방화벽 필터 로깅 동작
IPv4 및 IPv6 방화벽 필터의 경우, 또는 log 작업을 지정하여 syslog 일치하는 패킷 헤더의 요약을 로그 또는 syslog에 기록하도록 필터를 구성할 수 있습니다. 이 둘의 주요 차이점은 기록의 영속성입니다. 로그는 메모리에만 버퍼링되며, 해당 버퍼가 가득 차면 가장 오래된 레코드가 들어올 때 새 레코드로 대체됩니다. 반면 Syslog는 디스크에 저장하거나 원격 syslog 서버로 전달할 수 있습니다. 두 경우 모두 패킷 헤더의 요약이 기록됩니다(패킷 자체의 복사본이 아님). 서비스 필터 및 단순 필터는 또는 syslog 작업을 지원하지 log 않습니다.
syslog 및 log 작업 모두 디바이스에서 상당한 CPU 및/또는 디스크 공간을 사용할 수 있습니다. 주니퍼는 로그를 원격 syslog 서버에 기록하여 오프로드하고 진단용으로만 사용하여 로깅을 제한할 것을 권장합니다.
Syslog
언급했듯이 시스템 로그는 디스크에 기록되거나 원격 서버로 전송될 수 있습니다. 저장된 로그는 디렉터리에 기록됩니다 /var/log
. 옵션 없이 명령을 실행하여 show log
디바이스에서 사용 가능한 모든 로그 파일 목록을 볼 수 있습니다. 지정된 로그 파일 내에서 방화벽 작업 로그가 이벤트 메시지와 함께 산재되어 있을 수 있습니다.
다음 syslog 구성은 시스템 로그가 172.27.1.1의 원격 서버로 전송되고 로컬 디바이스의 "firewall"이라는 파일에 저장되는 것을 보여줍니다.
host@device-RE0# show system syslog host 172.27.1.1 { firewall any; } <...> file firewall { firewall any; }
시스템 로그를 보려면 명령을 실행합니다 show syslog message
.
지정된 시스템 로그 파일의 내용을 보려면 또는 file show /var/log/filename
명령을 실행합니다show log filename
.
시스템 로그 파일 내용을 지우려면 명령을 실행합니다 clear log filename
. 현재 로그 파일에 기록 중인 레코드를 포함하여 저장된 모든 로그를 삭제하는 옵션을 포함할 all
수 있습니다.
구성 세부 정보는 다음과 같습니다.
firewall { family { filter filter-name { from { match-conditions; } then { ... syslog; terminating-action; } } } }
로그
이 log 작업은 로그 정보를 버퍼에 씁니다. 원격 서버에 로그를 쓰거나 디스크에 쓰는 옵션은 없습니다. 사용 가능한 버퍼가 가득 차면 새 로그가 가장 오래된 로그를 대체하므로 기록 레코드가 유지되지 않습니다. 디바이스 또는 PFE가 다시 시작될 때마다 로그가 지워집니다.
구성 세부 정보는 다음과 같습니다.
firewall { family { filter filter-name { from { match-conditions; } then { ... log; terminating-action; } } } }
로그를 보려면 명령을 실행합니다 show firewall log
.
로그 세부 정보
다음은 syslog 및 로그 항목에 일반적으로 포함되는 정보의 종류를 보여줍니다.
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
필드는 여기에 설명되어 있습니다.
Date and Time
- 패킷이 수신된 날짜 및 시간입니다(기본값에는 표시되지 않음).Hostname
- 일치가 발생한 디바이스의 이름입니다.Interface
- 패킷이 통과한 물리적 인터페이스입니다.필터 동작. 위의 예에서는 A입니다.
A
- 수락(또는 다음 기간)D
- 폐기R
- 거부
Protocol
- 패킷 프로토콜. 이름 또는 번호일 수 있으며, 소스 및 목적지 포트를 포함할 수도 있습니다. 위의 예에서 프로토콜은 ICMP이며 ICMP 유형 및 코드를 포함할 수 있습니다.Source address
- 패킷의 소스 IP 주소입니다.Destination address
- 패킷의 대상 IP 주소입니다.Source port
- 패킷의 소스 포트입니다(TCP 및 UDP 패킷만 해당). 위의 예에서 포트는 0입니다.Destination port
- 패킷의 대상 포트입니다(TCP 및 UDP 패킷만 해당). 위의 예에서 포트는 0입니다.Packets in sample interval
- 이 예에서는 샘플 간격(약 1초)에서 일치하는 패킷이 하나만 감지되었음을 보여줍니다. 패킷이 더 빠른 속도로 도착하면 시스템 로그가 자동으로 정보를 압축하여 더 적은 출력이 생성됩니다.