Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

TLS 経由で Syslog を構成する

SUMMARY トランスポート層セキュリティ(TLS)プロトコルを介して、システムログメッセージ(syslogメッセージとも呼ばれます)を安全に転送するようにデバイスを設定する方法について説明します。

コントロールプレーンログ

Control plane logs, also called system logs, include events that occur on the routing platform. The system sends control plane events to the eventd process on the Routing Engine, which then handles the events by using Junos OS policies, by generating system log messages, or by doing both. You can choose to send control plane logs to a file, user terminal, routing platform console, or remote machine. To generate control plane logs, use the syslog statement at the [system] hierarchy level.

例:TLS 経由で Syslog を構成する

この例では、TLS経由でsyslogメッセージ(コントロールプレーンログ)を安全に転送するようにジュニパーネットワークスのデバイスを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 21.2R1 以降

  • Junos OS Evolved リリース 23.4R1 以降

  • Junos OSまたはJunos OS Evolvedを実行するデバイス(syslogクライアント)

  • Syslogサーバ

概要

TLSプロトコルを使用して、syslogクライアントからsyslogサーバにシステムログメッセージ(コントロールプレーンログ)を安全に転送できるようにします。TLS は、証明書を使用して通信の認証と暗号化を行います。

  • サーバー認証(または一方向 TLS):クライアントはサーバーの ID を確認し、サーバーを信頼します。
  • 相互認証 - サーバーとクライアントの両方がお互いを信頼します。

ネットワークに応じて、サーバー認証または相互認証のいずれかを選択できます。必要な情報にすばやくアクセスするには、 表 1 のリンクをクリックしてください。

表 1: TLS 認証モード

認証モード

手順

情報が配置されているセクション

サーバー認証

PKI を構成する

デバイスを設定する

サーバー認証

設定

次の例では、TLSプロトコルを使用して、ジュニパーデバイスからリモートsyslogサーバーにsyslogメッセージ(コントロールプレーンログ)を安全に転送します。図 1 に、この例で使用する基本的なトポロジーを示します。

図 1: TLS 上の SyslogTLS 上の Syslog
公開キー基盤(PKI)構成の概要

デバイスで PKI を構成するには:

  1. 証明機関 (CA) プロファイルを作成し、CA 識別子を CA プロファイルに関連付けます。変更された手順については、「例:CA プロファイルの設定.
  2. (オプション)失効チェックを作成して、証明書の検証方法を指定します。証明書失効リスト (CRL) またはオンライン証明書状態プロトコル (OCSP) のいずれかを使用できます。証明書の失効を参照してください。
  3. (オプション)信頼された CA グループを作成し、信頼されたグループに CA プロファイルを追加します。信頼された CA グループの設定を参照してください。
  4. デバイスに CA 証明書を読み込みます。証明書は手動で読み込むことができます。変更された手順については、「例:CA 証明書とローカル証明書を手動で読み込む。展開環境に基づいて、オンライン証明書登録に証明書管理プロトコル バージョン 2 (CMPv2) または簡易証明書登録プロトコル (SCEP) を使用できます。SCEP を使用した CA 証明書のオンライン登録および CMPv2 での証明書の登録についてを参照してください。
  5. (相互認証の場合はオプション)デバイスにローカル証明書を読み込みます。ローカル証明書は手動でロードできます。展開環境に基づいて、オンライン証明書の登録に CMPv2 または SCEP を使用できます。SCEP を使用したローカル証明書のオンライン登録および CMPv2 での証明書の登録についてを参照してください。
  6. 証明書が正常に読み込まれたことを確認します。セキュリティ pki の要求 ca-certificate verify コマンドを使用して、CA 証明書が正常に読み込まれたかどうかを確認します。要求セキュリティ pki ローカル証明書検証コマンドを使用して、ローカル証明書が正常に読み込まれたことを確認します。
デバイスでのサーバー認証の構成
ステップバイステップでの手順

次の手順では、設定階層内のさまざまなレベルに移動する必要があります。https://www.juniper.net/documentation/us/en/software/junos/routing-policy/topics/concept/cli-editor-configuration-mode-quick-reference-using.htmlCLIのナビゲーションについては、「1 コンフィグレーション・モードでのCLIエディタの使用」1 を参照してください。

デバイスを設定するには:

  1. システム ログ メッセージを受信する syslog サーバーを指定します。syslog サーバの IP アドレスまたは完全修飾ホスト名を指定できます。この例では、syslog サーバの IP アドレスとして 10.102.70.233 を使用します。

  2. syslog サーバーのポート番号を指定します。

  3. デバイスの syslog トランスポート プロトコルを指定します。この例では、トランスポート プロトコルとして TLS を使用します。

  4. トラステッド認証局(CA)グループの名前を指定するか、または使用するCAプロファイルの名前を指定します。この例では、CA プロファイルとして example-ca を使用します。

  5. すべてのログ メッセージを送信するようにデバイスを設定します。

  6. 設定をコミットします。

結果

構成モードで、 コマshow system syslogンドを使用して構成を確認します。

検証

設定が正しく機能していることを確認するには、syslog サーバで show log コマンドを入力します。

関連項目

データプレーンログ

Data plane logs, also called security logs, include security events that are handled inside the data plane. Security logs can be in text or binary format, and you can save them locally (event mode) or configure your device to send the logs to an external server (stream mode). You require binary format for stream mode. We recommend binary format to conserve log space in event mode.

例:SRXシリーズファイアウォールでTLS Syslogプロトコルを設定する

この例では、SRXシリーズファイアウォールでトランスポート層セキュリティ(TLS)syslogプロトコルを構成して、TLS syslogイベント転送をサポートするネットワークデバイスから暗号化されたsyslogイベントを受信する方法を示しています。

要件

開始する前に、サーバー証明書の検証と暗号化または復号化機能を有効にします。

概要

TLS syslog プロトコルを使用すると、ログ・ソースは、TLS syslog イベント転送をサポートするネットワーク・デバイスから暗号化された syslog イベントを受信できます。ログ・ソースはリスニング・ポートを作成します 受信 TLS syslog イベント用であり、ネットワーク デバイスの証明書ファイルを生成します。

この例では、1 つの SSL-I プロファイルに関連付けられた syslog コレクタを設定します] をクリックします。各 SSL-I プロファイルを使用すると、ユーザーは優先暗号スイートやトラステッド CA 証明書などを指定できます。複数の SSL-I プロファイルを設定し、それらのプロファイルを異なるコレクター・サーバーに関連付けることができます。

設定

手順
CLIクイック構成

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、『CLIユーザー ガイド』の「設定モードにおけるCLIエディターの使用」を参照してください。

TLS syslog プロトコルを設定するには、次の手順を実行します。

  1. ログ モードをストリーミングに設定します。

  2. リモート セキュリティ メッセージ ロギングの構造化システム ログ(sd-syslog)形式を指定します。

  3. ホスト送信元インターフェイス番号を設定します。

  4. データのログ記録に使用するセキュリティ ログ転送プロトコルとして TLS を指定します。

  5. TLS プロファイル名を指定します。

  6. サーバー 1 にログを送信するために構造化された syslog 形式を使用するようにログ・ストリームを設定します。

  7. サーバー 1 のログ記録のカテゴリを all に設定します。

  8. サーバー名または IP アドレスを入力して、サーバー ホスト パラメーターを指定します。

  9. プロトコルバージョン all を SSL 開始アクセスプロファイル用に定義します。

  10. ピアから証明書を要求するときに使用する SSL 開始プロファイルに、すべての CA プロファイル・グループを付加します。

  11. サーバー認証の失敗を無視するように SSL 開始アクセス プロファイルを構成します。

結果

構成モードで、 show security log コマンドを使用して構成を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正しく機能していることを確認するには、syslog サーバで show log コマンドを入力します。