ネットワークエンジニアのアレ

技術情報メインの備忘系ブログです

www.flickr.com

Juniper SRXのログ設定(ログファイルの保存設定)

Juniper SRXを初めて触ったときにログ設定で少しハマったので、備忘のために設定方法などを書きます。

ログモードの設定

SRXにはログモードが2つあります。

  • Event mode :デフォルトの設定(最大 1,500 event/秒までの環境で設定)
  • Stream mode :高負荷な環境でセキュリティログの取得が必要な場合に設定

中規模くらいまでは”Event mode”で問題なさそうですが、それ以上は”Stream mode”にします。
ただし、”Stream mode”では機器内部にログが保存されないので注意が必要です。

”Event mode”の場合、ルーティングエンジンが処理した後に保存・ログ転送を行いますが、”Stream mode”の場合は、ルーティングエンジンを経由しないので負荷が軽くなります。

# 設定
# set security log event
# set security log stream 

トラフィックログの設定

SRXのログ管理は少し特殊です。
一般的なファイアウォールでは、特に設定しなくても機器内部にログが保存されますが、SRXは明示的に設定しなければ保存されません。
例えば、トラフィックログを保存する場合は以下の設定を行います。

基本設定

# set system syslog file policy_session any any
# set system syslog file policy_session match RT_FLOW
# 説明
set system syslog file <①ファイル名> <②facility> <③severity>  
set system syslog file <①ファイル名> match <④ログファイル内の文字列>

”①ファイル名”はログファイ名、”②facility”と”③severity”はその名の通りです。

※参考(facility、severity) www.juniper.net

”④ログファイル内の文字列”はログファイルに出力させるログ内に記載されている文字列を指定します。
この値に文字列をログファイルに保存します。

RT_FLOWという文字列がトラフィックログに含まれています。

# トラフィックログイメージ
Aug  8 09:00:00 SRXFW-1 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP SERVER RST ※以下略※

ログサイズ・世代管理設定

ログサイズと世代管理は以下の設定を行います。

# set system syslog file policy_session archive size 1000k
# set system syslog file policy_session archive files 3
# 説明
set system syslog file policy_session archive size <①ログファイルサイズ>
set system syslog file policy_session archive files <②保存する世代数>

”①ログファイルサイズ”は1ログファイルのサイズです。このサイズを超えたログはローテートされます。
”②保存する世代数”はログファイルを保存する世代数です。

ログローテートはサイズを超えたら即時されるわけではなく、定期的(デフォルト15分)にファイルサイズの確認を行っていて、その際にサイズが超えていた場合に行います。
確認のタイミングは以下の設定で変更可能です。

 # set system syslog log-rotate-frequency < 1-59 分 >

その他設定

以下の設定はJ-Web(SRXのGUI)にログを表示するために必要な設定です。
GUIにログを表示するのにも設定が必要・・・・。

# set system syslog file policy_session archive world-readable
# set system syslog file policy_session structured-data

UTMログの設定

続いて、アンチウィルス・WEBフィルタ・IDP・ログの設定です。 基本的にトラフィックログと設定は同じです。

変更する必要があるのはマッチ条件で使う文字列です。

  • アンチウィルス : AV_
  • WEBフィルタ  :WEBFILTER_
  • IDP       :RT_IDP
# set system syslog file antivirus-log any any
# set system syslog file antivirus-log match AV_
# set system syslog file antivirus-log archive size 1000k
# set system syslog file policy_session archive files 3
# set system syslog file antivirus-log archive world-readable
# set system syslog file antivirus-log structured-data


# set system syslog file webfilter-log any any
# set system syslog file webfilter-log match WEBFILTER_
# set system syslog file webfilter-log archive size 1000k
# set system syslog file policy_session archive files 3
# set system syslog file webfilter-log archive world-readable
# set system syslog file webfilter-log structured-data

# set system syslog file IDP_attack.log any any
# set system syslog file IDP_attack.log match RT_IDP
# set system syslog file IDP_attack.log archive size 1000k
# set system syslog file policy_session archive files 3
# set system syslog file IDP_attack.log archive world-readable
# set system syslog file IDP_attack.log structured-data

セキュティポリシーの設定

セキュティポリシーにログ出力設定を行わないと保存されないので、設定を行います。

# set security policies from-zone trust to-zone untrust policy default-permit then log session-close

then log session-close :通信終了時にログが保存されます。
then log session-init :通信開始時にログが保存されます。

ログ確認コマンド

以下のコマンドで保存されたログを確認可能です。

show log <ログファイル名>


次回はSYSLOG転送の設定について書きたいと思います。