보안 디바이스에 대한 시스템 로깅 구성

컨트롤 플레인 및 데이터 플레인 로그

Junos OS는 시스템의 컨트롤 플레인과 데이터 플레인에서 발생하는 이벤트를 기록하기 위해 별도의 로그 메시지를 생성합니다.

• 시스템 로그라고도 하는 컨트롤 플레인 로그에는 라우팅 플랫폼에서 발생하는 이벤트가 포함됩니다. 시스템은 컨트롤 플레인 이벤트를 라우팅 엔진의 프로세스로 eventd 전송하고, 라우팅 엔진은 Junos OS 정책, 시스템 로그 메시지 생성 또는 두 가지 모두를 통해 이벤트를 처리합니다. 컨트롤 플레인 로그를 파일, 사용자 터미널, 라우팅 플랫폼 콘솔 또는 원격 시스템으로 전송하도록 선택할 수 있습니다. 컨트롤 플레인 로그를 생성하려면 계층 수준에서 문을 [system] 사용합니다syslog.

• 보안 로그라고도 하는 데이터 플레인 로그에는 주로 데이터 플레인 내에서 처리되는 보안 이벤트가 포함됩니다. 보안 로그는 텍스트 또는 바이너리 형식일 수 있으며 로컬에 저장하거나(이벤트 모드) 외부 서버로 전송(스트림 모드)할 수 있습니다. 스트림 모드에는 이진 형식이 필요하며 이벤트 모드에서 로그 공간을 절약하는 것이 좋습니다.

  다음 사항에 유의하십시오.

  • 보안 로그는 로컬(온박스) 또는 외부(오프박스)에 저장할 수 있지만 둘 다 저장할 수는 없습니다.

  • SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 및 SRX5800 디바이스는 기본적으로 스트림 모드로 설정됩니다. 바이너리 형식과 외부 서버를 지정하려면 오프박스 바이너리 보안 로그 파일 구성을 참조하십시오.

    주:

    이러한 디바이스에서 이벤트 모드 로깅을 구성하면 로그가 삭제될 수 있습니다.

    Junos OS 릴리스 15.1X49-D100부터 SRX1500 디바이스의 기본 모드는 스트림 모드입니다. Junos OS 릴리스 15.1X49-D100 이전에는 디바이스의 기본 모드가 이벤트 모드SRX1500.

  • Junos OS 릴리스 18.4R1, 18.4R2, 19.1 및 19.2R1을 제외하고, Junos OS 릴리스 18.3R3부터 시작하는 다른 모든 릴리스에서 SRX300, SRX320, SRX340, SRX345, SRX550 및 SRX550M 디바이스의 기본 로깅 모드는 스트림 모드입니다. 데이터 플레인 이벤트는 컨트롤 플레인 이벤트와 유사한 방식으로 시스템 로그 파일에 기록됩니다. 보안 로그의 바이너리 형식을 지정하려면 오프박스 바이너리 보안 로그 파일 구성을 참조하십시오.

  Junos OS 릴리스 20.2R1부터는 구문 분석 오류를 방지하기 위해 스트림 로그 포워딩 및 온박스 보고에서 이스케이프를 지원합니다. 스트림 모드는 로그가 프로세스로 eventd 전송되지 않는 경우 이스케이프 인 sd-syslog 및 binary 형식을 지원합니다. 프로세스로 eventd 보내는 로그의 경우, 프로세스가 구조 로그에 대한 이스케이프를 활성화했으므로 eventd 옵션을 활성화 escape 하지 않는 것이 좋습니다. 이벤트 모드에서는 형식으로만 이스케이프를 binary 지원합니다. 기본적으로 이 escape 옵션은 비활성화되어 있습니다. 명령을 사용하여 set security log escape 옵션을 활성화 escape 해야 합니다.

중복 시스템 로그 서버

원격 서버를 위한 보안 시스템 로깅 트래픽은 네트워크 인터페이스 포트를 통해 전송되며, 이 포트는 두 개의 동시 시스템 로그 대상을 지원합니다. 각 시스템 로깅 대상은 별도로 구성해야 합니다. 두 개의 시스템 로그 대상 주소가 구성되면 동일한 로그가 두 대상에 모두 전송됩니다. 이 기능을 지원하는 모든 디바이스에서 두 개의 대상을 구성할 수 있지만, 두 번째 대상을 추가하는 것은 주로 독립형 및 액티브/백업 구성 섀시 클러스터 구축을 위한 중복 백업으로 유용합니다.

다음과 같은 중복 서버 정보를 사용할 수 있습니다.

• 시설: cron

• 설명: 크론 스케줄링 프로세스

• 심각도 수준(가장 높은 심각도에서 가장 낮은 심각도까지): debug

• 설명: 소프트웨어 디버깅 메시지

개요

SSD(반도체 드라이브)에 대한 온박스 트래픽 로깅은 8개의 외부 로그 서버 또는 파일을 지원합니다.

모든 트래픽 로그 정보가 포함된 올인원 XML 파일이 추가됩니다. 또한 XML 파일은 모든 로깅 헤더 파일 및 트래픽 로그 관련 문서를 생성합니다.

온박스 트래픽 로깅을 처리하기 위해 SPCs0(Services Processing Cards 0)에서 로컬 로그 관리 데몬(llmd) 이라는 새 프로세스(데몬)가 지원됩니다. SPC에서 flowd에 의해 생성된 트래픽은 트래픽 로그에 나열됩니다. llmd는 이러한 로그를 로컬 SSD에 저장합니다. 트래픽 로그는 네 가지 형식으로 저장됩니다. 로그 형식에 대한 자세한 내용은 을(를) 참조하십시오 표 1 .

온박스 보고 메커니즘은 기존 로깅 기능을 개선한 것입니다. 기존 로깅 기능은 시스템 트래픽 로그를 수집하고, 로그를 분석하며, CLI를 사용하여 이러한 로그의 보고서를 테이블 형식으로 생성하도록 수정되었습니다. 온박스 보고 기능은 보안 로그를 볼 수 있는 간단하고 사용하기 쉬운 인터페이스를 제공하기 위한 것입니다. 온박스 보고서는 표와 그래프 형태의 다양한 보안 이벤트의 J-Web 페이지를 사용하기 쉽습니다. 보고서를 통해 IT 보안 관리자는 보안 정보를 한 눈에 식별하고 취해야 할 조치를 신속하게 결정할 수 있습니다. 화면 IDP, 콘텐츠 보안 및 IPSec과 같은 기능에 대해 세션 유형에 따라 철저한 로그 분석이 수행됩니다.

다음 기준에 따라 보고되는 로그 데이터에 대한 필터를 정의할 수 있습니다.

• top <number>- 이 옵션을 사용하면 명령에 지정된 대로 상위 보안 이벤트에 대한 보고서를 생성할 수 있습니다. 예를 들어: Content Security를 통해 탐지된 상위 5개 IPS 공격 또는 상위 6개 URL.

• in-detail <number>- 이 옵션을 사용하면 세부 정보 로그 콘텐츠를 생성할 수 있습니다.

• in-interval <time-period>- 이 옵션을 사용하면 특정 시간 간격 사이에 기록된 이벤트를 생성할 수 있습니다.

• summary- 이 옵션을 사용하면 이벤트 요약을 생성할 수 있습니다. 이러한 방식으로 필요에 따라 보고서를 미세 조정할 수 있으며 사용할 데이터만 표시할 수 있습니다.

간격의 개수를 표시하는 최대 간격 내 숫자는 30입니다. 긴 기간이 지정되면 카운터가 어셈블되어 최대 간격 내 간격이 30 미만이 되도록 합니다.

서로 다른 테이블에는 다른 속성이 있기 때문에(예: 세션 테이블에는 "reason" 속성이 없지만 Content Security에는 있음) "all" 옵션에는 start-time 및 stop-time을 제외한 필터가 없습니다. 시작 시간 및 중지 시간 이외의 다른 필터가 있으면 오류가 표시됩니다.

예: root@host> 보안 로그 보고서를 자세히 표시 모든 이유 이유1

응용 프로그램 및 사용자 가시성에 대한 응용 프로그램 방화벽 로그에는 응용 프로그램 및 중첩된 응용 프로그램이 나열됩니다. 이러한 기능의 로그에 중첩된 애플리케이션이 나열되면 중첩된 애플리케이션이 J-Web에 나열됩니다. 로그에 중첩된 애플리케이션을 적용할 수 없거나 알 수 없는 것으로 나열하면 애플리케이션만 J-Web에 나열됩니다.

모든 애플리케이션 및 내포된 애플리케이션 목록에 대한 애플리케이션 및 사용자 가시성을 위해 다음 CLI 명령을 사용합니다.

• 개수별 상위 중첩 응용 프로그램의 경우—show security log report top session-close top-number <number> group-by application order-by count with user

• 볼륨별 상위 중첩 응용 프로그램의 경우— For top nested-application by volume—show security log report top session-close top-number <number> group-by application order-by volume with user

• 중첩된 응용 프로그램이 있는 개수별 상위 사용자의 경우—show security log report top session-close top-number <number> group-by user order-by count with application

온박스 보고 기능은 Junos OS 릴리스 15.1X49-D100 이상을 사용하는 SRX 시리즈 방화벽에서 공장 기본 구성을 로드할 때 기본적으로 활성화됩니다.

Junos OS 15.1X49-D100 이전의 Junos OS 릴리스에서 SRX 시리즈 방화벽을 업그레이드하는 경우, SRX 시리즈 방화벽은 기존 구성을 상속하며 온박스 보고 기능은 기본적으로 비활성화됩니다. 업그레이드된 set security log report 디바이스에서 온박스 보고 기능을 활성화하려면 명령과 set security log mode stream 명령을 구성해야 합니다.

Junos OS 릴리스 19.3R1 부터 공장 기본 구성에는 SSD(Solid-State Drive) 수명을 늘리기 위한 온박스 보고 구성이 포함되지 않습니다. 계층에서 CLI 명령을 구성 set security log report 하여 온박스 보고 기능을 활성화할 수 있습니다 [edit security log] .

J-Web 사용자 인터페이스에서 이 작업을 수행하려면 SRX 시리즈 디바이스용 J-Web 사용자 가이드를 참조하십시오.

Junos OS 릴리스 21.3R1부터 외부 SSD가 없는 경우 온박스 보고 로그가 메모리 파일 시스템(MFS)에 저장됩니다. MFS에 저장할 수 있는 최대 로그 수는 외부 SSD에 저장할 수 있는 로그 수보다 적습니다. 이렇게 하면 메모리 소모 및 오류를 방지할 수 있습니다. MFS에 저장된 로그는 디바이스 재부팅 또는 정전 후에 보존되지 않습니다. 온박스 보고 및 오프박스 보고에 기록된 로그 수를 확인하려면 을(를) 참조하십시오 표 2 .

로그 메시지가 기록된 후 로그는 로그 파일 내에 저장되며, 이 로그 파일은 추가 분석을 위해 RE의 데이터베이스 테이블(SRX300, SRX320, SRX340, SRX345 및 SRX550M 디바이스) 또는 추가 분석을 위해 SSD 카드(SRX1500, SRX4100 및 SRX4200 디바이스)에 저장됩니다.

이 기능의 이점은 다음과 같습니다.

• 보고서는 SRX 시리즈 방화벽에 로컬로 저장되며 로그 및 보고서 저장을 위한 별도의 디바이스나 도구가 필요하지 않습니다.

• 온박스 보고서는 표와 그래프 형태의 다양한 보안 이벤트를 담은 사용하기 쉬운 J-Web 페이지입니다.

• 보안 로그를 볼 수 있는 간단하고 사용하기 쉬운 인터페이스를 제공합니다.

• 생성된 보고서를 통해 IT 보안 관리 팀은 보안 정보를 한눈에 파악하고 취해야 할 조치를 신속하게 결정할 수 있습니다.

온박스 보고 기능은 다음을 지원합니다.

• 요구 사항에 따라 보고서를 생성합니다. 예: 세션의 수 또는 볼륨, IDP, 콘텐츠 보안, IPsec VPN과 같은 활동에 대한 로그 유형.

• 지정된 시간 범위 내에서 실시간 이벤트를 캡처합니다.

• 다양한 CLI 지정 조건을 기반으로 논리적이고 체계적이며 이해하기 쉬운 형식으로 모든 네트워크 활동을 캡처합니다.

온박스 보고 기능

온박스 보고 기능은 다음을 지원합니다.

• Sqlite3 support as a library—sqlite3은 Junos OS 릴리스 15.1X49-D100 이전에는 지원되지 않았습니다. Junos OS 릴리스 15.1X49-D100부터 SQL 로그 데이터베이스(SQLite 버전 3)는 RE에서 실행되는 데몬 뿐만 아니라 SRX 시리즈 방화벽에 로그를 저장하는 다른 잠재적 모듈에 의해 사용됩니다.

  Junos OS 릴리스 19.4R1에서는 쿼리 성능을 개선하기 위해 온박스 로깅 데이터베이스를 업그레이드했습니다.

• Running llmd in both Junos OS and Linux OS- 전달 디먼(flowd)은 2진 로그에서 데이터베이스 인덱스를 디코딩하고 인덱스와 로그를 모두 로컬 로그 관리 데몬(llmd)으로 전송합니다.

  SRX300, SRX320, SRX340, SRX345 및 SRX550M 디바이스에서 llmd는 Junos OS에서 실행됩니다. SRX1500, SRX4100 및 SRX4200 디바이스에서 llmd는 Linux에서 실행됩니다. 따라서 Junos OS와 Linux OS 모두에서 llmd가 실행되도록 지원하기 위해 llmd 코드 디렉토리가 Linux 측에서 Junos OS 측으로 이동됩니다.

• Storing of logs into specified table of the sqlite3 database by llmd— SRX 시리즈 방화벽에서 로컬 로그를 수집하여 데이터베이스에 저장하기 위해 새로운 syslog 데몬이 도입되었습니다.

  Junos OS 릴리스 19.3R1부터 Junos OS는 데이터베이스 파일의 단일 테이블이 아닌 여러 테이블에 로그를 저장합니다. 각 테이블에는 가장 오래된 로그와 최신 로그의 타임스탬프가 포함되어 있습니다. 시작 및 종료 시간을 기준으로 쿼리를 시작하면 llmd는 보고서를 생성할 최신 테이블을 찾습니다.

  예를 들어 최근 10시간 동안 생성된 데이터베이스 파일의 한 테이블에 500만 개의 로그가 있고 보고서를 작성하려면 30분 이상을 소비해야 합니다. Junos OS 릴리스 19.3R1부터는 하나의 테이블이 여러 테이블로 분리되며, 각 테이블에는 50만 개의 로그가 있습니다. 동일한 보고서를 생성하려면 하나의 테이블 정보면 충분합니다.

  성능 향상을 위해 더 짧은 시간으로 쿼리하는 것이 좋습니다.

  • Database table definition- 세션 로그의 경우 데이터 유형은 source-address, destination-address, application, user 등입니다. 보안 기능과 관련된 로그의 경우 데이터 유형은 공격 이름, URL, 프로필 프로토콜 등입니다. 따라서 서로 다른 테이블은 성능을 향상시키고 디스크 공간을 절약하기 위해 서로 다른 유형의 로그를 저장하도록 설계되었습니다. SRX 시리즈 방화벽은 로그 데이터가 기록될 때 각 로그 유형에 대한 데이터베이스 테이블을 생성합니다.

    각 유형의 데이터베이스 테이블에는 디바이스별 최대 레코드 번호가 있습니다. 테이블 레코드 수가 제한에 도달하면 새 로그가 가장 오래된 로그를 대체합니다. Junos OS는 활성 트래픽이 전달되는 SRX 시리즈 방화벽에 로그를 저장합니다.

    Junos OS 릴리스 19.3R1부터 데이터베이스 파일에 여러 테이블을 생성하여 로그를 저장할 수 있습니다. 테이블에 로그를 저장하는 용량을 정의할 수 있습니다.

    로그 수 제한이 테이블 용량을 초과하는 경우, Junos OS는 두 번째 테이블에 로그를 저장합니다. 예를 들어, 표 1의 로그 제한이 테이블 용량을 초과하는 경우, Junos OS는 표 2에 로그를 저장합니다.

    로그 수의 제한이 파일 1의 마지막 테이블을 초과하는 경우, Junos OS는 파일 2의 테이블 1에 로그를 저장합니다. 예를 들어, 테이블 n은 파일 1의 마지막 테이블입니다. 로그가 테이블 용량을 초과하면 Junos OS는 파일 2의 테이블 1에 로그를 저장합니다.

    테이블 번호를 변경한 후 즉시 적용하려면 작동 명령을 사용합니다 clear security log report .

  • Database table rotation- 각 유형의 데이터베이스 테이블에는 디바이스별 최대 레코드 번호가 있습니다. 테이블 레코드 수가 제한에 도달하면 새 로그가 가장 오래된 로그를 대체합니다.

    다음은 표 3 데이터베이스 파일 크기 용량에 대한 설명입니다.

    표 3: 데이터베이스 파일 크기 용량

    디바이스	세션	스크린	침입 탐지 및 방지(IDP)	컨텐트 보안	IPsec-VPN	하늘
    SRX300, SRX320, SRX340, SRX345 및 SRX550M	1.8G	0.18G	0.18그램	0.18그램	0.06G	0.18그램
    SRX1500	12G	2.25G	2.25지	2.25지	0.75G	2.25지
    SRX4100 및 SRX4200	15G	2.25지	2.25지	2.25지	0.75지	2.25지
    SRX4600	22.5지	6G	6 세대	6 세대	0.75지	2.25지
    vSRX 가상 방화벽	1.8그램	0.18그램	0.18그램	0.18그램	0.06그램	0.18그램

• Calculating and displaying the reports that are triggered by CLI- 데이터베이스의 보고서는 CLI에서 인터페이스로 수신됩니다. CLI를 사용하여 보고 세부 정보를 계산하고 표시할 수 있습니다.

테이블 선택

여러 테이블에서 보고서를 생성하려는 경우 llmd는 타임스탬프를 기준으로 테이블을 정렬하고 요청된 시작 시간 및 중지 시간에 따라 테이블을 선택합니다.

예를 들어, 표 1(1 내지 3), 표 2(3 내지 5) 및 표 3(6 내지 8)의 세 개의 테이블이 있다. 1 내지 3, 3 내지 6 및 6 내지 8은 최신 및 가장 오래된 로그의 타임스탬프를 나타낸다. 4에서 6까지의 보고서를 요청하면 Junos OS는 표 2와 표 3의 보고서를 생성합니다.

테이블 수명

명령을 구성 set security log report table-lifetime 하여 테이블 수명을 결정할 수 있습니다. Junos OS는 테이블 식별 시간이 테이블 수명을 초과한 후 테이블을 제거합니다. 예를 들어 테이블 수명을 2로 구성하고 현재 날짜가 2019년 7월 26일인 경우 2019년 7월 24일 00:00:00 로그가 제거됨을 의미합니다.

디바이스에서 날짜와 시간을 수동으로 변경하면 테이블 수명이 변경됩니다. 예를 들어, 테이블 식별 시간이 2019년 7월 19일이고 테이블 수명을 10으로 구성하는 경우, Junos OS는 2019년 7월 29일에 테이블을 제거해야 합니다. 디바이스 날짜를 2019년 7월 18일로 변경하면 테이블 실제 수명은 2019년 7월 30일이 됩니다.

테이블 고밀도 모드

Junos OS 릴리스 19.4R1에서는 로그를 관리하기 위해 온박스 로깅 데이터베이스의 기본 스토리지 및 검색 메커니즘을 업그레이드했습니다. 이제 로그 스토리지 및 검색 메커니즘 결과를 사용자 지정할 수 있습니다. 예를 들어 트래픽 로그가 적을 것으로 예상되는 경우 시작 시간과 중지 시간이 있는 기본 구성을 사용할 수 있습니다.

그러나 트래픽 로그의 수가 많고 로그가 생성되는 시간 간격이 더 길어질 것으로 예상되는 경우 고밀도 모드를 사용하도록 설정합니다. 고밀도 모드를 활성화하려면 configuration 명령을 사용합니다 set security log report table-mode dense .

섀시 클러스터 시나리오

섀시 클러스터에서 온박스 보고의 경우, 로그는 디바이스가 활성 트래픽을 처리하고 있는 로컬 디스크에 저장됩니다. 이러한 로그는 섀시 클러스터 피어에 동기화되지 않습니다.

각 노드는 각 노드가 활성 트래픽을 처리할 때 로그를 저장할 책임이 있습니다. 액티브/패시브 모드의 경우 액티브 노드만 트래픽을 처리하며 로그도 액티브 노드에만 저장됩니다. 페일오버의 경우 새 활성 노드는 트래픽을 처리하고 로컬 디스크에 로그를 저장합니다. 액티브/액티브 모드의 경우, 각 노드는 자체 트래픽을 처리하고 로그는 각 노드에 저장됩니다.