- play_arrow 개요
- play_arrow 침입 탐지 및 방지(IDP) 서명 데이터베이스 다운로드 및 업데이트
- play_arrow 침입 탐지 및 방지(IDP) 정책 구성
- play_arrow 사용자 지정 공격 개체 서비스 컨텍스트 이해
- play_arrow 침입 탐지 및 방지(IDP) 기능 구성
- play_arrow IDP 시리즈 또는 ISG Series 디바이스에서 SRX 시리즈 디바이스로 마이그레이션
- play_arrow 구성 명령문 및 운영 명령
침입 탐지 및 방지(IDP) 보안 패킷 캡처
침입 탐지 및 방지(IDP) 센서 구성은 패킷 캡처를 위한 디바이스 사양을 정의합니다.
자세한 내용은 다음 항목을 참조하세요.
보안 패킷 캡처 이해
공격 전후의 패킷을 보면 공격 시도의 목적과 범위, 공격의 성공 여부, 공격으로 인한 네트워크 손상 여부를 확인하는 데 도움이 됩니다. 패킷 분석은 또한 오탐을 최소화하기 위해 공격 시그니처를 정의하는 데 도움이 됩니다.
공격이 기록될 때 패킷 캡처가 활성화되면 세션에 대해 공격 전후의 지정된 수의 패킷을 캡처할 수 있습니다. 모든 패킷이 수집되면 오프라인 분석을 위해 DMI(Device Management Interface)를 통해 호스트 디바이스로 전송됩니다.
침입 탐지 및 방지(IDP) 정책 규칙의 알림 옵션은 규칙 일치가 발생할 때 패킷 캡처를 활성화합니다. 옵션은 캡처할 패킷 수와 관련 세션에 대한 패킷 캡처 기간을 추가로 정의합니다.
침입 탐지 및 방지(IDP) 센서 구성은 패킷 캡처를 위한 디바이스 사양을 정의합니다. 이 명령의 옵션은 패킷 캡처에 할당할 메모리와 패킷 캡처 개체가 전송될 소스 및 호스트 디바이스를 결정합니다.
show
명령은 디바이스에서 패킷 캡처 활동의 진행, 성공 및 실패에 대한 세부 정보를 제공하는 패킷 캡처 카운터를 표시합니다.
패킷 캡처에 대한 지원은 각 세션에서 한 번만 사용할 수 있습니다.
향상된 공격 전 구성 매개 변수 값으로 패킷 캡처를 구성하면 리소스 사용량이 비례적으로 증가하고 디바이스 성능에 영향을 미칠 수 있습니다.
침입 탐지 및 방지(IDP) 패킷 캡처를 위한 암호화 지원
Junos OS 릴리스 22.1R1부터 보안 SSL 또는 TLS 연결을 활성화하고 암호화된 침입 탐지 및 방지(IDP) 패킷 캡처 로그를 패킷 캡처 수신기로 전송할 수 있습니다. SSL 또는 TLS 연결을 설정하려면 침입 탐지 및 방지(IDP) 패킷 로그 구성에 사용할 SSL 시작 프로파일 이름을 지정해야 합니다. SRX 시리즈 방화벽은 SSL 또는 TLS 클라이언트이며, 패킷 캡처 수신기는 SSL 또는 TLS 서버입니다.
침입 탐지 및 방지(IDP)는 패킷 로그 구성에서 암호화 지원이 활성화된 경우, 보안 SSL 또는 TLS 연결을 사용하여 논리적 시스템 또는 테넌트 시스템 내의 모든 세션(암호화 및 비암호화)에 대해 구성된 호스트로 침입 탐지 및 방지(IDP) 패킷 로그를 보냅니다. 패킷 로그가 패킷 캡처 수신기로 전송되면 SSL 연결이 닫힙니다.
이전에는 암호화된 트래픽이 검사를 위해 전송될 때 침입 탐지 및 방지(IDP)가 SSL 프록시를 사용하여 복호화된 트래픽을 수신하고 공격 탐지를 위해 이 트래픽을 검사합니다. 공격이 탐지되고 패킷 로그가 구성된 경우, 복호화된 패킷이 패킷 로그의 일부로 UDP 트래픽을 통해 구성된 호스트로 전송됩니다. 암호화 없는 패킷 로그의 전송은 특히 캡처된 패킷 로그가 암호화된 트래픽용인 경우 보안이 유지되지 않습니다.
암호화 지원이 활성화되면 SSL 프로파일은 각 논리적 시스템에서 별도로 구성되어야 합니다. 전송 매개 변수에 대해 루트 논리적 시스템에서 수행된 침입 탐지 및 방지(IDP) 센서 구성은 다른 논리적 시스템 또는 테넌트 시스템에 사용할 수 없습니다.
침입 탐지 및 방지(IDP) 패킷 로그에 대한 SSL 또는 TLS 연결은 다음과 같이 설정됩니다.
패킷 로깅 프로세스가 시작될 때 호스트에 대한 SSL 또는 TLS 연결이 없으면 패킷 로그를 전송하기 위해 새 SSL 연결이 설정됩니다.
패킷 로그 전송 중에 기존 SSL 또는 TLS 연결이 있는 경우 동일한 연결이 재사용됩니다.
패킷 로깅이 중지되면 캡처된 패킷이 설정된 SSL 또는 TLS 연결을 통해 전송됩니다.
- 사용 중인 SSL 또는 TLS 패킷 전송 세션이 있고 호스트에서 새 패킷 로그 요청이 있는 경우 해당 패킷 로그는 기존 SSL 세션이 완료될 때만 푸시백되고 전송됩니다.
IDP의 패킷 로그 구성은 이제 SSL 프로필 이름 구성을 지원합니다. 이 업데이트된 패킷 로그 구성을 사용하여 침입 탐지 및 방지(IDP) 패킷 로그에 대한 보안 SSL 연결을 설정할 수 있습니다.
SSL 구성으로 업데이트된 침입 탐지 및 방지(IDP) 패킷 로그 명령은 다음과 같습니다.
set security idp sensor-configuration packet-log ssl-profile-name < profile-name>
- 논리적 시스템 내의 세션의 경우-
set logical system logical system name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
테넌트 시스템 내 세션의 경우-
set tenants tenant name security idp sensor-configuration packet-log ssl-profile-name < profile-name>
이러한 명령에 언급된 프로파일 이름은 SSL 시작 프로파일 구성에서 구성해야 합니다. SSL 시작 프로파일 구성은 보안 연결을 설정하는 데 필요한 SSL 인증서 및 SSL 핸드쉐이크 작업을 수행합니다. SSL 버전은 SSL 시작 구성에 따라 선택됩니다.
SSL 이니시에이션 프로파일 구성에 SSL 프로파일 이름이 구성되지 않은 경우 참조된 SSL 이니시에이션 프로파일이 정의되지 않았습니다.라는 메시지가 표시됩니다.
새 패킷 로그 카운터를 보려면 명령을 사용합니다 show security idp counters packet-log
.
혜택
SSL 및 TLS 키와 인증서 암호화 메커니즘을 사용하여 데이터의 개인 정보 보호 및 보안을 제공합니다.
잠재적인 개인 정보를 네트워크의 공유 엔터티로 스트리밍할 수 있도록 지원합니다.
IDP 온박스 패킷 캡처 지원
공격이 발생하면 침입 탐지 및 방지(IDP) 패킷 로깅 기능을 사용하여 패킷을 캡처하고 공격 동작을 오프라인으로 분석합니다. Security Director와 같은 로그 수집기 디바이스를 캡처된 패킷의 오프라인 수집에 사용할 수 없는 경우가 있습니다. 이러한 경우, Junos OS 릴리스 23.1R1부터 캡처된 패킷을 SRX 시리즈 방화벽에 로컬로 저장할 수 있으며 사용자 인터페이스 또는 J-Web에서 세부 정보를 볼 수 있습니다.
기존 침입 탐지 및 방지(IDP) 패킷 로그 구성은 평소와 같이 사용되며, 명령을 사용하여 침입 탐지 및 방지(IDP) 규칙에 대한 패킷 로그를 설정할 수 있습니다. 명령을 사용하여 set security idp sensor-configuration packet-log local-storage
캡처된 패킷을 디바이스에 저장할 수 있습니다.
이 구성을 사용하는 경우 호스트에 대한 세부 정보가 구성된 경우 패킷 로그를 오프박스 호스트 또는 수집기로 보내는 데 변경 사항이 없습니다.
캡처된 트래픽은 /var/log/pcap/idp/에 저장됩니다. PCAP 파일의 이름은 타임스탬프, 공격 로그 ID 및 트리거 패킷 번호를 기반으로 합니다.
제공되는 로그 순환 기능을 사용하여 작성되는 PCAP 파일 수를 제한할 수 있습니다. 다음 구성을 사용하여 /var/log/pcap/idp에서 생성해야 하는 PCAP 파일 수를 제한합니다.
set security idp sensor-configuration packet-log local-storage max-files <1..5000>
기본값은 500입니다.
다음 구성은 PCAP 파일을 저장하는 데 사용할 최대 디스크 공간에 대한 제한을 설정하는 데 사용됩니다.
set security idp sensor-configuration packet-log local-storage storage-limit <1048576...4294967296>
기본값은 100M이고 최소값은 1M입니다.
카운터는 온박스 캡처 통계를 나타냅니다. 새 카운터가 기존 패킷 로그 카운터에 추가됩니다. 다음 명령을 사용하여 packet-log 카운터의 세부 정보를 볼 수 있습니다.
user@host> show security idp counters packet-log
IDP counters: Total packets sent for local packet capture 0 Total sessions enabled for local packet capture 0 Sessions currently enabled for local packet capture 0 Packets currently captured for local enabled sessions 0 Packet clone failures for local capture 0 Total failures sending packets captured to RE 0
이제 이 세션에 대한 온박스 패킷 캡처 파일이 생성될 때 기존 세션 종료 syslog에 플래그가 설정됩니다. 다음 예제에서 마지막 세 번째 매개 변수(128 - 세션에 대한 기능 통계)는 이를 나타냅니다. 예를 들면 다음과 같습니다.
RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed TCP FIN: 4.0.0.1/44508->6.0.0.2/80 0x0 junos-http 4.0.0.1/44508->6.0.0.2/80 0x0 N/A N/A N/A N/A 6 1 trust untrust 22 7(420) 6(3879) 2 HTTP UNKNOWN N/A(N/A) ge-0/0/2.0 No Web N/A 4 Can Leak Information;Supports File Transfer;Prone to Misuse;Known Vulnerabilities;Carrier of Malware;Capable of Tunneling; NA 0 0.0.0.0/0->0.0.0.0/0 NA NA N/A N/A Off root 128 N/A N/A
다음은 다른 유용한 명령입니다.
delete security idp sensor-configuration packet-log local-storage
및 커밋을 사용하여 구성을 삭제하고 커밋을 사용하여 온박스 로깅을 비활성화합니다.clear counter 명령을
clear security idp counters packet-log
사용하여 온박스 캡처 세부 정보를 제거합니다.캡처한 모든 파일을 지우는 데 사용합니다
request security idp storage-cleanup packet-capture
.
또한보십시오
예: 보안 패킷 캡처 구성
이 예에서는 보안 패킷 캡처를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 네트워크 인터페이스를 구성합니다.
개요
이 예에서는 정책 pol0의 규칙 1에 대한 패킷 캡처를 구성합니다. 이 규칙은 공격이 발생하면 공격 전 1 패킷과 공격 후 3 패킷을 캡처하고 공격 후 캡처는 60초 후에 시간 초과하도록 지정합니다. 센서 구성은 가용 메모리의 5%와 침입 탐지 및 방지(IDP) 세션의 15%를 패킷 캡처에 할당하도록 수정되었습니다. 패킷 캡처 개체가 준비되면 디바이스 10.56.97.3에서 디바이스 10.24.45.7의 포트 5로 전송됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit]
CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security idp idp-policy pol0 rulebase-ips rule 1 then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60 set security idp sensor-configuration packet-log total-memory 5 max-sessions 15 source-address 10.56.97.3 host 10.24.45.7 port 5 set security idp sensor-configuration log suppression disable set security idp idp-policy pol0 rulebase-ips rule 1 match attacks predefined-attack-groups "TELNET-Critical" set security idp idp-policy pol0 rulebase-ips rule 1 then action drop-packet
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 패킷 캡처 구성 방법:
침입 탐지 및 방지(IDP) 정책을 생성합니다.
content_copy zoom_out_map[edit] user@host# edit security idp idp-policy pol0
규칙 베이스를 정책과 연결합니다.
content_copy zoom_out_map[edit edit security idp idp-policy pol0] user@host# edit rulebase-ips
규칙 베이스에 규칙을 추가합니다.
content_copy zoom_out_map[edit edit security idp idp-policy pol0 rulebase-ips] user@host# edit rule 1
알림을 지정하고, 각 패킷 캡처에 대한 크기 및 타이밍 제약 조건을 정의합니다.
content_copy zoom_out_map[edit security idp idp-policy pol0 rulebase-ips rule 1 ] user@host# set then notification packet-log pre-attack 1 post-attack 3 post-attack-timeout 60
공격을 일치 기준으로 정의합니다.
content_copy zoom_out_map[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host# set match attacks predefined-attack-groups "TELNET-Critical"
규칙에 대한 작업을 지정합니다.
content_copy zoom_out_map[edit security idp idp-policy pol0 rulebase-ips rule 1] user@host#set then action drop-packet
보안 침입 탐지 및 방지(IDP) 센서 구성을 활성화합니다.
content_copy zoom_out_map[edit] user@host# edit security idp sensor-configuration
(선택 사항) 보안 침입 탐지 및 방지(IDP) 센서 구성 로그 억제를 비활성화합니다.
content_copy zoom_out_map[edit] user@host# set security idp sensor-configuration log suppression disable
메모:침입 탐지 및 방지(IDP) 로그 억제가 활성화되면(기본 동작) 단일 서명과 일치하는 대량의 공격 또는 반복적인 공격이 발생할 경우 SRX 시리즈 방화벽에서 패킷 캡처(PCAP)가 생성되어 수집기로 전달되지 않을 수 있습니다. 각 공격에 PCAP 레코드가 필요한 경우 침입 탐지 및 방지(IDP) 로그 억제를 비활성화하는 것이 좋습니다.
패킷 캡처에 사용할 디바이스 리소스를 할당합니다.
content_copy zoom_out_map[edit security idp sensor-configuration] user@host# set packet-log total-memory 5 max-sessions 15
패킷 캡처 개체를 전송하기 위한 소스 및 호스트 디바이스를 식별합니다.
content_copy zoom_out_map[edit security idp sensor-configuration] user@host# set packet-log source-address 10.56.97.3 host 10.24.45.7 port 5
- 보안 SSL 또는 TLS 연결을 활성화하여 구성된 호스트(PCAP 수신자)로 전송되는 침입 탐지 및 방지(IDP) 패킷 로그를 암호화합니다.
content_copy zoom_out_map
[edit security idp sensor-configuration] user@host# set packet-log ssl-profile-name ssl3
content_copy zoom_out_map[edit](Logical Systems) user@host# set logical system LS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
content_copy zoom_out_map[edit(Tenant Systems) user@host# set tenants TS1 security idp sensor-configuration packet-log ssl-profile-name ssl3
위에서 언급한 SSL 프로파일 이름은 SSL 시작 프로파일 구성에서 구성해야 합니다. SSL 시작 구성에서 지원하는 모든 SSL 및 TLS 버전은 이 IDP 패킷 로그 SSL 또는 TLS 연결에 대해 지원됩니다. SSL 시작 구성에서 구성된 SSL 또는 TLS 버전만 선택할 수 있습니다.
user@host# show services ssl initiation | display set 를 실행하여 SSL 시작에 구성된 SSL 프로파일 이름을 보고 필요한 SSL 또는 TLS 버전을 사용합니다.
결과
구성 모드에서 명령을 입력하여 show security idp
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security idp
idp-policy pol0 { rulebase-ips { rule 1 { match { attacks { predefined-attack-groups TELNET-Critical; } } then { action { drop-packet; } notification { packet-log { pre-attack 1; post-attack 3; post-attack-timeout 60; } } } } } }
sensor-configuration { log { suppression { disable; } } packet-log { total-memory { 5; } max-sessions { 15; } source-address 10.56.97.3; host { 10.24.45.7; port 5; } ## ## Warning: Referenced SSL initiation profile is not defined ## ssl-profile-name ssl3; } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
구성이 올바르게 작동하고 있는지 확인합니다.
보안 패킷 캡처 확인
목적
보안 패킷 캡처를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security idp counters packet-log
.
user@host> show security idp counters packet-log
IDP counters: Value Total packets captured since packet capture was activated 0 Total sessions enabled since packet capture was activated 0 Sessions currently enabled for packet capture 0 Packets currently captured for enabled sessions 0 Packet clone failures 0 Session log object failures 0 Session packet log object failures 0 Sessions skipped because session limit exceeded 0 Packets skipped because packet limit exceeded 0 Packets skipped because total memory limit exceeded 0
예: 데이터 경로 디버깅을 위한 패킷 캡처 구성
이 예는 디바이스를 통과하는 트래픽을 모니터링하도록 패킷 캡처를 구성하는 방법을 보여줍니다. 그런 다음 패킷 캡처는 나중에 tcpdump 유틸리티에서 검사할 수 있는 PCAP 파일 형식으로 패킷을 덤프합니다.
요구 사항
시작하기 전에 데이터 경로 디버깅(CLI 절차)을 참조하십시오.
개요
필터는 트래픽을 필터링하도록 정의됩니다. 그런 다음 필터링된 트래픽에 작업 프로필이 적용됩니다. 작업 프로필은 처리 장치에 대한 다양한 작업을 지정합니다. 지원되는 작업 중 하나는 패킷을 라우팅 엔진으로 전송하고 명령을 사용하여 읽을 수 있는 전용 형식으로 저장하는 패킷 덤프입니다 show security datapath-debug capture
.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을참조하십시오.
패킷 캡처 구성 방법:
packet-processing 경로를 따라 여러 처리 장치에 대한 security datapath-debug 옵션을 편집합니다.
content_copy zoom_out_map[edit] user@host# edit security datapath-debug
캡처 파일, 파일 형식, 파일 크기 및 파일 수를 활성화합니다. 크기 번호는 캡처 파일의 크기를 제한합니다. 제한 크기에 도달한 후 파일 번호가 지정되면 캡처 파일이 파일 이름 x으로 회전되며, 여기서 x 는 지정된 인덱스에 도달할 때까지 자동 증분된 다음 0으로 돌아갑니다. 파일 인덱스를 지정하지 않으면 크기 제한에 도달한 후 패킷이 삭제됩니다. 기본 크기는 512킬로바이트입니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
작업 프로필을 활성화하고 이벤트를 설정합니다. 작업 프로필을 do-capture로 설정하고 이벤트 유형을 np-ingress로 설정합니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
작업 프로필에 대한 패킷 덤프를 활성화합니다.
content_copy zoom_out_map[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
패킷 필터, 작업 및 필터 옵션을 활성화합니다. 패킷 필터는 my-filter로, 작업 프로필은 do-capture로, 필터 옵션은 source-prefix 1.2.3.4/32로 설정됩니다.
content_copy zoom_out_map[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
content_copy zoom_out_map[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
결과
구성 모드에서 명령을 입력하여 show security datapath-debug
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
security { datapath-debug { capture-file { my-capture format pcap size 1m files 5; } } maximum-capture-size 100; action-profile do-capture { event np-ingress { packet-dump } } packet-filter my-filter { source-prefix 1.2.3.4/32 action-profile do-capture } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
구성이 올바르게 작동하고 있는지 확인합니다.
패킷 캡처 확인
목적
패킷 캡처가 작동 중인지 확인합니다.
행동
운영 모드에서 명령을 입력하여 request security datapath-debug capture start
패킷 캡처를 시작하고 명령을 입력하여 request security datapath-debug capture stop
패킷 캡처를 중지합니다.
결과를 보려면 CLI 운영 모드에서 로컬 UNIX 셸에 액세스하고 /var/log/my-capture 디렉터리로 이동합니다. 결과는 tcpdump 유틸리티를 사용하여 읽을 수 있습니다.
데이터 경로 디버깅 캡처 확인
목적
데이터 경로 디버깅 캡처 파일의 세부 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security datapath-debug capture
.
user@host>show security datapath-debug capture
문제 해결을 완료하면 모든 traceoptions 구성(플로우 traceoptions에 국한되지 않음) 및 전체 security datapath-debug 구성 stanza를 제거하거나 비활성화해야 합니다. 디버깅 구성이 활성 상태로 유지되면 디바이스의 CPU 및 메모리 리소스를 계속 사용합니다.
데이터 경로 디버깅 카운터 확인하기
목적
데이터 경로 디버깅 카운터의 세부 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security datapath-debug counter
.
논리적 시스템 및 테넌트 시스템에 대한 침입 탐지 및 방지(IDP) 보안 패킷 로깅
Junos OS 릴리스 21.3R1부터 논리적 시스템 및 테넌트 시스템에 대한 침입 탐지 및 방지(IDP) 보안 패킷 로그를 캡처할 수 있습니다. 보안 디바이스에서 패킷 캡처를 활성화하면 캡처할 공격 후 또는 공격 전 패킷의 수를 지정할 수도 있습니다. 보안 디바이스에서 패킷 캡처를 구성한 후 디바이스는 캡처된 정보를 수집하여 논리적 시스템 및 테넌트 시스템 수준에서 패킷 캡처(.pcap) 파일로 저장합니다.
논리적 시스템 및 테넌트 시스템에 대한 침입 탐지 및 방지(IDP) 보안 패킷 로그를 구성할 때 구성은 다음 샘플과 같습니다.
침입 탐지 및 방지(IDP) 패킷 로깅 샘플 구성
[edit logical-systems LSYS-1] user@host# show security { idp { sensor-configuration { packet-log { threshold-logging-interval 2; source-address 192.168.0.0; host { 172.16.0.0; port 2050; } } } } }
경로 및 연결성
논리적 시스템 및 테넌트 시스템 수준에서 패킷 로깅 센서를 지정하여 캡처된 패킷을 대상 디바이스(PCAP 수신기)에 저장할 수 있습니다. 캡처된 패킷을 전송하고 저장하려면 논리적 시스템 및 테넌트 시스템 구성에 대상 디바이스의 IP 주소를 추가해야 합니다. 그렇지 않으면 디바이스는 루트 논리적 시스템 및 테넌트 시스템 수준에서 구성된 디바이스의 IP 주소를 사용하여 캡처된 패킷을 보냅니다. 이 경우 캡처된 패킷은 논리적 시스템 및 테넌트 시스템 수준에 저장되지 않습니다.
루트 논리적 시스템 및 테넌트 시스템에 대상 디바이스의 IP 주소가 포함되어 있지 않은 경우, 보안 디바이스가 캡처한 패킷을 대상으로 전송하지 못합니다.
명령을 사용하고 show security idp counters packet log logical-system <logical-system-name> 옵션 Packet log host route lookup failures 필드를 체크하면 경로 세부 정보가 누락되어 보안 디바이스가 캡처된 패킷을 전송하지 않은 횟수를 확인할 수 있습니다.