Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía de administración y monitoreo de red Mensajes de registro del sistema

Guía de administración y monitoreo de red

keyboard_arrow_up
close
keyboard_arrow_left
Guía de administración y monitoreo de red
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Configurar el registro del sistema para dispositivos de seguridad

date_range 18-Jan-25
arrow_backward
arrow_forward

Descripción general del registro del sistema para dispositivos de seguridad

Junos OS admite la configuración y supervisión de mensajes de registro del sistema (también denominados mensajes syslog). Puede configurar archivos para registrar mensajes del sistema y también asignar atributos, como niveles de gravedad, a los mensajes. Las solicitudes de reinicio se registran en los archivos de registro del sistema, que puede ver con el show log comando.

Esta sección contiene los siguientes temas:

Registros del plano de control y del plano de datos

Junos OS genera mensajes de registro independientes para registrar los eventos que se producen en los planos de control y datos del sistema.

  • Los registros del plano de control, también denominados registros del sistema, incluyen eventos que se producen en la plataforma de enrutamiento. El sistema envía eventos del eventd plano de control al proceso en el motor de enrutamiento, que luego maneja los eventos mediante políticas de Junos OS, generando mensajes de registro del sistema o ambos. Puede elegir enviar los registros del plano de control a un archivo, terminal de usuario, consola de plataforma de enrutamiento o máquina remota. Para generar registros del plano de control, utilice la syslog instrucción en el nivel de [system] jerarquía.

  • Los registros del plano de datos, también denominados registros de seguridad, incluyen principalmente eventos de seguridad que se controlan dentro del plano de datos. Los registros de seguridad pueden estar en formato de texto o binario, y pueden guardarse localmente (modo de evento) o enviarse a un servidor externo (modo de secuencia). El formato binario es necesario para el modo de transmisión y se recomienda conservar espacio de registro en el modo de evento.

    Tenga en cuenta lo siguiente:

    • Los registros de seguridad se pueden guardar localmente (en caja) o externamente (fuera de la caja), pero no ambos.

    • SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 y SRX5800 dispositivos utilizan de forma predeterminada el modo de transmisión. Para especificar el formato binario y un servidor externo, consulte Configuración de archivos de registro de seguridad binaria fuera de la caja.

      Nota:

      Es posible que se eliminen los registros si configura el registro en modo de evento en estos dispositivos.

      A partir de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo es el modo de transmisión. Antes de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo era el modo de evento.

    • Además de las versiones 18.4R1, 18,4R2, 19.1 y 19.2R1 de Junos OS, en todas las demás versiones a partir de Junos OS versión 18.3R3, el modo de registro predeterminado para los dispositivos SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M es el modo de transmisión. Los eventos del plano de datos se escriben en los archivos de registro del sistema de manera similar a los eventos del plano de control. Para especificar el formato binario de los registros de seguridad, consulte Configuración de archivos de registro de seguridad binarios fuera de la caja.

    A partir de la versión 20.2R1 de Junos OS, admitimos el escape en el reenvío de registros de flujo y la generación de informes en caja para evitar errores de análisis. El modo de transmisión admite el escape y sd-syslogbinary los formatos cuando los registros no se envían a eventd procesar. Para los registros enviados al eventd proceso, recomendamos no habilitar una escape opción, ya que el eventd proceso ha habilitado el escape para el registro de estructura. El modo Evento solo admite escape en binary formato. De forma predeterminada, la escape opción está desactivada. Debe habilitar la escape opción mediante el set security log escape comando.

Servidor de registro del sistema redundante

El tráfico de registro del sistema de seguridad destinado a servidores remotos se envía a través de los puertos de interfaz de red, que admiten dos destinos de registro del sistema simultáneos. Cada destino de registro del sistema debe configurarse por separado. Cuando se configuran dos direcciones de destino de registro del sistema, se envían registros idénticos a ambos destinos. Aunque se pueden configurar dos destinos en cualquier dispositivo que admita la característica, agregar un segundo destino es útil principalmente como copia de seguridad redundante para implementaciones de clústeres de chasis independientes y activas/configuradas para copias de seguridad.

Está disponible la siguiente información de servidor redundante:

  • Facilidad: cron

  • Descripción: Proceso de programación de cron

  • Nivel de gravedad (de mayor a menor gravedad): debug

  • Descripción: Mensajes de depuración de software

Formato binario para registros de seguridad

Junos OS genera mensajes de registro independientes para registrar los eventos que se producen en el plano de control y en el plano de datos del sistema. El plano de control supervisa los eventos que se producen en la plataforma de enrutamiento. Estos eventos se registran en los mensajes de registro del sistema. Para generar mensajes de registro del sistema, utilice la syslog instrucción en el nivel de [system] jerarquía.

Los mensajes de registro del plano de datos, denominados mensajes de registro de seguridad, registran los eventos de seguridad que el sistema controla directamente dentro del plano de datos. Para generar mensajes de registro de seguridad, utilice la log instrucción en el nivel jerárquico [security] .

Los mensajes de registro del sistema se mantienen en archivos de registro en formatos basados en texto, como BSD Syslog, Structured Syslog y WebTrends Enhanced Log Format (WELF).

Los mensajes de registro de seguridad también se pueden mantener en formatos basados en texto. Sin embargo, dado que el registro de seguridad puede producir grandes cantidades de datos, los archivos de registro basados en texto pueden consumir rápidamente recursos de almacenamiento y CPU. En función de la implementación del registro de seguridad, un archivo de registro en formato binario puede proporcionar un uso más eficaz del almacenamiento en caja o fuera de la caja y una mejor utilización de la CPU. El formato binario para los mensajes de registro de seguridad está disponible en todos los firewalls de la serie SRX.

Cuando se configura en modo de evento, los mensajes de registro de seguridad generados en el plano de datos se dirigen al plano de control y se almacenan localmente en el dispositivo. Los mensajes de registro de seguridad almacenados en formato binario se mantienen en un archivo de registro independiente del que se usa para mantener los mensajes de registro del sistema. No se puede acceder a los eventos almacenados en un archivo de registro binario con comandos avanzados de secuencias de comandos de registro destinados a archivos de registro basados en texto. Un comando operativo de CLI independiente admite la decodificación, conversión y visualización de archivos de registro binarios almacenados localmente en el dispositivo.

Cuando se configuran en modo de secuencia, los mensajes de registro de seguridad generados en el plano de datos se transmiten a un dispositivo remoto. Cuando estos mensajes se almacenan en formato binario, se transmiten directamente a un servidor de recopilación de registros externo en un formato binario específico de Juniper. Los archivos de registro binarios almacenados externamente solo se pueden leer con Juniper Secure Analytics (JSA) o Security Threat Response Manager (STRM).

A partir de Junos OS versión 17.4R2 y posteriores, en dispositivos serie SRX300, SRX320, SRX340, SRX345 e instancias de firewall virtual vSRX, cuando el dispositivo está configurado en modo de secuencia, puede configurar un máximo de ocho hosts de registro del sistema. En Junos OS versión 17.4R2 y versiones anteriores, solo puede configurar tres hosts de registro del sistema en el modo de secuencia. Si configura más de tres hosts de registro del sistema, aparecerá error: configuration check-out failedel siguiente mensaje de error.

Para obtener información acerca de cómo configurar registros de seguridad binarios en caja (modo de evento), consulte Configuración de archivos de registro de seguridad binaria en caja. Para obtener información acerca de cómo configurar registros de seguridad binarios fuera de la caja (modo de secuencia), consulte Configuración de archivos de registro de seguridad binaria fuera de la caja.

Registro e informes en la caja

En este tema se describe la funcionalidad de la CLI de registro e informes internos, así como los aspectos de diseño de los informes integrados para los dispositivos SRX.

Descripción general

El registro de tráfico en caja en unidades de estado sólido (SSD) admite ocho servidores de registro o archivos externos.

Se agrega un archivo XML todo en uno que contiene toda la información de los registros de tráfico. El archivo XML también genera todos los archivos de encabezado de registro y los documentos relacionados con el registro de tráfico.

Un nuevo proceso (demonio) denominado demonio de administración de registros locales (llmd) se admite en las tarjetas de procesamiento de servicios 0 (SPCs0) para controlar el registro de tráfico en caja. El tráfico producido por el flujo en SPC se enumera en los registros de tráfico. El llmd guarda estos registros en el SSD local. Los registros de tráfico se guardan en cuatro formatos diferentes. Consulte Tabla 1 para obtener información sobre los formatos de registro.

Tabla 1: Formatos de registro
Formato de registro Description Predeterminado
Syslog
  • Formato de registro tradicional para guardar registros.
SD-syslog
  • Formato de archivo de registro del sistema estructurado.
  • La mayoría descriptiva y larga, por lo tanto, ocupa más espacio para almacenar.
  • Lleva más tiempo transferir los registros guardados en este formato debido al tamaño.
 -
Welf
  • WebTrends Enhanced Log File Format es un formato de intercambio de archivos de registro estándar de la industria.
  • Compatible con Firewall Suite 2.0 y versiones posteriores, Firewall Reporting Center 1.0 y versiones posteriores, y Security Reporting Center 2.0 y versiones posteriores.
 -
Binario
  • Formato propietario de Juniper.
  • Menos descriptivo entre todos los demás formatos de registro y ocupa el menor espacio en comparación con otros formatos de registro.
 -
protobuf

  • El mecanismo extensible de Google para serializar datos estructurados, neutral en cuanto al idioma y la plataforma de Google.

  • Se utiliza un método diferente para codificar los datos.

  • El tamaño del archivo es pequeño en comparación con syslog y sd-syslog.

  

El mecanismo de informes en caja es una mejora de la funcionalidad de registro existente. La funcionalidad de registro existente se modifica para recopilar registros de tráfico del sistema, analizar los registros y generar informes de estos registros en forma de tablas mediante la CLI. La función de informes en caja está destinada a proporcionar una interfaz simple y fácil de usar para ver los registros de seguridad. Los informes en caja son páginas J-Web fáciles de usar de varios eventos de seguridad en forma de tablas y gráficos. Los informes permiten a la administración de seguridad de TI identificar la información de seguridad de un vistazo y decidir rápidamente las acciones a tomar. Se realiza un análisis exhaustivo de los registros (según los tipos de sesión) para funciones como pantalla, IDP, seguridad de contenido e IPSec.

Puede definir filtros para los datos de registro sobre los que se informa en función de los siguientes criterios:

Nota:

Las condiciones superior, detallada e intervalenta no se pueden utilizar al mismo tiempo.

  • top <number>: esta opción le permite generar informes para eventos de seguridad principales como se especifica en el comando. por ejemplo: los 5 principales ataques IPS o las 6 URL principales detectadas a través de Content Security.

  • in-detail <number>: esta opción le permite generar contenido de registro detallado.

  • in-interval <time-period>: esta opción permite generar los eventos registrados entre determinados intervalos de tiempo.

  • summary—Esta opción permite generar el resumen de los eventos. De esta manera, puede ajustar el informe a sus necesidades y mostrar solo los datos que desea usar.

El número máximo en el intervalo que muestra el recuento en intervalos es 30. Si se especifica una gran duración, los contadores se ensamblan para garantizar que el intervalo de entrada máximo sea inferior a 30.

Tanto en detalle como en resumen tienen la opción "todos", ya que diferentes tablas tienen atributos diferentes (como la tabla de sesión no tiene el atributo "motivo" pero Content Security sí), la opción "todos" no tiene ningún filtro excepto el tiempo de inicio y el tiempo de finalización. Si hay algún otro filtro que no sea la hora de inicio y la hora de finalización, se muestra un error.

Por ejemplo: root@host> mostrar el informe del registro de seguridad en detalle todos los motivos de la razón1

content_copy zoom_out_map
 error: "query condition error"

Los registros del firewall de la aplicación para la visibilidad de aplicaciones y usuarios enumerarán las aplicaciones y las aplicaciones anidadas. Cuando los registros de estas características enumeran aplicaciones anidadas, las aplicaciones anidadas se enumeran en J-Web. Cuando los registros enumeran las aplicaciones anidadas como no aplicables o desconocidas, solo las aplicaciones se enumeran en J-Web.

Utilice los siguientes comandos de CLI para ver las aplicaciones y los usuarios de todas las aplicaciones y la lista de aplicaciones anidadas:

  • Para las principales aplicaciones anidadas por recuento:show security log report top session-close top-number <number> group-by application order-by count with user

  • Para las principales aplicaciones anidadas por volumen:show security log report top session-close top-number <number> group-by application order-by volume with user

  • Para el usuario superior por recuento con aplicación anidada:show security log report top session-close top-number <number> group-by user order-by count with application

La función de informes en caja está habilitada de forma predeterminada cuando se cargan las configuraciones predeterminadas de fábrica en el firewall de la serie SRX con Junos OS versión 15.1X49-D100 o posterior.

Si está actualizando el firewall de la serie SRX desde una versión de Junos OS anterior a Junos OS 15.1X49-D100, el firewall de la serie SRX hereda la configuración existente y la función de informes integrados está deshabilitada de forma predeterminada. Debe configurar el comando y el set security log reportset security log mode stream comando para habilitar la función de informes en caja en el dispositivo que se actualiza.

A partir de Junos OS versión 19.3R1 , la configuración predeterminada de fábrica no incluye la configuración de informes en caja para aumentar la vida útil de la unidad de estado sólido (SSD). Puede habilitar la función de informes en caja configurando el comando de la CLI en [edit security log] la set security log report jerarquía.

Consulte la Guía del usuario de J-Web para dispositivos de la serie SRX para realizar esta tarea en la interfaz de usuario de J-Web.

A partir de Junos OS versión 21.3R1, los registros de informes en caja se almacenan en el sistema de archivos de memoria (MFS) si no hay ningún SSD externo. El número máximo de registros que puede guardar en MFS es menor que el que puede guardar en un SSD externo. Esto evita el agotamiento y la falla de la memoria. Los registros guardados en MFS no se conservan después del reinicio del dispositivo o un corte de energía. Consulte Tabla 2 para conocer el número de registros registrados en los informes integrados y externos.

Tabla 2: Número de registros
Modo de informe Sesión Pantalla DPI Seguridad de contenido IPsec-VPN CIELO
Fuera de la caja 1200,000 120,000 120,000 120,000 40 000 120,000
En caja 500 000 50 000 50 000 50 000 20,000 50 000
Nota:

Debe configurar la política de seguridad para la sesión mediante el set security policies from-zone zone-name to-zone zone-name policy policy-name then log session-close comando para enumerar todas las aplicaciones y aplicaciones anidadas en Seguimiento de aplicaciones en J-Web mediante la función de informes en caja. Consulte para obtener más información (Políticas de seguridad) para obtener más información.

Después de grabar el mensaje de registro, el registro se almacena en un archivo de registro que luego se almacena en la tabla de base de datos del RE para su posterior análisis (en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M) o en la tarjeta SSD para su posterior análisis (en dispositivos SRX1500, SRX4100 y SRX4200).

Nota:

Esta función admite la recepción de la mayoría de los informes principales según el recuento o el volumen de la sesión o el tipo de registro, captura los eventos que ocurren en cada segundo dentro de un intervalo de tiempo especificado y captura el contenido del registro para una condición de CLI especificada. Para generar informes se utilizan varias condiciones de la CLI, como "resumen", arriba", "en detalle" e "en intervalo". Solo puede generar un informe a la vez mediante la CLI. No se pueden usar todas las condiciones de CLI al mismo tiempo. Solo puede generar un informe a la vez mediante la CLI.

Los beneficios de esta característica son:

  • Los informes se almacenan localmente en el firewall de la serie SRX y no se requieren dispositivos o herramientas independientes para el almacenamiento de registros e informes.

  • Los informes en caja son páginas J-Web fáciles de usar de varios eventos de seguridad en forma de tablas y gráficos.

  • Proporciona una interfaz simple y fácil de usar para ver los registros de seguridad.

  • Los informes generados permiten al equipo de gestión de seguridad de TI identificar la información de seguridad de un vistazo y decidir rápidamente las acciones a tomar.

La función de informes en caja admite:

  • Generación de informes basados en los requerimientos. Por ejemplo: recuento o volumen de la sesión, tipos de registros para actividades como IDP, seguridad de contenido, VPN IPsec.

  • Capturar eventos en tiempo real dentro de un rango de tiempo especificado.

  • Captura de todas las actividades de red en un formato lógico, organizado y fácil de entender basado en varias condiciones especificadas por CLI.

Funciones de informes integradas

La función de informes en caja admite:

  • Sqlite3 support as a library—sqlite3 no era compatible antes de Junos OS versión 15.1X49-D100. A partir de Junos OS versión 15.1X49-D100, los demonios que se ejecutan en el RE, así como otros módulos potenciales, utilizan una base de datos de registros SQL (SQLite versión 3) para almacenar registros en firewalls de la serie SRX.

    En Junos OS versión 19.4R1, actualizamos la base de datos de registro en caja para mejorar el rendimiento de las consultas.

  • Running llmd in both Junos OS and Linux OS: el demonio de reenvío (flowd) decodifica el índice de la base de datos a partir de registros binarios y envía tanto el índice como el registro al demonio de administración de registros local (llmd).

    En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, llmd se ejecuta en Junos OS. En dispositivos SRX1500, SRX4100 y SRX4200, llmd se ejecuta en Linux. Por lo tanto, para admitir que llmd se ejecute tanto en Junos OS como en Linux OS, el directorio de código llmd se mueve del lado de Linux al lado de Junos OS.

  • Storing of logs into specified table of the sqlite3 database by llmd— Se introduce un nuevo demonio syslog para recopilar registros locales en firewalls de la serie SRX y guardarlos en la base de datos.

    A partir de Junos OS versión 19.3R1, Junos OS almacena registros en varias tablas en lugar de una sola tabla en un archivo de base de datos. Cada tabla contiene la marca de tiempo de los registros más antiguos y más recientes. Cuando inicia una consulta basada en la hora de inicio y finalización, llmd busca la tabla más reciente para generar informes.

    Por ejemplo, si hay 5 millones de registros en una tabla de un archivo de base de datos generado en las últimas 10 horas, y si desea tomar un informe, debe dedicar más de media hora. A partir de la versión 19.3R1 de Junos OS, una tabla se divide en varias tablas y cada tabla tiene 0,5 millones de registros. Para generar el mismo informe, basta con una información de tabla.

    Le recomendamos que consulte con un tiempo más corto para un mejor rendimiento.

    • Database table definition—Para los registros de sesión, los tipos de datos son dirección de origen, dirección de destino, aplicación, usuario, etc. Para los registros relacionados con las características de seguridad, los tipos de datos son nombre de ataque, dirección URL, protocolo de perfil, etc. Por lo tanto, diferentes tablas están diseñadas para almacenar diferentes tipos de registros para ayudar a mejorar el rendimiento y ahorrar espacio en disco. El firewall de la serie SRX crea una tabla de base de datos para cada tipo de registro, cuando se registran los datos de registro.

      Cada tipo de tabla de base de datos tiene su número máximo de registro específico del dispositivo. Cuando el número de registro de tabla alcanza la limitación, los registros nuevos reemplazan a los registros más antiguos. Junos OS almacena el inicio de sesión en un firewall de la serie SRX en el que se pasa el tráfico activo.

      A partir de Junos OS versión 19.3R1, puede crear varias tablas en un archivo de base de datos para almacenar registros. Puede definir la capacidad de almacenar registros en una tabla.

      Si el límite del número de registro supera la capacidad de la tabla, Junos OS almacena los registros en la segunda tabla. Por ejemplo, si el límite de registros de la tabla 1 supera la capacidad de la tabla, Junos OS almacena los registros en la tabla 2.

      Si el límite del número de registro supera la última tabla del archivo 1, Junos OS almacena los registros en la tabla 1 del archivo 2. Por ejemplo, la tabla n es la última tabla del archivo 1. Cuando los registros superan la capacidad de la tabla, Junos OS almacena los registros en la tabla 1 del archivo 2.

      Para hacer efecto inmediato después de cambiar el número de tabla, utilice clear security log report el comando operativo.

    • Database table rotation—Cada tipo de tabla de base de datos tiene su número máximo de registro específico del dispositivo. Cuando el número de registro de tabla alcanza la limitación, los registros nuevos reemplazan a los registros más antiguos.

      A continuación Tabla 3 se describe la capacidad del tamaño del archivo de base de datos:

      Tabla 3: Capacidad de tamaño de archivo de base de datos

      Dispositivos

      Sesión

      Pantalla

      DPI

      Seguridad de contenido

      IPsec-VPN

      CIELO

      SRX300, SRX320, SRX340, SRX345 y SRX550M

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

      SRX1500

      12G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4100 y SRX4200

      15G

      2.25G

      2.25G

      2.25G

      0.75G

      2.25G

      SRX4600

      22,5G

      6G

      6G

      6G

      0.75G

      2.25G

      Firewall virtual vSRX

      1.8G

      0.18G

      0.18G

      0.18G

      0.06G

      0.18G

  • Calculating and displaying the reports that are triggered by CLI: los informes de la base de datos se reciben de la CLI como interfaz. Con la CLI, puede calcular y mostrar los detalles de los informes.

Selección de tablas

Cuando desee generar un informe a partir de varias tablas, llmd ordena las tablas según la marca de tiempo y selecciona las tablas según la hora de inicio y la hora de finalización solicitadas.

Por ejemplo, hay tres tablas: la tabla 1 (1 a 3), la tabla 2 (3 a 5) y la tabla 3 (6 a 8). 1 a 3, 3 a 6 y 6 a 8 denota la marca de tiempo de los registros más recientes y antiguos. Si solicita un informe del 4 al 6, Junos OS generará un informe a partir de la tabla 2 y la tabla 3.

Duración de la tabla

Puede decidir la duración de la tabla mediante el comando de configuración set security log report table-lifetime . Junos OS quita la tabla después de que el tiempo de identificación de la tabla supere la duración de la tabla. Por ejemplo, si configura la duración de la tabla como 2 y la fecha actual es 26-julio-2019, significa que el 24-julio-2019 se eliminarán los registros a las 00:00:00.

Si cambia la fecha y la hora manualmente en un dispositivo, la duración de la tabla cambia. Por ejemplo, si la hora de identificación de una tabla es 19 de julio de 2019 y configura la duración de la tabla como 10, Junos OS debería quitar la tabla el 29 de julio de 2019. Si cambia la fecha del dispositivo como 18-julio-2019, entonces la vida útil real de la tabla se convierte en 30-julio-2019.

Modo denso de tabla

En Junos OS versión 19.4R1, actualizamos el mecanismo predeterminado de almacenamiento y búsqueda en la base de datos de registro en caja para administrar los registros. Ahora puede personalizar el almacenamiento de registros y los resultados del mecanismo de búsqueda. Por ejemplo, si espera menos registros de tráfico, puede usar la configuración predeterminada con una hora de inicio y una hora de detención.

Sin embargo, si espera un gran número de registros de tráfico y mayores intervalos de tiempo para los que se generarán los registros, habilite el modo denso. Para habilitar el modo denso, utilice el set security log report table-mode dense comando de configuración.

Escenario de clúster de chasis

Para los informes internos en un clúster de chasis, los registros se almacenan en el disco local en el que el dispositivo está procesando el tráfico activo. Estos registros no se sincronizan con el par del clúster de chasis.

Cada nodo es responsable de almacenar registros cuando cada nodo procesa el tráfico activo. En caso de modo activo/pasivo, solo el nodo activo procesa el tráfico y los registros también se almacenan solo en el nodo activo. En caso de conmutación por error, el nuevo nodo activo procesa el tráfico y almacena los registros en su disco local. En caso de modo activo/activo, cada nodo procesa su propio tráfico y los registros se almacenan en los nodos respectivos.

Consulte también

Supervisar informes

Los informes en caja ofrecen un servicio integral de informes donde su equipo de administración de seguridad puede detectar un evento de seguridad cuando ocurre, acceder y revisar inmediatamente los detalles pertinentes sobre el evento y decidir rápidamente las medidas correctivas adecuadas. La función de informes J-Web proporciona informes de una o dos páginas que equivalen a una compilación de numerosas entradas de registro.

Esta sección contiene los siguientes temas:

Informe de monitoreo de amenazas

Propósito

Utilice el Informe de amenazas para supervisar las estadísticas generales y los informes de actividad de las amenazas actuales a la red. Puede analizar los datos de registro en busca de información sobre el tipo de amenaza, los detalles de origen y destino, y la frecuencia de las amenazas. El informe calcula, muestra y actualiza las estadísticas, proporcionando presentaciones gráficas del estado actual de la red.

Acción

Para ver el informe de amenazas:

  1. Haga clic Threats Report en la parte inferior derecha del panel de control o seleccione Monitor>Reports>Threats en la interfaz de usuario de J-Web. Aparecerá el informe de amenazas.

  2. Seleccione una de las siguientes pestañas:

    • Statistics pestaña. Consulte Tabla 4 para obtener una descripción del contenido de la página.

    • Activities pestaña. Consulte Tabla 5 para obtener una descripción del contenido de la página.

Tabla 4: Salida de la ficha Estadísticas en el informe Amenazas

Campo

Description
Panel de estadísticas generales

Categoría de amenaza

Una de las siguientes categorías de amenazas:

  • Tráfico

  • DPI

  • Seguridad de contenido

    • Antivirus

    • Antispam

    • Filtro web: haga clic en la categoría Filtro web para mostrar los contadores de 39 subcategorías.

    • Filtro de contenido

  • Evento de firewall

  • DNS

Severidad

Nivel de gravedad de la amenaza:

  • EMERG

  • alerta

  • Crit

  • errar

  • advertencia

  • notar

  • información

  • depurar

Golpes en las últimas 24 horas

Número de amenazas encontradas por categoría en las últimas 24 horas.

Aciertos en la hora actual

Número de amenazas encontradas por categoría en la última hora.

Recuentos de amenazas en las últimas 24 horas

Por gravedad

Gráfico que representa el número de amenazas recibidas cada hora durante las últimas 24 horas ordenadas por nivel de gravedad.

Por categoría

Gráfico que representa el número de amenazas recibidas cada hora durante las últimas 24 horas ordenadas por categoría.

Eje X

Lapso de veinticuatro horas con la hora actual ocupando la columna más a la derecha de la pantalla. El gráfico se desplaza hacia la izquierda cada hora.

Eje

Número de amenazas encontradas. El eje escala automáticamente en función del número de amenazas encontradas.

Amenazas más recientes

Nombre de la amenaza

Nombres de las amenazas más recientes. En función de la categoría de amenaza, puede hacer clic en el nombre de la amenaza para ir a un sitio del motor de análisis y obtener una descripción de la amenaza.

Categoría

Categoría de cada amenaza:

  • Tráfico

  • DPI

  • Seguridad de contenido

    • Antivirus

    • Antispam

    • Filtro web

    • Filtro de contenido

  • Evento de firewall

  • DNS

IP/puerto de origen

Dirección IP de origen (y número de puerto, si corresponde) de la amenaza.

IP/puerto de destino

Dirección IP de destino (y número de puerto, si corresponde) de la amenaza.

Protocolo

Nombre de protocolo de la amenaza.

Description

Identificación de amenazas según el tipo de categoría:

  • Antivirus: URL

  • Filtro web: categoría

  • Filtro de contenido: motivo

  • Antispam: correo electrónico del remitente

Acción

Medidas adoptadas en respuesta a la amenaza.

Tiempo de golpe

Hora en que se produjo la amenaza.

Tendencia de amenazas en las últimas 24 horas

Categoría

Gráfico circular que representa el recuento comparativo de amenazas por categoría:

  • Tráfico

  • DPI

  • Seguridad de contenido

    • Antivirus

    • Antispam

    • Filtro web

    • Filtro de contenido

  • Evento de firewall

  • DNS

Resumen de contadores de filtro web

Categoría

El recuento de filtros web se desglosa en hasta 39 subcategorías. Al hacer clic en la lista de filtros web del panel Estadísticas generales, se abre el panel Resumen de contadores de filtros web.

Golpes en las últimas 24 horas

Número de amenazas por subcategoría en las últimas 24 horas.

Aciertos en la hora actual

Número de amenazas por subcategoría en la última hora.

Tabla 5: Salida de la ficha Actividades en el informe Amenazas

Campo

Función
Virus más recientes

Nombre de la amenaza

Nombre de la amenaza de virus. Los virus pueden basarse en servicios, como Web, FTP o correo electrónico, o en función del nivel de gravedad.

Severidad

Nivel de gravedad de cada amenaza:

  • EMERG

  • alerta

  • Crit

  • errar

  • advertencia

  • notar

  • información

  • depurar

IP/puerto de origen

Dirección IP (y número de puerto, si procede) del origen de la amenaza.

IP/puerto de destino

Dirección IP (y número de puerto, si procede) del destino de la amenaza.

Protocolo

Nombre de protocolo de la amenaza.

Description

Identificación de amenazas según el tipo de categoría:

  • Antivirus: URL

  • Filtro web: categoría

  • Filtro de contenido: motivo

  • Antispam: correo electrónico del remitente

Acción

Medidas adoptadas en respuesta a la amenaza.

Hora del último golpe

La última vez que ocurrió la amenaza.

Remitentes de correo electrónico no deseado más recientes

Desde e-mail

Dirección de correo electrónico que fue la fuente del spam.

Severidad

Nivel de gravedad de la amenaza:

  • EMERG

  • alerta

  • Crit

  • errar

  • advertencia

  • notar

  • información

  • depurar

IP de origen

Dirección IP del origen de la amenaza.

Acción

Medidas adoptadas en respuesta a la amenaza.

Hora del último envío

Última vez que se envió el correo electrónico no deseado.

Solicitudes de URL bloqueadas recientemente

dirección

Solicitud de URL bloqueada.

IP/puerto de origen

Dirección IP (y número de puerto, si procede) de la fuente.

IP/puerto de destino

Dirección IP (y número de puerto, si procede) del destino.

Aciertos en la hora actual

Número de amenazas encontradas en la última hora.

Ataques de desplazados internos más recientes

Atacar

Severidad

Gravedad de cada amenaza:

  • EMERG

  • alerta

  • Crit

  • errar

  • advertencia

  • notar

  • información

  • depurar

IP/puerto de origen

Dirección IP (y número de puerto, si procede) de la fuente.

IP/puerto de destino

Dirección IP (y número de puerto, si procede) del destino.

Protocolo

Nombre de protocolo de la amenaza.

Acción

Medidas adoptadas en respuesta a la amenaza.

Hora del último envío

La última vez que se envió la amenaza de IDP.

Informe de monitoreo de tráfico

Propósito

Supervise el tráfico de red revisando los informes de las sesiones de flujo de las últimas 24 horas. Puede analizar los datos de registro para obtener estadísticas de conexión y uso de sesión mediante un protocolo de transporte.

Acción

Para ver el tráfico de red en las últimas 24 horas, seleccione Monitor>Reports>Traffic en la interfaz de usuario de J-Web. Consulte Tabla 6 para obtener una descripción del informe.

Tabla 6: Salida del informe de tráfico

Campo

Description
Sesiones en las últimas 24 horas por protocolo

Nombre del protocolo

Nombre del protocolo. Para ver la actividad horaria por protocolo, haga clic en el nombre del protocolo y revise el "Gráfico de actividades del protocolo" en el panel inferior.

  • TCP

  • UDP

  • ICMP

Total de la sesión

Número total de sesiones para el protocolo en las últimas 24 horas.

Bytes entrantes (KB)

Número total de bytes entrantes en KB.

Bytes de salida (KB)

Número total de bytes salientes en KB.

Paquetes entrantes

Número total de paquetes entrantes.

Salida de paquetes

Número total de paquetes salientes.

Sesiones cerradas más recientes

IP/puerto de origen

Dirección IP de origen (y número de puerto, si procede) de la sesión cerrada.

IP/puerto de destino

Dirección IP de destino (y número de puerto, si procede) de la sesión cerrada.

Protocolo

Protocolo de la sesión privada.

  • TCP

  • UDP

  • ICMP

Bytes entrantes (KB)

Número total de bytes entrantes en KB.

Bytes de salida (KB)

Número total de bytes salientes en KB.

Paquetes entrantes

Número total de paquetes entrantes.

Salida de paquetes

Número total de paquetes salientes.

Timestamp

La hora a la que se cierra el período de sesiones.

Cuadro de Actividades de Protocolo

Bytes de entrada/salida

Representación gráfica del tráfico como bytes entrantes y salientes por hora. El recuento de bytes es para el protocolo seleccionado en el panel Sesiones en las últimas 24 horas por protocolo. Si cambia la selección, este gráfico se actualizará inmediatamente.

Entrada/salida de paquetes

Representación gráfica del tráfico como paquetes entrantes y salientes por hora. El recuento de paquetes es para el protocolo seleccionado en el panel Sesiones en las últimas 24 horas por protocolo. Si cambia la selección, este gráfico se actualizará inmediatamente.

Sesiones

Representación gráfica del tráfico como el número de sesiones por hora. El recuento de sesiones es para el protocolo seleccionado en el panel Sesiones en las últimas 24 horas por protocolo. Si cambia la selección, este gráfico se actualizará inmediatamente.

Eje X

Una hora por columna durante 24 horas.

Eje

Recuento de bytes, paquetes o sesiones.

Tabla de sesión de protocolo

Sesiones por protocolo

Representación gráfica del tráfico como el recuento de sesiones actuales por protocolo. Los protocolos que se muestran son TCP, UDP e ICMP.

Configurar archivos de registro de seguridad binaria en caja

Los firewalls de la serie SRX utilizan dos tipos de registros (registros del sistema y registros de seguridad) para registrar los eventos del sistema. Los registros del sistema registran eventos del plano de control, por ejemplo, cuando un usuario administrador inicia sesión. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos del plano de datos relacionados con el manejo específico del tráfico. Por ejemplo, Junos OS genera un registro de seguridad si una política de seguridad deniega cierto tráfico debido a una infracción de política. Para obtener más información acerca de los registros del sistema, consulte Descripción general del registro del sistema de Junos OS. Para obtener más información acerca de los registros de seguridad, consulte Descripción del registro del sistema para dispositivos de seguridad.

Puede recopilar y guardar registros del sistema y de seguridad en formato binario, ya sea en caja (es decir, almacenados localmente en el firewall de la serie SRX) o fuera de la caja (transmitidos a un dispositivo remoto). El uso del formato binario garantiza que los archivos de registro se almacenen de manera eficiente, lo que a su vez mejora la utilización de la CPU.

Puede configurar archivos de seguridad en formato binario utilizando la log instrucción en el nivel de [security] jerarquía.

El registro en caja también se conoce como registro en modo de evento. Para el modo de transmisión y el registro de seguridad fuera de la caja, consulte Configuración de archivos de registro de seguridad binaria fuera de la caja. Al configurar registros de seguridad en formato binario para el registro en modo de eventos, puede definir opcionalmente el nombre de archivo, la ruta de acceso del archivo y otras características, como se detalla en el siguiente procedimiento:

  1. Especifique el modo y el formato de registro para el registro en caja.
    content_copy zoom_out_map
    [edit security]
user@host# set log mode event
user@host# set log format binary
    Nota:

    Si configura el registro del sistema para enviar registros del sistema a un destino externo (es decir, fuera de la caja o en modo de secuencia), los registros de seguridad también se envían a ese destino, incluso si utiliza el registro de seguridad en modo de evento. Para obtener más información acerca del envío de registros del sistema a un destino externo, consulte Ejemplos: Configuración del registro del sistema.

    Nota:

    Los modos de registro de seguridad fuera de la caja y en caja no se pueden habilitar simultáneamente.

  2. (Opcional) Defina un nombre y una ruta de acceso para el archivo de registro.
    Nota:

    El nombre de archivo de registro de seguridad no es obligatorio. Si el nombre de archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.

    content_copy zoom_out_map
    [edit security]
user@host# set log file name security-binary-log
user@host# set log file path security/log-folder
  3. (Opcional) Cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar.
    Nota:

    De forma predeterminada, el tamaño máximo del archivo de registro es de 3 MB y se pueden archivar un total de tres archivos de registro.

    En los siguientes comandos de ejemplo, se establece un valor de 5 MB y 5 archivos archivados, respectivamente:

    content_copy zoom_out_map
    [edit security]
user@host# set log file size 5
user@host# set log file files 5
  4. (Opcional) Configure el indicador hpl para habilitar seguimientos de diagnóstico para los archivos de registro de seguridad binaria. El prefijo smf_hpl identifica todos los seguimientos de registro binario.
    content_copy zoom_out_map
    [edit security]
user@host# set log traceoptions flag hpl
  5. Para la directiva de seguridad de permisos predeterminados, los registros de tráfico se generan cuando RT_FLOW finaliza una sesión.
    content_copy zoom_out_map
    [edit security]
user@host# set policies from-zone trust to-zone untrust policy default-permit then log session-close
  6. (Opcional) Los registros de tráfico se generan cuando RT_FlOW se inicia una sesión.
    content_copy zoom_out_map
    [edit security]
user@host# set policies from-zone trust to-zone untrust policy default-permit then log session-init

Vea el contenido del archivo de registro en modo de evento almacenado en el dispositivo mediante show security log file comando y use clear security log file comando para borrar el contenido del archivo de registro de seguridad en modo de evento binario.

Nota:

El show security log comando muestra los mensajes de registro de seguridad en modo de evento si están en un formato basado en texto y el comando muestra los show security log file mensajes de registro de seguridad en modo de evento si están en formato binario (en caja). Juniper Secure Analytics (JSA) lee el registro binario externo.

Configurar archivos de registro de seguridad binaria fuera de la caja

Los firewalls de la serie SRX tienen dos tipos de registro: Registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Para obtener más información acerca de los registros del sistema, consulte Descripción general del registro del sistema de Junos OS. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos del plano de datos relacionados con el manejo específico del tráfico, por ejemplo, cuando una política de seguridad deniega cierto tráfico debido a alguna infracción de la política. Para obtener más información acerca de los registros de seguridad, consulte Descripción del registro del sistema para dispositivos de seguridad.

Los dos tipos de registro se pueden recopilar y guardar dentro o fuera de la caja. En el procedimiento siguiente se explica cómo configurar registros de seguridad en formato binario para el registro fuera de caja (modo de secuencia).

Puede configurar archivos de seguridad en formato binario utilizando la log instrucción en el nivel de [security] jerarquía.

El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define las características del nombre de archivo, la ruta de acceso y el archivo de registro. Para el modo de evento y el registro de seguridad en caja, consulte Configuración de archivos de registro de seguridad binaria en caja.

  1. Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión fuera de la caja:
    content_copy zoom_out_map
    set security log mode stream
set security log stream test-stream format binary host 1.3.54.22
    Nota:

    Los modos de registro de seguridad fuera de la caja y en caja no se pueden habilitar simultáneamente.

  2. Para el registro de seguridad externo, especifique la dirección de origen, que identifica el firewall de la serie SRX que generó los mensajes de registro. La dirección de origen es obligatoria.
    content_copy zoom_out_map
    set security log source-address 2.3.45.66
  3. Opcionalmente, defina un nombre de archivo de registro y una ruta de acceso.
    Nota:

    El nombre de archivo de registro de seguridad no es obligatorio. Si el nombre de archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.

    content_copy zoom_out_map
    set security log file name security-binary-log 
set security log file path security/log-folder
  4. Opcionalmente, cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar. De forma predeterminada, el tamaño máximo del archivo de registro es de 3 MB y se pueden archivar un total de tres archivos de registro.
    content_copy zoom_out_map
    set security log file size 5
set security log file files 5
  5. Opcionalmente, seleccione el indicador hpl para habilitar los seguimientos de diagnóstico para el registro binario. El prefijo smf_hpl identifica todos los seguimientos de registro binario.
    content_copy zoom_out_map
    set security log traceoptions flag hpl
  6. Vea el contenido del archivo de registro en modo de evento almacenado en el dispositivo mediante Juniper Secure Analytics (JSA) o Security Threat Response Manager (STRM).

Configurar archivos de registro de seguridad de Protobuf en caja en modo de evento

Protocol Buffers (Protobuf) is a data format used to serialize structured security logs. You can configure the security log using protobuf format. Data plane use the Protobuf to encode the log and send the log to rtlog process. The rtlog process saves the log file based on the device configuration. By default, the log files are stored in /var/log/filename.pb directory. You can decode the file data using rtlog process.
Para configurar el formato Protobuf en modo de evento:
  1. Especifique el modo y el formato de registro para el registro en caja.
    content_copy zoom_out_map
    [edit security]
user@host# set log mode event
user@host# set log format protobuf
  2. Defina un nombre y una ruta de acceso para el archivo de registro.
    content_copy zoom_out_map
    [edit security]
user@host# set log file name file1.pb
user@host# set log file path /var/tmp
  3. Cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar.
    content_copy zoom_out_map
    [edit security]
user@host# set log file size 5
user@host# set log file files 5

Vea el contenido del archivo de registro protobuf almacenado en el dispositivo mediante el show security log file file1.pb comando.

user@host> show security log file file1.pb
content_copy zoom_out_map
<14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - SECINTEL_ACTION_LOG [junos@2636.1.1.1.2.129 category="secintel" sub-category="CC" action="block" action-detail="test" http-host="test" threat-severity="5" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" feed-name="test" policy-name="test" profile-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" occur-count="3"]
<14>1 2023-03-17T00:06:55 10.53.78.91 RT_LOG_SELF_TEST - AAMW_ACTION_LOG [junos@2636.1.1.1.2.129 hostname="test" file-category="virus" verdict-number="5" malware-info="Test-File" action="block" list-hit="test" file-hash-lookup="test" source-address="1.16.16.16" source-port="16384" destination-address="2.16.16.16" destination-port="32768" protocol-id="17" application="test" nested-application="test" policy-name="test" username="Fake username" roles="test" session-id="1" source-zone-name="Fake src zone" destination-zone-name="Fake dst zone" sample-sha256="da26ba1e13ce4702bd5154789ce1a699ba206c12021d9823380febd795f5b002" file-name="test_name" url="www.test.com"]
...

Configurar archivos de registro de seguridad de Protobuf en caja en modo de secuencia

Data plane use the Protobuf to encode the log and send the log to llmd process. The llmd process saves the log file based on the device configuration. By default, the log files are stored in /var/traffic-log/filename.pb directory. You can decode the log file data using uspinfo process.
Para configurar el formato Protobuf en modo de secuencia para archivar:
  1. Especifique el modo y el formato de registro para el registro en caja.
    content_copy zoom_out_map
    [edit security]
user@host# set log mode stream
user@host# set log stream s1 format protobuf
  2. Defina un nombre para el archivo de registro.
    content_copy zoom_out_map
    [edit security]
user@host# set log stream s1 file name file2.pb
  3. Cambie el tamaño máximo del archivo de registro que se puede archivar.
    content_copy zoom_out_map
    [edit security]
user@host# set log stream s1 file size 5

Vea el contenido del archivo de registro protobuf almacenado en el dispositivo mediante el show security log stream file file2.pb comando.

user@host> show security log file file2.pb
content_copy zoom_out_map
<14>1 2023-03-15T22:27:34 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2636.1.1.1.2.129 source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" application="HTTP" nested-application="BING" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" source-tenant="N/A" destination-service="N/A"]
<14>1 2023-03-15T22:27:57 10.53.78.91 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2636.1.1.1.2.129 reason="TCP FIN" source-address="1.0.0.3" source-port="38800" destination-address="4.0.0.3" destination-port="80" connection-tag="0" service-name="junos-http" nat-source-address="1.0.0.3" nat-source-port="38800" nat-destination-address="4.0.0.3" nat-destination-port="80" nat-connection-tag="0" src-nat-rule-type="N/A" src-nat-rule-name="N/A" dst-nat-rule-type="N/A" dst-nat-rule-name="N/A" protocol-id="6" policy-name="policy1" source-zone-name="trust" destination-zone-name="untrust" session-id="69" packets-from-client="11129" bytes-from-client="583566" packets-from-server="154153" bytes-from-server="218074629" elapsed-time="23" application="HTTP" nested-application="BING" username="N/A" roles="N/A" packet-incoming-interface="ge-0/0/0.0" encrypted="No" application-category="Web" application-sub-category="miscellaneous" application-risk="2" application-characteristics="N/A" secure-web-proxy-session-type="NA" peer-session-id="0" peer-source-address="0.0.0.0" peer-source-port="0" peer-destination-address="0.0.0.0" peer-destination-port="0" hostname="NA NA" src-vrf-grp="N/A" dst-vrf-grp="N/A" tunnel-inspection="Off" tunnel-inspection-policy-set="root" session-flag="0" source-tenant="N/A" destination-service="N/A" user-type="N/A"]
...

Configurar archivos de registro de seguridad de Protobuf fuera de la caja

El plano de datos utiliza el formato Protobuf en stream y stream-event el modo para codificar el registro y enviarlo al host. Los datos del registro de seguridad se envían al host utilizando un protocolo de transporte y un número de puerto diferentes. El host recibe el registro protobuf y lo guarda en un archivo. Copie hplc_collect.py, hplc_view.pyy security_log.xmlprotobuflog.proto los archivos al host. El hplc_collect.py se utiliza para recopilar y guardar los archivos de registro en el host. El protobuflog.proto se utiliza para descodificar los datos del archivo en el host y puede ver los datos mediante hplc_view.py. Los archivos se publican y se copian en /share/juniper el host. Los hplc_collect.py archivos y hplc_view.py son compatibles con la última versión 3 de python.

Para configurar el formato Protobuf en modo stream-event para hospedar:
  1. Especifique el modo de registro y el formato de secuencia de registro para el registro fuera de la caja. Es Stream-event una combinación del modo de transmisión y de evento.
    content_copy zoom_out_map
    [edit security]
user@host# set log mode stream-event
user@host# set log stream s1 format protobuf
  2. Para el registro de seguridad externo, especifique la dirección de origen, que identifica el firewall de la serie SRX que generó los mensajes de registro.
    content_copy zoom_out_map
    [edit security]
user@host# set log source-address 10.0.0.3
  3. Defina un nombre y una ruta de acceso para el archivo de registro.
    content_copy zoom_out_map
    [edit security]
user@host# set log stream s1 file name proto-1og.pb
user@host# set log file path /var/tmp
  4. Configure la secuencia de registro s1 con la configuración de host y puerto.
    content_copy zoom_out_map
    [edit security]
user@host# set log stream s1 host 4.0.0.3 port 514
user@host# set log stream s1 transport protocol udp
  5. Cambie el tamaño máximo del archivo de registro y el número máximo de archivos de registro que se pueden archivar.
    content_copy zoom_out_map
    [edit security]
user@host# set log file size 5
user@host# set log file files 5
  6. Configure el archivo log.trace para descodificar y ver el contenido del registro.
    content_copy zoom_out_map
    [edit security]
user@host# set log traceoptions file log.trace

Enviar mensajes de registro del sistema a un archivo

Puede dirigir los mensajes de registro del sistema a un archivo en la tarjeta CompactFlash (CF). El directorio predeterminado para los archivos de registro es /var/log. Para especificar un directorio diferente en la tarjeta CF, incluya la ruta de acceso completa.

Cree un archivo denominado securityy envíe mensajes de registro de la authorization clase en el nivel info de gravedad al archivo.

Para establecer el nombre de archivo, la instalación y el nivel de gravedad:

content_copy zoom_out_map
{primary:node0}
user@host# set system syslog file security authorization info

Configurar el sistema para enviar todos los mensajes de registro a través de eventd

El eventd proceso de configuración de registro se suele utilizar para Junos OS. En esta configuración, los registros del plano de control y del plano de datos, o de seguridad, se reenvían desde el plano de datos al proceso del plano de control del motor rtlogd de enrutamiento. A rtlogd continuación, el proceso reenvía los registros con formato syslog o sd-syslog al eventd proceso o los registros con formato WELF al recopilador de registros WELF externo o remoto.

Para enviar todos los mensajes de registro a través de eventd:

  1. Establezca el proceso para controlar los eventd registros de seguridad y enviarlos a un servidor remoto.
    content_copy zoom_out_map
    {primary:node0}
user@host# set security log mode event
  2. Configure el servidor que recibirá los mensajes de registro del sistema.
    content_copy zoom_out_map
    {primary:node0}
user@host# set system syslog host hostname any any

    donde hostname es el nombre de host completo o la dirección IP del servidor que recibirá los registros.

Nota:

Para enviar registros duplicados a un segundo servidor remoto, repita el comando con un nuevo nombre de host completo o una nueva dirección IP de un segundo servidor.

Si su implementación es un clúster de chasis activo/activo, también puede configurar el registro de seguridad en el nodo activo que se enviará a servidores remotos independientes para lograr la redundancia de registro.

Para cambiar el nombre o redirigir una de las configuraciones de registro, debe eliminarla y volver a crearla. Para eliminar una configuración:

content_copy zoom_out_map
{primary:node0}
user@host# delete security log mode event

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo es el modo de transmisión. Antes de Junos OS versión 15.1X49-D100, el modo predeterminado para SRX1500 dispositivo era el modo de evento.
17.4R2
A partir de Junos OS versión 17.4R2 y posteriores, en dispositivos serie SRX300, SRX320, SRX340, SRX345 e instancias de firewall virtual vSRX, cuando el dispositivo está configurado en modo de secuencia, puede configurar un máximo de ocho hosts de registro del sistema. En Junos OS versión 17.4R2 y versiones anteriores, solo puede configurar tres hosts de registro del sistema en el modo de secuencia. Si configura más de tres hosts de registro del sistema, aparecerá error: configuration check-out failedel siguiente mensaje de error.
Junos OS Release 15.1X49-D100
La función de informes en caja está habilitada de forma predeterminada cuando se cargan las configuraciones predeterminadas de fábrica en el firewall de la serie SRX con Junos OS versión 15.1X49-D100 o posterior.
Junos OS Release 19.3R1
A partir de Junos OS versión 19.3R1, SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M dispositivos utilizan de forma predeterminada el modo de transmisión.
Junos OS Release 19.3R1
A partir de Junos OS versión 19.3R1 , la configuración predeterminada de fábrica no incluye la configuración de informes en caja para aumentar la vida útil de la unidad de estado sólido (SSD).
arrow_backward PREVIOUS Mostrar archivos de registro del sistema
NEXT arrow_forward Configurar Syslog a través de TLS
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top