Acciones de registro del filtro de firewall
Para los filtros de firewall IPv4 e IPv6, puede configurar el filtro para escribir un resumen de encabezados de paquete coincidentes en el registro o syslog especificando la syslog acción o log . La principal diferencia entre ambos es la permanencia del expediente. Los registros solo se almacenan en memoria intermedia, y cuando ese búfer está lleno, los registros más antiguos se sustituyen por otros nuevos a medida que llegan. Los syslogs, por otro lado, se pueden guardar al disco o reenviarse a un servidor syslog remoto. En ambos casos, se registra un resumen del encabezado del paquete (no una copia del paquete en sí). Los filtros de servicio y los filtros simples no admiten ni la log acción syslog .
Tanto las acciones como las sysloglog acciones pueden consumir una CANTIDAD significativa de CPU o espacio en disco en el dispositivo. Juniper recomienda que descargue los registros al escribirlos en un servidor syslog remoto y que limite el registro mediante su uso solo para diagnósticos.
Syslog
Como se señaló, los registros del sistema se pueden escribir en el disco o enviarse a un servidor remoto. Los registros guardados se escriben en el /var/log directorio. Puede ver una lista de todos los archivos de registro disponibles en el dispositivo ejecutando el show log comando sin opciones. Tenga en cuenta que dentro de un archivo de registro determinado, los registros de acciones del firewall pueden intercalarse con mensajes de eventos.
La siguiente syslog configuración muestra los registros del sistema que se envían a un servidor remoto en 172.27.1.1, y también los guarda en un archivo denominado "firewall" en el dispositivo local.
host@device-RE0# show system syslog
host 172.27.1.1 {
firewall any;
}
<...>
file firewall {
firewall any;
}Para ver los registros del sistema, ejecute el show syslog message comando.
Para ver el contenido de un archivo de registro del sistema determinado, ejecute el show log filename o el file show /var/log/filename comando.
Para borrar el contenido del archivo de registro del sistema, ejecute el clear log filename comando. Puede incluir la all opción de eliminar todos los registros guardados, incluidos los registros que se escriben en el archivo de registro actual.
Aquí se muestran los detalles de la configuración:
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
syslog;
terminating-action;
}
}
}
}
Registrar
La log acción escribe la información de registro en un búfer. No hay opción para escribir registros en un servidor remoto ni para escribirlos en el disco. Una vez que se completa el búfer disponible, los nuevos registros reemplazarán los más antiguos, por lo que no se mantiene un registro histórico. Los registros se borran cada vez que se reinicia el dispositivo o el PFE.
Aquí se muestran los detalles de la configuración:
firewall {
family {
filter filter-name {
from {
match-conditions;
}
then {
...
log;
terminating-action;
}
}
}
}
Para ver los registros, ejecute el show firewall log comando.
Detalles del registro
Lo siguiente muestra qué tipo de información se incluye normalmente en syslog y entradas de registro:
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: ge-1/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Los campos se explican aquí:
Date and Time— Fecha y hora en la que se recibió el paquete (no se muestra en el valor predeterminado).Hostname— Nombre del dispositivo en el que se produjo la coincidencia.Interface—Interfaz física que atravesó el paquete.Acción de filtro. En el ejemplo anterior, se trata de A.
A—Aceptar (o el próximo plazo)D—DescartarR—Rechazar
Protocol—Protocolo de paquetes. Puede ser un nombre o un número, y también puede incluir los puertos de origen y destino. En el ejemplo anterior, el protocolo es ICMP, que puede incluir el código y el tipo ICMP.Source address—Dirección IP de origen del paquete.Destination address—Dirección IP de destino del paquete.Source port—Puerto de origen del paquete (solo paquetes TCP y UDP). En el ejemplo anterior, el puerto es 0.Destination port—Puerto de destino del paquete (solo paquetes TCP y UDP). En el ejemplo anterior, el puerto es 0.Packets in sample interval— En este ejemplo, solo se ha detectado un paquete coincidente en el intervalo de muestra (aproximadamente un segundo). Si los paquetes llegan a un ritmo más rápido, el registro del sistema comprime automáticamente la información para que se genere menos salida.