JunOS在许多功能上具有强大的灵活性。其中之一是日志记录。它支持灵活的日志记录选项。这篇文章总结了我从工作和学习中学到的一些概念。 

1.了解Juniper SRX日志记录类型:

1.1系统记录

Junos OS支持配置和监视系统日志消息(也称为syslog消息)。您可以配置文件以记录系统消息,还可以为消息分配属性,例如严重性级别。重新引导请求记录在系统日志文件中,您可以使用show log命令查看该文件。 SRX系列设备可以将系统日志消息从控制平面(路由引擎)发送到一个或多个目的地。目标可以包括SRX系列设备上的本地文件(因为SRX系列设备是系统日志服务器),远程系统日志服务器,用户终端和系统控制台。

[电子邮件 protected]> 显示配置系统syslog
存档大小750k文件2;
用户* {
    any emergency;
}
主机10.9.0.33 {
    any any;
    change-log none;
   交互式命令none;
    explicit-priority;
}
主机10.9.8.52 {
    any any;
   源地址10.9.8.20;
}
文件消息{
    any critical;
    authorization info;
    explicit-priority;
}
file交互式命令{
   交互式命令error;
}
}


1.2流量记录(事件模式)

您可以使用流量日志来跟踪使用模式或解决特定策略的问题。您可以配置策略,以便在会话开始(session-init)和/或关闭(session-close)时记录流量信息。要为多个策略生成流量日志,必须配置每个策略以记录流量信息。您还必须配置严重性级别为info或任何级别的syslog消息。在默认配置中,这些消息和所有其他日志消息将发送到名为messages的本地日志文件中。


[电子邮件 protected]> 显示配置系统syslog
存档大小750k文件2;
用户* {
    any emergency;
}
主机10.9.0.33 {
    any any;
    change-log none;
   交互式命令none;
    explicit-priority;
}
主机10.9.8.52 {
    any any;
   源地址10.9.8.20;
}
文件消息{
    any critical;
    authorization info;
    explicit-priority;
}
file交互式命令{
   交互式命令error;
}
创建文件流量{
    any any;
   符合RT_FLOW_SESSION_CREATE;
    structured-data;
}
拒绝文件流量{
    any any;
   符合RT_FLOW_SESSION_DENY;
}
文件流量{
    user info;
    match RT_FLOW;
   存档大小1000k文件5世界可读取;
    structured-data;
}


[电子邮件 protected]> 显示日志 ?
可能的完成:
  <[Enter]>            Execute this command
  <filename>           Name of log file
  IKELOG              大小:270913,上次更改:2015年2月15日
  PKITRACE            大小:138153,上次更改:10月02 02:22:41
  PKITRACE.0.gz        大小:98723,上次更改:9月27日05:12:14
 __jsrpd_commit_check__ 大小:6456,最后更改:2014年12月21日
  appidd               大小:0,最后更改:2014年5月13日
  authd_libstats       大小:0,最后更改:2014年5月13日
  authd_profilelib     大小:0,最后更改:2014年5月13日
  authd_sdb.log        大小:0,最后更改:2014年5月13日
 authlib_jdhcpd_trace.log 大小:0,上次更改:2015年1月18日
  bin_messages        大小:7,最后更改:2014年5月13日
  chassisd            大小:1173869,最后更改:十月01 22:54:45
  cosd                大小:98079,上次更改:9月20日11:36:47
  dcd                  大小:251523,最后更改:9月21日14:25:57
 默认日志消息 大小:612840,上次更改:10月02 02:19:39
 default-log-messages.0.gz 大小:1027366,最后更改:9月20日18:45:01
 default-log-messages.1.gz 大小:1323072,最后更改:9月20 18:30:00
  dfwc                 大小:0,最后更改:2014年5月13日
  e2e_events          大小:239,最后更改:9月20日11:45:31
  eccd                 大小:0,最后更改:2014年5月13日
  ext/                上次更改时间:2014年5月13日
  flowc/              上次更改时间:2014年5月13日
  fwauthd_chk_only    大小:298,最后更改:2014年12月21日
  ggsn/                上次更改时间:2014年5月13日
  gprsd_chk_only      大小:1335,最后更改:2014年12月21日
  gres-tp              大小:23569,上次更改:9月20 11:36:47
  group_db.log         大小:0,最后更改:2014年5月13日
  helplog              大小:64,最后更改:2014年11月17日
  hostname-cached      大小:408,最后更改:2014年12月21日
  httpd.log            大小:1533,最后更改:9月20 18:36:17
  idpd                 大小:0,最后更改:2014年5月13日
  idpd.addver          大小:185,上次更改:9月20 19:15:01
  idpd_err            大小:208962,上次更改:9月20 19:15:11
  idpd_err.1          大小:1048851,最后更改:Sep 20 18:55:14
  ifstraced            大小:120,最后更改:2014年12月21日
  indb                大小:967833,最后更改:2014年12月21日
  install              大小:3927,最后更改:2014年12月21日
 交互式命令 大小:82,上次更改:9月21 14:25:52
  inventory            大小:17170,上次更改:9月20日11:45:34
  ipfd                大小:97046,上次更改:9月28日10:01:08
  ipfd_chk_only        大小:32,最后更改:2014年12月21日
 jdhcpd_era_discover.log 大小:8892,最后更改:十月01 20:07:42
 jdhcpd_era_discover.log.0 大小:43387,上次更改:8月13日23:11:34
 jdhcpd_era_discover.log.1 大小:25529,最后更改:6月19日14:49:47
 jdhcpd_era_discover.log.2 大小:422​​808,上次更改:4月17日16:00:00
 jdhcpd_era_discover.log.3 大小:0,上次更改:2015年1月18日
 jdhcpd_era_solicit.log 大小:595,上次更改:9月20日11:36:47
 jdhcpd_era_solicit.log.0 大小:595,最后更改:Jul 19 13:01:48
 jdhcpd_era_solicit.log.1 大小:595,上次更改:5月17日12:26:15
 jdhcpd_era_solicit.log.2 大小:595,最后更改:2015年1月18日
 jdhcpd_era_solicit.log.3 大小:0,上次更改:2015年1月18日
  jdhcpd_sdb.log       大小:0,上次更改:2015年1月18日
  jsrpd                大小:841811,上次更改:9月28日10:01:17
  kmd                  大小:369441,上次更改:9月20 18:36:26
  license              大小:0,最后更改:2014年5月13日
 license_subs_trace.log 大小:16976,上次更改:9月20 11:36:47
 lsys-cpu-利用日志 大小:0,最后更改:2014年5月13日
  mastership          大小:13036,上次更改:9月20日11:36:47
  messages            大小:687915,上次更改:10月02 02:26:11
  messages.0.gz        大小:38283,最后更改:9月26日05:45:00
  messages.1.gz        大小:38105,上次更改:9月24日22:15:00
  nsd_chk_only        大小:1021282,最后更改:9月29日18:26:35
  nstraced            大小:58027,上次更改:9月20日11:43:30
  nstraced_chk_only    大小:370,最后更改:2015年3月18日
  pcre_db.log          大小:0,最后更改:2014年5月13日
  pf                  大小:1152,最后更改:2014年12月21日
  pfed                 大小:0,最后更改:2014年5月13日
 pfed_jdhcpd_trace.log 大小:0,上次更改:2015年1月18日
  pgmd                大小:385,最后更改:2014年12月21日
  pkid                大小:828994,最后更改:2014年12月21日
  rexp_db.log          大小:0,最后更改:2014年5月13日
  rsi.1400.0118        大小:4620227,最后更改:2015年1月18日
  rsi_2015_02_04      大小:4762354,最后更改:2015年2月4日
  rtlogd              大小:3952,最后更改:9月29 18:26:56
  smartd.trace        大小:133439,上次更改:10月01 23:51:05
  traffic-create      大小:9307887,最后更改:十月02 02:26:11
 traffic-create.0.gz 大小:593738,上次更改:10月02 02:15:00
 traffic-create.1.gz 大小:679624,上次更改:10月02 02:00:00
  traffic-deny        大小:733722,最后更改:十月02 02:26:11
  traffic-deny.0.gz    大小:30893,上次更改:10月02 02:00:00
  traffic-deny.1.gz    大小:29997,上次更改:10月02 01:30:00
  traffic-flow        大小:14043535,上次更改:10月02 02:26:11
  traffic-flow.0.gz    大小:1110300,最后更改:十月02 02:15:00
  traffic-flow.1.gz    大小:1194867,最后更改:十月02 02:00:00
  traffic-flow.2.gz    大小:1223703,最后更改:十月02 01:45:00
  traffic-flow.3.gz    大小:1205868,最后更改:十月02 01:30:00
  traffic-flow.4.gz    大小:1196097,上次更改:10月02 01:15:01
  user                显示最近的用户登录
  utmd-av              大小:960,上次更改:9月20 11:36:47
  utmp                 大小:0,最后更改:2014年5月13日
  |                    通过命令传递

1.3 杜松 KB的说明:

系统记录 流量记录
SRX Branch Devices
SRX100
SRX110
SRX210
SRX220
SRX240
SRX550
SRX650
 KB16502  KB16509
SRX High-End Devices
SRX1400
SRX3400
SRX3600
SRX5600
SRX5800
 KB16502  KB16506

2.了解Juniper SRX日志记录方法:

控制平面和数据平面

2.1控制平面记录

控制平面日志与控制平面上的守护程序触发的事件有关。这包括有关基础硬件的消息(机箱),通用消息(消息)以及各种协议守护程序(如IDPD,appidd等)。默认情况下,控制平面日志记录处于启用状态以在本地进行日志记录,但是您可以使用自己的日志文件,syslog主机和不同日志消息的条件来覆盖它。所有日志都存储在控制平面上的/ var / log目录中。配置已在第1.1节中介绍

控制平面上的服务:

  • 管理守护程序(MGD): 在UI组件和后端配置之间提供接口,并负责对系统本身进行Junos配置。
  • 路由协议守护程序(RPD):所有路由协议,包括RIP,OSPF,IS-IS,BGP,PIM,IPv6对应等。
  • 用户界面:控制台,Telnet,SSH,J-Web,NetConf。
  • 文件系统接口:FTP / SCP。
  • Syslogd:控制平面上的日志子系统,与数据平面上的子系统不同。这将在控制平面上生成OS和应用程序日志。
  • 网络服务:DNS,DHCP,NTP,ICMP,ARP / ND,SNMP。
  • 机箱:控制数据平面的硬件操作,并与组件连接以确保它们处于活动状态并正常运行。
  • JSRPD:这是高可用性守护程序,它在HA集群中的两个SRX机箱之间运行HA功能。

2.2数据平面记录

数据平面日志主要是由在数据平面上处理流量的组件生成的日志。其中包括来自流程流程的防火墙日志(RT_LOG,因为它不存储在数据平面上,所以代表实时日志),IPS日志,UTM日志以及其他安全组件(如屏幕)的日志。数据平面日志记录默认情况下处于关闭状态,必须进行配置。通常,由于可能会从数据平面生成大量日志,特别是在像5800这样的高端SRX平台上,建议您将SRX的日志从Syslog主机发送到syslog主机。系统日志服务器的整个基础结构,以处理高端SRX每秒可以生成的大量系统日志消息。因此,有两种不同的机制可用于将消息记录到控制平面,如下一节所述。

数据平面上的服务:

  • 入侵检测和防御守护程序(IDPD)
  • 宜家
  • 密码

2.2.1事件模式 

活动模式 –控制平面日志处理–在低端设备上使用。可以选择指定均匀率。一旦在“安全性”下启用了事件模式,则可以如上文第1.2节所述在“系统syslog”下配置对本地文件的日志记录。 您还可以配置通过事件过程处理安全流量日志,并通过控制面板路由引擎将其与系统日志一起发送。

[电子邮件 protected]>显示配置安全性
日志{
    模式事件;
    event-rate 1000;
    format sd-syslog;
   源地址10.9.8.20;
   流安全日志{
        format sd-syslog;
        category all;
        host {
            10.9.8.52;
        }
    }
   流LogCollector {
        host {
            10.9.20.17;
        }
    }
   流TO-10.9.20.33 {
        format sd-syslog;
        category all;
        host {
            10.9.20.33;
        }
    }
}


2.2.2流模式

流模式–数据平面日志记录–通常在高端SRX设备上使用,但可以在任何SRX设备上进行配置。在安全性下,可以指定syslog参数,例如syslog服务器,syslog格式,功能。

注意: SRX一次只能登录到控制平面(事件模式)或注销数据平面(流模式)

安全日志(例如流量和IDP日志)可以通过流量接口端口流式传输到远程syslog服务器。 SRX设备不会将流式会话日志发送到路由引擎(RE)。由于系统日志是在RE上执行的,因此会话或流量日志无法写入RE文件系统。因此,必须将所有流量日志记录发送到远程系统日志服务器。由于fxp0属于RE,因此IOC上的接口必须可以访问远程syslog服务器。无法通过fxp0发送流量日志。

将日志记录模式设置为流时,在数据平面中生成的安全通信日志将直接从收益通信端口流式传输到远程服务器。这也意味着您的本地日志文件将停止记录。 系统中的匹配条件配置->Syslog部分在流模式下不​​起作用。 按照设计,路由引擎是一种用于放置匹配条件并过滤日志的引擎,
因为当我们使用流模式时,流量是从数据平面本身流出来的,并且没有达到RE,所以匹配条件在使用流模式时就不起作用,而只能在事件模式下起作用。

基本上,只有在System – Syslog部分起作用的是从控制平面生成的那些东西。

[电子邮件 protected]> 显示配置安全性
日志{
    缓存
    模式流
    format sd-syslog;
   源地址10.2.2.13;
   流TO-10-0-0-4 {
        format sd-syslog;
        category all;
        host {
            10.0.00.4;
        }
    }
   流TO-10.4.20.33 {
        format sd-syslog;
        category all;
        host {
            10.4.20.33;
        }
    }
   无效:traceoptions {
        file jtac;
        flag all;
    }
}

请记住一件事。流的最大目的地是三个。如果您配置的目标不止三个,则将从CLI中收到以下错误消息。如果您使用的是JunOS Space,则也不能添加三个以上的目的地。

[电子邮件 protected]提交并退出
[编辑安全日志]
  ‘stream’
   元素数量超过3个限制
错误:提交失败:(元素数量超出限制)
控制平面将配置推送到数据平面


[电子邮件 protected]> 显示安全日志
安全日志记录已禁用

在安全日志部分中启用缓存后,“显示安全日志”将向您显示有关审核日志的内容,而不是策略日志,否则SRX将向您显示安全日志已禁用。

在安全性下启用缓存后->日志配置,如第2.2.2节的配置所示,一旦使用命令show security log,您将获得如下输出:

[电子邮件 protected]> 显示安全日志
活动时间              Message
2015-10-02 09:15:04 UTC UI_CMDLINE_READ_LINE:用户“ root”,命令“ xml-mode netconf need-trailer”
2015-10-02 09:15:04 UTC UI_LOGOUT_EVENT:用户“ root”注销
2015-10-02 09:15:04 UTC UI_LOGIN_EVENT:用户“ root”登录,类“ super-user” [55330],ssh连接“ 10.4.20.21 7804 10.2.1.14 59097”,客户端模式“ cli”
2015-10-02 09:15:04 UTC UI_CMDLINE_READ_LINE:用户“ root”,命令“ xml-mode netconf need-trailer”


参考:

通过 约翰

发表评论