Juniper SRX 設定訊息伺服器Log Server

設定系統日誌伺服器(Log Server)


系統日誌是用於在本地或指定的遠程服務器上記錄系統信息的行業標準方法。日誌記錄對於設備安全至關重要,因為它記錄了系統的大小活動,可幫助您識別配置錯誤,了解入侵,解決服務中斷以及對探測和掃描作出反應。
如果沒有生成日誌記錄的能力,建立、關聯、調查或識別事件發生相關訊息就會變了很困難。

Junos設備平台具有合理的 flash 儲存空間,可用於本地系統日誌的儲存,並通過遠端系統日誌伺服器來保留本地的系統日誌以增強安全性。一般的經驗法則是,遠程日誌用於取證目的,本地日誌用於故障排除

您還可以創建包含不同類型日誌消息的本地日誌文件。例如您想讓某些用戶(如審計員)能夠查看某些消息類型(如用戶已執行的命令),但不允許一般用戶來查看這些日誌時,這會是非常有用的方法。

Juniper SRX服務網關必須為DoD(美國國防部)定義的可審計事件啟用生成日誌記錄。DoD已經定義了設備將提供審計記錄生成能力的事件列表。這些事件如下所述:
(一)成功或不成功的嘗試訪問、修改或刪除事件等。
(二)訪問操作,例如成功和不成功的登錄嘗試,特權活動或其他系統級訪問,用戶訪問系統的開始和結束時間,來自不同工作站的並發登錄,成功和不成功訪問對象,所有程式啟動,和所有直接訪問資訊系統。
(三)所有帳戶的創建、修改、禁用和終止操作。

配置外部Syslog伺服器的最佳做法是在日誌檔案名稱中添加 log-prefixes 以幫助識別和研究。因為通常將訊息送往遠程服務器的設備不只一台,這是為了避免混淆的緣故

另一個最佳做法是添加匹配條件將記錄的事件儲存在個別的檔案中。這樣可以降低問題查找的困難度,並讓權限控管變得更簡單。

自動機制可用於發送自動警報或通知。這種自動警報或通知可以以各種方式傳送(例如,通過電話,通過電子郵件,通過文本消息或通過網站)。


關於系統日誌的命令設定格式:
set system syslog host <IP> <服務類別> <告警等級>
set system syslog file <檔名> <服務類別> <告警等級>

關於系統日誌 告警等級 的級別
最高
緊急情況(emergency): 導致軟體元件停止運行的消息
警報(alert): 需要立即進行補救的消息如資料損壞 (如資料庫)
關鍵(critical): 在有嚴重問題的情況下的消息,如物理錯誤
錯誤(error): 具有較不嚴重故障情況的消息
警告(warning): 需要監視的情況下的消息
注意(notice): 在不是錯誤但可能需要特殊處理的情況下的消息
資訊(info): 目標事件或錯誤狀態的消息
任何(any): 所有級別的消息
最低

root@srx100# set system syslog file messages any ?
Possible completions:
  alert                Conditions that should be corrected immediately
  any                  All levels
  critical             Critical conditions
  emergency            Panic conditions
  error                Error conditions
  info                 Informational messages
  none                 No messages
  notice               Conditions that should be handled specially
  warning              Warning messages
[edit]


關於系統日誌 服務類別 的種類
root@srx100# root@srx100# set system syslog file messages ?
Possible completions:
  allow-duplicates     Do not suppress the repeated message
  any                  All facilities
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
  authorization        Authorization system
  change-log           Configuration change log
  conflict-log         Configuration conflict log
  daemon               Various system processes
  dfc                  Dynamic flow capture
  explicit-priority    Include priority and facility in messages
  external             Local external applications
  facility-override    Alternate facility for logging to remote host
  firewall             Firewall filtering system
  ftp                  FTP process
  interactive-commands  Commands executed by the UI
  kernel               Kernel
  log-prefix           Prefix for all logging to this host
  match                Regular expression for lines to be logged
  ntp                  NTP process
  pfe                  Packet Forwarding Engine
  port                 Port number
  security             Security related
  source-address       Use specified address as source address
> structured-data      Log system message in structured format
  user                 User processes
[edit]
root@srx100#


若要查看系統日誌的設定內容請輸入下列的命令:(下列的內容乃設備出廠預設值)
root@srx100# show system syslog
system {
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
}


若要查看系統日誌設定的CLI命令格式請輸入下列的命令:(下列的內容乃設備出廠預設值)
root@srx100# show system syslog | display set
set system syslog archive size 100k files 3  ##設定預設的系統日誌檔大小以及可擴充檔案的數量(最大容量為100k*3=300k,超過會進行循環覆蓋,單位可用km),當未指定大小的系統日誌檔會被套用此規則。
root@srx100a> show log me?
Possible completions:
  <filename>           Name of log file
  messages             Size: 13605, Last changed: Oct 03 00:44:43
  messages.0.gz        Size: 10960, Last changed: Oct 02 23:15:00
  messages.1.gz        Size: 10098, Last changed: Sep 22 05:15:00
  messages.2.gz        Size: 10327, Last changed: Sep 17 22:00:00
root@srx100a> show log messages | match 00:57 | match ospf | match FW_SYSLOG
Oct  3 00:57:07  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.100.2 1.1.100.1     0     0 (1 packets)
Oct  3 00:57:15  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.100.2 1.1.100.1     0     0 (1 packets)
Oct  3 00:57:23  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.100.2 1.1.100.1     0     0 (1 packets)
root@srx100a>

set system syslog user * any emergency  ##登錄的用戶在登錄設備時會收到警報消息
set system syslog file messages any critical  ##將任何關鍵等級以上的告警訊息存入檔名為messageslog file
set system syslog file messages authorization info  ##將任何所有授權信息方面的資訊等級告警訊息存入檔名為messages的系統日誌檔(log file)
set system syslog file interactive-commands interactive-commands error  ##將任何有關用戶已執行的命令方面的錯誤等級告警訊息存入檔名為interactive-commandslog file


設定轉發系統日誌(syslog)到遠端伺服器
SRX設備配置外部Syslog伺服器可降低安全維護上的風險,無論是設備本身故障了,或是被駭客入侵並清除設備上的系統日誌,我們依然能從外部Syslog伺服器上來找尋相關訊息
set system syslog host <IP> <服務類別> <告警等級>
範例:
set system syslog host 192.168.0.11 port 514  ##syslog server預設portUDP 514
set system syslog host 192.168.0.11 log-prefix SRX210   ##通常將訊息送往遠程服務器的設備不只一台為避免混淆建議您在每條Syslog消息中使用唯一標識符如主機名)來配置日誌前綴(log-prefix)選項。
set system syslog host 192.168.0.11 structured-data   ##將系統日誌資料以結構化方式呈現,以方便識別。
/*  設定將防火牆過濾器產生的日誌單獨存放到Firewall-filters檔案中  */
set system syslog file Firewall-filters firewall any
set system syslog file Firewall-filters archive size 10m files 3
commit


系統日誌Syslog輸出顯示在SRX設備console port
這是為了要及時訊息輸出好方便控管的因素。
在此我們將輸出訊息等級設定為warning (設定warning是為了避免控制台出現太多無用訊息)
set system syslog console any warning


配置毫秒和年份選項以使時間戳盡可能精確
在某些情況下標準時間格式可能不如您需要進行計算機取證調查或故障排除那樣精確。
set system syslog time-format millisecond year


設定記錄通訊流量(Traffic)系統日誌(syslog)
在出廠預設系統日誌記錄設定中並沒有通訊流量記錄。
它會記錄數據包的來源與目的IP,以及其他有關FLOWSESSION相關的訊息。
當網站流量大時通訊流量記錄會消耗掉不少的系統資源,請視個別情況使用。

設定將通訊流量記錄存入名為traffic-log的系統日誌檔:
root@srx100# set system syslog file traffic-log any any
root@srx100# set system syslog file traffic-log match "RT_FLOW_SESSION"

設定將通訊流量記錄轉發到遠端系統日誌伺服器192.168.0.11上:
root@srx100# set system syslog host 192.168.0.11 any any
root@srx100# set system syslog host 192.168.0.11 match "RT_FLOW_SESSION"


設定在安全策略中啟用系統日誌紀錄
下列是在名為default-permit的安全策略中啟用系統日誌紀錄的範例。
您可以指定交通流量日誌紀錄是在會話結束(session-close)或是會話開始(session-init)時產生。
一般建議在會話結束時紀錄交通流量為佳,因為它的訊息比較有用,因為其中包含了traffic volumeNAT資訊、以及傳輸的reason code等訊息。
當安全策略中有拒絕動作(deny action)時,您就必須指定在會話開始時紀錄交通流量。

    指定在會話結束時紀錄交通流量
root@srx100# set security policies from-zone trust to-zone untrust policy default-permit then log session-close

    (可選)指定在會話開始時紀錄交通流量
root@srx100# set security policies from-zone trust to-zone untrust policy default-permit then log session-init


查看日誌檔訊息:
[edit]
root@srx100# run show log | no-more
total 1752
-rw-r--r--  1 root  wheel    6069 Apr 29 07:23 __jsrpd_commit_check__
-rw-r-----  1 root  wheel       0 Mar 14 22:33 appidd
-rw-r--r--  1 root  wheel       0 Mar 14 22:31 authd_libstats
-rw-r--r--  1 root  wheel       0 Mar 14 22:31 authd_profilelib
-rw-r--r--  1 root  wheel       0 Mar 14 22:31 authd_sdb.log
-rw-rw----  1 root  wheel   19849 Apr 30 03:09 authorization
-rw-r--r--  1 root  wheel       7 Mar 14 22:33 bin_messages
-rw-r-----  1 root  wheel  166037 Apr 29 08:27 chassisd
-rw-rw----  1 root  wheel    7632 Apr 30 04:18 configuration
-rw-r--r--  1 root  wheel   54720 Apr 29 08:23 cosd
-rw-r-----  1 root  wheel   78651 Apr 29 15:44 dcd
-rw-r--r--  1 root  wheel       0 Mar 14 22:30 dfwc
-rw-r-----  1 root  wheel    1012 Apr 29 08:23 eccd
drwxrwxr-x  2 root  wheel     512 Mar 14 22:29 ext
drwxrwxrwt  3 root  wheel     512 Mar 14 22:29 flowc
-rw-r--r--  1 root  wheel     298 Apr 28 23:11 fwauthd_chk_only
drwxrwxrwt  3 root  wheel     512 Mar 14 22:29 ggsn
-rw-r--r--  1 root  wheel    6520 Apr 29 08:23 gres-tp
-rw-r--r--  1 root  wheel   49202 Apr 30 02:44 httpd.log
-rw-r-----  1 root  wheel       0 Mar 14 22:33 idpd
-rw-r--r--  1 root  wheel      90 Apr 28 23:11 ifstraced
-rw-rw----  1 root  wheel   27216 Apr 30 04:28 interactive-commands
-rw-rw----  1 root  wheel    6860 Apr 29 19:30 interactive-commands.0.gz
-rw-rw----  1 root  wheel    7667 Apr 29 12:00 interactive-commands.1.gz
-rw-rw----  1 root  wheel    7432 Apr 29 09:00 interactive-commands.2.gz
-rw-r-----  1 root  wheel    4798 Apr 29 08:23 inventory
-rw-r--r--  1 root  wheel   30048 Apr 30 03:08 ipfd
-rw-r-----  1 root  wheel   41382 Apr 29 18:05 jsrpd
-rw-r--r--  1 root  wheel     740 Apr 28 23:13 kmd
-rw-r-----  1 root  wheel       0 Mar 14 22:33 license
-rw-r--r--  1 root  wheel    6790 Apr 29 08:24 license_subs_trace.log
-rw-r-----  1 root  wheel      55 Apr 29 08:18 mastership
-rw-rw----  1 root  wheel   45993 Apr 30 03:09 messages
-rw-rw----  1 root  wheel    9807 Apr 20 22:00 messages.0.gz
-rw-r--r--  1 root  wheel   22072 Apr  7 02:54 nsd
-rw-r--r--  1 root  wheel   38331 Apr 29 17:28 nsd_chk_only
-rw-r--r--  1 root  wheel   23147 Apr 29 18:05 nstraced
-rw-r--r--  1 root  wheel     370 Apr 29 07:23 nstraced_chk_only
-rw-r--r--  1 root  wheel     384 Apr 28 23:11 pf
-rw-r--r--  1 root  wheel       0 Mar 14 22:33 pfed
-rw-r--r--  1 root  wheel     288 Apr 28 23:11 pgmd
-rw-r--r--  1 root  wheel     456 Apr 29 15:44 rtlogd
-rw-r--r--  1 root  wheel    4249 Apr 29 08:22 snapshot
-rw-rw----  1 root  wheel  100326 Apr 30 04:28 traffic-log
-rw-rw----  1 root  wheel   18598 Apr 30 03:15 traffic-log.0.gz
-rw-rw----  1 root  wheel   12486 Apr 30 01:00 traffic-log.1.gz
-rw-rw----  1 root  wheel   11452 Apr 30 00:00 traffic-log.2.gz
-rw-r--r--  1 root  wheel    1782 Apr 29 08:24 utmd-av
-rw-rw-r--  1 root  wheel   30004 Apr 29 08:32 wtmp
-rw-rw-r--  1 root  wheel     139 Apr  7 00:24 wtmp.0.gz
[edit]
root@srx100# run show log ?
Possible completions:
  <[Enter]>            Execute this command
  <filename>           Name of log file
  __jsrpd_commit_check__  Size: 6069, Last changed: Apr 29 07:23:11
  appidd               Size: 0, Last changed: Mar 14 22:33:23
  authd_libstats       Size: 0, Last changed: Mar 14 22:31:05
  authd_profilelib     Size: 0, Last changed: Mar 14 22:31:05
  authd_sdb.log        Size: 0, Last changed: Mar 14 22:31:05
  authorization        Size: 19849, Last changed: Apr 30 03:09:22
  bin_messages         Size: 7, Last changed: Mar 14 22:33:06
  chassisd             Size: 166037, Last changed: Apr 29 08:27:41
  configuration        Size: 7632, Last changed: Apr 30 04:18:05
  cosd                 Size: 54720, Last changed: Apr 29 08:23:33
  dcd                  Size: 78651, Last changed: Apr 29 15:44:24
  dfwc                 Size: 0, Last changed: Mar 14 22:30:44
  eccd                 Size: 1012, Last changed: Apr 29 08:23:33
  ext/                 Last changed: Mar 14 22:29:36
  flowc/               Last changed: Mar 14 22:29:37
  fwauthd_chk_only     Size: 298, Last changed: Apr 28 23:11:37
  ggsn/                Last changed: Mar 14 22:29:36
  gres-tp              Size: 6520, Last changed: Apr 29 08:23:33
  httpd.log            Size: 49202, Last changed: Apr 30 02:44:03
  idpd                 Size: 0, Last changed: Mar 14 22:33:48
  ifstraced            Size: 90, Last changed: Apr 28 23:11:32
  interactive-commands  Size: 27312, Last changed: Apr 30 04:28:56
  interactive-commands.0.gz  Size: 6860, Last changed: Apr 29 19:30:00
  interactive-commands.1.gz  Size: 7667, Last changed: Apr 29 12:00:01
  interactive-commands.2.gz  Size: 7432, Last changed: Apr 29 09:00:00
  inventory            Size: 4798, Last changed: Apr 29 08:23:33
  ipfd                 Size: 30048, Last changed: Apr 30 03:08:58
  jsrpd                Size: 41382, Last changed: Apr 29 18:05:19
  kmd                  Size: 740, Last changed: Apr 28 23:13:35
  license              Size: 0, Last changed: Mar 14 22:33:04
  license_subs_trace.log  Size: 6790, Last changed: Apr 29 08:24:04
  mastership           Size: 55, Last changed: Apr 29 08:18:42
  messages             Size: 45993, Last changed: Apr 30 03:09:22
  messages.0.gz        Size: 9807, Last changed: Apr 20 22:00:00
  nsd                  Size: 22072, Last changed: Apr 07 02:54:29
  nsd_chk_only         Size: 38331, Last changed: Apr 29 17:28:22
  nstraced             Size: 23147, Last changed: Apr 29 18:05:19
  nstraced_chk_only    Size: 370, Last changed: Apr 29 07:23:10
  pf                   Size: 384, Last changed: Apr 28 23:11:10
  pfed                 Size: 0, Last changed: Mar 14 22:33:22
  pgmd                 Size: 288, Last changed: Apr 28 23:11:42
  rtlogd               Size: 456, Last changed: Apr 29 15:44:23
  snapshot             Size: 4249, Last changed: Apr 29 08:22:22
  traffic-log          Size: 100619, Last changed: Apr 30 04:28:56
  traffic-log.0.gz     Size: 18598, Last changed: Apr 30 03:15:00
  traffic-log.1.gz     Size: 12486, Last changed: Apr 30 01:00:00
  traffic-log.2.gz     Size: 11452, Last changed: Apr 30 00:00:01
  user                 Show recent user logins
  utmd-av              Size: 1782, Last changed: Apr 29 08:24:04
  wtmp                 Size: 30004, Last changed: Apr 29 08:32:41
  wtmp.0.gz            Size: 139, Last changed: Apr 07 00:24:06
  |                    Pipe through a command
[edit]
root@srx100#

root@srx100# run show log Firewall-filters | match 00:57 | match ospf
Oct  3 00:57:07  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1
00.2 1.1.100.1     0     0 (1 packets)
Oct  3 00:57:15  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1
00.2 1.1.100.1     0     0 (1 packets)
Oct  3 00:57:23  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1
00.2 1.1.100.1     0     0 (1 packets)
Oct  3 00:57:33  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1
00.2 1.1.100.1     0     0 (1 packets)
Oct  3 00:57:43  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1
00.2 1.1.100.1     0     0 (1 packets)
Oct  3 00:57:52  srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1
00.2 1.1.100.1     0     0 (1 packets)

root@srx100#


user@host> show log messages Apr 11 10:27:25 router1 mgd[3606]: UI_DBASE_LOGIN_EVENT: User 'barbara' entering configuration mode
Apr 11 10:32:22 router1 mgd[3606]: UI_DBASE_LOGOUT_EVENT: User 'barbara' exiting configuration mode
Apr 11 11:36:15 router1 mgd[3606]: UI_COMMIT: User 'root' performed commit: no comment
Apr 11 11:46:37 router1 mib2d[2905]: SNMP_TRAP_LINK_DOWN: ifIndex 82, ifAdminStatus up(1), ifOperStatus down(2), ifName at-1/0/0

user@host> file show /var/log/processes Feb 22 08:58:24 router1 snmpd[359]: SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start
Feb 22 20:35:07 router1 snmpd[359]: SNMPD_THROTTLE_QUEUE_DRAINED: trap_throttle_timer_handler: cleared all throttled traps
Feb 23 07:34:56 router1 snmpd[359]: SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start
Feb 23 07:38:19 router1 snmpd[359]: SNMPD_TRAP_COLD_START: trap_generate_cold: SNMP trap: cold start

user@host> file show /var/log/processes Feb 22 08:58:24 router1 snmpd[359]:
%DAEMON-3-SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start
Feb 22 20:35:07 router1 snmpd[359]:
%DAEMON-6-SNMPD_THROTTLE_QUEUE_DRAINED: trap_throttle_timer_handler: cleared all throttled traps
Feb 23 07:34:56 router1 snmpd[359]:
%DAEMON-3-SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start
Feb 23 07:38:19 router1 snmpd[359]:
%DAEMON-2-SNMPD_TRAP_COLD_START: trap_generate_cold: SNMP trap: cold start

user@host> show log messages
Apr 25 14:01:12 user Throughput exceed 20Gbps and 7Mpps in 35% of last 15 minutes, above the time threshold 10%!
Apr 25 14:16:12 user Throughput exceed 20Gbps and 7Mpps in 95% of last 15 minutes, above the time threshold 10%!





關於更進一步的系統日誌設定請參考以下的網路連結:








這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁