Вы здесь

ГлавнаяСтатьиJuniper

Juniper. Monitoring the security policy

пт, 01/06/2018 - 17:57 — vs

Security Policy Logs - основной инструмент для понимания что происходит с трафиком.

Вообще текущие сессии мы можем посмотреть через команду:
show security flow session
show security flow session source-prefix 10.0.0.208/32 destination-prefix 10.10.1.30/32

Настройка Syslog

set system syslog file traffic-log any any
set system syslog file traffic-log match RT_FLOW_SESSION

Здесь traffic-log - имя файла, куда будут валиться логи.

Общий вид:

jun100_obn36a> show configuration system syslog 
archive size 100k files 3;
user * {
    any emergency;
}
file messages {
    any critical;
    authorization info;
}
file interactive-commands {
    interactive-commands error;
}
file default-log-messages {
    any any;
    structured-data;
}
file traffic-log {
    any any;
    match RT_FLOW_SESSION;
}

Здесь traffic-log - имя файла, куда будут валиться логи.
Смотреть логи можно командами:
show log traffic-log

Или в реальном времени:
monitor start traffic-log

Пока файл будет пустым, поскольку мы ещё ничего не включили на уровне Security Policy.

Включение лога на уровне политики

jun100_obn36a> show configuration security policies from-zone untrust to-zone trust policy rdp-server_access 
match {
    source-address any;
    destination-address rdp-server;
    application RDP;
}
then {
    permit;
    log {
        session-init;
        session-close;
    }
    count;
}

Здесь нас интересует session-init и session-close - будет кидать в файл лога информацию о создании и закрытии сессии.
count - включение ведения статистики.

Просмотр логов

Смотреть логи можно командами:
show log traffic-log

Или в реальном времени:
monitor start traffic-log

В нашем случае лог будет выглядеть примерно так:

Jun  1 13:04:00  jun100_obn36a RT_FLOW: RT_FLOW_SESSION_CREATE: session created 195.29.104.27/11339->195.112.100.134/3389 None 195.29.104.27/11339->192.168.254.35/3389 None rdp 6 rdp-server_access untrust trust 12072 N/A(N/A) fe-0/0/0.0 UNKNOWN UNKNOWN UNKNOWN

Это открытие сессии, здесь нам интересно:

  • 12072 - идентификатор сессии. Если сессия существует, мы можем её найти по этому идентификатору:
    show security flow session | find 12072 
    samovarov@jun100_obn36a> show security flow session | find 12072 
Session ID: 12072, Policy name: rdp-server_access/8, Timeout: 1798, Valid
  In: 195.29.104.27/11339 --> 195.112.100.134/3389;tcp, If: fe-0/0/0.0, Pkts: 244, Bytes: 39575
  Out: 192.168.254.35/3389 --> 195.29.104.27/11339;tcp, If: vlan.0, Pkts: 522, Bytes: 421106
  • rdp-server_access - имя политики. По этому имени мы также можем поискать текущие сессии:
    show security flow session | find rdp-server_access

    Также мы можем посмотреть саму политику:
    show security policies policy-name rdp-server_access

    jun100_obn36a> show security policies policy-name rdp-server_access 
From zone: untrust, To zone: trust
  Policy: rdp-server_access, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 4
    Source addresses: any
    Destination addresses: rdp-server
    Applications: RDP
    Action: permit, log, count

Просмотр статистики

Как уже было сказано, команда count - включает ведение статистики данной политики.
show security policies policy-name rdp-server_access detail

jun100_obn36a> show security policies policy-name rdp-server_access detail 
Policy: rdp-server_access, action-type: permit, State: enabled, Index: 8, Scope Policy: 0
  Policy Type: Configured
  Sequence number: 4
  From zone: untrust, To zone: trust
  Source addresses:
    any-ipv4: 0.0.0.0/0 
    any-ipv6: ::/0
  Destination addresses:
    rdp-server: 192.168.254.35/32
  Application: RDP
    IP protocol: tcp, ALG: 0, Inactivity timeout: 1800
      Source port range: [0-0] 
      Destination port range: [3389-3389]
  Per policy TCP Options: SYN check: No, SEQ check: No
  Session log: at-create, at-close
  Policy statistics:
    Input  bytes       :              3020791                    9 bps
      Initial direction:               203456                    5 bps
      Reply direction  :              2817335                    3 bps
    Output bytes       :              3020791                    9 bps
      Initial direction:               203456                    5 bps
      Reply direction  :              2817335                    3 bps
    Input  packets     :                 7262                    0 pps
      Initial direction:                 2347                    0 bps
      Reply direction  :                 4915                    0 bps
    Output packets     :                 7262                    0 pps
      Initial direction:                 2347                    0 bps
      Reply direction  :                 4915                    0 bps
    Session rate       :                   25                    0 sps
    Active sessions    :                    1
    Session deletions  :                   24
    Policy lookups     :                   24

Добавить комментарий

Более подробная информация о текстовых форматах

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image