Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Настройка системного журнала для устройства защиты

Понимание системного журнала для устройств безопасности

Junos OS поддерживает настройку и мониторинг сообщений системного журнала (так называемых сообщений системного журнала). Можно настроить файлы для регистрации системных сообщений, а также присвоить сообщениям атрибуты ( например, уровни серьезности). Запросы перезагрузки записываюются в файлы системного журнала, которые можно просмотреть с помощью show log команды.

В данном разделе содержатся следующие темы:

Журналы плоскости управления и плоскости данных

Junos OS генерирует отдельные сообщения журнала для записи событий, происходящих на системных плоскостях управления и данных.

  • Журналы плоскость управления, также называемые системным журналом, включают события, происходящие на платформе маршрутов. Система отправляет плоскость управления события процессу на модуль маршрутизации, который обрабатывает события с помощью Junos OS политик, генерируя сообщения системного журнала или и то eventd и другое. Можно отправлять журналы журнала плоскость управления файл, терминал пользователя, консоль платформы маршрутов или на удаленный компьютер. Для создания плоскость управления журналов используйте утверждение syslog на уровне [system] иерархии.

  • Журналы плоскость данных, также называемые журналами безопасности,в основном включают события безопасности, которые обрабатываются внутри плоскость данных. Журналы безопасности могут иметь текстовый или двоичный формат и могут быть сохранены локально (в режиме события) или отправлены на внешний сервер (режим потока). Двоичный формат необходим для режима потока и рекомендуется для сохранения пространства журнала в режиме события.

    Обратите внимание на следующее:

    • Журналы безопасности можно сохранить локально (на ящике) или внешне (вне системы), но не оба.

    • SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 и SRX5800 устройства по умолчанию для режима потока. Чтобы указать двоичный формат и внешний сервер, см. "Настройка off-Box Binary Security Log Files".

      Прим.:

      Журналы могут быть отброшены при настройке регистрации в режиме события на этих устройствах.

      Начиная с Junos OS 15.1X49-D100, режимом по умолчанию для SRX1500 устройства является режим потока. До Junos OS выпуска 15.1X49-D100 в режиме по умолчанию для SRX1500 устройства был режим события.

    • За исключением Junos OS release 18.4R1, 18,4R2, 19.1 и 19.2R1 во всех остальных выпусках, начиная Junos OS release 18.3R3, по умолчанию для устройств SRX300, SRX320, SRX340, SRX345, SRX550, и SRX550M является режимом потока. События плоскости данных записыются в файлы системного журнала аналогично плоскость управления событиям. Чтобы указать двоичный формат журналов безопасности, см. "Настройка off-Box Binary Security Log Files".

    Начиная Junos OS выпуске 20.2R1, мы поддерживаем переадрешение в журнале потоков и отчеты в записи, чтобы избежать ошибок парирования. Режим потока поддерживает вход и sd-syslogbinary форматирование, когда журналы не отправляются на eventd обработку. Для журналов отправки на процесс не рекомендуется включить параметр, так как процесс включил выход для eventdescape журнала eventd структуры. Режим события поддерживает выход только в binary формате. По умолчанию escape этот параметр отключен. Параметр необходимо включить escape с помощью set security log escape команды.

Сервер регистрации резервной системы

Трафик системного журнала системы безопасности, предназначенный для удаленных серверов, отправляется через порты сетевого интерфейса, которые поддерживают два одновременных пункта назначения системного журнала. Каждый пункт регистрации системы должен настраиваться отдельно. При настройке двух адресов назначения системного журнала одинаковые журналы отправляются по обоим адресам. Хотя на любом устройстве, которое поддерживает эту функцию, можно настроить два пункта назначения, добавление второго пункта назначения в первую очередь полезно в качестве резервной резервной копии для развертывания кластеров с поддержкой автономных и активных/резервных шасси.

Доступны следующие сведения о резервном сервере:

  • Объекта: cron

  • Описание: процесс планирования хрон

  • Уровень серьезности (от наивысшей до минимальной важности): debug

  • Описание: Сообщения отладки программного обеспечения

Понимание ведения журнала потока для устройств безопасности

См. также

О двоичном формате журналов безопасности

Система Junos OS отдельные сообщения журнала для записи событий, происходящих в системных плоскость управления и плоскость данных. Плоскость управления отслеживает события, происходящие на платформе маршрутов. Такие события записываюются в сообщения системного журнала. Для генерации сообщений системного журнала используйте syslog утверждение на [system] уровне иерархии.

Сообщения журнала плоскости данных, которые называются сообщениями журнала безопасности, записывают события безопасности, которые система обрабатывает непосредственно внутри плоскость данных. Для генерации сообщений журнала безопасности используйте утверждение log на [security] уровне иерархии.

Сообщения системного журнала сохраняются в файлах журналов в текстовых форматах, таких как BSD Syslog, Structured Syslog и WebTrends Enhanced Log Format (WELF).

Сообщения журнала безопасности также можно поддерживать в текстовых форматах. Поскольку ведение журнала безопасности может привести к большим объемам данных, текстовые файлы журналов могут быстро потреблять ресурсы хранилища и ЦП. В зависимости от реализации ведения журнала безопасности файл журнала в двоичном формате может обеспечить более эффективное использование файлов хранения данных в базе данных или вне помещений, а также повысить использование ЦП. Двоичный формат сообщений журнала безопасности доступен на всех серия SRX устройства.

При настройке в режиме события сообщения журнала безопасности, созданные на плоскость данных, направляются на плоскость управления и сохраняются локально на устройстве. Сообщения журнала безопасности, хранимые в двоичном формате, хранятся в файле журнала отдельно от сообщений системного журнала. События, хранимые в двоичном файле журнала, недоступны с помощью расширенных команд log-scripting, предназначенных для текстовых файлов журналов. Отдельная интерфейс командной строки operational команда поддерживает декодинг, преобразование и просмотр двоичных файлов журналов, локально хранимых на устройстве.

При настройке в режиме потока сообщения журнала безопасности, сгенерируемые в плоскость данных потоке, посылаются на удаленное устройство. Когда эти сообщения хранятся в двоичном формате, они напрямую переадружаются на внешний сервер сбора журналов в определенном двоичном формате Juniper двоичном формате. Внешние файлы двоичных журналов можно считывать только Juniper Secure Analytics (JSA) или Security Threat Response Manager (STRM).

Начиная с Junos OS 17.4R2 и более поздних, SRX300, SRX320, SRX340, SRX345 Series и vSRX экземплярах, при настройке устройства в режиме потока можно настроить максимум восемь системных хостов журнала. В Junos OS и более 17.4R2 можно настроить только три системных журнала в режиме потока. Если настроено более трех системных хостов журнала, то отображается следующее сообщение об error: configuration check-out failed ошибках.

Для получения информации о настройке двоичных журналов безопасности в окне (в режиме события) см. "Настройка двоичных файлов журнала безопасности в окне". Для получения сведений о настройке файлов двоичного журнала безопасности (в режиме потока) см. "Настройка двоичных файлов журнала безопасности off-Box".

Понимание ведения журналов и отчетов в on-Box

В этом разделе описаны функции ведения журнала и отчетности интерфейс командной строки и аспекты проектирования входных отчетов для устройств SRX.

Обзор

Ведение журнала трафика на твердотельных дисках (SSD) поддерживает восемь внешних серверов журналов или файлов.

В него добавляются все в одном XML-файле, который содержит всю информацию в журналах трафика. В XML-файле также создаются все файлы заголовки журнала и документы, относящиеся к журналу трафика.

В services Processing Cards 0 (SPCs0) поддерживается новый процесс (daemon), называемый local log демон управления (llmd), для обработки регистрации локального трафика. Трафик, который производится потоком в SPC, перечислены в журналах трафика. Llmd сохраняет эти журналы в локальном SSD. Журналы трафика сохраняются в четырех различных форматах. См. Табл. 1 информацию о форматах журналов.

Табл. 1: Форматы журнала
Формат журнала Описание По умолчанию
Syslog
  • Традиционный формат журнала для сохранения журналов.
 да
Sd-syslog
  • Формат файла структурированного системного журнала.
  • Следовательно, наиболее описательный и длительный процесс занимает больше места.
  • Передача журналов, сохраненных в таком формате из-за размера, занимает больше времени.
 -
Уайлф
  • Формат расширенных файлов журнала WebTrends является стандартным в отрасли форматом обмена файлами журналов.
  • Совместим с пакетом межсетевых экранов 2.0 и более поздних, Firewall Reporting Center 1.0 и более поздних, а также Security Reporting Center 2.0 и более поздних.
 -
Двоичном
  • Juniper формате.
  • Наименее описательный среди всех остальных форматов журнала и занимает наименьшее пространство по сравнению с другими форматами журналов.
 -

Механизм отчетов в режиме входа в систему — это усовершенствование существующей функциональности ведения журнала. Существующая функциональность регистрации изменена для сбора журналов системного трафика, анализа журналов и создания отчетов этих журналов в форме таблиц с использованием интерфейс командной строки. Функция отчетов в окне предназначена для предоставления простого и простого в использовании интерфейса для просмотра журналов безопасности. В готовых отчетах можно легко использовать веб-страницы J-Web событий, происходящих в безопасности, в форме таблиц и графиков. Эти отчеты позволяют управлению ИТ-безопасностью определять информацию о безопасности в загонах и быстро определять действия, которые необходимо принять.

Функция отчетов в окне включена по умолчанию при загрузке заводских конфигураций по умолчанию на серия SRX с Junos OS релизом 15.1X49-D100 или более поздним.

Если устройство серия SRX Junos OS до Junos OS 15.1X49-D100 до Junos OS 15.1X49-D100 происходит обновление серия SRX, то устройство SRX наследует существующую конфигурацию, и функция отчетов в комплекте по умолчанию отключена. Необходимо настроить команду и команду для того, чтобы включить функцию отчетов в окне set security log reportset security log mode stream на обновляемом устройстве.

Начиная Junos OS выпуске 19.3R1, заводская конфигурация по умолчанию не включает конфигурацию отчетов в комплекте для увеличения срока действия твердого диска (SSD). Функцию отчетов можно включить в окне, настроив set security log report интерфейс командной строки в [edit security log] иерархии.

Для выполнения этой задачи на пользовательском интерфейсе J-Web см. руководство пользователя J-Web серия SRX устройств.

Начиная с Junos OS 21.3R1, журналы отчетов в окне сохраняются в файловой системе памяти (MFS), если не существует внешнего SSD. Максимальное количество журналов, которое можно сохранить на MFS, меньше, чем можно сэкономить на внешнем SSD. Это предотвращает исчерпание и сбой памяти. Журналы, сохраненные в MFS, не сохраняются после перезагрузки устройства или сбоя питания. См. количество журналов, записанных в отчете о входе в систему и отчете Табл. 2 о подмене номера.

Табл. 2: Number of Logs
Режим отчетности Сессии Экрана IDP UTM IPsec-VPN Небо
Off-box 1200,000 120,000 120,000 120,000 40 000 120,000
В поле 500 000 50 000 50 000 50 000 20,000 50 000
Прим.:

Для этого сеанса необходимо настроить политику безопасности, используя команду для списка всех приложений и вложенных приложений в функции отслеживания приложений на J-Web с помощью функции отчетности set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close в приложении. Дополнительные сведения см. в журнале (политиках безопасности).

После записи сообщения журнала журнал сохраняется в файле журнала, который затем сохраняется в таблице базы данных RE для дальнейшего анализа (на SRX300, SRX320, SRX340, SRX345 и устройства SRX550M) или на карте SSD для дальнейшего анализа (на SRX1500, SRX4100 и SRX4200M устройства).

Прим.:

Эта функция поддерживает получение наибольшего большинства отчетов на основании подсчета или громкости сеанса или типа журнала, захватит события, происходящие каждую секунду в заданный период времени, захватит содержимое журнала для заданного интерфейс командной строки условий. Для интерфейс командной строки отчетов используются различные условия, такие как "summary", top", "in-detail" и "in-interval". Используя интерфейс командной строки, можно одновременно создавать только один интерфейс командной строки. Все интерфейс командной строки не могут использоваться одновременно. Используя интерфейс командной строки, можно одновременно создавать только один интерфейс командной строки.

Преимущества этой функции:

  • Отчеты хранятся локально на серия SRX и не требуется для отдельных устройств или инструментов для хранения журналов и отчетов.

  • В готовых отчетах используются веб-страницы J-Web, на которые можно найти различные события безопасности в виде таблиц и графиков.

  • Предоставляет простой и простой в использовании интерфейс для просмотра журналов безопасности.

  • Созданные отчеты позволяют ИТ-группе по управлению безопасностью определять информацию о безопасности в загонах и быстро определять действия, которые необходимо принять.

Функция отчетов в окне поддерживает:

  • Создание отчетов на основе требований. Например: количество или громкость сеанса, типы журналов для таких действий, как IDP, UTM, IPsec VPN.

  • Захват событий в реальном времени в указанном диапазоне времени.

  • Захват всех сетевых действий в логическом, организованном и понятном формате на основе интерфейс командной строки условий.

Понимание ведения журналов и отчетов в on-box

В механизме отчетов в интерфейс командной строки данных, используемых для интерфейс командной строки отчетов с устройства. Устройство серии SRX собирает и сохраняет все необходимые журналы. Эти записи журналов затем используются для дальнейшего анализа для расчета и создания отчетов в форме таблиц с использованием интерфейс командной строки. Данные, созданные интерфейс командной строки в виде отчетов, могут быть получены в форме таблиц и графиков в J-Web. Созданные отчеты являются простыми для понимания таблицами и графиками в J-Web. Выполняется основательный анализ журналов (на основе типов сеансов) для таких функций, как экран, IDP, UTM и IPSec.

Можно определить фильтры для данных журнала, которые регистрируются на основе следующих критериев:

Прим.:

Верхние, подробные и интервальные условия не могут использоваться одновременно.

  • top <number>—Этот параметр позволяет создавать отчеты о событиях безопасности с максимальной безопасностью, как указано в команде. Например: топ-5 система предотвращения вторжений или 6 URL-адресов, обнаруженных через UTM.

  • in-detail <number>- Этот параметр позволяет создавать подробное содержимое журнала.

  • in-interval <time-period>- Этот параметр позволяет создавать события, зарегистрированные за определенные интервалы времени.

  • summary–Этот параметр позволяет сгенерировать сводку событий. Таким образом, отчет можно точно настроить под свои нужды и отобразить только необходимые данные.

Максимальное число в интервале, которое отображает число в интервалах, составляет 30. Если задана большая продолжительность, счетчики собираются, чтобы гарантировать, что в интервале не больше 30.

Как в деталях, так и в сумме имеется параметр "all", поскольку в разных таблицах есть разные атрибуты (например, в таблице сеансов нет атрибута "reason", но у UTM есть), у параметра "all" нет фильтра, кроме времени начала и остановки. Если есть и другие фильтры, кроме времени начала и остановки, то отображается ошибка.

Например: root@kujang> show security log report in-detail all reason reason1

В журналах межсетевых экранов приложений для наглядности приложений и пользователей будет составлен список приложений и вложенных приложений. Когда журналы этих функций перечисляют вложенные приложения, вложенные приложения перечислены в J-Web. Если в журнале вложенные приложения вложены как не применимые или неизвестные, в журнале J-Web перечислены только приложения.

Используйте следующие интерфейс командной строки для наглядности приложений и пользователей во всех приложениях и списке вложенных приложений:

  • Для верхнего вложенного приложения по подсчету —show security log report top session-close top-number <number> group-by application order-by count with user

  • Для верхнего вложенного приложения по громкости —show security log report top session-close top-number <number> group-by application order-by volume with user

  • Для верхнего пользователя по подсчету с вложенным приложением —show security log report top session-close top-number <number> group-by user order-by count with application

Функции отчетов в окне

Функция отчетов в окне поддерживает:

  • Sqlite3 support as a librarysqlite3 не поддерживался до Junos OS версии 15.1X49-D100. Начиная Junos OS выпуске 15.1X49-D100, базы данных журнала SQL (SQLite Version 3) используютсямонами, запущенными на RE, и другими потенциальными модулями для хранения журналов на серия SRX устройств.

    В Junos OS релизе 19.4R1 мы обновили базу данных регистрации при входе в систему, чтобы повысить производительность запроса.

  • Running llmd in both Junos OS and Linux OS- Daemon пересылания (поток) декодирует индекс базы данных из двоичных журналов и отправляет как индекс, так и журнал в локальный журнал демон управления (llmd).

    На SRX300 устройства SRX320, SRX340, SRX345 и SRX550M, llmd работает в Junos OS. На SRX1500 устройства SRX4100 и SRX4200, llmd работает в Linux. Таким образом, для поддержки llmd для запуска в ос Junos OS и ОС Linux каталог кодов llmd перемещается с стороны Linux на Junos OS другую.

  • Storing of logs into specified table of the sqlite3 database by llmd- Для сбора локальных журналов на серия SRX и сохранения их в базе данных вводится новый daemon syslog.

    Начиная с Junos OS 19.3R1, Junos OS сохраняет журналы в нескольких таблицах вместо одной таблицы в файле базы данных. Каждая таблица содержит временную запись самых старых и последних журналов. Когда вы инициируете запрос в зависимости от времени начала и окончания, llmd находит последние таблицы для создания отчетов.

    Например, если в одной таблице файла базы данных, сгенерированного за последние 10 часов, содержится 5 миллионов журналов, и если необходимо принять отчет, следует потратить более получаса. Начиная Junos OS 19.3R1, одна таблица разделена на несколько таблиц, и в каждой таблице по 0,5 миллионов журналов. Для создания одного и того же отчета достаточно одной таблицы.

    Рекомендуется запросить запрос с более коротким временем для более производительности.

    • Database table definition-Для журналов сеансов типы данных: исходный адрес, адрес назначения, приложение, пользователь и так далее. Для журналов, связанных с функциями безопасности, типы данных : attack-name, URL, profile protocol и так далее. Поэтому различные таблицы предназначены для хранения журналов разных типов для повышения производительности и экономии места на диске. Устройство SRX создает таблицу базы данных для каждого типа журнала при записи данных журнала.

      Каждый тип таблицы базы данных имеет свой максимальный номер записи, который является специфическим для устройства. Когда число записей таблицы достигает ограничений, новые журналы заменяют самые старые журналы. Junos OS сохраняет журнал в устройстве серия SRX на котором проходит активный трафик.

      Начиная с Junos OS версии 19.3R1, можно создать несколько таблиц в файле базы данных для хранения журналов. Можно определить емкость хранения журналов в таблице.

      Если количество журналов превышает пропускную способность таблицы, Junos OS их во второй таблице. Например, если количество журналов в таблице 1 превышает допустимую пропускную способность таблицы, Junos OS записи в таблице 2.

      Если предел номера журнала превышает последнюю таблицу файла 1, Junos OS журналы в таблице 1 файла 2. Например, таблица n является последней таблицей файла 1. Когда записи журнала превышают пропускную способность таблицы, Junos OS в таблице 1 файла 2.

      Чтобы немедленно действовать после изменения номера таблицы, используйте clear security log report операционную команду.

    • Database table rotation- У каждого типа таблицы базы данных есть свой максимальный номер записи, определенный устройству. Когда число записей таблицы достигает ограничений, новые журналы заменяют самые старые журналы.

      Ниже Табл. 3 описывается емкость файла базы данных:

      Табл. 3: Емкость файла базы данных

      Устройств

      Сессии

      Экрана

      IDP

      UTM

      IPsec-VPN

      Небо

      SRX300, SRX320, SRX340, SRX345 и SRX550M

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

      SRX1500

      12G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4100 и SRX4200

      15G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4600

      22.5G

      6G

      6G

      6G

      0.75G

      2.25G

      vSRX

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

  • Calculating and displaying the reports that are triggered by CLI— Отчеты из базы данных получены от интерфейс командной строки в качестве интерфейса. С помощью интерфейс командной строки можно рассчитать и отобразить данные отчетов.

Выбор таблицы

Если требуется создать отчет из нескольких таблиц, таблицы llmd сортируются на основе хроимов и выбирают таблицы в зависимости от запрашиваемого времени начала и времени остановки.

Например, есть три таблицы: таблица 1 (от 1 до 3), таблица 2 (от 3 до 5) и таблица 3 (6-8). От 1 до 3, от 3 до 6, и от 6 до 8 обозначает временную штампу последних и самых старых журналов. При запросе отчета с 4 по 6 Junos OS отчеты из таблиц 2 и 3.

Срок действия таблицы

Можно выбрать срок действия таблицы, настроив set security log report table-lifetime команду. Junos OS удаляет таблицу после того, как время, зайдея таблицу, превышает срок действия таблицы. Например, если срок действия таблицы установлен на 2, а текущая дата - 26 июля-2019, то это означает, что журналы с 24 по июля 2019 года 00:00:00 удаляются.

Если изменить дату и время вручную на устройстве, срок действия таблицы изменится. Например, если для таблицы установлено время 19 июля 2019 года, а срок действия таблицы настроен на 10 Junos OS, таблицу следует удалить за 29 июля 2019 года. Если изменить дату устройства до 18 июля-2019, реальный срок действия таблицы станет 30 июля 2019 года.

Плотный режим таблицы

В Junos OS выпуска 19.4R1 мы обновили механизм хранения и поиска по умолчанию в базе данных входных данных для управления журналами. Теперь можно настраивать хранения журналов и результаты поиска. Например, если ожидается меньшее количество журналов трафика, можно использовать конфигурацию по умолчанию со временем начала и остановки.

Однако если ожидается большое количество журналов трафика и большие интервалы времени, для которых будут сгенерированы журналы, тогда плотный режим. Чтобы включить плотный режим, используйте команду set security log report table-mode dense configuration.

Сценарий кластера шасси

Для отчетов в устройствах в кластере с шасси журналы хранятся на локальном диске, на котором устройство обрабатывает активный трафик. Эти журналы не синхронизированы с одноранговой узла кластером шасси.

Каждый узел отвечает за хранение журналов при обработке активным трафиком каждого узла. В активном/пассивном режиме только активный узел обрабатывает трафик, а журналы также сохраняются только на активном узле. В случае перенаправки при сбойе новый активный узел обрабатывает трафик и сохраняет журналы на локальном диске. В активном/активном режиме каждый узел обрабатывает собственный трафик, а журналы хранятся на соответствующих узлах.

См. также

Отчеты по мониторингу

Он обеспечивает комплексный механизм отчетности, где ваши сотрудники по управлению безопасностью могут обнаружить событие в момент его возникновения, немедленно получить доступ к соответствующему событию и просмотреть соответствующие сведения о нем и быстро принять соответствующие меры для устранения этой проблемы. Функция отчетов J-Web предоставляет одно- или две страницы отчетов, которые эквивалентны компиляции многочисленных записей в журнале.

В данном разделе содержатся следующие темы:

Отчет по мониторингу угроз

Цель

Используйте отчет об угрозах для мониторинга общей статистики и отчетов о текущих угрозах для сети. Можно анализировать данные регистрации на тип угрозы, сведения об источнике и назначении, а также на частоту угроз. Отчет вычисляет, отображает и обновляет статистику, предоставляя графические презентации текущего состояния сети.

Действий

Чтобы просмотреть отчет об угрозах:

  1. Щелкните справа от информационной панели внизу или выберите пользовательский интерфейс Threats ReportMonitor>Reports>Threats J-Web. Появится отчет об угрозах.

  2. Выберите одну из следующих вкладки:

    • Statistics Вкладку. Описание Табл. 4 содержимого страницы см. в этом описании.

    • Activities Вкладку. Описание Табл. 5 содержимого страницы см. в этом описании.

Табл. 4: Вывод на вкладке "Statistics" в отчете об угрозах

Поле

Описание
Общая области статистики

Категория угроз

Одна из следующих категорий угроз:

  • Трафика

  • IDP

  • Безопасность контента

    • Антивирус

    • Средство борьбы со спамом

    • Веб-фильтр — выберите категорию веб-фильтров для отображения счетчиков 39 подкатегорий.

    • Фильтр содержимого

  • Событие межсетевых экранов

Тяжести

Уровень серьезности угрозы:

  • выявив

  • Оповещения

  • Крит

  • Err

  • Предупреждение

  • Заметить

  • Информация

  • Отладки

Достигается за последние 24 часа

Число угроз, которые были наряду с угрозами по категориям за последние 24 часа.

Достигается в текущий час

Число угроз, с которыми сталкивается одна из категорий за последний час.
Количество угроз за последние 24 часа

По серьезности

Граф представляет собой число угроз, полученных каждый час за последние 24 часа, отсортировали по степени серьезности.

По категориям

Граф представляет собой число угроз, полученных каждый час за последние 24 часа, отсортировали по категориям.

X Axis

24-часовой промежуток с текущим часом занимает самый правый столбец экрана. Каждый час график сдвигается влево.

Y Axis

Число угроз. Оси автоматически масштабируются в зависимости от числа угроз.
Последние угрозы

Имя угрозы

Имена самых последних угроз. В зависимости от категории угроз, можно нажать имя угрозы, чтобы перейти к месту поиска описания угроз.

Категории

Категория каждой угрозы:

  • Трафика

  • IDP

  • Безопасность контента

    • Антивирус

    • Средство борьбы со спамом

    • Веб-фильтр

    • Фильтр содержимого

  • Событие межсетевых экранов

IP-адрес источника/порт

IP-адрес источника (и номер порта, если применимо) угрозы.

IP-адрес назначения/порт

IP-адрес назначения (и номер порта, если применимо) угрозы.

Протокол

Имя протокола угрозы.

Описание

Идентификация угроз по типу категории:

  • Антивирус — URL-адрес

  • Веб-фильтр — категория

  • Фильтр содержимого — причина

  • Antispam — отправитель электронной почты

Действий

Меры, предпринятые в ответ на угрозу.

Время нажать

Время, когда произошла угроза.
Тенденция угроз за последние 24 часа

Категории

Диаграмма графиков, представляющая угрозу неумех, подсчитываются по категориям:

  • Трафика

  • IDP

  • Безопасность контента

    • Антивирус

    • Средство борьбы со спамом

    • Веб-фильтр

    • Фильтр содержимого

  • Событие межсетевых экранов

Сводка счетчиков веб-фильтров

Категории

Количество веб-фильтров, выбитое до 39 подкатегорий. Щелкнув список веб-фильтров в области "General Statistics", открывается окно Web Filter Counters Summary.

Достигается за последние 24 часа

Число угроз на подкатегорию за последние 24 часа.

Достигается в текущий час

Число угроз на подкатегорию в последний час.
Табл. 5: Выходные данные вкладки activities в отчете об угрозах

Поле

Функции
Последние попадание вирусов

Имя угрозы

Имя вирусной угрозы. Вирусы могут быть основаны на таких службах, как Веб, FTP или электронная почта, или на уровне серьезности вирусов.

Тяжести

Уровень серьезности каждой угрозы:

  • выявив

  • Оповещения

  • Крит

  • Err

  • Предупреждение

  • Заметить

  • Информация

  • Отладки

IP-адрес источника/порт

IP-адрес (и номер порта, если применимо) источника угрозы.

IP-адрес назначения/порт

IP-адрес (и номер порта, если применимо) места назначения угрозы.

Протокол

Имя протокола угрозы.

Описание

Идентификация угроз по типу категории:

  • Антивирус — URL-адрес

  • Веб-фильтр — категория

  • Фильтр содержимого — причина

  • Antispam — отправитель электронной почты

Действий

Меры, предпринятые в ответ на угрозу.

Время последнего попадания

В прошлый раз произошла угроза.
Последние сообщения отправителей электронной почты

Из электронной почты

Адрес электронной почты, который стал источником спама.

Тяжести

Уровень серьезности угрозы:

  • выявив

  • Оповещения

  • Крит

  • Err

  • Предупреждение

  • Заметить

  • Информация

  • Отладки

IP-адрес источника

IP-адрес источника угрозы.

Действий

Меры, предпринятые в ответ на угрозу.

Время последней отправки

В прошлый раз была послана спам-почта.
Недавно заблокированные запросы URL-адресов

URL-адрес

Запрос URL-адреса, заблокированный.

IP-адрес источника/порт

IP-адрес (и номер порта, если применимо) источника.

IP-адрес назначения/порт

IP-адрес (и номер порта, если применимо) места назначения.

Достигается в текущий час

Число угроз, с которыми столкнулись в последний час.
Наиболее последние IDP атаки

Атаки

Тяжести

Серьезность каждой угрозы:

  • выявив

  • Оповещения

  • Крит

  • Err

  • Предупреждение

  • Заметить

  • Информация

  • Отладки

IP-адрес источника/порт

IP-адрес (и номер порта, если применимо) источника.

IP-адрес назначения/порт

IP-адрес (и номер порта, если применимо) места назначения.

Протокол

Имя протокола угрозы.

Действий

Меры, предпринятые в ответ на угрозу.

Время последней отправки

В прошлый раз IDP угрозу.

Отчет по мониторингу трафика

Цель

Наблюдение за сетевым трафиком путем просмотра отчетов сеансов потока за последние 24 часа. Транспортный протокол может анализировать данные регистрации для статистики соединений и использования сеансов.

Действий

Чтобы просмотреть сетевой трафик за последние 24 часа, выберите Monitor>Reports>Traffic в интерфейсе пользователя J-Web. Описание Табл. 6 отчета см. в этом отчете.

Табл. 6: Выходные данные отчета о трафике

Поле

Описание
Сеансы за последние 24 часа для протокола

Имя протокола

Имя протокола. Для просмотра почасовой активности по протоколу щелкните имя протокола и просмотрите "Protocol activities chart" в нижней области.

  • Tcp

  • Udp

  • Icmp

Общий сеанс

Общее количество сеансов для протокола за последние 24 часа.

Bytes In (KB)

Общее количество входящих bytes в КБ.

Выход (кб)

Общее количество исходяющих bytes в КБ.

Пакеты в пакете

Общее количество входящих пакетов.

Out пакетов

Общее число исходяющих пакетов.
Самые последние закрытые сеансы

IP-адрес источника/порт

IP-адрес источника (и номер порта, если применимо) закрытого сеанса.

IP-адрес назначения/порт

IP-адрес назначения (и номер порта, если применимо) закрытого сеанса.

Протокол

Протокол закрытого сеанса.

  • Tcp

  • Udp

  • Icmp

Bytes In (KB)

Общее количество входящих bytes в КБ.

Выход (кб)

Общее количество исходяющих bytes в КБ.

Пакеты в пакете

Общее количество входящих пакетов.

Out пакетов

Общее число исходяющих пакетов.

Timestamp

Время закрытия сеанса.
Таблица действий по протоколу

Bytes In/Out

Графическое представление трафика в качестве входящих и исходяющих в час. Подсчет byte для протокола, выбранного в сеансах в последние 24 часа на каждый протокол. Изменение выбора приводит к немедленному обновлению таблицы.

Пакеты в/из

Графическое представление трафика в качестве входящих и исходяющих пакетов в час. Количество пакетов для протокола, выбранного в ходе сеансов в области Past 24 Hours per Protocol. Изменение выбора приводит к немедленному обновлению таблицы.

Сеансов

Графическое представление трафика в качестве количества сеансов в час. Количество сеансов для протокола, выбранного в ходе сеансов в последние 24 часа на каждый протокол. Изменение выбора приводит к немедленному обновлению таблицы.

X Axis

По одному часу в столбце по 24 часа.

Y Axis

Количество byte, packet или session.
Схема сеансов протокола

Сеансы по протоколу

Графическое представление трафика в качестве текущего подсчета сеансов по протоколу. Отображаемые протоколы – TCP, UDP и ICMP.

Настройка файлов журнала двоичной безопасности в окне

серия SRX устройства используют для регистрации системных событий два типа журналов: системные журналы и журналы безопасности. Системные журналы плоскость управления событий, например, при входе пользователя администратора в систему. Журналы безопасности, также известные как журналы трафика, плоскость данных события, касающиеся конкретной обработки трафика. Например, Junos OS журнал безопасности, если политика безопасности отказано в трафике из-за нарушения политики. Дополнительные сведения о системных журналах см. в Junos OS системного журнала. Дополнительные сведения о журналах безопасности см. в "Сведения о системном журнале для устройств безопасности".

Можно собирать и сохранять системные журналы и журналы безопасности в двоичном формате (локально сохраненном на серия SRX устройстве) или в окне (передается удаленному устройству). Использование двоичного формата обеспечивает эффективное хранение файлов журнала, что, в свою очередь, улучшает использование ЦП.

Можно настроить файлы безопасности в двоичном формате, используя log утверждение на [security] уровне иерархии.

Вход в систему также известен как журнал в режиме события. В области ведения журнала безопасности в потоковом режиме см. "Настройка двоичных файлов журнала безопасности для разных файлов". При настройке журналов безопасности в двоичном формате для регистрации в режиме события можно дополнительно определить имя файла журнала, путь к файлу и другие характеристики, как подробно описано в следующей процедуре:

  1. Укажите режим регистрации и формат входных данных::
    Прим.:

    При настройке системного журнала для отправки системных журналов на внешнее место назначения (например, в режиме off-box или в потоковом режиме), журналы безопасности также отправляются по этому месту назначения, даже если используется журнал безопасности в режиме события. Дополнительные сведения об отправке системных журналов на внешнее назначение см. в примерах: Настройка системного журнала.

    Прим.:

    Режимы ведения журнала безопасности "Off-box" и "on-box" не могут быть включены одновременно.

  2. (Необязательно) Определите имя и путь к файлу журнала.
    Прим.:

    По умолчанию файл bin_messages в каталоге /var/log.

  3. (Необязательно) Измените максимальный размер файла журнала и максимальное число файлов журнала, которое можно архивировать.
    Прим.:

    По умолчанию максимальный размер файла журнала составляет 3 МБ, и всего можно архивировать три файла журнала.

    В следующих примерах команд задается значение 5 Мб и 5 архивных файлов, соответственно:

  4. (Необязательно) Настройте флаг hpl, чтобы включить диагностические трассировки для двоичных файлов журнала безопасности. Префикс smf_hpl всех двоичных записей в журнал.
  5. Для политики безопасности с разрешением по умолчанию журналы трафика создаются RT_FLOW после окончания сеанса.
  6. (Необязательно) Журналы трафика для RT_FlOW них создаются при старте сеанса.

Просмотреть содержимое файла журнала в режиме события, хранимого на устройстве с помощью команды use, и очистить содержимое журнала безопасности в двоичном show security log fileclear security log file режиме события.

Прим.:

Команда отображает сообщения журнала безопасности в режиме события, если они имеют текстовый формат, а также сообщения журнала безопасности в режиме события, если они имеют двоичный формат show security logshow security log file (в записи). Считывая двоичная регистрация в окне Juniper Secure Analytics (JSA).

Настройка файлов журнала двоичной безопасности off-Box

серия SRX устройства имеют два типа журналов: системные журналы и журналы безопасности. Системные журналы плоскость управления событий, например вход администратора на устройство. Дополнительные сведения о системных журналах см. в Junos OS системного журнала. Журналы безопасности, также известные как журналы трафика, записывают плоскость данных события, касающиеся конкретной обработки трафика, например, когда политика безопасности отказано в трафике из-за некоторого нарушения политики. Дополнительные сведения о журналах безопасности см. в "Сведениях о системном журнале для устройств безопасности".

Два типа журнала могут быть собраны и сохранены как в окне, так и вне окна. В приведенной ниже процедуре объясняется, как настраивать журналы безопасности в двоичном формате для ведения журнала в off-box (потоковом режиме).

Можно настроить файлы безопасности в двоичном формате, используя log утверждение на [security] уровне иерархии.

Следующая процедура определяет двоичный формат для ведения журнала безопасности в режиме потока, а также определяет имя файла журнала, путь и характеристики файлов журнала. В окне событий в окне регистрации безопасности см. "Настройка двоичных файлов журнала безопасности в окне".

  1. Укажите режим регистрации и формат файла журнала. Для ведения журналов в режиме потоков:
    Прим.:

    Режимы ведения журнала безопасности "Off-box" и "on-box" не могут быть включены одновременно.

  2. Для ведения журнала безопасности с выключенным ящиком укажите адрес источника, который идентифицирует серия SRX, сгенерировать сообщения журнала. Требуется исходный адрес.
  3. Дополнительно определите имя файла журнала и путь. По умолчанию файл bin_messages в каталоге /var/log.
  4. При желании измените максимальный размер файла журнала и максимальное число файлов журнала, которые можно архивировать. По умолчанию максимальный размер файла журнала составляет 3 МБ, и всего можно архивировать три файла журнала.
  5. При желании выберите флаг hpl, чтобы включить диагностические трассировки для двоичного журнала. Префикс smf_hpl всех двоичных трассировок регистрации.
  6. Просмотреть содержимое файла журнала в режиме события, хранимого на устройстве, с помощью Juniper Secure Analytics (JSA) или Security Threat Response Manager (STRM).

Отправка сообщений системного журнала в файл

Сообщения системного журнала можно направить в файл на карте CompactFlash (CF). Стандартный каталог для файлов /var/log журнала: . Чтобы указать другой каталог на cf-карте, включите полное имя пути.

Создайте файл с security именем и отправьте журнальные сообщения класса authorization на уровне серьезности info в файл.

Чтобы установить имя файла, средство и уровень серьезности:

Установка системы для отправки всех сообщений журнала через событие

Процесс eventd настройки регистрации чаще всего используется для Junos OS. В данной конфигурации плоскость управления журналы и плоскость данных, или безопасность, журналы переадновяются с плоскость данных на модуль маршрутизации плоскость управления rtlogd процесса. Затем этот процесс либо перенанотет журналы в формате syslog, либо журналы в формате sd-syslog на процесс, либо журналы в формате WELF, отформатированные на внешний или удаленный сборщик журналов rtlogdeventd WELF.

Для отправки всех сообщений журнала eventd через:

  1. Установите процесс eventd для обработки журналов безопасности и отправки их на удаленный сервер.
  2. Настройте сервер, который будет получать сообщения системного журнала.

    где hostname полное имя хоста или IP-адрес сервера, который будет принимать журналы.

Прим.:

Чтобы отправить дублированные журналы на второй удаленный сервер, повторите команду с новым полное имя хоста или IP-адресом второго сервера.

Если развертывание – это кластер активного/активного шасси, можно также настроить ведение журнала безопасности на активном узле для перенаправки на отдельные удаленные серверы для обеспечения избыточности протоколирования.

Чтобы переименовать или перенаправить одну из конфигураций журнала, необходимо удалить и заново создать ее. Удаление конфигурации:

Таблица истории выпусков
Версия
Описание
15.1X49-D100
Начиная с Junos OS 15.1X49-D100, режимом по умолчанию для SRX1500 устройства является режим потока. До Junos OS выпуска 15.1X49-D100 в режиме по умолчанию для SRX1500 устройства был режим события.
17.4R2
Начиная с Junos OS 17.4R2 и более поздних, SRX300, SRX320, SRX340, SRX345 Series и vSRX экземплярах, при настройке устройства в режиме потока можно настроить максимум восемь системных хостов журнала. В Junos OS и более 17.4R2 можно настроить только три системных журнала в режиме потока. Если настроено более трех системных хостов журнала, то отображается следующее сообщение об error: configuration check-out failed ошибках.
17.4R2
Начиная с Junos OS 17.4R2 и более поздних, SRX300, SRX320, SRX340, SRX345 Series и vSRX экземплярах, при настройке устройства в режиме потока можно настроить максимум восемь системных хостов журнала. В Junos OS и более 17.4R2 можно настроить только три системных журнала в режиме потока. Если настроено более трех системных хостов журнала, то отображается следующее сообщение об error: configuration check-out failed ошибках.
Junos OS Release 15.1X49-D100
Функция отчетов в окне включена по умолчанию при загрузке заводских конфигураций по умолчанию на серия SRX с Junos OS релизом 15.1X49-D100 или более поздним.
Junos OS Release 19.3R1
Начиная с Junos OS выпуска 19.3R1, SRX300, SRX320, SRX340, SRX345, SRX550, и SRX550M по умолчанию для режима потока.
Junos OS Release 19.3R1
Начиная Junos OS выпуске 19.3R1, заводская конфигурация по умолчанию не включает конфигурацию отчетов в комплекте для увеличения срока действия твердого диска (SSD).