Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

논리적 시스템 문제 해결

다음 기능을 사용하여 논리적 시스템을 모니터링하고 소프트웨어 문제를 해결합니다. 자세한 내용은 다음 주제를 참조하십시오.

보안 로그 및 논리적 시스템 이해

보안 로그는 보안 이벤트를 포함하는 시스템 로그 메시지입니다. 디바이스가 논리적 시스템에 대해 구성된 경우, 논리적 시스템의 컨텍스트 내에서 생성된 보안 로그는 이름logname _LS(예: IDP_ATTACK_LOG_EVENT_LS)을 사용합니다. 로그의 논리적 시스템 버전은 논리적 시스템에 대해 구성되지 않은 디바이스에 대한 로그와 동일한 속성 집합을 가지고 있습니다. 논리적 시스템 로그에는 논리적 시스템 이름이 첫 번째 속성으로 포함됩니다.

다음 보안 로그는 논리적 시스템에 대해 구성 되지 않은 디바이스의 IDP_ATTACK_LOG_EVENT 로그에 대한 속성을 보여줍니다.

다음 보안 로그에는 논리적 시스템용으로 구성된 디바이스의 IDP_ATTACK_LOG_EVENT_LS 로그에 대한 속성이 표시됩니다(논리적 시스템 이름은 첫 번째 속성임).

디바이스가 논리적 시스템에 대해 구성된 경우 로그 이름에 _LS 접미사가 포함되고 논리적 시스템 이름 속성을 사용하여 논리적 시스템으로 로그를 분리할 수 있기 때문에 로그 구문 분석 스크립트를 수정해야 할 수 있습니다.

디바이스가 논리적 시스템에 대해 구성되지 않은 경우 보안 로그는 변경되지 않고 로그를 구문 분석하도록 구축된 스크립트는 수정할 필요가 없습니다.

참고:

기본 관리자만 [edit security log] 계층 수준에서 로깅을 구성할 수 있습니다. 사용자 논리적 시스템 관리자는 논리적 시스템에 대한 로깅을 구성할 수 없습니다.

스트림 모드는 다음과 같은 로깅 서비스 집합입니다.

  • 오프박스 로깅(SRX 시리즈)

  • 온박스 로깅 및 보고(SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200, SRX4600 시리즈)

논리적 시스템별 구성은 오프박스 로깅에 지원되며 로그는 이러한 구성을 기반으로 처리됩니다. 이전에는 루트 논리적 시스템에서 사용자 논리적 시스템 로그가 생성되었습니다. 오프박스 로깅의 경우 논리적 시스템 로그는 논리적 시스템 인터페이스에서만 생성될 수 있습니다.

제한

각 SPU는 Junos OS 18.2R1 릴리스의 SRX5400, SRX5600 및 SRX5800 디바이스에 대해 독립형 클러스터에 대해 최대 1,000개의 연결과 500개의 연결만 지원할 수 있습니다. 모든 연결이 사용되면 사용자 논리 시스템에 대한 일부 연결이 설정되지 않을 수 있습니다.

참고:

오류 메시지는 시스템 로그 탐색기에서 캡처됩니다.

논리적 시스템에 대한 온박스 보고 구성

SRX 시리즈 방화벽은 논리적 시스템 사용자에 대해 다양한 유형의 보고서를 지원합니다.

보고서는 SRX 시리즈 방화벽에 로컬로 저장되며 로그 및 보고서 저장을 위한 별도의 장치나 도구가 필요하지 않습니다. 온박스 보고서는 보안 로그를 보기 위한 간단하고 사용하기 쉬운 인터페이스를 제공합니다.

시작하기 전에 다음을 수행합니다.

  • 논리적 시스템에 대한 보안 로그 구성 방법을 이해합니다. 예: 논리적 시스템에 대한 보안 로그 구성

논리적 시스템에 대한 온박스 보고를 구성하려면 다음을 수행합니다.

  1. 논리적 시스템 이름을 LSYS1로 정의합니다.
  2. 테넌트 시스템당 보안 로그 내에서 보고서를 생성합니다.
  3. 명령을 입력하여 구성을 확인합니다 show logical-systems LSYS1 .
참고:

기본적으로 report 옵션은 비활성화됩니다. set logical-systems LSYS1 security log mode stream 명령은 기본적으로 활성화됩니다.

예: 논리적 시스템에 대한 보안 로그 구성

이 예는 논리적 시스템에 대한 보안 로그를 구성하는 방법을 보여줍니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • SRX 시리즈 방화벽.

  • 릴리스 18.3R1 이상에서 Junos OS.

시작하기 전에 다음을 수행합니다.

개요

SRX 시리즈 방화벽에는 시스템 로그와 보안 로그라는 두 가지 유형의 로그가 있습니다. 시스템은 컨트롤 플레인 이벤트를 기록합니다(예: 관리자가 디바이스에 로그인). 트래픽 로그라고도 하는 보안 로그는 특정 트래픽 처리와 관련된 데이터 플레인 이벤트를 기록합니다( 예: 보안 정책이 정책의 일부 위반으로 인해 특정 트래픽을 거부하는 경우).

두 가지 유형의 로그를 온박스 또는 오프박스 중 하나를 수집하고 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.

오프박스 로깅의 경우 논리적 시스템에 대한 보안 로그가 논리적 시스템 인터페이스에서 전송됩니다. 논리적 시스템 인터페이스가 라우팅 인스턴스에서 이미 구성된 경우 계층에서 을(를edit logical-systems logical-system-name security log stream log-stream-name host) 구성 routing-instance routing-instance-name 합니다. 인터페이스가 라우팅 인스턴스에서 구성되지 않은 경우 계층에서 edit logical-systems logical-system-name security log stream log-stream-name host 라우팅 인스턴스를 구성해서는 안 됩니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

절차

단계별 절차

다음 절차는 논리적 시스템에 대한 보안 로그를 구성하는 방법을 지정합니다.

  1. 로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 오프박스의 경우, 스트림 모드 로깅.

  2. 오프박스 보안 로깅의 경우, 로그 메시지를 생성한 SRX 시리즈 방화벽을 식별하는 소스 주소를 지정합니다. 소스 주소가 필요합니다.

  3. 라우팅 인스턴스를 지정하고 인터페이스를 정의합니다.

  4. 논리적 시스템에 대한 라우팅 인스턴스를 정의합니다.

  5. 디바이스에 대한 보안 로그 전송 프로토콜을 지정합니다.

절차

단계별 절차

다음 절차는 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 지정합니다.

  1. 보안 프로필을 구성하고 최대 및 예약 정책 수를 지정합니다.

  2. 구성된 보안 프로필을 TSYS1에 할당합니다.

결과

구성 모드에서 , show logical-systems LSYS1 security logshow logical-systems LSYS1 routing-instances 명령을 입력하여 구성을 show system security-profile확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

보안 로그에 대한 자세한 출력 확인

목적

출력에 모든 논리적 시스템에 대한 리소스 정보가 표시되는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show system security-profile security-log-stream-number tenant all .

의미

출력에는 논리 시스템의 리소스 정보가 표시됩니다.

논리적 시스템에 대한 온박스 이진 보안 로그 파일 구성

SRX 시리즈 디바이스는 시스템 로그와 보안 로그라는 두 가지 유형의 로그를 지원합니다.

두 가지 유형의 로그가 수집되어 온박스 또는 오프박스 중 하나에 저장됩니다. 다음 절차에서는 논리적 시스템에 대한 온박스(이벤트 모드) 로깅에 대해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.

다음 절차는 이벤트 모드 보안 로깅을 위해 이진 형식을 지정하고 논리적 시스템에 대한 로그 파일 이름, 경로 및 로그 파일 특성을 정의합니다.

  1. 로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 온박스의 경우, 이벤트 모드 로깅:

  2. (선택 사항) 로그 파일 이름을 지정합니다.

    참고:

    보안 로그 파일 이름은 필수가 아닙니다. 보안 로그 파일 이름이 구성되지 않은 경우 기본적으로 파일 bin_messages /var/log directory에 생성됩니다.

  3. 명령을 입력하여 구성을 확인합니다 show logical-systems LSYS1 .

다음 절차는 stream-mode 보안 로깅을 위한 이진 형식을 지정하고 논리적 시스템에 대한 로그 파일 이름과 로그 파일 특성을 정의합니다.

  1. 로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 온박스의 경우, stream-mode 로깅:

  2. (선택 사항) 로그 파일 이름을 지정합니다.

  3. 명령을 입력하여 구성을 확인합니다 show logical-systems LSYS1 .

논리적 시스템에 대한 오프박스 이진 보안 로그 파일 구성

SRX 시리즈 디바이스는 시스템 로그와 보안 로그라는 두 가지 유형의 로그를 지원합니다.

두 가지 유형의 로그를 온박스 또는 오프박스 중 하나를 수집하고 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.

다음 절차는 stream-mode 보안 로깅을 위한 이진 형식을 지정하고 논리적 시스템에 대한 로깅 모드, 소스 주소 및 호스트 이름 특성을 정의합니다.

  1. 로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 오프박스의 경우 스트림 모드 로깅:

  2. 오프박스 보안 로깅을 위한 소스 주소를 지정합니다.

  3. 호스트 이름을 지정합니다.

  4. 명령을 입력하여 구성을 확인합니다 show logical-systems LSYS1 .

논리 시스템에 대한 데이터 경로 디버깅 이해하기

데이터 경로 디버깅은 패킷 처리 경로를 따라 여러 처리 장치에서 추적 및 디버깅을 제공합니다. 논리 시스템 간의 트래픽에서도 데이터 경로 디버깅이 수행될 수 있습니다.

참고:

오직 기본 관리자만이 [edit security datapath-debug] 수준에서 논리 시스템에 대한 데이터 경로 디버깅을 구성할 수 있습니다. 사용자 논리적 시스템 관리자는 논리적 시스템에 대한 데이터 경로 디버깅을 구성할 수 없습니다.

엔드투엔드 이벤트 추적은 패킷이 디바이스에 들어갈 때부터 디바이스를 떠날 때까지 패킷 경로를 추적합니다. 기본 관리자가 엔드 투 엔드 이벤트 추적을 구성할 때 추적 출력에는 논리적 시스템 정보가 포함됩니다.

또한 기본 관리자는 논리적 시스템 간의 트래픽에 대한 추적을 구성할 수도 있습니다. 추적 출력은 논리적 시스템 간에 논리적 터널에 들어오고 나가는 트래픽을 보여줍니다. 보존-trace-order 옵션이 구성되면 추적 메시지가 연대순으로 정렬됩니다. 추적 작업 외에도 패킷 덤프 및 패킷 요약과 같은 다른 작업이 논리적 시스템 간의 트래픽에 대해 구성될 수 있습니다.

데이터 경로 디버깅은 SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 및 SRX5800 지원됩니다.

더 보기

논리적 시스템에 대한 추적 수행(기본 관리자만 해당)

참고:

기본 관리자만이 루트 수준에서 논리 시스템에 대한 데이터 경로 디버깅을 구성할 수 있습니다.

추적 또는 패킷 캡처를 위한 작업 프로필을 구성하려면 다음을 수행합니다.

  1. 이벤트 유형 및 추적 작업을 지정합니다. 이벤트 유형 및 추적 작업의 조합을 지정할 수 있습니다. 예를 들어, 다음 문은 각 이벤트 유형에 대해 여러 추적 작업을 구성합니다.
  2. 작업 프로필 옵션을 지정합니다.
  3. 패킷 필터 옵션을 구성합니다.

논리적 시스템에 대한 추적 메시지를 캡처하려면 다음을 수행합니다.

  1. 추적 캡처 파일을 구성합니다.

  2. 운영 모드에서 캡처한 추적을 표시합니다.

  3. 로그를 삭제합니다.

논리적 시스템에 대한 패킷 캡처 수행:

  1. 패킷 캡처 파일을 구성합니다.

  2. 운영 모드를 입력하여 패킷 캡처를 시작한 다음 중지합니다.

    참고:

    패킷 캡처 파일은 tcpdump 또는 libpcap 형식을 인식하는 모든 패킷 분석기 사용하여 오프라인에서 열고 분석할 수 있습니다. 또한 FTP 또는 SCP(Session Control Protocol)를 사용하여 패킷 캡처 파일을 외부 디바이스로 전송할 수 있습니다.

  3. 구성 모드에서 패킷 캡처를 비활성화합니다.

    참고:

    분석을 위해 파일을 열거나 FTP 또는 SCP를 사용하여 파일을 외부 디바이스로 전송하기 전에 패킷 캡처를 비활성화합니다. 패킷 캡처를 비활성화하면 내부 파일 버퍼가 플러시되고 캡처한 모든 패킷이 파일에 작성됩니다.

  4. 패킷 캡처를 표시합니다.

    • tcpdump 유틸리티를 사용하여 패킷 캡처를 표시하려면 다음을 수행합니다.

    • CLI 운영 모드에서 패킷 캡처를 표시하려면 다음을 수행합니다.

더 보기

논리적 시스템 보안 정책에서 DNS 이름 확인 문제 해결(기본 관리자만 해당)

문제

설명

보안 정책에 사용되는 주소록 항목의 호스트 이름 주소가 올바르게 해결되지 않을 수 있습니다.

원인

일반적으로 동적 호스트 이름이 포함된 주소록 항목은 SRX 시리즈 방화벽에 대해 자동으로 리프레시됩니다. DNS 항목과 연결된 TTL 필드는 정책 캐시에서 항목을 새로 고쳐야 하는 시간을 나타냅니다. TTL 값이 만료되면 SRX 시리즈 방화벽이 주소록 항목의 DNS 항목을 자동으로 새로 고칩니다.

그러나 SRX 시리즈 방화벽이 DNS 서버에서 응답을 얻을 수 없는 경우(예: DNS 요청 또는 응답 패킷이 네트워크에서 손실되거나 DNS 서버가 응답을 보낼 수 없는 경우), 주소록 항목의 호스트 이름 주소가 올바르게 해결되지 않을 수 있습니다. 이로 인해 보안 정책이나 세션 일치가 없으면 트래픽이 감소할 수 있습니다.

솔루션

기본 관리자는 명령을 사용하여 show security dns-cache SRX 시리즈 방화벽에 DNS 캐시 정보를 표시할 수 있습니다. DNS 캐시 정보를 새로 고쳐야 하는 경우, 기본 관리자는 명령을 사용할 clear security dns-cache 수 있습니다.

참고:

이러한 명령은 논리적 시스템을 위해 구성된 디바이스의 기본 관리자만 사용할 수 있습니다. 이 명령은 사용자 논리적 시스템 또는 논리적 시스템에 대해 구성되지 않은 디바이스에서 사용할 수 없습니다.

더 보기

관련 문서