테넌트 시스템에 대한 보안 로그
테넌트 시스템의 보안 로그에는 시스템의 데이터 플레인을 제어하기 위한 보안 이벤트가 포함됩니다. 보안 로그는 테넌트 시스템 인터페이스에서 외부 서버로 바이너리 형식으로 전송됩니다. 보안 로그는 테넌트 시스템별로 생성됩니다.
테넌트 시스템의 보안 로그 이해
Junos OS는 시스템의 컨트롤 플레인과 데이터 플레인에서 발생하는 이벤트를 기록하기 위해 별도의 로그 메시지를 생성합니다. 보안 로그라고도 하는 데이터 플레인 로그에는 주로 데이터 플레인 내에서 처리되는 보안 이벤트가 포함됩니다. 보안 로그는 텍스트 또는 바이너리 형식일 수 있으며 로컬에 저장하거나(이벤트 모드) 외부 서버로 전송(스트림 모드)할 수 있습니다. 바이너리 형식은 스트림 모드에 필요하며 이벤트 모드에서 로그 공간을 절약하는 것이 좋습니다.
테넌트별로 보안 로그를 구성하면 테넌트별로 보안 로그가 생성됩니다.
테넌트 시스템에 대한 보안 로그는 테넌트 시스템 인터페이스에서 전송됩니다. 할당된 라우팅 인스턴스와 테넌트 시스템 내의 라우팅 테이블에 속하는 인터페이스를 구성할 수 있습니다.
보안 프로필은 테넌트 시스템에 대한 스트림 번호를 구성할 때 최대 및 예약된 정책 수로 정의해야 합니다. 주 관리자는 보안 프로필을 사용하여 리소스 할당을 지정할 수 있습니다.
테넌트 시스템이 예약된 양보다 더 많은 리소스를 필요로 하는 경우, 사용 가능하고 다른 테넌트 시스템에 할당되지 않은 경우 전역 최대 양에 대해 구성된 리소스를 활용할 수 있습니다. 스트림 번호에 대해 허용되는 최대 할당량은 테넌트 시스템이 사용할 수 있는 사용 가능한 글로벌 리소스의 일부를 지정합니다. 허용되는 최대 할당량은 보안 프로파일의 자원에 지정된 양을 사용할 수 있도록 보장하지 않습니다. 예약된 할당량은 지정된 리소스 양을 테넌트 시스템에서 항상 사용할 수 있도록 합니다. 표 1 은 로깅 스트림 수 용량의 비교를 보여줍니다.
플랫폼 |
테넌트 시스템 + 논리적 시스템에 대한 로깅 스트림 번호 용량 |
테넌트 시스템에 대한 예약된 로깅 스트림 번호 할당량 |
테넌트 시스템에 허용되는 최대 스트림 번호 할당량 |
전역에 대해 허용되는 최대 스트림 수 할당량 |
SRX5400, SRX5600 및 SRX5800 |
64 |
0 |
8 |
64 |
SRX4600 |
300 |
0 |
8 |
600 |
SRX4100 및 4200 |
200 |
0 |
8 |
400 |
SRX1500 |
50 |
0 |
8 |
100 |
디바이스가 테넌트 시스템에 대해 구성된 경우 컨텍스트 내에서 생성된 보안 로그는 로그 이름에 논리적 시스템과 동일한 _LS 접미사를 갖습니다. 다음 보안 로그는 테넌트 시스템에 대해 구성된 디바이스에 대한 RT_FLOW_SESSION_CLOSE_LS 로그의 속성을 보여줍니다.
<14>1 2018-03-12T22:50:09.596Z user RT_FLOW_SESSION_CLOSE_LS [junos@2636.1.1.1.2.137 logical-system-name="TSYS1" reason="Some reason" source-address="192.0.2.1" source-port="7000" destination-address="198.51.100.2" destination-port="32768" connection-tag="0" service-name="Fake service" nat-source-address="192.0.2.1" nat-source-port="7000" nat-destination-address="198.51.10 0.2" nat-destination-port="32768" nat-connection-tag="0" src-nat-rule-type="Fake src nat rule" src-nat-rule-name="Fake src nat rule" dst-nat-rule-type="Fake dst nat rule" dst-nat-rule-name="Fake dst nat rule" protocol-id="17" policy-name="Fake policy" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" session-id-32="1" packets-from-client="4294967295" bytes-from-client="4294967293" packets-from-server="4294967294" bytes-from-server="4294967292" elapsed-time="4294967291" application="Fake application" nested-application="Fake nested application" username="Fake username" roles="Fake UAC roles" packet-incoming-interface="Fake packet incoming if" encrypted="Fake info telling if the traffic is encrypted" application-category="Fake application category" application-sub-category="Fake application subcategory" application-risk="-1"]
위의 예에서 보안 로그에는 첫 번째 속성으로 TSYS1 이 포함됩니다.
Junos OS 릴리스 19.1R1부터는 각 테넌트 시스템에 대해 온박스 보고 구성이 지원되며 로그는 이러한 구성에 따라 처리됩니다. 및 명령을 set security log mode stream 구성 set security log report 하여 온박스 보고를 활성화합니다. 스트림 모드의 온박스 보고 기능은 테넌트 시스템에서도 지원됩니다.
시스템 로그 탐색기에서 Syslog 메시지를 볼 수 있습니다.
예: 테넌트 시스템에 대한 보안 로그 구성
이 예에서는 테넌트 시스템에 대한 보안 로그를 구성하는 방법을 보여 줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽.
Junos OS 릴리스 18.3R1 이상 릴리스.
시작하기 전에:
기본 논리적 시스템과 두 개의 테넌트 시스템에 대한 보안 프로필을 사용하여 테넌트 시스템을 구성하는 방법을 이해합니다. 예: 테넌트 시스템, 테넌트 시스템 관리자 및 상호 연결 VPLS 스위치 생성을 참조하십시오.
개요
SRX 시리즈 방화벽에는 시스템 로그와 보안 로그의 두 가지 유형의 로그가 있습니다. 시스템 로그는 컨트롤 플레인 이벤트(예: 디바이스에 대한 관리자 로그인)를 기록합니다. 트래픽 로그라고도 하는 보안 로그는 특정 트래픽 처리와 관련된 데이터 플레인 이벤트를 기록합니다. 예를 들어 정책 위반으로 인해 보안 정책이 특정 트래픽을 거부하는 경우입니다.
두 가지 유형의 로그는 온박스 또는 오프박스에서 수집하여 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 보안 로그를 바이너리 형식으로 구성하는 방법을 설명합니다.
오프박스 로깅의 경우, 테넌트 시스템에 대한 보안 로그가 테넌트 시스템 인터페이스에서 전송됩니다. 테넌트 시스템 인터페이스가 라우팅 인스턴스에 이미 구성된 경우 계층에서 edit tenants tenant-name security log stream log-stream-name host 구성 routing-instance routing-instance-name 합니다. 인터페이스가 라우팅 인스턴스에서 구성되지 않은 경우 계층에서 set tenants tenant-name security log stream log-stream-name host 라우팅 인스턴스를 구성해서는 안 됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set tenants TSYS1 security log mode stream set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22 set tenants TSYS1 security log source-address 2.3.45.66 set tenants TSYS1 security log transport protocol tls set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3 set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 tenant TSYS1
절차
단계별 절차
다음 절차에서는 테넌트 시스템에 대한 보안 로그를 구성하는 방법을 지정합니다.
로그 파일의 로깅 모드와 형식을 지정합니다. 오프박스, 스트림 모드 로깅용.
[edit ] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream TN1_s format binary host 1.3.54.22
-
오프박스 보안 로깅의 경우, 로그 메시지를 생성한 SRX 시리즈 방화벽을 식별하는 소스 주소를 지정합니다. 소스 주소는 필수입니다.
[edit ] user@host# set tenants TSYS1 security log source-address 2.3.45.66
라우팅 인스턴스를 지정하고 인터페이스를 정의합니다.
[edit ] user@host# set tenants TSYS1 routing-instances TN1_ri instance-type virtual-router user@host# set tenants TSYS1 routing-instances TN1_ri interface ge-0/0/3
테넌트 시스템에 대한 라우팅 인스턴스를 정의합니다. 인터페이스가 라우팅 인스턴스에 이미 구성된 경우 계층에서
edit tenants tenant-name security log stream log-stream-name host구성routing-instance routing-instance-name합니다. 인터페이스가 라우팅 인스턴스에서 구성되지 않은 경우 계층에서set tenants tenant-name security log stream log-stream-name host라우팅 인스턴스를 구성해서는 안 됩니다.[edit ] user@host# set tenants TSYS1 security log stream TN1_s host routing-instance TN1_ri
디바이스의 보안 로그 전송 프로토콜을 지정합니다.
[edit ] user@host# set tenants TSYS1 security log transport protocol tls
절차
단계별 절차
다음 절차에서는 테넌트 시스템에 대한 보안 프로필을 구성하는 방법을 지정합니다.
보안 프로필을 구성하고 최대 및 예약 정책 수를 지정합니다.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
구성된 보안 프로필을 TSYS1에 할당합니다.
[edit ] user@host# set system security-profile p1 tenant TSYS1
결과
구성 모드에서 , show tenants TSYS1 security log및 show tenants TSYS1 routing-instances 명령을 show system security-profile입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show tenants TSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream TN1_s {
format binary;
host {
1.3.54.22;
routing-instance TN1_ri;
}
}
[edit]
user@host# show tenants TSYS1 routing-instances
TN1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
tenant TSYS1;
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
보안 로그에 대한 자세한 출력 확인
목적
출력에 모든 테넌트 시스템에 대한 리소스 정보가 표시되는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다.show system security-profile security-log-stream-number tenant all
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 0 0 8 TSYS1 p1 1 1 2
의미
출력은 테넌트 시스템에 대한 리소스 정보를 표시합니다.
테넌트 시스템에 대한 온박스 보고 이해
Junos OS 릴리스 19.1R1부터는 테넌트 시스템에 대해 온박스 보고 구성이 지원되며 로그는 이러한 구성에 따라 처리됩니다.
스트림 모드는 다음을 포함하는 일련의 로깅 서비스입니다.
오프박스 로깅(SRX 시리즈)
온박스 로깅 및 보고(SRX1500, SRX4100, SRX4200 및 SRX4600 시리즈)
오프박스 로깅에는 테넌트별 시스템 구성이 지원되며 로그는 이러한 구성에 따라 처리됩니다. 오프박스 로깅을 위한 테넌트 시스템 로그는 테넌트 시스템 인터페이스에서만 생성할 수 있습니다.
온박스 보고 메커니즘은 기존 로깅 기능을 개선한 것입니다. 기존 로깅 기능은 시스템 트래픽 로그를 수집하고, 로그를 분석하며, 이러한 로그에 대한 보고서를 생성하도록 수정되었습니다. 온박스 보고 기능은 보안 로그를 볼 수 있는 간단하고 사용하기 쉬운 인터페이스를 제공하기 위한 것입니다.
테넌트 시스템용 디바이스에서 온박스 보고 기능을 활성화하기 위해 및 set security log mode stream 명령을 구성 set security log report 합니다. 스트림 모드의 온박스 보고 기능은 테넌트 시스템에서도 지원됩니다.
온박스 보고 기능은 다음을 지원합니다.
요구 사항에 따라 보고서를 생성합니다. 예: 세션 수 또는 볼륨, IDP, 콘텐츠 보안, IPsec VPN과 같은 활동에 대한 로그 유형.
지정된 시간 범위 내의 실시간 이벤트 캡처.
다양한 CLI 지정 조건을 기반으로 모든 네트워크 활동을 논리적이고 체계적이며 이해하기 쉬운 형식으로 캡처합니다.
테넌트 시스템에 대한 온박스 보고 구성
SRX 시리즈 방화벽은 테넌트 시스템 사용자에 대해 다양한 유형의 보고서를 지원합니다.
보고서는 SRX 시리즈 방화벽에 로컬로 저장되며 로그 및 보고서 저장을 위한 별도의 디바이스나 도구가 필요하지 않습니다. 온박스 보고서는 보안 로그를 볼 수 있는 간단하고 사용하기 쉬운 인터페이스를 제공합니다.
시작하기 전에:
테넌트 시스템에 대한 보안 로그를 구성하는 방법을 이해합니다. 예: 테넌트 시스템에 대한 보안 로그 구성을 참조하십시오.
테넌트 시스템에 대한 온박스 보고 구성하기:
기본적으로 이 report 옵션은 비활성화되어 있습니다.
테넌트 시스템에 대한 온박스 및 오프박스 로깅 이해하기
SRX 시리즈 디바이스에는 시스템 로그와 보안 로그의 두 가지 유형의 로그가 있습니다. 시스템 로그는 컨트롤 플레인 이벤트(예: 디바이스에 대한 관리자 로그인)를 기록합니다. 트래픽 로그라고도 하는 보안 로그는 특정 트래픽 처리와 관련된 데이터 플레인 이벤트를 기록합니다. 예를 들어 정책 위반으로 인해 보안 정책이 특정 트래픽을 거부하는 경우입니다.
Junos OS 릴리스 19.2R1부터는 각 테넌트 시스템에 대해 온박스 로깅 구성이 지원되며 로그는 이러한 구성에 따라 처리됩니다.
두 가지 유형의 로그는 온박스 또는 오프박스에서 수집하여 저장할 수 있습니다.
스트림 모드는 다음을 포함하는 일련의 로깅 서비스입니다.
오프박스 로깅(SRX 시리즈)
온박스 로깅(SRX1500, SRX4100, SRX4200 및 SRX4600 시리즈)
오프박스 로깅에는 테넌트별 시스템 구성이 지원되며 로그는 이러한 구성에 따라 처리됩니다. 오프박스 로깅을 위한 테넌트 시스템 로그는 테넌트 시스템 인터페이스에서만 생성할 수 있습니다.
계층 수준에서 [set tenants TSYS1 security] log 문을 사용하여 stream-mode의 경우 binary/syslog/sd-syslog/welf 형식으로, event-mode의 경우 binary 형식으로 보안 파일을 구성합니다.
테넌트 시스템의 보안 로그 파일 경로를 구성할 수 없습니다.
이진 형식 로그를 사용하는 스트림 모드의 온박스 로깅의 경우, 명령은 set security log stream stream-name file 테넌트 시스템별로 구성됩니다. 파일 이름은 .bin로 끝나야 합니다. 예를 들어 테넌트 시스템 TSYS1의 TSYS1_f1.bin 입니다. 새 파일 TSYS1_f1.bin 가 /var/traffic-log/tenant-systems/TSYS1 디렉터리에 생성됩니다.
다른 형식 로그와 함께 스트림 모드의 온박스 로깅의 경우, 명령은 set security log stream stream-name file 테넌트 시스템별로 구성됩니다. 예를 들어 테넌트 시스템 TSYS1. 구성된 이름의 새 파일이 /var/traffic-log/tenant-systems/TSYS1 디렉터리에 생성됩니다.
테넌트 시스템에 대한 온박스 바이너리 보안 로그 파일 구성
SRX 시리즈 디바이스는 시스템 로그와 보안 로그의 두 가지 유형의 로그를 지원합니다.
두 가지 유형의 로그는 온박스 또는 오프박스로 수집되어 저장됩니다. 다음 절차에서는 테넌트 시스템의 온박스(이벤트 모드 및 스트림 모드) 로깅을 위해 보안 로그를 바이너리 형식으로 구성하는 방법을 설명합니다.
다음 절차에서는 이벤트 모드 보안 로깅을 위한 이진 형식을 지정하고 테넌트 시스템의 로그 파일 이름, 경로 및 로그 파일 특성을 정의합니다.
로그 파일의 로깅 모드와 형식을 지정합니다. 온박스 이벤트 모드 로깅의 경우:
[edit] user@host# set tenants TSYS1 security log mode event user@host# set tenants TSYS1 security log format binary
(선택 사항) 로그 파일 이름을 지정합니다.
[edit] user@host# set tenants TSYS1 security log file name security-binary-log
참고:보안 로그 파일 이름은 필수가 아닙니다. 보안 로그 filename이 구성되지 않은 경우, 기본적으로 파일 bin_messages가 /var/log 디렉토리에 작성됩니다.
명령을 입력하여 구성을 확인합니다.
show tenants TSYS1[edit] user@host# show tenants TSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
다음 절차에서는 스트림 모드 보안 로깅을 위한 이진 형식을 지정하고 테넌트 시스템의 로그 파일 이름과 로그 파일 특성을 정의합니다.
로그 파일의 로깅 모드와 형식을 지정합니다. 온박스, 스트림 모드 로깅의 경우:
[edit] user@host# set tenants TSYS1 security log mode stream user@host# set tenants TSYS1 security log stream s1 format binary
(선택 사항) 로그 파일 이름을 지정합니다.
[edit] user@host# set tenants TSYS1 security log stream s1 file name f1.bin
명령을 입력하여 구성을 확인합니다.
show tenants TSYS1[edit] user@host# show tenants TSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
테넌트 시스템에 대한 오프박스 바이너리 보안 로그 파일 구성
SRX 시리즈 디바이스는 시스템 로그와 보안 로그의 두 가지 유형의 로그를 지원합니다.
두 가지 유형의 로그는 온박스 또는 오프박스에서 수집하여 저장할 수 있습니다. 아래 절차에서는 오프박스(스트림 모드) 로깅을 위해 보안 로그를 바이너리 형식으로 구성하는 방법을 설명합니다.
다음 절차에서는 스트림 모드 보안 로깅을 위한 바이너리 형식을 지정하고 테넌트 시스템의 로깅 모드, 소스 주소 및 호스트 이름 특성을 정의합니다.
로그 파일의 로깅 모드와 형식을 지정합니다. 오프박스, 스트림 모드 로깅의 경우:
[edit] user@host# set tenants TSYS1 security log mode stream s1 format binary
오프박스 보안 로깅을 위한 소스 주소를 지정합니다.
[edit] user@host# set tenants TSYS1 security log source-address 100.0.0.1
호스트 이름을 지정합니다.
[edit] user@host# set tenants TSYS1 security log stream s1 host 100.0.0.2
명령을 입력하여 구성을 확인합니다.
show tenants TSYS1[edit] user@host# show tenants TSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.