Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Mensajes de registro para clústeres de chasis de la serie SRX

Descripción general de sesiones y flujos de paquetes

Puede obtener información sobre las sesiones y los flujos de paquetes activos en su dispositivo, incluida información detallada sobre sesiones específicas. (El dispositivo de la serie SRX también muestra información sobre sesiones fallidas). Puede mostrar esta información para observar la actividad y con fines de depuración.

Por ejemplo, use el show security flow session comando para:

  • Muestra una lista de flujos IP entrantes y salientes, incluidos los servicios.

  • Mostrar los atributos de seguridad asociados a un flujo, por ejemplo, las políticas que se aplican al tráfico que pertenece a ese flujo.

  • Muestra el valor del tiempo de espera de la sesión, cuándo se activó la sesión, cuánto tiempo ha estado activa y si hay tráfico activo en la sesión.

Para obtener información detallada sobre este comando, consulte la Referencia de la CLI de Junos OS.

La información de sesión también se puede registrar si una configuración de directiva relacionada incluye la opción de registro. La infraestructura de registro de sesión registra los mensajes de registro de sesión cuando se crea, cierra, deniega o rechaza una sesión. En las líneas SRX3000 y SRX5000, los mensajes de registro se transmiten directamente a un servidor/repositorio syslog externo, sin pasar por el motor de enrutamiento. Los dispositivos de la serie SRX admiten syslog tradicional y estructurado. Las líneas SRX3000 y SRX5000 admiten 1000 mensajes de registro por segundo, y la estación de administración debe estar equipada para manejar este volumen. Consulte la Guía de configuración de seguridad de Junos OS para ver ejemplos de configuración y detalles sobre estos registros. Los registros están disponibles a través de la interfaz de administración de los nodos primario y secundario. Asegúrese de que ambos nodos puedan acceder al servidor externo que recibe estos mensajes de registro.

Los dispositivos de gama alta de la serie SRX tienen una arquitectura de procesamiento distribuido que procesa el tráfico y genera mensajes de registro. En los dispositivos de la serie SRX, el firewall procesa las sesiones de tráfico en cada una de las SPU del chasis. Después de crear cada sesión, la procesa la misma SPU en el chasis, que también es la SPU que genera el mensaje de registro.

El método estándar para generar mensajes de registro es hacer que cada SPU genere el mensaje como un mensaje syslog UDP y lo envíe directamente fuera del plano de datos al servidor syslog. Los dispositivos de la serie SRX pueden registrar tasas de tráfico extremadamente altas. Pueden registrar hasta 750 MB por segundo de mensajes de registro, lo que supera los límites del plano de control. Por lo tanto, no recomendamos registrar mensajes en el plano de control, excepto en determinadas circunstancias.

Para los dispositivos de sucursal de la serie SRX que ejecutan Junos OS versión 9.6 y posteriores y los dispositivos de la serie SRX de gama alta que ejecutan Junos OS versión 10.0 y posteriores, los dispositivos pueden registrar mensajes en el plano de control a una velocidad máxima limitada (1000 mensajes de registro por segundo) en lugar de iniciar sesión en el plano de datos. Si los mensajes de registro se envían a través del plano de datos mediante syslog, se debe usar un recopilador syslog, como Juniper Security Threat Response Manager (STRM), para recopilar los registros para su visualización, generación de informes y alertas. En los dispositivos de sucursal de la serie SRX que ejecutan Junos OS versión 9.6 y posteriores y en los dispositivos de la serie SRX de gama alta que ejecutan Junos OS versión 10.0 y posteriores, los dispositivos solo pueden enviar mensajes de registro al plano de datos o al plano de control, pero no a ambos al mismo tiempo.

Configuración del registro de dispositivos de la serie SRX de gama alta

  1. Configure el formato de registro.

    Hay dos formatos admitidos para los mensajes de registro del sistema: estructurado y estándar. Generalmente se prefiere syslog estructurado porque antepone los campos con un título. Por ejemplo, el campo source-IP address es source-address="10.102.110.52" en lugar de solo la dirección IP 10.102.110.52. En el comando siguiente, la opción configura syslog estructurado, mientras que la format sd-syslog format syslog opción configura syslog estándar.

    user@host# set security log format sd-syslog

  2. Configure la dirección de origen syslog.

    La dirección de origen syslog puede ser cualquier dirección IP arbitraria. No tiene que ser una dirección IP asignada al dispositivo. En su lugar, esta dirección IP se utiliza en el recopilador syslog para identificar el origen syslog. La práctica recomendada es configurar la dirección de origen como la dirección IP de la interfaz en la que se envía el tráfico.

    user@host# set security log source-address ip-address

  3. Configure la secuencia de registros del sistema.

    La secuencia de registro del sistema identifica la dirección IP de destino a la que se envían los mensajes syslog. En los dispositivos de gama alta de la serie SRX que ejecutan Junos OS versión 9.5 y posteriores, se pueden definir hasta dos secuencias syslog (todos los mensajes se envían a las secuencias syslog). Tenga en cuenta que debe asignar un nombre a la secuencia. Este nombre es arbitrario, pero se recomienda utilizar el nombre del recopilador syslog para identificarlo fácilmente en la configuración.

    También puede definir el puerto UDP al que se envían los mensajes de registro. De forma predeterminada, los mensajes de registro se envían al puerto UDP 1514.

    Para configurar la dirección IP del servidor de registro del sistema:

    user@host# set security log stream name host ip-address

    Para configurar la dirección IP del servidor de registro del sistema y especificar el número de puerto UDP:

    user@host# set security log stream name host ip-address port port

Configuración del registro del plano de datos del dispositivo serie SRX de gama alta en el plano de control

Si la estación de administración no puede recibir mensajes de registro del plano de datos, configúrela para enviar mensajes a través de la conexión de administración. Si inicia sesión en el plano de control, los dispositivos de la serie SRX también pueden enviar estos mensajes syslog por la interfaz fxp0. Si se configura el registro de eventos, todos los mensajes de registro del plano de datos van al plano de control.

  1. Configure el registro de eventos.

    user@host# set security log mode event

  2. Limite la velocidad de los mensajes del registro de eventos.

    Puede ser necesario limitar la velocidad de los mensajes del registro de eventos desde el plano de datos al plano de control debido a los recursos limitados en el plano de control para procesar grandes volúmenes de mensajes de registro. Esto es especialmente aplicable si el plano de control está ocupado procesando protocolos de enrutamiento dinámico como BGP o implementaciones de enrutamiento a gran escala. La siguiente velocidad de comandos limita los mensajes de registro para que no sobrepasen el plano de control. Los mensajes de registro con velocidad limitada se descartan. Una práctica recomendada para los dispositivos de gama alta de la serie SRX es registrar no más de 1000 mensajes de registro por segundo en el plano de control.

    user@host# set security log mode event event-rate logs per second

Configuración de dispositivos de sucursal de la serie SRX para enviar mensajes de registro de tráfico a través del plano de datos

Los mensajes de registro de tráfico de dispositivos de sucursal de la serie SRX se pueden enviar a través de los registros de seguridad del plano de datos en modo de secuencia. Tenga en cuenta que esto solo es posible utilizando el modo de transmisión. A continuación se muestra un ejemplo de configuración y salida de registro.

Configuración

Ejemplo de salida del mensaje de registro

Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]

Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]

En este caso, los mensajes de registro de tráfico de dispositivos de la serie SRX se envían a un servidor syslog externo a través del plano de datos. Esto garantiza que el motor de enrutamiento no sea un cuello de botella para el registro. También garantiza que el motor de enrutamiento no se vea afectado durante el registro excesivo. Además de los mensajes de registro de tráfico, el plano de control y los mensajes de registro enviados al motor de enrutamiento se escriben en un archivo en la memoria flash. A continuación se muestra un ejemplo de configuración para habilitar este tipo de registro.

Configuración

Syslog (self logs): esta configuración se puede personalizar según el registro requerido self .

Registros de tráfico ( usando dataplane)

En este caso, tanto los mensajes de registro de tráfico como los mensajes de registro enviados al motor de enrutamiento se envían a un servidor syslog. A continuación se muestra un ejemplo de configuración para habilitar este tipo de registro.

Configuración

Syslog (servidor syslog)

Registros de tráfico

Configuración de registros del plano de control

El plano de control de dispositivos de la serie SRX es responsable del control general de la plataforma de la serie SRX, junto con la ejecución de una serie de procesos de software para realizar tareas como operaciones de protocolo de enrutamiento, cálculos de tablas de enrutamiento, administración de administradores, administración de SNMP, autenticación y muchas otras funciones de misión crítica. Hay una amplia gama de mensajes de registro que se generan en el plano de control, y el plano de control ofrece soporte granular para definir qué mensajes de registro deben escribirse en ambos archivos y enviarse a los servidores syslog. En este tema se proporciona información general sobre cómo configurar varias opciones de syslog en el plano de control. En esta sección solo se trata el envío de mensajes de registro a través de servicios syslog.

  1. Configure el servidor syslog y los mensajes de registro seleccionados.

    Para configurar el servidor syslog para recibir mensajes de registro del dispositivo de la serie SRX, defina qué hosts syslog reciben las secuencias junto con qué instalaciones y gravedades enviar. Tenga en cuenta que se pueden configurar varias instalaciones y prioridades para enviar varios tipos de mensajes de registro. Para enviar todos los tipos de mensajes, especifique la opción para la facilidad y la any gravedad.

    user@host# set system syslog host syslog server facility severity

  2. Configure la dirección IP de origen syslog.

    La dirección IP de origen de la secuencia syslog es necesaria porque el dispositivo de la serie SRX puede enviar el mensaje syslog con cualquier dirección. Se debe utilizar la misma dirección IP independientemente de la interfaz seleccionada.

    user@host# set system syslog host syslog server source-address source-address

  3. (Opcional) Configure la coincidencia de expresiones regulares.

    A veces, es posible que un administrador desee filtrar los mensajes de registro que se envían al servidor syslog. El filtrado de registros se puede especificar con la match instrucción. En este ejemplo, solo se envían al servidor syslog los registros definidos en la match instrucción regular expression (IDP).

    user@host# set system syslog host syslog server facility severity match IDP

Configuración de dispositivos de sucursal de la serie SRX para el registro

Puede configurar el dispositivo de la serie SRX para que envíe sólo registros de tráfico al servidor syslog mediante el plano de control.

En esta configuración:

  • No se configuran registros de seguridad.

  • No se reciben registros del plano de control.

Utilice la expresión regular de la instrucción para enviar únicamente mensajes de registro de match tráfico. Estos mensajes de registro se envían directamente al servidor syslog sin escribirlos en la memoria flash. Esta configuración no envía mensajes de registro que normalmente se envían al motor de enrutamiento al servidor syslog. Sin embargo, es posible crear un archivo independiente y escribir mensajes de registro del plano de control en un archivo del motor de enrutamiento como se muestra.

Configuración

Mensajes de registro de ejemplo:

La siguiente configuración envía mensajes de registro de tráfico y control al servidor syslog, pero puede abrumar al servidor syslog y provocar inestabilidad en el clúster. No recomendamos utilizar esta configuración.

Configuración

El modo de evento de registro de seguridad es el modo predeterminado en los dispositivos de sucursal de la serie SRX y no se recomienda para estos dispositivos. Se recomienda cambiar el comportamiento predeterminado.

Nota:

El registro extenso en flash local puede tener un impacto no deseado en el dispositivo, como inestabilidad en el plano de control.

Envío de mensajes de registro del plano de datos con una dirección IP en la misma subred que la interfaz fxp0

Es posible que desee implementar aplicaciones y sistemas de administración de fallas y administración del rendimiento, como el Administrador de respuesta a amenazas de seguridad (STRM) de Juniper Networks. STRM recopila mensajes de registro a través de la red de administración y se conecta a través de la interfaz fxp0. Las aplicaciones de administración de errores y administración de rendimiento administran el dispositivo de la serie SRX a través de la interfaz fxp0, pero el dispositivo de la serie SRX también necesita enviar los mensajes de registro del plano de datos a STRM en la misma red. Por ejemplo, si la tasa de mensajes de registro va a ser superior a 1000 mensajes de registro por segundo, no se admite el registro en el plano de control. El problema es que dos interfaces en el mismo enrutador virtual no pueden estar en la misma subred y la interfaz fxp0 no se puede mover a ningún enrutador virtual que no sea inet.0.

Para evitar estos problemas, coloque una interfaz de plano de datos en un enrutador virtual distinto del enrutador virtual predeterminado inet.0 y coloque una ruta en la tabla de enrutamiento inet.0 para enrutar el tráfico a STRM a través de ese enrutador virtual. En el siguiente ejemplo de configuración se muestra cómo hacerlo.

En este ejemplo:

  • fxp0 tiene una dirección IP de 172.19.200.164/24.

  • Application A (AppA) tiene una dirección IP de 172.19.200.175.

  • STRM tiene una dirección IP de 172.19.200.176.

  • La interfaz ge-0/0/7 es una interfaz de plano de datos, con una dirección IP de 172.19.200.177/24 (que se encuentra en la misma subred que la interfaz fxp0).

Para configurar este ejemplo, incluya las siguientes instrucciones:

Nota:

AppA ahora puede administrar la interfaz ge-0/0/7, ya que AppA administra el dispositivo mediante la interfaz fxp0 en la instancia de enrutamiento predeterminada. Para ello, AppA debe usar el formato de mensaje Logging@<snmp-community-string-name> para acceder a los datos de la interfaz ge-0/0/7 mediante SNMP.

Documentación relacionada