Mensajes de registro para clústeres de chasis de la serie SRX
Descripción general de sesiones y flujos de paquetes
Puede obtener información sobre las sesiones y los flujos de paquetes activos en su dispositivo, incluida información detallada sobre sesiones específicas. (El dispositivo de la serie SRX también muestra información sobre sesiones fallidas). Puede mostrar esta información para observar la actividad y con fines de depuración.
Por ejemplo, use el show security flow session
comando para:
Muestra una lista de flujos IP entrantes y salientes, incluidos los servicios.
Mostrar los atributos de seguridad asociados a un flujo, por ejemplo, las políticas que se aplican al tráfico que pertenece a ese flujo.
Muestra el valor del tiempo de espera de la sesión, cuándo se activó la sesión, cuánto tiempo ha estado activa y si hay tráfico activo en la sesión.
Para obtener información detallada sobre este comando, consulte la Referencia de la CLI de Junos OS.
La información de sesión también se puede registrar si una configuración de directiva relacionada incluye la opción de registro. La infraestructura de registro de sesión registra los mensajes de registro de sesión cuando se crea, cierra, deniega o rechaza una sesión. En las líneas SRX3000 y SRX5000, los mensajes de registro se transmiten directamente a un servidor/repositorio syslog externo, sin pasar por el motor de enrutamiento. Los dispositivos de la serie SRX admiten syslog tradicional y estructurado. Las líneas SRX3000 y SRX5000 admiten 1000 mensajes de registro por segundo, y la estación de administración debe estar equipada para manejar este volumen. Consulte la Guía de configuración de seguridad de Junos OS para ver ejemplos de configuración y detalles sobre estos registros. Los registros están disponibles a través de la interfaz de administración de los nodos primario y secundario. Asegúrese de que ambos nodos puedan acceder al servidor externo que recibe estos mensajes de registro.
Los dispositivos de gama alta de la serie SRX tienen una arquitectura de procesamiento distribuido que procesa el tráfico y genera mensajes de registro. En los dispositivos de la serie SRX, el firewall procesa las sesiones de tráfico en cada una de las SPU del chasis. Después de crear cada sesión, la procesa la misma SPU en el chasis, que también es la SPU que genera el mensaje de registro.
El método estándar para generar mensajes de registro es hacer que cada SPU genere el mensaje como un mensaje syslog UDP y lo envíe directamente fuera del plano de datos al servidor syslog. Los dispositivos de la serie SRX pueden registrar tasas de tráfico extremadamente altas. Pueden registrar hasta 750 MB por segundo de mensajes de registro, lo que supera los límites del plano de control. Por lo tanto, no recomendamos registrar mensajes en el plano de control, excepto en determinadas circunstancias.
Para los dispositivos de sucursal de la serie SRX que ejecutan Junos OS versión 9.6 y posteriores y los dispositivos de la serie SRX de gama alta que ejecutan Junos OS versión 10.0 y posteriores, los dispositivos pueden registrar mensajes en el plano de control a una velocidad máxima limitada (1000 mensajes de registro por segundo) en lugar de iniciar sesión en el plano de datos. Si los mensajes de registro se envían a través del plano de datos mediante syslog, se debe usar un recopilador syslog, como Juniper Security Threat Response Manager (STRM), para recopilar los registros para su visualización, generación de informes y alertas. En los dispositivos de sucursal de la serie SRX que ejecutan Junos OS versión 9.6 y posteriores y en los dispositivos de la serie SRX de gama alta que ejecutan Junos OS versión 10.0 y posteriores, los dispositivos solo pueden enviar mensajes de registro al plano de datos o al plano de control, pero no a ambos al mismo tiempo.
Configuración del registro de dispositivos de la serie SRX de gama alta
Configuración del registro del plano de datos del dispositivo serie SRX de gama alta en el plano de control
Si la estación de administración no puede recibir mensajes de registro del plano de datos, configúrela para enviar mensajes a través de la conexión de administración. Si inicia sesión en el plano de control, los dispositivos de la serie SRX también pueden enviar estos mensajes syslog por la interfaz fxp0. Si se configura el registro de eventos, todos los mensajes de registro del plano de datos van al plano de control.
Configure el registro de eventos.
user@host#
set security log mode event
Limite la velocidad de los mensajes del registro de eventos.
Puede ser necesario limitar la velocidad de los mensajes del registro de eventos desde el plano de datos al plano de control debido a los recursos limitados en el plano de control para procesar grandes volúmenes de mensajes de registro. Esto es especialmente aplicable si el plano de control está ocupado procesando protocolos de enrutamiento dinámico como BGP o implementaciones de enrutamiento a gran escala. La siguiente velocidad de comandos limita los mensajes de registro para que no sobrepasen el plano de control. Los mensajes de registro con velocidad limitada se descartan. Una práctica recomendada para los dispositivos de gama alta de la serie SRX es registrar no más de 1000 mensajes de registro por segundo en el plano de control.
user@host#
set security log mode event event-rate logs per second
Configuración de dispositivos de sucursal de la serie SRX para enviar mensajes de registro de tráfico a través del plano de datos
Los mensajes de registro de tráfico de dispositivos de sucursal de la serie SRX se pueden enviar a través de los registros de seguridad del plano de datos en modo de secuencia. Tenga en cuenta que esto solo es posible utilizando el modo de transmisión. A continuación se muestra un ejemplo de configuración y salida de registro.
Configuración
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
Ejemplo de salida del mensaje de registro
Sep 06 16:54:22 10.204.225.164 1 2010-09-06T04:24:22.094 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="62736" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="62736" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="206" packets-from-client="64" bytes-from-client="3525" packets-from-server="55" bytes-from-server="3146" elapsed-time="21"]
Sep 06 16:54:26 10.204.225.164 1 2010-09-06T04:24:26.095 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.39 source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208"]
Sep 06 16:54:34 10.204.225.164 1 2010-09-06T04:24:34.098 nsm-vidar-a RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.39 reason="TCP FIN" source-address="1.1.1.2" source-port="49780" destination-address="2.1.1.1" destination-port="23" service-name="junos-telnet" nat-source-address="1.1.1.2" nat-source-port="49780" nat-destination-address="2.1.1.1" nat-destination-port="23" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="trust-untrust" source-zone-name="trust" destination-zone-name="untrust" session-id-32="208" packets-from-client="37" bytes-from-client="2094" packets-from-server="30" bytes-from-server="1822" elapsed-time="6"]
En este caso, los mensajes de registro de tráfico de dispositivos de la serie SRX se envían a un servidor syslog externo a través del plano de datos. Esto garantiza que el motor de enrutamiento no sea un cuello de botella para el registro. También garantiza que el motor de enrutamiento no se vea afectado durante el registro excesivo. Además de los mensajes de registro de tráfico, el plano de control y los mensajes de registro enviados al motor de enrutamiento se escriben en un archivo en la memoria flash. A continuación se muestra un ejemplo de configuración para habilitar este tipo de registro.
Configuración
Syslog (self logs): esta configuración se puede personalizar según el registro requerido self .
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file messages kernel info
Registros de tráfico ( usando dataplane)
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
En este caso, tanto los mensajes de registro de tráfico como los mensajes de registro enviados al motor de enrutamiento se envían a un servidor syslog. A continuación se muestra un ejemplo de configuración para habilitar este tipo de registro.
Configuración
Syslog (servidor syslog)
set system syslog host 10.204.225.218 any notice
set system syslog host 10.204.225.218 authorization info
set system syslog host 10.204.225.218 kernel info
Registros de tráfico
set security log mode stream
set security log format sd-syslog
set security log source-address 10.204.225.164
set security log stream vmware-server severity debug
set security log stream vmware-server host 10.204.225.218
Configuración de registros del plano de control
El plano de control de dispositivos de la serie SRX es responsable del control general de la plataforma de la serie SRX, junto con la ejecución de una serie de procesos de software para realizar tareas como operaciones de protocolo de enrutamiento, cálculos de tablas de enrutamiento, administración de administradores, administración de SNMP, autenticación y muchas otras funciones de misión crítica. Hay una amplia gama de mensajes de registro que se generan en el plano de control, y el plano de control ofrece soporte granular para definir qué mensajes de registro deben escribirse en ambos archivos y enviarse a los servidores syslog. En este tema se proporciona información general sobre cómo configurar varias opciones de syslog en el plano de control. En esta sección solo se trata el envío de mensajes de registro a través de servicios syslog.
Configuración de dispositivos de sucursal de la serie SRX para el registro
Puede configurar el dispositivo de la serie SRX para que envíe sólo registros de tráfico al servidor syslog mediante el plano de control.
En esta configuración:
No se configuran registros de seguridad.
No se reciben registros del plano de control.
Utilice la expresión regular de la instrucción para enviar únicamente mensajes de registro de match
tráfico. Estos mensajes de registro se envían directamente al servidor syslog sin escribirlos en la memoria flash. Esta configuración no envía mensajes de registro que normalmente se envían al motor de enrutamiento al servidor syslog. Sin embargo, es posible crear un archivo independiente y escribir mensajes de registro del plano de control en un archivo del motor de enrutamiento como se muestra.
Configuración
set system syslog host 10.204.225.218 any any
set system syslog host 10.204.225.218 match RT_FLOW_SESSION
set system syslog file messages any any
Mensajes de registro de ejemplo:
Sep 06 15:22:29 10.204.225.164 Sep 6 02:52:30 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 Sep 06 15:22:43 10.204.225.220 Sep 6 02:52:30 last message repeated 10 times Sep 06 15:23:49 10.204.225.164 Sep 6 02:53:49 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 1.1.1.2/54164->2.1.1.1/23 junos-telnet 1.1.1.2/54164->2.1.1.1/23 None None 6 trust-untrust trust untrust 192 60(3307) 46(2784) 79
La siguiente configuración envía mensajes de registro de tráfico y control al servidor syslog, pero puede abrumar al servidor syslog y provocar inestabilidad en el clúster. No recomendamos utilizar esta configuración.
Configuración
set system syslog host 10.204.225.218 any any
set system syslog file messages any any
El modo de evento de registro de seguridad es el modo predeterminado en los dispositivos de sucursal de la serie SRX y no se recomienda para estos dispositivos. Se recomienda cambiar el comportamiento predeterminado.
El registro extenso en flash local puede tener un impacto no deseado en el dispositivo, como inestabilidad en el plano de control.
Envío de mensajes de registro del plano de datos con una dirección IP en la misma subred que la interfaz fxp0
Es posible que desee implementar aplicaciones y sistemas de administración de fallas y administración del rendimiento, como el Administrador de respuesta a amenazas de seguridad (STRM) de Juniper Networks. STRM recopila mensajes de registro a través de la red de administración y se conecta a través de la interfaz fxp0. Las aplicaciones de administración de errores y administración de rendimiento administran el dispositivo de la serie SRX a través de la interfaz fxp0, pero el dispositivo de la serie SRX también necesita enviar los mensajes de registro del plano de datos a STRM en la misma red. Por ejemplo, si la tasa de mensajes de registro va a ser superior a 1000 mensajes de registro por segundo, no se admite el registro en el plano de control. El problema es que dos interfaces en el mismo enrutador virtual no pueden estar en la misma subred y la interfaz fxp0 no se puede mover a ningún enrutador virtual que no sea inet.0.
Para evitar estos problemas, coloque una interfaz de plano de datos en un enrutador virtual distinto del enrutador virtual predeterminado inet.0 y coloque una ruta en la tabla de enrutamiento inet.0 para enrutar el tráfico a STRM a través de ese enrutador virtual. En el siguiente ejemplo de configuración se muestra cómo hacerlo.
En este ejemplo:
fxp0 tiene una dirección IP de 172.19.200.164/24.
Application A (AppA) tiene una dirección IP de 172.19.200.175.
STRM tiene una dirección IP de 172.19.200.176.
La interfaz ge-0/0/7 es una interfaz de plano de datos, con una dirección IP de 172.19.200.177/24 (que se encuentra en la misma subred que la interfaz fxp0).
Para configurar este ejemplo, incluya las siguientes instrucciones:
set interfaces fxp0 unit 0 family inet address 172.19.200.164/24 set system syslog host 172.19.200.176 any any set system syslog host 172.19.200.176 source-address 172.19.200.177 set interface ge-0/0/7 unit 0 family inet address 172.19.200.177/24 set security log format sd-syslog set security log source-address 172.19.200.177 set security log stream Log host 172.19.200.176 set routing-instances Logging instance-type virtual-router set routing-instances Logging interface ge-0/0/7.0 set routing-options static route 172.19.200.176/32 next-table Logging.inet.0
AppA ahora puede administrar la interfaz ge-0/0/7, ya que AppA administra el dispositivo mediante la interfaz fxp0 en la instancia de enrutamiento predeterminada. Para ello, AppA debe usar el formato de mensaje Logging@<snmp-community-string-name> para acceder a los datos de la interfaz ge-0/0/7 mediante SNMP.