SRX 시리즈 섀시 클러스터에 대한 로그 메시지
세션 및 패킷 흐름 개요
특정 세션에 대한 세부 정보를 포함하여 디바이스에서 활성화된 세션 및 패킷 흐름에 대한 정보를 얻을 수 있습니다. (SRX 시리즈 디바이스에는 실패한 세션에 대한 정보도 표시됩니다.) 활동을 관찰하고 디버깅하기 위해 이 정보를 표시할 수 있습니다.
예를 들어 명령을 사용하여 show security flow session
다음을 수행합니다.
서비스를 포함하여 수신 및 발신 IP 흐름 목록을 표시합니다.
플로우와 관련된 보안 속성(예: 해당 플로우에 속하는 트래픽에 적용되는 정책)을 표시합니다.
세션 시간 초과 값, 세션이 활성화된 시기, 활성 상태인 시간 및 세션에 활성 트래픽이 있는지 여부를 표시합니다.
이 명령에 대한 자세한 내용은 Junos OS CLI Reference를 참조하십시오.
관련 정책 구성에 로깅 옵션이 포함된 경우 세션 정보도 로깅될 수 있습니다. 세션 로깅 인프라는 세션이 생성, 닫히거나, 거부 또는 거부될 때 세션 로그 메시지를 기록합니다. SRX3000 및 SRX5000 라인에서 로그 메시지는 라우팅 엔진을 우회하여 외부 syslog 서버/저장소로 직접 스트리밍됩니다. SRX 시리즈 디바이스는 기존 syslog와 구조화된 syslog를 모두 지원합니다. SRX3000 및 SRX5000 회선은 초당 1,000개의 로그 메시지를 지원하며 관리 스테이션은 이 볼륨을 처리할 수 있어야 합니다. 이러한 로그에 대한 구성 예제 및 세부 정보는 Junos OS 보안 구성 가이드를 참조하십시오. 로그는 기본 및 보조 노드의 관리 인터페이스를 통해 사용할 수 있습니다. 두 노드에서 이러한 로그 메시지를 수신하는 외부 서버에 연결할 수 있는지 확인합니다.
하이엔드 SRX 시리즈 디바이스는 트래픽을 처리하고 로그 메시지를 생성하는 분산 처리 아키텍처를 갖추고 있습니다. SRX 시리즈 디바이스에서 방화벽은 섀시의 각 SPU에 대한 트래픽 세션을 처리합니다. 각 세션이 생성된 후 섀시의 동일한 SPU에 의해 처리되며, 이는 로그 메시지를 생성하는 SPU이기도 합니다.
로그 메시지를 생성하는 표준 방법은 각 SPU가 UDP syslog 메시지로 메시지를 생성하고 데이터 플레인에서 syslog 서버로 직접 전송하도록 하는 것입니다. SRX 시리즈 디바이스는 매우 높은 트래픽 속도를 기록할 수 있습니다. 초당 최대 750MB의 로그 메시지를 기록할 수 있으며 이는 컨트롤 플레인의 한계를 능가합니다. 따라서 특정 상황을 제외하고는 컨트롤 플레인에 메시지를 로깅하지 않는 것이 좋습니다.
Junos OS 릴리스 9.6 이상을 실행하는 SRX 시리즈 브랜치 디바이스와 Junos OS 릴리스 10.0 이상을 실행하는 고급 SRX 시리즈 디바이스의 경우, 디바이스는 데이터 플레인에 로깅하는 대신 제한된 최대 속도(초당 1000개의 로그 메시지)로 컨트롤 플레인에 메시지를 기록할 수 있습니다. 로그 메시지가 syslog를 사용하여 데이터 플레인을 통해 전송되는 경우 주니퍼 STRM(Security Threat Response Manager)과 같은 syslog 수집기를 사용하여 보기, 보고 및 경고를 위한 로그를 수집해야 합니다. Junos OS 릴리스 9.6 이상을 실행하는 SRX 시리즈 브랜치 디바이스와 Junos OS 릴리스 10.0 이상을 실행하는 하이엔드 SRX 시리즈 디바이스에서 디바이스는 데이터 플레인 또는 컨트롤 플레인에만 로그 메시지를 보낼 수 있지만 동시에 둘 다에 보낼 수는 없습니다.
하이엔드 SRX 시리즈 디바이스 로깅 구성
컨트롤 플레인에 하이엔드 SRX 시리즈 디바이스 데이터 플레인 로깅 구성
관리 스테이션이 데이터부에서 로그 메시지를 수신할 수 없는 경우 관리 연결을 통해 메시지를 보내도록 구성합니다. 컨트롤 플레인에 로그인하는 경우, SRX 시리즈 디바이스는 이러한 syslog 메시지를 fxp0 인터페이스로 전송할 수도 있습니다. 이벤트 로깅이 구성된 경우 데이터 플레인의 모든 로그 메시지는 컨트롤 플레인으로 이동합니다.
이벤트 로깅을 구성합니다.
user@host#
set security log mode event
이벤트 로그 메시지의 속도를 제한합니다.
대량의 로그 메시지를 처리하기 위해 컨트롤 플레인의 리소스가 제한되어 있기 때문에 데이터 플레인에서 컨트롤 플레인으로의 이벤트 로그 메시지의 속도를 제한해야 할 수도 있습니다. 이는 컨트롤 플레인이 BGP 또는 대규모 라우팅 구현과 같은 동적 라우팅 프로토콜을 처리하느라 바쁠 때 특히 적용됩니다. 다음 명령은 컨트롤 플레인에 과부하가 걸리지 않도록 로그 메시지의 속도를 제한합니다. 속도가 제한된 로그 메시지는 폐기됩니다. 하이엔드 SRX 시리즈 디바이스의 모범 사례는 컨트롤 플레인에 초당 1,000개 이하의 로그 메시지를 기록하는 것입니다.
user@host#
set security log mode event event-rate logs per second
데이터 플레인을 통해 트래픽 로그 메시지를 전송하도록 SRX 시리즈 브랜치 디바이스 구성
SRX 시리즈 브랜치 디바이스 트래픽 로그 메시지는 스트림 모드에서 데이터 플레인 보안 로그를 통해 전송될 수 있습니다. 이것은 스트림 모드에서만 가능합니다. 다음은 샘플 구성 및 로그 출력입니다.
구성
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
샘플 로그 메시지 출력
Sep 06 16:54:22 10.204.225.164 1 2010-09-06T04:24:22.094 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="62736" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="62736" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="206" packets-from-client="64" bytes-from-client="3525" packets-from-server="55" bytes-from-server="3146" elapsed-time="21"]
Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]
Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]
이 경우 SRX 시리즈 디바이스 트래픽 로그 메시지는 데이터부를 통해 외부 syslog 서버로 전송됩니다. 이렇게 하면 라우팅 엔진이 로깅에 병목 현상이 발생하지 않습니다. 또한 과도한 로깅 중에 라우팅 엔진이 영향을 받지 않도록 합니다. 트래픽 로그 메시지 외에도 컨트롤 플레인과 라우팅 엔진으로 전송되는 로그 메시지는 플래시 메모리의 파일에 기록됩니다. 다음은 이러한 유형의 로깅을 사용하도록 설정하는 샘플 구성입니다.
구성
Syslog(자체 로그) - 이 컨피그레이션은 필요한 self 로깅에 따라 사용자 지정할 수 있습니다.
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file messages kernel info
트래픽 로그(데이터플레인 사용)
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
이 경우 라우팅 엔진으로 전송된 트래픽 로그 메시지와 로그 메시지는 모두 syslog 서버로 전송됩니다. 다음은 이러한 유형의 로깅을 사용하도록 설정하는 샘플 구성입니다.
구성
Syslog(syslog 서버)
set system syslog host 10.204.225.218 any notice
set system syslog host 10.204.225.218 authorization info
set system syslog host 10.204.225.218 kernel info
트래픽 로그
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
컨트롤 플레인 로그 구성
SRX 시리즈 디바이스 컨트롤 플레인은 라우팅 프로토콜 운영, 라우팅 테이블 계산, 관리자 관리, SNMP 관리, 인증 및 기타 여러 미션 크리티컬 기능과 같은 작업을 수행하기 위한 여러 소프트웨어 프로세스 실행과 함께 SRX 시리즈 플랫폼의 전반적인 제어를 담당합니다. 컨트롤 플레인에서 생성되는 로그 메시지는 매우 다양하며, 컨트롤 플레인은 두 파일에 기록하고 syslog 서버로 전송해야 하는 로그 메시지를 정의하기 위한 세분화된 지원을 제공합니다. 이 주제는 컨트롤 플레인에서 다양한 syslog 옵션을 구성하는 방법에 대한 개요를 제공합니다. 이 섹션에서는 syslog 서비스를 통한 로그 메시지 전송에 대해서만 다룹니다.
로깅을 위한 SRX 시리즈 브랜치 디바이스 구성
컨트롤 플레인을 사용하여 트래픽 로그만 syslog 서버로 전송하도록 SRX 시리즈 디바이스를 구성할 수 있습니다.
이 구성에서:
보안 로그가 구성되지 않았습니다.
컨트롤 플레인 로그가 수신되지 않습니다.
match
문 정규식을 사용하여 트래픽 로그 메시지만 전송합니다. 이러한 로그 메시지는 플래시 메모리에 기록하지 않고 syslog 서버로 직접 전송됩니다. 이 구성은 일반적으로 라우팅 엔진으로 전송되는 로그 메시지를 syslog 서버로 전송하지 않습니다. 그러나 별도의 파일을 생성하고 표시된 대로 라우팅 엔진의 파일에 컨트롤 플레인 로그 메시지를 쓸 수 있습니다.
구성
set system syslog host 10.204.225.218 any any
set system syslog host 10.204.225.218 match RT_FLOW_SESSION
set system syslog file messages any any
샘플 로그 메시지:
Sep 06 15:22:29 10.204.225.164 Sep 6 02:52:30 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 Sep 06 15:22:43 10.204.225.220 Sep 6 02:52:30 last message repeated 10 times Sep 06 15:23:49 10.204.225.164 Sep 6 02:53:49 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 60(3307) 46(2784) 79
다음 구성은 트래픽 및 제어 로그 메시지를 모두 syslog 서버로 전송하지만 syslog 서버에 과부하가 발생하여 클러스터가 불안정해질 수 있습니다. 이 구성은 사용하지 않는 것이 좋습니다.
구성
set system syslog host 10.204.225.218 any any
set system syslog file messages any any
보안 로그 이벤트 모드는 SRX 시리즈 브랜치 디바이스의 기본 모드이며 이러한 디바이스에는 권장되지 않습니다. 기본 동작을 변경하는 것이 좋습니다.
로컬 플래시에 대한 광범위한 로깅은 컨트롤 플레인의 불안정성과 같이 디바이스에 원치 않는 영향을 미칠 수 있습니다.
fxp0 인터페이스와 동일한 서브넷에 IP 주소가 있는 데이터 플레인 로그 메시지 전송
주니퍼 네트웍스 STRM(Security Threat Response Manager)과 같은 장애 관리 및 성능 관리 애플리케이션과 시스템을 구축할 수 있습니다. STRM은 관리 네트워크를 통해 로그 메시지를 수집하며 fxp0 인터페이스를 통해 연결됩니다. 장애 관리 및 성능 관리 애플리케이션은 fxp0 인터페이스를 통해 SRX 시리즈 디바이스를 관리하지만, SRX 시리즈 디바이스는 동일한 네트워크의 STRM에 데이터 플레인 로그 메시지도 전송해야 합니다. 예를 들어 로그 메시지 속도가 초당 1,000개 로그 메시지보다 클 경우 컨트롤 플레인에 대한 로깅은 지원되지 않습니다. 문제는 동일한 가상 라우터의 두 인터페이스가 동일한 서브넷에 있을 수 없으며 fxp0 인터페이스를 inet.0 이외의 가상 라우터로 이동할 수 없다는 것입니다.
이러한 문제를 해결하려면 기본 가상 라우터 inet.0이 아닌 가상 라우터에 데이터 플레인 인터페이스를 배치하고 inet.0 라우팅 테이블에 경로를 배치하여 해당 가상 라우터를 통해 STRM으로 트래픽을 라우팅합니다. 다음 구성 예제에서는 이 작업을 수행하는 방법을 보여 줍니다.
이 예제의 내용은 다음과 같습니다.
fxp0의 IP 주소는 172.19.200.164/24입니다.
응용 프로그램 A(AppA)의 IP 주소는 172.19.200.175입니다.
STRM의 IP 주소는 172.19.200.176입니다.
ge-0/0/7 인터페이스는 IP 주소가 172.19.200.177/24(fxp0 인터페이스와 동일한 서브넷에 있음)를 가진 데이터 플레인 인터페이스입니다.
이 예를 구성하려면 다음 문을 포함합니다.
set interfaces fxp0 unit 0 family inet address 172.19.200.164/24 set system syslog host 172.19.200.176 any any set system syslog host 172.19.200.176 source-address 172.19.200.177 set interface ge-0/0/7 unit 0 family inet address 172.19.200.177/24 set security log format sd-syslog set security log source-address 172.19.200.177 set security log stream Log host 172.19.200.176 set routing-instances Logging instance-type virtual-router set routing-instances Logging interface ge-0/0/7.0 set routing-options static route 172.19.200.176/32 next-table Logging.inet.0
AppA는 기본 라우팅 인스턴스에서 fxp0 인터페이스를 사용하여 디바이스를 관리하므로 AppA는 이제 ge-0/0/7 인터페이스를 관리할 수 있습니다. 이를 위해 AppA는 Logging@<snmp-community-string-name> 메시지 형식을 사용하여 SNMP를 사용하여 ge-0/0/7 인터페이스 데이터에 액세스해야 합니다.