테넌트 시스템에 대한 보안 로그
테넌트 시스템의 보안 로그에는 시스템의 데이터 플레인을 제어하는 보안 이벤트가 포함됩니다. 보안 로그는 테넌트 시스템 인터페이스에서 외부 서버에 이진 형식으로 전송됩니다. 테넌트 시스템당 보안 로그가 생성됩니다.
테넌트 시스템에 대한 보안 로그 이해
Junos OS 별도의 로그 메시지를 생성하여 시스템의 컨트롤 플레인 및 데이터 플레인에서 발생하는 이벤트를 기록합니다. 보안 로그라고도 하는 데이터 플레인 로그에는 주로 데이터 플레인 내부에서 처리되는 보안 이벤트가 포함됩니다. 보안 로그는 텍스트 또는 이진 형식일 수 있으며 로컬(이벤트 모드)으로 저장하거나 외부 서버(스트림 모드)로 전송할 수 있습니다. 이진 형식은 스트림 모드에 필요하며 이벤트 모드에서 로그 공간을 보존하는 것이 좋습니다.
테넌트별로 보안 로그를 구성하는 경우 테넌트당 보안 로그가 생성됩니다.
테넌트 시스템에 대한 보안 로그는 테넌트 시스템 인터페이스에서 전송됩니다. 테넌트 시스템 내 라우팅 테이블에 속하는 할당된 라우팅 인스턴스와 인터페이스를 구성할 수 있습니다.
테넌트 시스템의 스트림 수를 구성할 때 최대 및 예약 정책 수로 보안 프로필을 정의해야 합니다. 기본 관리자는 보안 프로필을 사용하여 리소스 할당을 지정할 수 있습니다.
테넌트 시스템이 예약된 금액보다 더 많은 리소스를 필요로 하는 경우, 다른 테넌트 시스템에 할당되지 않고 사용 가능한 경우 글로벌 최대 금액에 구성된 리소스를 활용할 수 있습니다. 스트림 번호에 대해 허용되는 최대 할당량은 테넌트 시스템에서 사용할 수 있는 무료 글로벌 리소스의 부분을 지정합니다. 허용되는 최대 할당량은 보안 프로파일의 리소스에 대해 지정된 양을 사용할 수 있도록 보장하지 않습니다. 예약 할당량은 지정된 리소스 금액이 항상 테넌트 시스템에서 사용할 수 있도록 합니다. 표 1 은 로깅 스트림 수 용량의 비교를 보여줍니다.
플랫폼 |
테넌트 시스템 + 논리적 시스템에 대한 로깅 스트림 수 용량 |
테넌트 시스템에 대한 예약된 로깅 스트림 번호 할당량 |
테넌트 시스템에 대해 허용되는 최대 스트림 수 할당량 |
전역을 위한 최대 허용 스트림 수 할당량 |
SRX5400, SRX5600, and SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100 및 4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
디바이스가 테넌트 시스템에 대해 구성된 경우 컨텍스트 내에서 생성된 보안 로그에는 논리 시스템과 동일한 로그 이름에 _LS 접미사가 있습니다. 다음 보안 로그는 테넌트 시스템에 구성된 디바이스에 대한 RT_FLOW_SESSION_CLOSE_LS 로그의 속성을 보여줍니다.
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
위의 예에서 보안 로그에는 TSYS1 이 첫 번째 속성으로 포함됩니다.
릴리스 19.1R1 Junos OS 시작하여 각 테넌트 시스템에 대해 온박스 보고 구성이 지원되며 이러한 구성을 기반으로 로그가 처리됩니다. set security log report 및 set security log mode stream 명령을 구성하여 온박스 보고를 활성화합니다. 스트림 모드의 온박스 보고 기능은 테넌트 시스템에서도 지원됩니다.
시스템 로그 탐색기에서 Syslog 메시지를 볼 수 있습니다.
예: 테넌트 시스템에 대한 보안 로그 구성
이 예는 테넌트 시스템에 대한 보안 로그를 구성하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX 시리즈 방화벽.
릴리스 18.3R1 이상에서 Junos OS.
시작하기 전에 다음을 수행합니다.
기본 논리적 시스템과 두 개의 테넌트 시스템에 대한 보안 프로파일을 사용하여 테넌트 시스템을 구성하는 방법을 이해합니다. 그림 1을 참조하십시오.
개요
SRX 시리즈 방화벽에는 시스템 로그와 보안 로그라는 두 가지 유형의 로그가 있습니다. 시스템은 컨트롤 플레인 이벤트를 기록합니다(예: 관리자가 디바이스에 로그인). 트래픽 로그라고도 하는 보안 로그는 특정 트래픽 처리와 관련된 데이터 플레인 이벤트를 기록합니다( 예: 보안 정책이 정책의 일부 위반으로 인해 특정 트래픽을 거부하는 경우).
두 가지 유형의 로그를 온박스 또는 오프박스 중 하나를 수집하고 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.
오프박스 로깅의 경우 테넌트 시스템에 대한 보안 로그가 테넌트 시스템 인터페이스에서 전송됩니다. 테넌트 시스템 인터페이스가 라우팅 인스턴스에서 이미 구성된 경우 계층에서 을(를edit tenants tenant-name security log stream log-stream-name host) 구성 routing-instance routing-instance-name 합니다. 인터페이스가 라우팅 인스턴스에서 구성되지 않은 경우 계층에서 set tenants tenant-name security log stream log-stream-name host 라우팅 인스턴스를 구성해서는 안 됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
절차
단계별 절차
다음 절차는 테넌트 시스템에 대한 보안 로그를 구성하는 방법을 지정합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 오프박스의 경우, 스트림 모드 로깅.
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
오프박스 보안 로깅의 경우, 로그 메시지를 생성한 SRX 시리즈 방화벽을 식별하는 소스 주소를 지정합니다. 소스 주소가 필요합니다.
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
라우팅 인스턴스를 지정하고 인터페이스를 정의합니다.
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
테넌트 시스템에 대한 라우팅 인스턴스를 정의합니다. 인터페이스가 라우팅 인스턴스에서 이미 구성된 경우 계층에서 을(를
edit tenants tenant-name security log stream log-stream-name host) 구성routing-instance routing-instance-name합니다. 인터페이스가 라우팅 인스턴스에서 구성되지 않은 경우 계층에서set tenants tenant-name security log stream log-stream-name host라우팅 인스턴스를 구성해서는 안 됩니다.[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
디바이스에 대한 보안 로그 전송 프로토콜을 지정합니다.
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
절차
단계별 절차
다음 절차는 테넌트 시스템에 대한 보안 프로필을 구성하는 방법을 지정합니다.
보안 프로필을 구성하고 최대 및 예약 정책 수를 지정합니다.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
구성된 보안 프로필을 TSYS1에 할당합니다.
[edit ] user@host# set system security-profile p1 tenant TSYS1
결과
구성 모드에서 , show tenants TSYS1 security log및 show tenants TSYS1 routing-instances 명령을 입력하여 구성을 show system security-profile확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show tenants TSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream TN1_s {
format binary;
host {
1.3.54.22;
routing-instance TN1_ri;
}
}
[edit]
user@host# show tenants TSYS1 routing-instances
TN1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
tenant TSYS1;
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
확인
보안 로그에 대한 자세한 출력 확인
목적
출력에 모든 테넌트 시스템의 리소스 정보가 표시되는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show system security-profile security-log-stream-number tenant all .
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 0 0 8 TSYS1 p1 1 1 2
의미
출력에는 테넌트 시스템의 리소스 정보가 표시됩니다.
테넌트 시스템에 대한 온박스 보고 이해하기
릴리스 19.1R1 Junos OS 테넌트 시스템에 대해 온박스 보고 구성이 지원되며 이러한 구성을 기반으로 로그가 처리됩니다.
스트림 모드는 다음과 같은 로깅 서비스 집합입니다.
오프박스 로깅(SRX 시리즈)
온박스 로깅 및 보고(SRX1500, SRX4100, SRX4200 및 SRX4600 시리즈)
테넌트별 시스템 구성은 오프박스 로깅에 지원되며 이러한 구성을 기반으로 로그가 처리됩니다. 오프박스 로깅에 대한 테넌트 시스템 로그는 테넌트 시스템 인터페이스에서만 생성될 수 있습니다.
온박스 보고 메커니즘은 기존 로깅 기능을 향상합니다. 기존 로깅 기능은 시스템 트래픽 로그를 수집하고, 로그를 분석하고, 이러한 로그에 대한 보고서를 생성하기 위해 수정되었습니다. 온박스 보고 기능은 보안 로그를 보기 위한 간단하고 사용하기 쉬운 인터페이스를 제공하기 위한 것입니다.
set security log report 및 set security log mode stream 명령을 구성하여 테넌트 시스템의 디바이스에서 온박스 보고 기능을 활성화합니다. 스트림 모드의 온박스 보고 기능은 테넌트 시스템에서도 지원됩니다.
온박스 보고 기능은 다음을 지원합니다.
요구 사항에 따라 보고서 생성 예를 들어 세션 수 또는 볼륨, IDP, 컨텐츠 보안 및 IPsec VPN과 같은 활동에 대한 로그 유형이 있습니다.
지정된 시간 범위 내에서 실시간 이벤트 캡처.
모든 네트워크 활동을 논리적이고 체계적이며 이해하기 쉬운 형식으로 캡처하여 다양한 CLI 지정된 조건을 기반으로 합니다.
테넌트 시스템에 대한 온박스 보고 구성
SRX 시리즈 방화벽은 테넌트 시스템 사용자를 위해 다양한 유형의 보고서를 지원합니다.
보고서는 SRX 시리즈 방화벽에 로컬로 저장되며 로그 및 보고서 저장을 위한 별도의 장치나 도구가 필요하지 않습니다. 온박스 보고서는 보안 로그를 보기 위한 간단하고 사용하기 쉬운 인터페이스를 제공합니다.
시작하기 전에 다음을 수행합니다.
테넌트 시스템에 대한 보안 로그 구성 방법을 이해합니다. 예: 테넌트 시스템에 대한 보안 로그 구성을 참조하십시오.
테넌트 시스템에 대한 온박스 보고를 구성하려면 다음을 수행합니다.
기본적으로 report 옵션은 비활성화됩니다.
테넌트 시스템에 대한 온박스 및 오프박스 로깅 이해하기
SRX 시리즈 디바이스에는 시스템 로그와 보안 로그라는 두 가지 유형의 로그가 있습니다. 시스템은 컨트롤 플레인 이벤트를 기록합니다(예: 관리자가 디바이스에 로그인). 트래픽 로그라고도 하는 보안 로그는 특정 트래픽 처리와 관련된 데이터 플레인 이벤트를 기록합니다( 예: 보안 정책이 정책의 일부 위반으로 인해 특정 트래픽을 거부하는 경우).
릴리스 19.2R1 Junos OS 시작하여 각 테넌트 시스템에 대해 온박스 로깅 구성이 지원되며 이러한 구성을 기반으로 로그가 처리됩니다.
두 가지 유형의 로그를 온박스 또는 오프박스 중 하나를 수집하고 저장할 수 있습니다.
스트림 모드는 다음과 같은 로깅 서비스 집합입니다.
오프박스 로깅(SRX 시리즈)
온박스 로깅(SRX1500, SRX4100, SRX4200 및 SRX4600 시리즈)
테넌트별 시스템 구성은 오프박스 로깅에 지원되며 이러한 구성을 기반으로 로그가 처리됩니다. 오프박스 로깅에 대한 테넌트 시스템 로그는 테넌트 시스템 인터페이스에서만 생성될 수 있습니다.
계층 수준에서 로그 문을 사용하여 stream-mode 및 event-mode의 이진 형식을 위한 이 진/syslog/sd-syslog/welf 형식으로 [set tenants TSYS1 security] 보안 파일을 구성합니다.
테넌트 시스템에 대한 보안 로그 파일 경로를 구성할 수 없습니다.
이진 형식 로그가 있는 스트림 모드로 온박스 로깅의 set security log stream stream-name file 경우, 명령은 테넌트 시스템당 구성됩니다. 파일 이름은 .bin으로 끝나야 합니다. 예를 들어 테넌트 시스템 TSYS1의 TSYS1_f1.bin을 예로 들어보십시오. /var/traffic-log/tenant-systems/TSYS1디렉토리에 새로운 파일 TSYS1_f1.bin이 생성됩니다.
다른 형식의 로그가 있는 스트림 모드로 온박스 로깅의 set security log stream stream-name file 경우, 명령은 테넌트 시스템별로 구성됩니다. 예를 들어 테넌트 시스템 TSYS1을 예로 들어 보겠습니다. 이름이 구성된 새 파일은 /var/traffic-log/tenant-systems/TSYS1 directory에 생성됩니다.
테넌트 시스템에 대한 온박스 이진 보안 로그 파일 구성
SRX 시리즈 디바이스는 시스템 로그와 보안 로그라는 두 가지 유형의 로그를 지원합니다.
두 가지 유형의 로그가 수집되어 온박스 또는 오프박스 중 하나에 저장됩니다. 다음 절차에서는 테넌트 시스템에 대한 온박스(이벤트 모드 및 스트림 모드) 로깅을 위한 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.
다음 절차는 이벤트 모드 보안 로깅을 위해 이진 형식을 지정하고 테넌트 시스템의 로그 파일 이름, 경로 및 로그 파일 특성을 정의합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 온박스의 경우, 이벤트 모드 로깅:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(선택 사항) 로그 파일 이름을 지정합니다.
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
참고:보안 로그 파일 이름은 필수가 아닙니다. 보안 로그 파일 이름이 구성되지 않은 경우 기본적으로 파일 bin_messages /var/log directory에 생성됩니다.
명령을 입력하여 구성을 확인합니다
show tenants TSYS1.[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
다음 절차는 stream-mode 보안 로깅을 위한 이진 형식을 지정하고 테넌트 시스템의 로그 파일 이름과 로그 파일 특성을 정의합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 온박스의 경우, stream-mode 로깅:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(선택 사항) 로그 파일 이름을 지정합니다.
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
명령을 입력하여 구성을 확인합니다
show tenants TSYS1.[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
테넌트 시스템에 대한 오프박스 이진 보안 로그 파일 구성
SRX 시리즈 디바이스는 시스템 로그와 보안 로그라는 두 가지 유형의 로그를 지원합니다.
두 가지 유형의 로그를 온박스 또는 오프박스 중 하나를 수집하고 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 이진 형식으로 보안 로그를 구성하는 방법을 설명합니다.
다음 절차는 stream-mode 보안 로깅을 위한 이진 형식을 지정하고 테넌트 시스템의 로깅 모드, 소스 주소 및 호스트 이름 특성을 정의합니다.
로그 파일에 대한 로깅 모드 및 형식을 지정합니다. 오프박스의 경우 스트림 모드 로깅:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
오프박스 보안 로깅을 위한 소스 주소를 지정합니다.
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
호스트 이름을 지정합니다.
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
명령을 입력하여 구성을 확인합니다
show tenants TSYS1.[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }