Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acciones de registro de filtros de Firewall

En el caso de los filtros de firewall IPv4 e IPv6, puede configurar el filtro para escribir un resumen de los encabezados de paquetes que coincidan en el registro o syslog especificando la acción sysloglog o. La diferencia principal entre los dos es la permanencia del registro. Los registros sólo se almacenan en la memoria y, cuando ese búfer está lleno, los registros más antiguos se sustituyen por otros nuevos a medida que entran en el mismo. Syslogs, por otro lado, puede guardarse en el disco o reenviarse a un servidor syslog remoto. En ambos casos, se registra un resumen del encabezado del paquete (no una copia del propio paquete). Los filtros de servicio y los filtros simples no admiten ni la log acción syslog ni.

Nota:

Tanto la CPU como las acciones pueden consumir espacio syslog significativo en la CPU o en el disco del log dispositivo. Juniper recomienda que descargue los registros escribiéndolo en un servidor syslog remoto, y que limita el registro mediante su uso sólo para diagnósticos.

Registro

Tal y como se indicó, los registros del sistema pueden escribirse en el disco o enviarse a un servidor remoto. Los registros guardados se escriben en el /var/log directorio. Puede ver una lista de todos los archivos de registro disponibles en el dispositivo ejecutando el show log comando sin opciones. Tenga en cuenta que, dentro de un archivo de registro determinado, los registros de acciones del cortafuegos se pueden intercalar con mensajes de sucesos.

La siguiente configuración muestra los registros del sistema que se envían a un servidor remoto en 172.27.1.1 y también los guarda en un archivo llamado "firewall" en el dispositivo syslog local.

Para ver los registros del sistema, ejecute el show syslog message comando.

Para ver el contenido de un archivo de registro del sistema determinado, ejecute el show log filename comando file show /var/log/filename o.

Para borrar el contenido del archivo de registro del sistema, ejecute el clear log filename comando. Puede incluir la opción all de eliminar todos los registros guardados, incluidos los registros que se escriban en el archivo de registro actual.

Los detalles de configuración se muestran a continuación:

Registrar

La log acción escribe información de registro en un búfer. No hay ninguna opción para escribir registros en un servidor remoto o para escribirlos en el disco. Una vez que el búfer disponible está lleno, los registros nuevos sustituirán al más antiguo, por lo que no se conservará un registro histórico. Los registros se borran siempre que se reinicia el dispositivo o PFE.

Los detalles de configuración se muestran a continuación:

Para ver los registros, ejecute el show firewall log comando.

Detalles del registro

A continuación se muestra el tipo de información que se suele incluir en el syslog y las entradas del log:

Los campos se explican a continuación:

  • Date and Time: fecha y hora en las que se recibió el paquete (no se muestra en el valor predeterminado).

    Hostname: nombre del dispositivo en el que se produjo la coincidencia..

    Interface: interfaz física que atravesó el paquete.

  • Acción de filtrado. En el ejemplo anterior, es un.

    • A— Aceptar (o el próximo período)

    • D: descartar

    • R— Rechazar

  • Protocol— Protocolo de paquetes. Puede ser un nombre o un número, y también puede incluir los puertos de origen y destino. En el ejemplo anterior, el protocolo es ICMP, que puede incluir, a continuación, el tipo y código de ICMP.

  • Source address: dirección IP de origen del paquete.

  • Destination address: dirección IP de destino del paquete.

  • Source port: puerto de origen del paquete (solo paquetes TCP y UDP). En el ejemplo anterior, el puerto es 0.

  • Destination port: puerto de destino del paquete (solo paquetes TCP y UDP). En el ejemplo anterior, el puerto es 0.

  • Packets in sample interval: en este ejemplo, se muestra que solo se detectó un paquete que coincide en el intervalo de ejemplo (aproximadamente un segundo). Si los paquetes llegan a una velocidad más rápida, el registro del sistema comprime automáticamente la información para que se generen menos resultados.