Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

논리적 시스템 문제 해결

다음 기능을 사용하여 논리적 시스템을 모니터링하고 소프트웨어 문제를 해결합니다. 자세한 내용은 다음 항목을 참조하십시오.

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

플랫폼 별 보안 로그 동작 섹션에서 플랫폼과 관련된 참고 사항을 검토하십시오.

보안 로그 및 논리적 시스템 이해

보안 로그는 보안 이벤트를 포함하는 시스템 로그 메시지입니다. 디바이스가 논리적 시스템에 대해 구성된 경우, 논리적 시스템의 컨텍스트 내에서 생성된 보안 로그는 이름 logname_LS (예: IDP_ATTACK_LOG_EVENT_LS)를 사용합니다. 로그의 논리적 시스템 버전은 논리적 시스템에 대해 구성되지 않은 디바이스의 로그와 동일한 속성 집합을 갖습니다. 논리적 시스템 로그에는 첫 번째 속성으로 logical-system-name이 포함됩니다.

다음 보안 로그는 논리적 시스템에 대해 구성 되지 않은 디바이스의 IDP_ATTACK_LOG_EVENT 로그에 대한 속성을 보여줍니다.

다음 보안 로그는 논리적 시스템에 대해 구성된 디바이스의 IDP_ATTACK_LOG_EVENT_LS 로그에 대한 속성을 보여줍니다(logical-system-name은 첫 번째 속성임에 유의).

디바이스가 논리적 시스템에 대해 구성된 경우 로그 이름에 _LS 접미사가 포함되어 있고 logical-system-name 속성을 사용하여 논리적 시스템별로 로그를 구분할 수 있으므로 로그 구문 분석 스크립트를 수정해야 할 수 있습니다.

디바이스가 논리적 시스템에 대해 구성되지 않은 경우, 보안 로그는 변경되지 않고 로그를 구문 분석하기 위해 빌드된 스크립트는 수정할 필요가 없습니다.

참고:

주 관리자만 [edit security log] 계층 수준에서 로깅을 구성할 수 있습니다. 사용자 논리적 시스템 관리자는 논리적 시스템에 대한 로깅을 구성할 수 없습니다.

논리적 시스템별 구성은 오프박스 로깅에 지원되며 로그는 이러한 구성에 따라 처리됩니다. 이전에는 사용자 논리적 시스템 로그가 루트 논리적 시스템에서 생성되었습니다. 오프박스 로깅의 경우, 논리적 시스템 로그는 논리적 시스템 인터페이스에서만 생성할 수 있습니다.

논리적 시스템에 대한 온박스 보고 구성

SRX 시리즈 방화벽은 논리적 시스템 사용자를 위해 다양한 유형의 보고서를 지원합니다.

보고서는 SRX 시리즈 방화벽에 로컬로 저장되며 로그 및 보고서 저장을 위한 별도의 디바이스나 도구가 필요하지 않습니다. 온박스 보고서는 보안 로그를 볼 수 있는 간단하고 사용하기 쉬운 인터페이스를 제공합니다.

시작하기 전에:

  • 논리적 시스템에 대한 보안 로그를 구성하는 방법을 이해합니다. 예: 논리적 시스템에 대한 보안 로그 구성을 참조하십시오.

논리적 시스템에 대한 온박스 보고 구성하기:

  1. 논리 시스템 이름을 LSYS1로 정의합니다.
  2. 테넌트 시스템별 보안 로그 내에서 보고서를 생성합니다.
  3. 명령을 입력하여 구성을 확인합니다.show logical-systems LSYS1
참고:

기본적으로 이 report 옵션은 비활성화되어 있습니다. 이 명령은 set logical-systems LSYS1 security log mode stream 기본적으로 활성화되어 있습니다.

예: 논리적 시스템에 대한 보안 로그 구성

이 예는 논리적 시스템에 대한 보안 로그를 구성하는 방법을 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽.

  • Junos OS 릴리스 18.3R1 이상 릴리스.

시작하기 전에:

개요

SRX 시리즈 방화벽에는 시스템 로그와 보안 로그의 두 가지 유형의 로그가 있습니다. 시스템 로그는 컨트롤 플레인 이벤트(예: 디바이스에 대한 관리자 로그인)를 기록합니다. 트래픽 로그라고도 하는 보안 로그는 특정 트래픽 처리와 관련된 데이터 플레인 이벤트를 기록합니다. 예를 들어 정책 위반으로 인해 보안 정책이 특정 트래픽을 거부하는 경우입니다.

두 가지 유형의 로그는 온박스 또는 오프박스에서 수집하여 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 보안 로그를 바이너리 형식으로 구성하는 방법을 설명합니다.

오프박스 로깅의 경우, 논리적 시스템에 대한 보안 로그가 논리적 시스템 인터페이스에서 전송됩니다. 논리적 시스템 인터페이스가 라우팅 인스턴스에 이미 구성된 경우 계층에서 edit logical-systems logical-system-name security log stream log-stream-name host 구성 routing-instance routing-instance-name 합니다. 인터페이스가 라우팅 인스턴스에서 구성되지 않은 경우 계층에서 edit logical-systems logical-system-name security log stream log-stream-name host 라우팅 인스턴스를 구성해서는 안 됩니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

절차

단계별 절차

다음 절차에서는 논리적 시스템에 대한 보안 로그를 구성하는 방법을 지정합니다.

  1. 로그 파일의 로깅 모드와 형식을 지정합니다. 오프박스, 스트림 모드 로깅용.

  2. 오프박스 보안 로깅의 경우, 로그 메시지를 생성한 SRX 시리즈 방화벽을 식별하는 소스 주소를 지정합니다. 소스 주소는 필수입니다.

  3. 라우팅 인스턴스를 지정하고 인터페이스를 정의합니다.

  4. 논리적 시스템에 대한 라우팅 인스턴스를 정의합니다.

  5. 디바이스의 보안 로그 전송 프로토콜을 지정합니다.

절차

단계별 절차

다음 절차에서는 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 지정합니다.

  1. 보안 프로필을 구성하고 최대 및 예약 정책 수를 지정합니다.

  2. 구성된 보안 프로필을 TSYS1에 할당합니다.

결과

구성 모드에서 , show logical-systems LSYS1 security logshow logical-systems LSYS1 routing-instances 명령을 show system security-profile입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

검증

보안 로그에 대한 자세한 출력 확인

목적

출력에 모든 논리적 시스템에 대한 리소스 정보가 표시되는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다.show system security-profile security-log-stream-number tenant all

의미

출력은 논리적 시스템에 대한 리소스 정보를 표시합니다.

논리적 시스템에 대한 온박스 바이너리 보안 로그 파일 구성

SRX 시리즈 디바이스는 시스템 로그와 보안 로그의 두 가지 유형의 로그를 지원합니다.

두 가지 유형의 로그는 온박스 또는 오프박스로 수집되어 저장됩니다. 다음 절차에서는 논리적 시스템에 대한 온박스(이벤트 모드) 로깅을 위해 보안 로그를 바이너리 형식으로 구성하는 방법을 설명합니다.

다음 절차에서는 이벤트 모드 보안 로깅을 위한 바이너리 형식을 지정하고 논리적 시스템의 로그 파일 이름, 경로 및 로그 파일 특성을 정의합니다.

  1. 로그 파일의 로깅 모드와 형식을 지정합니다. 온박스 이벤트 모드 로깅의 경우:

  2. (선택 사항) 로그 파일 이름을 지정합니다.

    참고:

    보안 로그 파일 이름은 필수가 아닙니다. 보안 로그 filename이 구성되지 않은 경우, 기본적으로 파일 bin_messages가 /var/log 디렉토리에 작성됩니다.

  3. 명령을 입력하여 구성을 확인합니다.show logical-systems LSYS1

다음 절차에서는 스트림 모드 보안 로깅을 위한 바이너리 형식을 지정하고 논리적 시스템의 로그 파일 이름과 로그 파일 특성을 정의합니다.

  1. 로그 파일의 로깅 모드와 형식을 지정합니다. 온박스, 스트림 모드 로깅의 경우:

  2. (선택 사항) 로그 파일 이름을 지정합니다.

  3. 명령을 입력하여 구성을 확인합니다.show logical-systems LSYS1

논리적 시스템에 대한 오프박스 바이너리 보안 로그 파일 구성

SRX 시리즈 디바이스는 시스템 로그와 보안 로그의 두 가지 유형의 로그를 지원합니다.

두 가지 유형의 로그는 온박스 또는 오프박스에서 수집하여 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 보안 로그를 바이너리 형식으로 구성하는 방법을 설명합니다.

다음 절차에서는 스트림 모드 보안 로깅을 위한 바이너리 형식을 지정하고 논리적 시스템의 로깅 모드, 소스 주소 및 호스트 이름 특성을 정의합니다.

  1. 로그 파일의 로깅 모드와 형식을 지정합니다. 오프박스, 스트림 모드 로깅의 경우:

  2. 오프박스 보안 로깅을 위한 소스 주소를 지정합니다.

  3. 호스트 이름을 지정합니다.

  4. 명령을 입력하여 구성을 확인합니다.show logical-systems LSYS1

논리적 시스템에 대한 데이터 경로 디버깅 이해

데이터 경로 디버깅은 패킷 처리 경로를 따라 여러 처리 장치에서 추적 및 디버깅을 제공합니다. 논리적 시스템 간의 트래픽에서도 데이터 경로 디버깅을 수행할 수 있습니다.

참고:

주 관리자만 [edit security datapath-debug] 수준에서 논리적 시스템에 대한 데이터 경로 디버깅을 구성할 수 있습니다. 사용자 논리적 시스템 관리자는 논리적 시스템에 대한 데이터 경로 디버깅을 구성할 수 없습니다.

엔드 투 엔드 이벤트 추적은 패킷이 디바이스에 들어갈 때부터 디바이스를 떠날 때까지 패킷의 경로를 추적합니다. 주 관리자가 종단 간 이벤트 추적을 구성할 때 추적 출력에는 논리적 시스템 정보가 포함됩니다.

주 관리자는 논리적 시스템 간의 트래픽에 대한 추적을 구성할 수도 있습니다. 추적 출력은 논리적 시스템 간의 논리적 터널을 출입하는 트래픽을 보여줍니다. preserve-trace-order 옵션이 구성되면 추적 메시지가 시간순으로 정렬됩니다. 추적 작업 외에도 논리적 시스템 간의 트래픽에 대해 packet-dump 및 packet-summary와 같은 다른 작업을 구성할 수 있습니다.

또한보십시오

논리적 시스템에 대한 추적 수행(기본 관리자만 해당)

참고:

기본 관리자만 루트 수준에서 논리적 시스템에 대한 데이터 경로 디버깅을 구성할 수 있습니다.

추적 또는 패킷 캡처를 위한 작업 프로필을 구성하려면 다음을 수행합니다.

  1. 이벤트 유형 및 추적 작업을 지정합니다. 이벤트 유형 및 추적 작업의 조합을 지정할 수 있습니다. 예를 들어, 다음 문은 각 이벤트 유형에 대해 여러 추적 작업을 구성합니다.
  2. 작업 프로필 옵션을 지정합니다.
  3. 패킷 필터 옵션을 구성합니다.

논리적 시스템에 대한 추적 메시지를 캡처하려면:

  1. 추적 캡처 파일을 구성합니다.

  2. 캡처된 추적을 운영 모드에서 표시합니다.

  3. 로그를 지웁니다.

논리적 시스템에 대한 패킷 캡처 수행:

  1. 패킷 캡처 파일을 구성합니다.

  2. 운영 모드로 들어가 패킷 캡처를 시작한 다음 중지합니다.

    참고:

    패킷 캡처 파일은 tcpdump 또는 libpcap 형식을 인식하는 모든 패킷 분석기를 사용하여 오프라인에서 열고 분석할 수 있습니다. 또한 FTP 또는 SCP(Session Control Protocol)를 사용하여 패킷 캡처 파일을 외부 디바이스로 전송할 수 있습니다.

  3. 구성 모드에서 패킷 캡처를 비활성화합니다.

    참고:

    분석을 위해 파일을 열거나 FTP 또는 SCP를 사용하여 파일을 외부 디바이스로 전송하기 전에 패킷 캡처를 비활성화합니다. 패킷 캡처를 비활성화하면 내부 파일 버퍼가 플러시되고 캡처된 모든 패킷이 파일에 기록됩니다.

  4. 패킷 캡처를 표시합니다.

    • tcpdump 유틸리티를 사용하여 패킷 캡처를 표시하려면

    • CLI 운영 모드에서 패킷 캡처를 표시하려면

또한보십시오

논리적 시스템 보안 정책에서 DNS 이름 확인 문제 해결(기본 관리자만 해당)

문제

설명

보안 정책에 사용되는 주소록 항목의 호스트 이름 주소가 올바르게 확인되지 않을 수 있습니다.

원인

일반적으로 동적 호스트 이름이 포함된 주소록 항목은 SRX 시리즈 방화벽에서 자동으로 새로 고쳐집니다. DNS 항목과 연관된 TTL 필드는 정책 캐시에서 항목을 새로 고쳐야 하는 시간을 나타냅니다. TTL 값이 만료되면 SRX 시리즈 방화벽은 주소록 항목의 DNS 항목을 자동으로 새로 고칩니다.

그러나 SRX 시리즈 방화벽이 DNS 서버로부터 응답을 얻을 수 없는 경우(예: DNS 요청 또는 응답 패킷이 네트워크에서 손실되거나 DNS 서버가 응답을 보낼 수 없는 경우) 주소록 항목의 호스트 이름 주소가 올바르게 확인되지 않을 수 있습니다. 이로 인해 보안 정책 또는 세션 일치 항목이 없어 트래픽이 손실될 수 있습니다.

해결책

주 관리자는 이 show security dns-cache 명령을 사용하여 SRX 시리즈 방화벽에 DNS 캐시 정보를 표시할 수 있습니다. DNS 캐시 정보를 새로 고쳐야 하는 경우 주 관리자가 명령을 사용할 수 있습니다 clear security dns-cache .

참고:

이러한 명령은 논리적 시스템에 대해 구성된 디바이스의 기본 관리자만 사용할 수 있습니다. 이 명령은 사용자 논리적 시스템 또는 논리적 시스템에 대해 구성되지 않은 디바이스에서는 사용할 수 없습니다.

또한보십시오

플랫폼별 보안 로그 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

다음 표를 사용하여 플랫폼의 플랫폼별 동작을 검토하십시오.

표 1: 플랫폼별 동작

플랫폼

차이

SRX 시리즈

  • 보안 로그를 지원하는 SRX 시리즈 방화벽은 스트림 모드에서 오프박스 로깅을 지원합니다.

  • 보안 로그를 지원하는 SRX300, SRX320, SRX340, SRX345, SRX380, SRX1500, SRX4100, SRX4200 및 SRX4600 보안 로그를 지원하는 방화벽은 스트림 모드에서 온박스 로깅 및 보고를 지원합니다.

  • 보안 로그를 지원하는 SRX 시리즈 방화벽에는 다음과 같은 제한이 있습니다.

    • 각 SPU가 있는 SRX5400, SRX5600 및 SRX5800 방화벽은 독립형의 경우 최대 1000개 연결, 클러스터의 경우 최대 500개 연결만 지원할 수 있습니다. 모든 연결이 모두 사용되는 경우 사용자 논리적 시스템에 대한 일부 연결이 설정되지 않을 수 있습니다.

      오류 메시지는 시스템 로그 탐색기에 캡처됩니다.

관련 설명서