本页内容
SSL 代理日志
SSL 代理日志
SSL 代理日志
在 SSalpha表 1 中启用日志记录时。
| 系统日志类型 | 说明 |
|---|---|
SSL_PROXY_SSL_SESSION_DROP |
SSL 代理丢弃会话时生成的日志。 |
SSL_PROXY_SSL_SESSION_ALLOW |
即使遇到一些细微错误,SSL 代理也会在处理会话时生成日志。 |
SSL_PROXY_SESSION_IGNORE |
如果非 SSL 会话最初被误认为 SSL 会话,将生成日志。 |
SSL_PROXY_SESSION_WHITELIST |
允许列出会话时生成的日志。 |
SSL_PROXY_ERROR |
用于报告错误的日志。 |
SSL_PROXY_WARNING |
用于报告警告的日志。 |
SSL_PROXY_INFO |
用于报告一般信息的日志。 |
您可以使用SSL_PROXY_SESSION_WHITELIST和SSL_PROXY_INFO日志来检查登录的 URL。例子:
For non-whitelisted session – SSL_PROXY_INFO [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="17" source-address="5.0.0.1" source-port="57558" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57558" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="NA" sni="www.facebook.com" url-category="NULL"]
For whitelisted session – SSL_PROXY_SESSION_WHITELIST [junos@2636.1.1.1.2.129 logical-system-name="root-logical-system" session-id="18" url="4.0.0.1" source-address="5.0.0.1" source-port="57560" destination-address="4.0.0.1" destination-port="10302" nat-source-address="5.0.0.1" nat-source-port="57560" nat-destination-address="4.0.0.1" nat-destination-port="10302" profile-name="ssl-inspect-profile" source-zone-name="trust" source-interface-name="ge-0/0/0.0" destination-zone-name="untrust" destination-interface-name="ge-0/0/1.0" message="session whitelisted url category match SNI www.youtube.com URL_CATEGORY CATEGORY-1"]
检查 系统日志浏览器 ,了解更多详细信息。
所有日志都包含以下示例中所示的类似信息(实际出现顺序):
logical-system-name, session-id, source-ip-address, source-port, destination-ip-address,destination-port, nat-source-ip-address, nat-source-port, nat-destination-ip-address, nat-destination-port, proxy profile name, source-zone-name, source-interface-name, destination-zone-name,destination-interface-name, message
字段 message 包含日志生成的原因。 表 2 所示的三个前缀之一标识了消息源。其他字段则带有描述性标签。
| 前缀 | 说明 |
|---|---|
系统 |
由于与设备相关的错误或作为 SSL 代理配置文件一部分采取的措施而生成的日志。大多数日志属于此类别。 |
打开错误 |
如果 openssl 库检测到错误,在握手过程中生成的日志。 |
证书错误 |
如果在证书中检测到错误,则会在握手过程中生成的日志(x509 相关错误)。 |
示例日志:
Jun 1 05:11:13 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SSL_SESSION_DROP: lsys:root 23 < 203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443> ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:certificate error: self signed certificate
这些日志可捕获 SSL 代理丢弃的会话,而不是由同样使用 SSL 代理服务的其他模块标记的会话。
对于SSL_PROXY_SESSION_WHITELIST消息,在已允许列入名单的服务器或域的 IP 地址之后session-id会包含并包含一个附加host字段。
Jun 1 05:25:36 4.0.0.254 junos-ssl-proxy: SSL_PROXY_SESSION_WHITELIST: lsys:root 24 host:192.0.2.1/443<203.0.113.1/35090->192.0.2.1/443> NAT:< 203.0.113.1/35090->192.0.2.1/443 > ssl-inspect-profile <untrust:ge-0/0/0.0->trust:ge-0/0/1.0> message:system: session whitelisted
为 SSL 代理启用调试和跟踪
通过设置以下配置,可以为 SSL 代理启用路由引擎和数据包转发引擎上的调试跟踪:
user@host# set services ssl traceoptions file file-name
SRX340、SRX345、SRX380、SRX550M、SRX1500、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 设备和 vSRX 实例支持 SSL 代理。 表 3 显示了追踪选项支持的级别。
原因类型 |
描述 |
|---|---|
简短 |
仅对路由引擎和数据包转发引擎进行错误跟踪。 |
详细 |
数据包转发引擎 – 仅应跟踪到握手的事件详细信息。 路由引擎 – 与提交相关的追踪。路由引擎上没有定期跟踪可用 |
广泛 |
数据包转发引擎 – 有数据传输摘要。 路由引擎 - 与提交相关的追踪(更广泛的)。路由引擎上没有定期的跟踪可用。 |
详细 |
所有追踪都可用。 |
表 4 显示了支持的标志。
原因类型 |
描述 |
|---|---|
cli 配置 |
仅与配置相关的跟踪。 |
启动 |
在 SSL-I 插件上启用跟踪。 |
代理 |
在 SSL 代理策略插件上启用跟踪。 |
终止 |
在 SSL-T 插件上启用跟踪。 |
选定配置文件 |
仅对已 enable-flow-tracing 设置的配置文件启用跟踪。 |
您可以在 SSL 代理配置文件中启用日志,以获取丢弃的根本原因。以下是一些最常见的错误:
服务器认证验证错误。检查可信 CA 配置,以验证您的配置。
系统故障,例如内存分配故障。
密码不匹配。
SSL 版本不匹配。
不支持 SSL 选项。
根 CA 已过期。您需要加载新的根 CA。
您可以在 SSL 代理配置文件中启用 ignore-server-auth-failure 选项,以确保忽略证书验证、根 CA 到期日期和其他此类问题。如果在启用选项后 ignore-server-auth-failure 检查会话,则问题已本地化。