Вы здесь

Juniper. Monitoring the security policy

Security Policy Logs - основной инструмент для понимания что происходит с трафиком.

Вообще текущие сессии мы можем посмотреть через команду:
show security flow session
show security flow session source-prefix 10.0.0.208/32 destination-prefix 10.10.1.30/32

Настройка Syslog

set system syslog file traffic-log any any set system syslog file traffic-log match RT_FLOW_SESSION

Здесь traffic-log - имя файла, куда будут валиться логи.

Общий вид:

jun100_obn36a> show configuration system syslog archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } file default-log-messages { any any; structured-data; } file traffic-log { any any; match RT_FLOW_SESSION; }

Здесь traffic-log - имя файла, куда будут валиться логи.
Смотреть логи можно командами:
show log traffic-log

Или в реальном времени:
monitor start traffic-log

Пока файл будет пустым, поскольку мы ещё ничего не включили на уровне Security Policy.

Включение лога на уровне политики

jun100_obn36a> show configuration security policies from-zone untrust to-zone trust policy rdp-server_access match { source-address any; destination-address rdp-server; application RDP; } then { permit; log { session-init; session-close; } count; }

Здесь нас интересует session-init и session-close - будет кидать в файл лога информацию о создании и закрытии сессии.
count - включение ведения статистики.

Просмотр логов

Смотреть логи можно командами:
show log traffic-log

Или в реальном времени:
monitor start traffic-log

В нашем случае лог будет выглядеть примерно так:

Jun 1 13:04:00 jun100_obn36a RT_FLOW: RT_FLOW_SESSION_CREATE: session created 195.209.104.27/11339->195.112.100.134/3389 None 195.209.104.27/11339->192.168.254.35/3389 None rdp 6 rdp-server_access untrust trust 12072 N/A(N/A) fe-0/0/0.0 UNKNOWN UNKNOWN UNKNOWN

Это открытие сессии, здесь нам интересно:

  • 12072 - идентификатор сессии. Если сессия существует, мы можем её найти по этому идентификатору:
    show security flow session | find 12072
    samovarov@jun100_obn36a> show security flow session | find 12072 Session ID: 12072, Policy name: rdp-server_access/8, Timeout: 1798, Valid In: 195.209.104.27/11339 --> 195.112.100.134/3389;tcp, If: fe-0/0/0.0, Pkts: 244, Bytes: 39575 Out: 192.168.254.35/3389 --> 195.209.104.27/11339;tcp, If: vlan.0, Pkts: 522, Bytes: 421106
  • rdp-server_access - имя политики. По этому имени мы также можем поискать текущие сессии:
    show security flow session | find rdp-server_access

    Также мы можем посмотреть саму политику:
    show security policies policy-name rdp-server_access

    jun100_obn36a> show security policies policy-name rdp-server_access From zone: untrust, To zone: trust Policy: rdp-server_access, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 4 Source addresses: any Destination addresses: rdp-server Applications: RDP Action: permit, log, count

Просмотр статистики

Как уже было сказано, команда count - включает ведение статистики данной политики.
show security policies policy-name rdp-server_access detail

jun100_obn36a> show security policies policy-name rdp-server_access detail Policy: rdp-server_access, action-type: permit, State: enabled, Index: 8, Scope Policy: 0 Policy Type: Configured Sequence number: 4 From zone: untrust, To zone: trust Source addresses: any-ipv4: 0.0.0.0/0 any-ipv6: ::/0 Destination addresses: rdp-server: 192.168.254.35/32 Application: RDP IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [3389-3389] Per policy TCP Options: SYN check: No, SEQ check: No Session log: at-create, at-close Policy statistics: Input bytes : 3020791 9 bps Initial direction: 203456 5 bps Reply direction : 2817335 3 bps Output bytes : 3020791 9 bps Initial direction: 203456 5 bps Reply direction : 2817335 3 bps Input packets : 7262 0 pps Initial direction: 2347 0 bps Reply direction : 4915 0 bps Output packets : 7262 0 pps Initial direction: 2347 0 bps Reply direction : 4915 0 bps Session rate : 25 0 sps Active sessions : 1 Session deletions : 24 Policy lookups : 24

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image