터링 매개 변수에는 다음이 포함될 수 있습니다.

  • IC 시리즈 어플라이언스는 인증된 세션에 대해서만 IDP로부터 통신을 수신해야 합니다. 자세한 내용은 통합 액세스 제어 관리 가이드 를 참조하십시오.

  • 심각도를 기반으로 IDP 로그 파일을 수신하기 위한 IC 시리즈 어플라이언스 필터를 생성할 수 있습니다. 예를 들어, IC 시리즈 어플라이언스의 심각도가 높은 것으로 설정된 경우, IDP는 심각도가 높거나 높은 로그만 보냅니다. 자세한 내용은 통합 액세스 제어 관리 가이드 를 참조하십시오.

  • IC 시리즈 어플라이언스에서 모든 IDP 로그 수신을 비활성화할 수 있습니다. 자세한 내용은 통합 액세스 제어 관리 가이드 를 참조하십시오.

IC 시리즈 UAC 어플라이언스 로깅 구성

IDP 로그를 수신하고 필터링하기 위한 모든 구성은 IC 시리즈 UAC 어플라이언스에서 수행됩니다. JUEP 통신 채널에서 IDP 로그 및 세부 정보를 수신하려면 통합 액세스 제어 관리 가이드 를 참조하십시오.

IDP 알람 및 감사

기본적으로 IDP는 관리자에게 알람을 울리지 않고 이벤트 발생을 기록합니다. 시스템이 이벤트를 기록하도록 구성되고 potential-violation 옵션이 설정된 경우, 패킷 전달 엔진 IDP 로그가 라우팅 엔진 전달됩니다. 그런 다음 라우팅 엔진 IDP 공격 로그를 구문 분석하고 필요에 따라 IDP 알람을 발생시킵니다.

  • IDP 알람을 활성화하려면 명령을 사용합니다 set security alarms potential-violation idp .

  • 구성이 제대로 작동하는지 확인하려면 명령을 사용합니다 show security alarms .

참고:

릴리스 11.2 Junos OS 이전 릴리스에서는 IDP 공격 로그에 공격 이벤트에 대한 정보가 포함되어 있지만 관리자에게 알람을 발생시키지 않습니다.

관련 문서