Juniper SRX 設定訊息伺服器Log Server

Juniper SRX 設定訊息伺服器Log Server

- 11月 20, 2017

設定系統日誌伺服器(Log Server)

系統日誌是用於在本地或指定的遠程服務器上記錄系統信息的行業標準方法。日誌記錄對於設備安全至關重要，因為它記錄了系統的大小活動，可幫助您識別配置錯誤，了解入侵，解決服務中斷以及對探測和掃描作出反應。

如果沒有生成日誌記錄的能力，建立、關聯、調查或識別事件發生相關訊息就會變了很困難。

Junos設備平台具有合理的 flash 儲存空間，可用於本地系統日誌的儲存，並通過遠端系統日誌伺服器來保留本地的系統日誌以增強安全性。一般的經驗法則是，遠程日誌用於取證目的，本地日誌用於故障排除。

您還可以創建包含不同類型日誌消息的本地日誌文件。例如您想讓某些用戶（如審計員）能夠查看某些消息類型（如用戶已執行的命令），但不允許一般用戶來查看這些日誌時，這將會是非常有用的方法。

Juniper SRX服務網關必須為DoD(美國國防部)定義的可審計事件啟用生成日誌記錄。DoD已經定義了設備將提供審計記錄生成能力的事件列表。這些事件如下所述：

（一）成功或不成功的嘗試訪問、修改或刪除事件等。

（二）訪問操作，例如成功和不成功的登錄嘗試，特權活動或其他系統級訪問，用戶訪問系統的開始和結束時間，來自不同工作站的並發登錄，成功和不成功訪問對象，所有程式啟動，和所有直接訪問資訊系統。

（三）所有帳戶的創建、修改、禁用和終止操作。

配置外部Syslog伺服器的最佳做法是在日誌檔案名稱中添加 log-prefixes 以幫助識別和研究。因為通常將訊息送往遠程服務器的設備不只一台，這是為了避免混淆的緣故。

另一個最佳做法是添加匹配條件並將記錄的事件儲存在個別的檔案中。這樣可以降低問題查找的困難度，並讓權限控管變得更簡單。

自動機制可用於發送自動警報或通知。這種自動警報或通知可以以各種方式傳送（例如，通過電話，通過電子郵件，通過文本消息或通過網站）。

關於系統日誌的命令設定格式：

set system syslog host <IP> <服務類別> <告警等級>

set system syslog file <檔名> <服務類別> <告警等級>

關於系統日誌告警等級的級別：

最高

緊急情況(emergency): 導致軟體元件停止運行的消息

警報(alert): 需要立即進行補救的消息，如資料損壞 (如資料庫)。

關鍵(critical): 在有嚴重問題的情況下的消息，如物理錯誤

錯誤(error): 具有較不嚴重故障情況的消息

警告(warning): 需要監視的情況下的消息

注意(notice): 在不是錯誤但可能需要特殊處理的情況下的消息

資訊(info): 目標事件或錯誤狀態的消息

任何(any): 所有級別的消息

最低

root@srx100# set system syslog file messages any ?

Possible completions:

alert                Conditions that should be corrected immediately

any                  All levels

critical             Critical conditions

emergency            Panic conditions

error                Error conditions

info                 Informational messages

none                 No messages

notice               Conditions that should be handled specially

warning              Warning messages

[edit]

關於系統日誌服務類別的種類：

root@srx100# root@srx100# set system syslog file messages ?

Possible completions:

allow-duplicates     Do not suppress the repeated message

any                  All facilities

+ apply-groups         Groups from which to inherit configuration data

+ apply-groups-except Don't inherit configuration data from these groups

authorization        Authorization system

change-log           Configuration change log

conflict-log         Configuration conflict log

daemon               Various system processes

dfc                  Dynamic flow capture

explicit-priority    Include priority and facility in messages

external             Local external applications

facility-override    Alternate facility for logging to remote host

firewall             Firewall filtering system

ftp                  FTP process

interactive-commands Commands executed by the UI

kernel               Kernel

log-prefix           Prefix for all logging to this host

match                Regular expression for lines to be logged

ntp                  NTP process

pfe                  Packet Forwarding Engine

port                 Port number

security             Security related

source-address       Use specified address as source address

> structured-data      Log system message in structured format

user                 User processes

[edit]

root@srx100#

若要查看系統日誌的設定內容請輸入下列的命令：(下列的內容乃設備出廠預設值)

root@srx100# show system syslog

system {

    syslog {

        archive size 100k files 3;

        user * {

            any emergency;

        }

        file messages {

            any critical;

            authorization info;

        }

        file interactive-commands {

            interactive-commands error;

        }

    }

}

若要查看系統日誌設定的CLI命令格式請輸入下列的命令：(下列的內容乃設備出廠預設值)

root@srx100# show system syslog | display set

set system syslog archive size 100k files 3 ##設定預設的系統日誌檔大小以及可擴充檔案的數量(最大容量為100k*3=300k，超過會進行循環覆蓋，單位可用k或m)，當未指定大小的系統日誌檔會被套用此規則。

root@srx100a> show log me?
Possible completions:
<filename>           Name of log file
messages             Size: 13605, Last changed: Oct 03 00:44:43
messages.0.gz        Size: 10960, Last changed: Oct 02 23:15:00
messages.1.gz        Size: 10098, Last changed: Sep 22 05:15:00
messages.2.gz        Size: 10327, Last changed: Sep 17 22:00:00

root@srx100a> show log messages | match 00:57 | match ospf | match FW_SYSLOG
Oct 3 00:57:07 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.100.2 1.1.100.1     0     0 (1 packets)
Oct 3 00:57:15 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.100.2 1.1.100.1     0     0 (1 packets)
Oct 3 00:57:23 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.100.2 1.1.100.1     0     0 (1 packets)
root@srx100a>

**set system syslog user * any emergency ##登錄的用戶在登錄設備時會收到警報消息

set system syslog file messages any critical ##將任何關鍵等級以上的告警訊息存入檔名為messages的log file。

set system syslog file messages authorization info ##將任何所有授權信息方面的資訊等級告警訊息存入檔名為messages的系統日誌檔(log file)。

set system syslog file interactive-commands interactive-commands error ##將任何有關用戶已執行的命令方面的錯誤等級告警訊息存入檔名為interactive-commands的log file。

設定轉發系統日誌(syslog)到遠端伺服器

為SRX設備配置外部Syslog伺服器可降低安全維護上的風險，無論是設備本身故障了，或是被駭客入侵並清除設備上的系統日誌，我們依然能從外部Syslog伺服器上來找尋相關訊息。

set system syslog host <IP> <服務類別> <告警等級>

範例：

set system syslog host 192.168.0.11 port 514 ##syslog server預設port為UDP 514

set system syslog host 192.168.0.11 log-prefix SRX210   ##通常將訊息送往遠程服務器的設備不只一台，為避免混淆，建議您在每條Syslog消息中使用唯一標識符（如主機名）來配置日誌前綴(log-prefix)選項。

set system syslog host 192.168.0.11 structured-data**   ##將系統日誌資料以結構化方式呈現，以方便識別。

/* 設定將防火牆過濾器產生的日誌單獨存放到Firewall-filters檔案中 */

set system syslog file Firewall-filters firewall any

set system syslog file Firewall-filters archive size 10m files 3

commit

將系統日誌Syslog輸出顯示在SRX設備console port上。

這是為了要及時訊息輸出好方便控管的因素。

在此我們將輸出訊息等級設定為warning (設定warning是為了避免控制台出現太多無用訊息)。

set system syslog console any warning

配置毫秒和年份選項以使時間戳盡可能精確

※ 在某些情況下，標準時間格式可能不如您需要進行計算機取證調查或故障排除那樣精確。

set system syslog time-format millisecond year

設定記錄通訊流量(Traffic)系統日誌(syslog)

在出廠預設系統日誌記錄設定中並沒有通訊流量記錄。

它會記錄數據包的來源與目的IP，以及其他有關FLOW和SESSION相關的訊息。

當網站流量大時通訊流量記錄會消耗掉不少的系統資源，請視個別情況使用。

設定將通訊流量記錄存入名為traffic-log的系統日誌檔：

root@srx100# set system syslog file traffic-log any any

root@srx100# set system syslog file traffic-log match "RT_FLOW_SESSION"

設定將通訊流量記錄轉發到遠端系統日誌伺服器192.168.0.11上：

root@srx100# set system syslog host 192.168.0.11 any any

root@srx100# set system syslog host 192.168.0.11 match "RT_FLOW_SESSION"

設定在安全策略中啟用系統日誌紀錄

下列是在名為default-permit的安全策略中啟用系統日誌紀錄的範例。

您可以指定交通流量日誌紀錄是在會話結束(session-close)或是會話開始(session-init)時產生。

一般建議在會話結束時紀錄交通流量為佳，因為它的訊息比較有用，因為其中包含了traffic volume、NAT資訊、以及傳輸的reason code等訊息。

當安全策略中有拒絕動作(deny action)時，您就必須指定在會話開始時紀錄交通流量。

    指定在會話結束時紀錄交通流量

root@srx100# set security policies from-zone trust to-zone untrust policy default-permit then log session-close

    （可選）指定在會話開始時紀錄交通流量

root@srx100# set security policies from-zone trust to-zone untrust policy default-permit then log session-init

※ 查看日誌檔訊息：

[edit]

root@srx100# run show log | no-more

total 1752

-rw-r--r-- 1 root wheel    6069 Apr 29 07:23 __jsrpd_commit_check__

-rw-r----- 1 root wheel       0 Mar 14 22:33 appidd

-rw-r--r-- 1 root wheel       0 Mar 14 22:31 authd_libstats

-rw-r--r-- 1 root wheel       0 Mar 14 22:31 authd_profilelib

-rw-r--r-- 1 root wheel       0 Mar 14 22:31 authd_sdb.log

-rw-rw---- 1 root wheel   19849 Apr 30 03:09 authorization

-rw-r--r-- 1 root wheel       7 Mar 14 22:33 bin_messages

-rw-r----- 1 root wheel 166037 Apr 29 08:27 chassisd

-rw-rw---- 1 root wheel    7632 Apr 30 04:18 configuration

-rw-r--r-- 1 root wheel   54720 Apr 29 08:23 cosd

-rw-r----- 1 root wheel   78651 Apr 29 15:44 dcd

-rw-r--r-- 1 root wheel       0 Mar 14 22:30 dfwc

-rw-r----- 1 root wheel    1012 Apr 29 08:23 eccd

drwxrwxr-x 2 root wheel     512 Mar 14 22:29 ext

drwxrwxrwt 3 root wheel     512 Mar 14 22:29 flowc

-rw-r--r-- 1 root wheel     298 Apr 28 23:11 fwauthd_chk_only

drwxrwxrwt 3 root wheel     512 Mar 14 22:29 ggsn

-rw-r--r-- 1 root wheel    6520 Apr 29 08:23 gres-tp

-rw-r--r-- 1 root wheel   49202 Apr 30 02:44 httpd.log

-rw-r----- 1 root wheel       0 Mar 14 22:33 idpd

-rw-r--r-- 1 root wheel      90 Apr 28 23:11 ifstraced

-rw-rw---- 1 root wheel   27216 Apr 30 04:28 interactive-commands

-rw-rw---- 1 root wheel    6860 Apr 29 19:30 interactive-commands.0.gz

-rw-rw---- 1 root wheel    7667 Apr 29 12:00 interactive-commands.1.gz

-rw-rw---- 1 root wheel    7432 Apr 29 09:00 interactive-commands.2.gz

-rw-r----- 1 root wheel    4798 Apr 29 08:23 inventory

-rw-r--r-- 1 root wheel   30048 Apr 30 03:08 ipfd

-rw-r----- 1 root wheel   41382 Apr 29 18:05 jsrpd

-rw-r--r-- 1 root wheel     740 Apr 28 23:13 kmd

-rw-r----- 1 root wheel       0 Mar 14 22:33 license

-rw-r--r-- 1 root wheel    6790 Apr 29 08:24 license_subs_trace.log

-rw-r----- 1 root wheel      55 Apr 29 08:18 mastership

-rw-rw---- 1 root wheel   45993 Apr 30 03:09 messages

-rw-rw---- 1 root wheel    9807 Apr 20 22:00 messages.0.gz

-rw-r--r-- 1 root wheel   22072 Apr 7 02:54 nsd

-rw-r--r-- 1 root wheel   38331 Apr 29 17:28 nsd_chk_only

-rw-r--r-- 1 root wheel   23147 Apr 29 18:05 nstraced

-rw-r--r-- 1 root wheel     370 Apr 29 07:23 nstraced_chk_only

-rw-r--r-- 1 root wheel     384 Apr 28 23:11 pf

-rw-r--r-- 1 root wheel       0 Mar 14 22:33 pfed

-rw-r--r-- 1 root wheel     288 Apr 28 23:11 pgmd

-rw-r--r-- 1 root wheel     456 Apr 29 15:44 rtlogd

-rw-r--r-- 1 root wheel    4249 Apr 29 08:22 snapshot

-rw-rw---- 1 root wheel 100326 Apr 30 04:28 traffic-log

-rw-rw---- 1 root wheel   18598 Apr 30 03:15 traffic-log.0.gz

-rw-rw---- 1 root wheel   12486 Apr 30 01:00 traffic-log.1.gz

-rw-rw---- 1 root wheel   11452 Apr 30 00:00 traffic-log.2.gz

-rw-r--r-- 1 root wheel    1782 Apr 29 08:24 utmd-av

-rw-rw-r-- 1 root wheel   30004 Apr 29 08:32 wtmp

-rw-rw-r-- 1 root wheel     139 Apr 7 00:24 wtmp.0.gz

[edit]

root@srx100# run show log ?

Possible completions:

<[Enter]>            Execute this command

<filename>           Name of log file

__jsrpd_commit_check__ Size: 6069, Last changed: Apr 29 07:23:11

appidd               Size: 0, Last changed: Mar 14 22:33:23

authd_libstats       Size: 0, Last changed: Mar 14 22:31:05

authd_profilelib     Size: 0, Last changed: Mar 14 22:31:05

authd_sdb.log        Size: 0, Last changed: Mar 14 22:31:05

authorization        Size: 19849, Last changed: Apr 30 03:09:22

bin_messages         Size: 7, Last changed: Mar 14 22:33:06

chassisd             Size: 166037, Last changed: Apr 29 08:27:41

configuration        Size: 7632, Last changed: Apr 30 04:18:05

  cosd                 Size: 54720, Last changed: Apr 29 08:23:33

dcd                  Size: 78651, Last changed: Apr 29 15:44:24

dfwc                 Size: 0, Last changed: Mar 14 22:30:44

eccd                 Size: 1012, Last changed: Apr 29 08:23:33

ext/                 Last changed: Mar 14 22:29:36

flowc/               Last changed: Mar 14 22:29:37

fwauthd_chk_only     Size: 298, Last changed: Apr 28 23:11:37

ggsn/                Last changed: Mar 14 22:29:36

gres-tp              Size: 6520, Last changed: Apr 29 08:23:33

httpd.log            Size: 49202, Last changed: Apr 30 02:44:03

idpd                 Size: 0, Last changed: Mar 14 22:33:48

ifstraced            Size: 90, Last changed: Apr 28 23:11:32

interactive-commands Size: 27312, Last changed: Apr 30 04:28:56

interactive-commands.0.gz Size: 6860, Last changed: Apr 29 19:30:00

interactive-commands.1.gz Size: 7667, Last changed: Apr 29 12:00:01

interactive-commands.2.gz Size: 7432, Last changed: Apr 29 09:00:00

inventory            Size: 4798, Last changed: Apr 29 08:23:33

ipfd                 Size: 30048, Last changed: Apr 30 03:08:58

jsrpd                Size: 41382, Last changed: Apr 29 18:05:19

kmd                  Size: 740, Last changed: Apr 28 23:13:35

license              Size: 0, Last changed: Mar 14 22:33:04

license_subs_trace.log Size: 6790, Last changed: Apr 29 08:24:04

mastership           Size: 55, Last changed: Apr 29 08:18:42

messages             Size: 45993, Last changed: Apr 30 03:09:22

messages.0.gz        Size: 9807, Last changed: Apr 20 22:00:00

nsd                  Size: 22072, Last changed: Apr 07 02:54:29

nsd_chk_only         Size: 38331, Last changed: Apr 29 17:28:22

nstraced             Size: 23147, Last changed: Apr 29 18:05:19

nstraced_chk_only    Size: 370, Last changed: Apr 29 07:23:10

pf                   Size: 384, Last changed: Apr 28 23:11:10

pfed                 Size: 0, Last changed: Mar 14 22:33:22

pgmd                 Size: 288, Last changed: Apr 28 23:11:42

rtlogd               Size: 456, Last changed: Apr 29 15:44:23

snapshot             Size: 4249, Last changed: Apr 29 08:22:22

traffic-log          Size: 100619, Last changed: Apr 30 04:28:56

traffic-log.0.gz     Size: 18598, Last changed: Apr 30 03:15:00

traffic-log.1.gz     Size: 12486, Last changed: Apr 30 01:00:00

traffic-log.2.gz     Size: 11452, Last changed: Apr 30 00:00:01

user                 Show recent user logins

utmd-av              Size: 1782, Last changed: Apr 29 08:24:04

wtmp                 Size: 30004, Last changed: Apr 29 08:32:41

wtmp.0.gz            Size: 139, Last changed: Apr 07 00:24:06

|                    Pipe through a command

[edit]

root@srx100#

root@srx100# run show log Firewall-filters | match 00:57 | match ospf

Oct 3 00:57:07 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1

00.2 1.1.100.1     0     0 (1 packets)

Oct 3 00:57:15 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1

00.2 1.1.100.1     0     0 (1 packets)

Oct 3 00:57:23 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1

00.2 1.1.100.1     0     0 (1 packets)

Oct 3 00:57:33 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1

00.2 1.1.100.1     0     0 (1 packets)

Oct 3 00:57:43 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1

00.2 1.1.100.1     0     0 (1 packets)

Oct 3 00:57:52 srx100a srx100a PFE_FW_SYSLOG_IP: FW: st0.0        A ospf 1.1.1

00.2 1.1.100.1     0     0 (1 packets)

root@srx100#

user@host> show log messages Apr 11 10:27:25 router1 mgd[3606]: UI_DBASE_LOGIN_EVENT: User 'barbara' entering configuration mode

Apr 11 10:32:22 router1 mgd[3606]: UI_DBASE_LOGOUT_EVENT: User 'barbara' exiting configuration mode

Apr 11 11:36:15 router1 mgd[3606]: UI_COMMIT: User 'root' performed commit: no comment

Apr 11 11:46:37 router1 mib2d[2905]: SNMP_TRAP_LINK_DOWN: ifIndex 82, ifAdminStatus up(1), ifOperStatus down(2), ifName at-1/0/0

user@host> file show /var/log/processes Feb 22 08:58:24 router1 snmpd[359]: SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start

Feb 22 20:35:07 router1 snmpd[359]: SNMPD_THROTTLE_QUEUE_DRAINED: trap_throttle_timer_handler: cleared all throttled traps

Feb 23 07:34:56 router1 snmpd[359]: SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start

Feb 23 07:38:19 router1 snmpd[359]: SNMPD_TRAP_COLD_START: trap_generate_cold: SNMP trap: cold start

user@host> file show /var/log/processes Feb 22 08:58:24 router1 snmpd[359]:

%DAEMON-3-SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start

Feb 22 20:35:07 router1 snmpd[359]:

%DAEMON-6-SNMPD_THROTTLE_QUEUE_DRAINED: trap_throttle_timer_handler: cleared all throttled traps

Feb 23 07:34:56 router1 snmpd[359]:

%DAEMON-3-SNMPD_TRAP_WARM_START: trap_generate_warm: SNMP trap: warm start

Feb 23 07:38:19 router1 snmpd[359]:

%DAEMON-2-SNMPD_TRAP_COLD_START: trap_generate_cold: SNMP trap: cold start

user@host> show log messages

Apr 25 14:01:12 user Throughput exceed 20Gbps and 7Mpps in 35% of last 15 minutes, above the time threshold 10%!

Apr 25 14:16:12 user Throughput exceed 20Gbps and 7Mpps in 95% of last 15 minutes, above the time threshold 10%!

關於更進一步的系統日誌設定請參考以下的網路連結：

強化Juniper SRX (Junos OS) 的系統日誌檔 (Harden syslog)