配置开箱即用二进制安全日志文件
SRX 系列设备有两种类型的日志:系统日志和安全日志。系统日志记录控制平面事件,例如对设备的管理员登录。有关系统日志的详细信息,请参阅Junos OS 系统日志概述。安全日志也称为流量日志,记录有关特定信息流处理的数据平面事件,例如当安全策略因违反策略而拒绝某些流量时。有关安全日志的详细信息,请参阅了解安全设备的系统日志记录。
这两种类型的日志可被收集并保存在盒上或箱内。下面的过程介绍了如何以脱机(流模式)日志记录的二进制格式配置安全日志。
您可以使用log[security]层次结构级别的语句,以二进制格式配置安全文件。
以下过程指定流模式安全日志记录的二进制格式,并定义日志文件名、路径和日志文件特性。有关事件模式的开箱安全日志记录,请参阅配置开箱即用的二进制安全日志文件。
- 指定日志文件的日志记录模式和格式。对于开箱即用模式日志记录: set security log mode streamset security log stream test-stream format binary host 1.3.54.22
注意 不能同时启用开箱式和开箱即用的安全记录模式。
- 对于开箱安全日志记录,请指定源地址,以识别生成日志消息的 SRX 系列设备。源地址是必需的。set security log source-address 2.3.45.66
- (可选)定义日志文件名和路径。默认情况下,将在/var/log 目录中创建文件 bin_messages。set security log file name security-binary-logset security log file path security/log-folder
- (可选)更改日志文件的最大大小以及可存档的日志文件的最大数量。默认情况下,日志文件的最大大小为 3 MB,并且总共可以存档三个日志文件。
- (可选)选择 hpl 标志以启用二进制日志记录的诊断跟踪。前缀 smf_hpl 标识所有二进制日志记录跟踪。set security log traceoptions flag hpl
- 使用 Juniper 安全分析(JSA)或安全威胁响应管理器(STRM)查看设备上存储的事件模式日志文件的内容。