Seguimiento de aplicaciones
El seguimiento de aplicaciones (AppTrack) es una herramienta de registro e informes que se puede utilizar para compartir información para la visibilidad de la aplicación. AppTrack envía mensajes de registro a través de syslog proporcionando mensajes de actualización de la actividad de la aplicación. Para obtener más información, consulte los temas siguientes:
Descripción del seguimiento de aplicaciones
AppTrack, una herramienta de seguimiento de aplicaciones, proporciona estadísticas para analizar el uso del ancho de banda de su red. Cuando está habilitado, AppTrack recopila estadísticas de bytes, paquetes y duración para los flujos de aplicación en la zona especificada. De forma predeterminada, cuando se cierra cada sesión, AppTrack genera un mensaje que proporciona los recuentos de bytes y paquetes y la duración de la sesión, y lo envía al dispositivo host. Juniper Secure Analytics (formalmente conocido como STRM) recupera los datos y proporciona visibilidad de la aplicación basada en el flujo.
Los mensajes de AppTrack son similares a los registros de sesión y utilizan formatos syslog o syslog estructurados. El mensaje también incluye un campo de aplicación para la sesión. Si AppTrack identifica una aplicación definida de forma personalizada y devuelve un nombre adecuado, el nombre de aplicación personalizado se incluye en el mensaje de registro. (Si el proceso de identificación de la aplicación falla o aún no se ha completado cuando se activa un mensaje de actualización, el mensaje se especifica none en el campo de la aplicación).
AppTrack admite direccionamiento IPv4 e IPv6. Los mensajes relacionados muestran direcciones en el formato IPv4 o IPv6 adecuado.
Los detalles de identidad de usuario, como el nombre de usuario y el rol de usuario, se han agregado a los registros de creación, cierre de sesión y actualización de volumen de AppTrack. Estos campos contendrán el nombre de usuario y el rol asociados a la coincidencia de directivas. El registro de nombres de usuario y roles solo se habilita para las directivas de seguridad que proporcionan cumplimiento de UAC. Para las directivas de seguridad sin cumplimiento de UAC, los campos nombre de usuario y rol de usuario se muestran como N/A. El nombre de usuario se muestra como usuario no autenticado y el rol de usuario se muestra como N/A, si el dispositivo no puede recuperar información para esa sesión porque no hay ninguna entrada de tabla de autenticación para esa sesión o porque el registro de esta información está deshabilitado. El campo de rol de usuario del registro contiene la lista de todos los roles que desempeña el usuario si el criterio de coincidencia es específico, usuario autenticado o cualquiera, y el campo de nombre de usuario del registro contiene el nombre de usuario correcto. El campo de rol de usuario en el registro contendrá N/A si los criterios de coincidencia y el campo de nombre de usuario en el registro contienen usuario no autenticado o usuario desconocido.
Si habilita AppTrack para una zona y especifica una session-update-interval hora, cada vez que se recibe un paquete, AppTrack comprueba si el tiempo transcurrido desde el inicio de la sesión o desde la última actualización es mayor que el intervalo de actualización. Si es así, AppTrack actualiza los recuentos y envía un mensaje de actualización al host. Si una sesión de corta duración comienza y termina dentro del intervalo de actualización, AppTrack genera un mensaje solo al cierre de la sesión.
Cuando desee que el mensaje de actualización inicial se envíe antes del intervalo de actualización especificado, utilice el first-update-intervalarchivo . El first-update-interval le permite introducir un intervalo más corto solo para la primera actualización.
El mensaje de cierre actualiza las estadísticas por última vez y proporciona una explicación para el cierre de la sesión. Se utilizan los siguientes códigos:
TCP RST |
RST recibido de cualquiera de los extremos. |
TCP FIN |
FIN recibido de cualquiera de los extremos. |
Response received |
Respuesta recibida para una solicitud de paquete (como |
ICMP error |
Error ICMP recibido (como |
Aged out |
Sesión envejecida. |
ALG |
ALG clausuró la sesión. |
IDP |
IDP cerró la sesión. |
Parent closed |
Sesión principal cerrada. |
CLI |
Sesión borrada por una instrucción de CLI. |
Policy delete |
Política marcada para su eliminación. |
- Beneficios del seguimiento de aplicaciones
- Campos de mensajes de registro de seguimiento de aplicaciones
Beneficios del seguimiento de aplicaciones
Proporciona visibilidad de los tipos de aplicaciones que atraviesan su dispositivo de seguridad.
Le permite obtener información sobre las aplicaciones permitidas y el riesgo que pueden suponer.
Ayuda a administrar el ancho de banda, informa sobre usuarios activos y aplicaciones.
Campos de mensajes de registro de seguimiento de aplicaciones
A partir de Junos OS versión 15.1X49-D100, los registros de creación, cierre de sesión y actualización de volumen de AppTrack incluyen un nuevo campo denominado interfaz de destino. Puede usar el destination interface campo para ver qué interfaz de salida se selecciona para la sesión cuando se aplica un enrutamiento avanzado basado en políticas (APBR) a esa sesión y AppTrack está habilitado y configurado dentro de cualquier sistema lógico.
A partir de Junos OS versión 15.1X49-D100, se agrega un nuevo registro de AppTrack para la actualización de rutas que incluye detalles del perfil APBR, la regla y la instancia de enrutamiento. Cuando se aplica APBR a una sesión, se genera el nuevo registro y el contador de sesión de AppTrack se actualiza para indicar el número de veces que se genera un nuevo registro de actualización de ruta. El registro de cierre de sesión de AppTrack también se actualiza para incluir detalles del perfil, la regla y la instancia de enrutamiento de APBR.
A partir de Junos OS versión 17.4R1, los registros de creación, cierre de sesión y actualización de volumen de AppTrack incluyen los campos category nuevos y subcategory. Estos campos proporcionan información general sobre los atributos de la aplicación. Por ejemplo, el category campo especifica la tecnología de la aplicación (web, infraestructura) y subcategory el campo especifica la subcategoría de la aplicación (por ejemplo, redes sociales, noticias y anuncios).
Dado que la categoría y la subcategoría no son aplicables a una aplicación personalizada, los mensajes de registro de AppTrack presentan la categoría como custom application y la subcategoría como N/A.
Para aplicaciones desconocidas, tanto las categorías como las subcategorías se registran como N/A.
Ejemplos de los mensajes de registro en formato syslog estructurado:
APPTRACK_SESSION_CREATE user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" username="user1" roles="DEPT1" encrypted="UNKNOWN" destination-interface-name=”ge-0/0/0” category=”N/A” sub-category=”N/A”]
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" routing-instance=“default” destination-interface-name=”st0.0” category=” Web” sub-category=”N/A”]
APPTRACK_SESSION_VOL_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” category=” Web” sub-category=”Social-Networking”]
APPTRACK_SESSION_ROUTE_UPDATE [user@host.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” category=”Web” sub-category=”Social-Networking”]
A partir de Junos OS versión 18.4R1 y Junos OS versión 18.3R2, en el registro de APPTRACK_SESSION_ROUTE_UPDATE, el encrypted campo muestra el valor como N/A se muestra en el siguiente ejemplo:
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="251" destination-address="5.0.0.1" destination-port="250" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="251" nat-destination-address="5.0.0.1" nat-destination-port="250" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="866" username="N/A" roles="N/A" encrypted="N/A" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/2.0" category="Web" subcategory="N/A" apbr-policy-name="sla1" webfilter-category="N/A"]
A partir de Junos OS versión 18.4R1, en el registro de APPTRACK_SESSION_CLOSE y APPTRACK_SESSION_CLOSE_LS se incluye el nombre de regla de varias rutas, como se muestra en el ejemplo siguiente:
2018-10-25T01:00:18.179-07:00 multihome-spoke RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="idle Timeout" source-address="19.0.0.2" source-port="34880" destination-address="9.0.0.2" destination-port="80" service-name="junos-http" application="HTTP" nested-application="GOOGLE-GEN" nat-source-address="19.0.0.2" nat-source-port="34880" nat-destination-address="9.0.0.2" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust1" session-id-32="9625" packets-from-client="347" bytes-from-client="18199" packets-from-server="388" bytes-from-server="131928" elapsed-time="411" username="N/A" roles="N/A" encrypted="No" profile-name="apbr1" rule-name="rule1" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.4" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="multi1"]
A partir de Junos OS versión 18.2R1, los registros de cierre de sesión de AppTrack incluyen nuevos campos para registrar los bytes de paquetes transmitidos y recibidos a través de las interfaces de vínculo ascendente. Los bytes de paquetes transmitidos y recibidos a través de las interfaces de vínculo ascendente se notifican mediante uplink-tx-bytes, uplink-rx-bytesy uplink-incoming-interface-name los campos.
Ejemplo:
APPTRACK_SESSION_CLOSE [user@host.1.1.1.2.137 reason="TCP FIN" source-address="4.0.0.1" source-port="40297" destination-address="5.0.0.1" destination-port="110" service-name="junos-pop3" application="POP3" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="40297" nat-destination-address="5.0.0.1" nat-destination-port="110" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="UNTRUST" destination-zone-name="TRUST" session-id-32="81" packets-from-client="7" bytes-from-client="1959" packets-from-server="6" bytes-from-server="68643" elapsed-time="130" username="N/A" roles="N/A" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name="gr-0/0/0.0" uplink-tx-bytes="1959" uplink-rx-bytes="68643" uplink-incoming-interface-name="gr-0/0/0.0"]
A partir de Junos OS versión 18.2R1, se agregan los siguientes mensajes nuevos. Estos mensajes proporcionan información como el informe de métricas activo y pasivo, la conmutación de la ruta de tráfico de la aplicación, como se muestra en los siguientes ejemplos:
APPQOE_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" elapsed-time="2" bytes-from-client="675" bytes-from-server="0" packets-from-client="7" packets-from-server="0" previous-interface="gr-0/0/0.2" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="47335" destination-address="151.101.9.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="611" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="0" egress-jitter="0" rtt-jitter="0" rtt="0" pkt-loss="0" bytes-from-client="1073" bytes-from-server="6011" packets-from-client="12" packets-from-server="13" monitoring-time="990" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 source-address="20.1.1.1" source-port="35264" destination-address="151.101.193.67" destination-port="443" apbr-profile="apbrProf1" apbr-rule="rule1" application="HTTP" nested-application="CNN" group-name="N/A" service-name="junos-https" protocol-id="6" source-zone-name="trust" destination-zone-name="untrust" session-id-32="614" username="N/A" roles="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.2" ip-dscp="0" sla-rule="SLA1" ingress-jitter="104" egress-jitter="7" rtt-jitter="97" rtt="1142" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="500" target-pkt-loss="1" violation-reason="1" jitter-violation-count="0" pkt-loss-violation-count="0" rtt-violation-count="1" violation-duration="0" bytes-from-client="2476" bytes-from-server="163993" packets-from-client="48" packets-from-server="150" monitoring-time="948" active-probe-params="PP1" destination-group-name="p1"]
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="6.1.1.2" source-port="36051" destination-address="6.1.1.1" destination-port="36050" application="UDP" protocol-id="17" destination-zone-name="untrust" routing-instance="ri3" destination-interface-name="gr-0/0/0.3" ip-dscp="128" ingress-jitter="26" egress-jitter="31" rtt-jitter="8" rtt="2383" pkt-loss="0" bytes-from-client="870240" bytes-from-server="425280" packets-from-client="4440" packets-from-server="4430" monitoring-time="30" active-probe-params="PP1" destination-group-name="p1"]
A partir de Junos OS versión 15.1X49-D170, los registros de creación de sesión, cierre de sesión, actualización de ruta y actualización de volumen de AppTrack se mejoran para incluir el nombre VRF tanto para el VRF de origen como para el VRF de destino.
RT_FLOW - APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" profile-name="p2" rule-name="r1" routing-instance="Default_VPN_LAN2" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
RT_FLOW - APPTRACK_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.3.0.10" source-port="990" destination-address="8.3.0.10" destination-port="8080" service-name="None" application="HTTP" nested-application="UNKNOWN" nat-source-address="1.3.0.10" nat-source-port="990" nat-destination-address="8.3.0.10" nat-destination-port="8080" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust_lan2" destination-zone-name="sdwan" session-id-32="432399" username="N/A" roles="N/A" encrypted="No" destination-interface-name="gr-0/0/0.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A’"]
RT_FLOW - APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
A partir de Junos OS versión 19.1R1, los registros de cierre de sesión incluyen una nueva identidad de origen de campo para comprobar el registro de creación de sesión y el registro de cierre de sesión con nombre de usuario y roles. Los nuevos mensajes proporcionan información como el nombre de usuario y los roles, como se muestra en el ejemplo siguiente:
RT_FLOW - APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="4.0.0.1" source-port="34219" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="34219" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="4" packets-from-client="6" bytes-from-client="425" packets-from-server="5" bytes-from-server="561" elapsed-time="1" username="N/A" roles="N/A" encrypted="No" profile-name="p1" rule-name="r1" routing-instance="default" destination-interface-name="ge-0/0/1.0" uplink-incoming-interface-name="" uplink-tx-bytes="0" uplink-rx-bytes="0" multipath-rule-name="N/A" source-l3vpn-vrf-group-name="vpn-A" destination-l3vpn-vrf-group-name="vpn-A"]
Se genera un nuevo mensaje RT_FLOW_NEXTHOP_CHANGE syslog cada vez que hay un cambio en la ruta o en el salto siguiente en las sesiones habilitadas para APBR y AppTrack.
En las versiones de Junos OS anteriores a 20.2R3, 20.3R2, 20.4R2 y 21.1R1, cuando APBR (comprobación de intereses APBR) no identifica una aplicación y JDPI la identifica posteriormente para el primer paquete de la sesión, se genera un syslog (registro RT_FLOW_NEXTHOP_CHANGE). Puede omitir el mensaje de registro.
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.1.0.1" source-port="43540" destination-address="5.1.0.1" destination-port="7000" service-name="None" application="JNPR-UDPSVR-ADDR" nested-application="UNKNOWN" nat-source-address="4.1.0.1" nat-source-port="43540" nat-destination-address="5.1.0.1" nat-destination-port="7000" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="17" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="2" packets-from-client="1" bytes-from-client="105" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="N/A" dscp-value="N/A" apbr-rule-type="application"]
A partir de Junos OS versión 19.3R1, los registros de sesión de AppTrack, como el cierre de sesión, la actualización de volumen, la actualización de rutas y RT_FLOW_NEXTHOP_CHANGE opciones de inclusión dscp-value y apbr-rule-type .
-
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”dscp”] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”application-dscp”] -
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0”dscp-value=”13”apbr-rule-type=”application-dscp”] -
RT_FLOW_NEXTHOP_CHANGE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="1999" destination-address="157.240.23.35" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="1999" nat-destination-address="157.240.23.35" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="1" source-zone-name="trust" destination-zone-name="untrust" session-id-32="3287" packets-from-client="1" bytes-from-client="60" packets-from-server="0" bytes-from-server="0" elapsed-time="0" username="N/A" roles="N/A" encrypted="No" profile-name="profile1" rule-name="rule1" routing-instance="RI1" destination-interface-name="ge-0/0/1.0" last-destination-interface-name="ge-0/0/4.0" uplink-incoming-interface-name="" last-incoming-interface-name="N/A" uplink-tx-bytes="0" uplink-rx-bytes="0" apbr-policy-name="sla1"dscp-value=”13”apbr-rule-type=”dscp”]
A partir de Junos OS versión 20.1R1, los registros de sesión de AppTrack, como el cierre de sesión, la actualización de volumen y la actualización de ruta, incluyen apbr-rule-type opciones.
-
APPTRACK_SESSION_VOL_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" packets-from-client="371" bytes-from-client="19592" packets-from-server="584" bytes-from-server="686432" elapsed-time="60" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”] -
APPTRACK_SESSION_ROUTE_UPDATE [junos@2636.1.1.1.2.129 source-address="4.0.0.1" source-port="33040" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="HTTP" nested-application="FACEBOOK-SOCIALRSS" nat-source-address="4.0.0.1" nat-source-port="33040" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="28" username="user1" roles="DEPT1" encrypted="No" profile-name=”pf1” rule-name=”facebook1” routing-instance=”instance1” destination-interface-name=”st0.0” apbr-rule-type=”default”] -
APPTRACK_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP CLIENT RST" source-address="4.0.0.1" source-port="48873" destination-address="5.0.0.1" destination-port="80" service-name="junos-http" application="UNKNOWN" nested-application="UNKNOWN" nat-source-address="4.0.0.1" nat-source-port="48873" nat-destination-address="5.0.0.1" nat-destination-port="80" src-nat-rule-name="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="permit-all" source-zone-name="trust" destination-zone-name="untrust" session-id-32="32" packets-from-client="5" bytes-from-client="392" packets-from-server="3" bytes-from-server="646" elapsed-time="3" username="user1" roles="DEPT1" encrypted="No" destination-interface-name=”st0.0” apbr-rule-type=”default”]
A partir de Junos OS versión 20.4R1, se actualizan los registros de sesión de AppTrack para AppQoE, como la mejor ruta seleccionada, la infracción de la métrica de SLA y los informes de métricas de SLA.
-
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="N/A" destination-interface-name="gr-0/0/0.0" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="app detected" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria=“default” "server-ip=”10.1.1.1” url=”salesforce.com”] -
APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile=" apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="ri3" destination-interface-name="gr-0/0/0.0" sla-rule="SLA1" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1355" rtt="5537" pkt-loss="0" target-jitter-type="2" target-jitter="20000" target-rtt="1000" target-pkt-loss="1" violation-reason="1" violation-duration="20" active-probe-params="PP1" destination-group-name="p1" "server-ip=”10.1.1.1” url=”salesforce.com”] -
APPQOE_ACTIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 source-address="40.1.1.2" source-port="10001" destination-address="40.1.1.1" destination-port="80" destination-zone-name="untrust1" routing-instance="transit" destination-interface-name="" ip-dscp="6" ingress-jitter="4294967295" egress-jitter="4294967295" rtt-jitter="1345" rtt="4294967295" pkt-loss="100" monitoring-time="29126" active-probe-params="probe1" destination-group-name="site1" forwarding-class="network-control" loss-priority="low" active-probe-type="http head"]
A partir de Junos OS versión 21.2R1, para un perfil de aplicación sin métrica de SLA, AppQoE genera solo el APPQOE_APP_BEST_PATH_SELECTED registro. En el APPQOE_APP_BEST_PATH_SELECTED registro, se muestra N/A el active-probe-params campo y el campo duración de la infracción .N/A El APPQOE_APP_BEST_PATH_SELECTED registro tiene los campos nuevos, como previous-link-tag, previous-link-priority, destination-link-tagy destination-link-priority como se muestra en los ejemplos siguientes. Cuando el reason es app detected, se muestra N/A el previous-link-tag campo y el campo muestra 0.previous-link-priority
-
Perfil independiente de la aplicación sin consideraciones métricas de SLA.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”]Para el perfil independiente de la aplicación, el campo de aplicación se muestra como
ANY. -
Perfil basado en aplicaciones sin consideraciones de métricas de SLA.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="N/A" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="N/A" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP1” previous-link-priority=”100” destination-link-tag=”ISP1” destination-link-priority=”50”] -
Perfil independiente de la aplicación con consideraciones métricas de SLA y sin infracción reportada.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”] -
Perfil independiente de la aplicación con consideraciones métricas de SLA y con infracción notificada.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.1" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration=”180” ip-dscp="255" selection-criteria="default" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-priority=”100” destination-link-tag=”ISP2” destination-link-priority=”50”]APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"]APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="ANY" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="default"] -
Perfil basado en aplicaciones con consideraciones métricas de SLA y sin infracciones reportadas.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to high priority link" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]Perfil basado en aplicaciones con consideraciones métricas de SLA y con infracción reportada.
APPQOE_APP_BEST_PATH_SELECTED [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.2" destination-interface-name="gr-0/0/0.3" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="sla violated" session-count="2" violation-duration="180" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262142" server-ip="0.0.0.0" server-url="N/A" previous-link-tag=”ISP2” previous-link-priority=”70” destination-link-tag=”ISP2” destination-link-priority=”30”]APPQOE_APP_PASSIVE_SLA_METRIC_REPORT [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="109" egress-jitter="72" rtt-jitter="102" rtt="63674" pkt-loss="0" min-ingress-jitter="1" min-egress-jitter="1" min-rtt-jitter="1" min-rtt="793" min-pkt-loss="0" max-ingress-jitter="448" max-egress-jitter="252340" max-rtt-jitter="252593" max-rtt="253784" max-pkt-loss="0" probe-count="122" monitoring-time="59882" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]APPQOE_APP_SLA_METRIC_VIOLATION [junos@2636.1.1.1.2.129 apbr-profile="apbr1" apbr-rule="rule1" application="SSH" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" destination-interface-name="gr-0/0/0.1" sla-rule="sla1" ingress-jitter="253" egress-jitter="252340" rtt-jitter="252593" rtt="251321" pkt-loss="0" target-jitter-type="2" target-jitter="25000" target-rtt="200000" target-pkt-loss="15" violation-reason="3" active-probe-params="probe1" destination-group-name="site1" ip-dscp="255" selection-criteria="application"]Considere un escenario en el que un firewall de la serie SRX funciona en modo de clúster de chasis y la configuración de AppQoE incluye sondeos SaaS y un valor de recuento de infracciones configurado como 1. Cuando el tráfico de la aplicación cambia la ruta de ruta a través del nodo, se genera un mensaje syslog de infracción tanto en los nodos principales como en los de respaldo. Puede omitir el syslog generado en el nodo que aloja la ruta actual.
-
Cuando la afinidad del vínculo se configura como "suelta" y si el tráfico de la aplicación cambia de un vínculo preferido a uno no preferido, y ese vínculo no preferido tiene la prioridad más alta, el mensaje de registro del sistema registra el motivo como "cambiar a prioridad superior".
Ejemplo:
RT_FLOW - APPQOE_APP_BEST_PATH_SELECTED [apbr-profile="apbr1" apbr-rule="rule1" application="YAHOO" other-app="N/A" group-name="N/A" routing-instance="TC1_VPN" previous-interface="gr-0/0/0.0" destination-interface-name="gr-0/0/0.2" sla-rule="sla1" active-probe-params="probe1" destination-group-name="site1" reason="switch to higher priority link" session-count="1" violation-duration="0" ip-dscp="255" selection-criteria="application" forwarding-nexthop-id="262149" server-ip="0.0.0.0" server-url="N/A" previous-link-tag="ISP1" previous-link-priority="10" destination-link-tag="ISP3" destination-link-priority="3"]
Ver también
Ejemplo: configuración del seguimiento de aplicaciones
En este ejemplo se muestra cómo configurar la herramienta de seguimiento AppTrack para que pueda analizar el uso de ancho de banda de la red.
Requisitos
Antes de configurar AppTrack, asegúrese de haber descargado el paquete de firmas de aplicación, de haberlo instalado y de haber comprobado que la configuración de identificación de la aplicación funciona correctamente. Consulte Descargar e instalar manualmente el paquete de firmas de aplicaciones de Junos OS o Descargar e instalar el paquete de firmas de aplicaciones de Junos OS como parte del paquete de seguridad de IDP. Utilice el comando show services application-identification status para comprobar el estado.
Visión general
La identificación de aplicaciones está habilitada de forma predeterminada y se activa automáticamente al configurar el servicio AppTrack, AppFW o IDP. Juniper Secure Analytics (JSA) recupera los datos y proporciona visibilidad de aplicaciones basada en flujos. STRM incluye soporte para AppTrack Reporting e incluye varias plantillas e informes de búsqueda predefinidos.
A partir de Junos OS 21.1R1, observe los cambios en los siguientes registros:
Los registros de creación de sesión (APPTRACK_SESSION_CREATE) de AppTrack están deshabilitados de forma predeterminada. Use el siguiente comando para habilitarlo:
user@host# set security application-tracking log-session-create
Los registros de cierre de sesión (APPTRACK_SESSION_CLOSE) de AppTrack están deshabilitados de forma predeterminada. Utilice la instrucción siguiente para habilitarlo:
user@host# set security application-tracking log-session-close
Puede deshabilitar los registros de actualización del volumen de sesión (APPTRACK_SESSSION_VOL_UPDATE) de AppTrack mediante la instrucción siguiente:
user@host# set security application-tracking no-volume-updates
Configuración
En este ejemplo se muestra cómo habilitar el seguimiento de aplicaciones para la zona de seguridad denominada trust. El primer mensaje de registro debe generarse cuando se inicia la sesión, y los mensajes de actualización deben enviarse cada 4 minutos después de eso. Se debe enviar un mensaje final al final de la sesión.
En el ejemplo también se muestra cómo agregar la configuración del dispositivo syslog remoto para recibir mensajes de registro de AppTrack en formato sd-syslog. La dirección IP de origen que se utiliza al exportar registros de seguridad es 192.0.2.1 y los registros de seguridad se envían al host ubicado en la dirección 192.0.2.2.
Las páginas J-Web para AppSecure Services son preliminares. Recomendamos usar CLI para configurar las funciones de AppSecure.
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
Cambiar el y el no es necesario en la mayoría de session-update-interval las first-update-interval situaciones. Los comandos se incluyen en este ejemplo para demostrar su uso.
user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2 user@host# set security zones security-zone trust application-tracking user@host# set security application-tracking session-update-interval 4 user@host# set security application-tracking first-update-interval 1
En los dispositivos SRX5600 y SRX5800, si la configuración syslog no especifica un puerto de destino, el puerto de destino predeterminado será el puerto syslog. Si especifica un puerto de destino en la configuración syslog, se utilizará dicho puerto en su lugar.
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar AppTrack:
Agregue la configuración del dispositivo syslog remoto para recibir mensajes de Apptrack en formato sd-syslog.
[edit] user@host# set security log mode stream user@host# set security log format sd-syslog user@host# set security log source-address 192.0.2.1 user@host# set security log stream app-track-logs host 192.0.2.2
Habilite AppTrack para la confianza de zona de seguridad.
[edit] user@host# set security zones security-zone trust application-tracking
(Opcional) En este ejemplo, genere mensajes de actualización cada 4 minutos.
[edit] user@host# set security application-tracking session-update-interval 4
El intervalo predeterminado entre mensajes es de 5 minutos. Si una sesión comienza y termina dentro de este intervalo de actualización, AppTrack genera un mensaje al cierre de la sesión. Sin embargo, si la sesión es de larga duración, se envía un mensaje de actualización cada 5 minutos. El
session-update-interval minuteses configurable como se muestra en este paso.(Opcional) En este ejemplo, genere el primer mensaje después de un minuto.
[edit] user@host# set security application-tracking first-update-interval 1
De forma predeterminada, el primer mensaje se genera después de que transcurra el primer intervalo de actualización de la sesión. Para generar el primer mensaje en un momento diferente, utilice
first-update-interval minutesla opción (generar el primer mensaje después de los minutos especificados).Nota:La
first-updateopción y lafirst-update-interval minutesopción son mutuamente excluyentes. Si especifica ambos, elfirst-update-intervalvalor se omite.A partir de Junos OS 21.1R1, la
first-updateinstrucción queda obsoleta (en lugar de eliminarse inmediatamente) para proporcionar compatibilidad con versiones anteriores.Una vez que se ha generado el primer mensaje, se genera un mensaje de actualización cada vez que se alcanza el intervalo de actualización de la sesión.
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para abreviar, este show resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
[edit] user@host# show security
...
application-tracking {
first-update-interval 1;
session-update-interval 4;
}
log {
mode stream;
format sd-syslog;
source-address192.0.2.2;
stream app-track-logs {
host {
192.0.2.1;
}
}
}
...
[edit]
user@host# show security zones
...
security-zone trust {
...
application-tracking;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Utilice el producto JSA en el dispositivo de registro remoto para ver los mensajes de registro de AppTrack.
Para confirmar que la configuración funciona correctamente, también puede realizar estas tareas en el dispositivo.
- Revisar las estadísticas de AppTrack
- Comprobación de los valores del contador AppTrack
- Comprobación de estadísticas de sesión de flujo de seguridad
- Comprobación de estadísticas de caché del sistema de aplicaciones
- Comprobar el estado de los valores del contador de identificación de aplicaciones
Revisar las estadísticas de AppTrack
Propósito
Revise las estadísticas de AppTrack para ver las características del tráfico del que se realiza el seguimiento.
Acción
Desde el modo operativo, ingrese el show services application-identification statistics applications comando.
user@host> show services application-identification statistics applications
Last Reset: 2012-02-14 21:23:45 UTC Application Sessions Bytes Encrypted HTTP 1 2291 Yes HTTP 1 942 No SSL 1 2291 Yes unknown 1 100 No unknown 1 100 Yes
Para obtener más información sobre el show services application-identification statistics applications comando, vea mostrar aplicaciones de estadísticas de identificación de aplicaciones de servicios.
Comprobación de los valores del contador AppTrack
Propósito
Vea los contadores de AppTrack periódicamente para supervisar la actividad de registro.
Acción
Desde el modo operativo, ingrese el show security application-tracking counters comando.
user@host> show security application-tracking counters
AVT counters: Value Session create messages 1 Session close messages 1 Session volume updates 0 Failed messages 0
Comprobación de estadísticas de sesión de flujo de seguridad
Propósito
Compare los recuentos de bytes y paquetes en los mensajes registrados con las estadísticas de sesión de la salida del show security flow session comando.
Acción
Desde el modo operativo, ingrese el show security flow session comando.
user@host> show security flow session
Flow Sessions on FPC6 PIC0: Session ID: 120000044, Policy name: policy-in-out/4, Timeout: 1796, Valid In: 192.0.2.1/24 --> 198.51.100.0/21;tcp, If: ge-0/0/0.0, Pkts: 22, Bytes: 1032 Out: 198.51.100.0/24 --> 192.0.2.1//39075;tcp, If: ge-0/0/1.0, Pkts: 24, Bytes: 1442 Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1
Los totales de bytes y paquetes en las estadísticas de sesión deben aproximarse a los recuentos registrados por AppTrack, pero es posible que no sean exactamente los mismos. AppTrack solo cuenta los bytes y paquetes entrantes. Los paquetes generados por el sistema no se incluyen en el total y los paquetes descartados no se deducen.
Comprobación de estadísticas de caché del sistema de aplicaciones
Propósito
Compare las estadísticas de caché, como la dirección IP, el puerto, el protocolo y el servicio de una aplicación desde la salida del show services application-identification application-system-cache comando.
Acción
Desde el modo operativo, ingrese el show services application-identification application-system-cache comando.
Comprobar el estado de los valores del contador de identificación de aplicaciones
Propósito
Compare las estadísticas de sesión para los valores del contador de identificación de aplicaciones de la salida del show services application-identification counter comando.
Acción
Desde el modo operativo, ingrese el show services application-identification counter comando.
Ejemplo: configuración del seguimiento de aplicaciones cuando el proxy SSL está habilitado
En este ejemplo se describe cómo AppTrack admite la funcionalidad AppID cuando el proxy SSL está habilitado.
Requisitos
Antes de empezar:
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Cree un perfil de proxy SSL que habilite el proxy SSL mediante una política. Consulte Configuración del proxy de reenvío SSL.
Visión general
Puede configurar AppTrack en las zonas para o desde. En este ejemplo se muestra cómo configurar AppTrack en una zona to en una regla de directiva cuando el proxy SSL está habilitado.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone Z_1 application-tracking set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
En este ejemplo, se configura el seguimiento de aplicaciones y se permiten servicios de aplicación en una configuración de perfil de proxy SSL.
Configure el seguimiento de aplicaciones en una zona a (también puede configurar mediante una zona de).
[edit security policies] user@host# set security zones security-zone Z_1 application-tracking
Configure el perfil de proxy SSL.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1] set match source-address any set match destination-address any set match application junos-https set then permit application-services ssl-proxy profile-name ssl-profile-1 set then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
from-zone Z_1 to-zone Z_2 {
policy policy1 {
match {
source-address any;
destination-address any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-profile-1;
}
}
}
}
}
}
Compruebe que la configuración funciona correctamente. La verificación en AppTrack funciona de manera similar a la verificación en AppFW. Consulte la sección de verificación de Ejemplo: Configuración del firewall de aplicaciones cuando el proxy SSL está habilitado.
Deshabilitar el seguimiento de aplicaciones
El seguimiento de aplicaciones está habilitado de forma predeterminada. Puede deshabilitar el seguimiento de aplicaciones sin eliminar la configuración de zona.
Para desactivar el seguimiento de aplicaciones:
user@host# set security application-tracking disable
Si el seguimiento de aplicaciones se deshabilitó anteriormente y desea volver a habilitarlo, elimine la instrucción de configuración que especifica la deshabilitación del seguimiento de aplicaciones:
user@host# delete security application-tracking disable
Si ha terminado de configurar el dispositivo, confirme la configuración.
Para comprobar la configuración, escriba el show security application-tracking comando.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
dscp-value opciones y
apbr-rule-type .
apbr-rule-type opciones.
category nuevos y
subcategory