【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《SRX日志》,欢迎阅读!
SRX日志
1. SRX日志分类
SRX的日志可分为两类: events 日志和traffic 日志。
1.1. Events日志
Events日志是由设备自身状态变化产生的log。 Events日志有4中输出方式:
➢ User //配置log输出在用户终端,类似思科terminal monitor。 ➢ Console //配置log输出在console控制台。 ➢ File //配置以文件形式在本地存储log。 ➢ Host //配置将log发送至一个远程主机。
每一种输出方式都必须配置两个参数,facility和severity,facility指设备类型,severity指对应设备类型的日志严重级别。SRX防火墙日志共7个严重级别,从高到低:
➢ Emergency ➢ Alert ➢ Critical ➢ Error ➢ Warning ➢ Notice ➢ Info
低级别包括高级别,如设置严重级别为“warning”,则从“Emergency”到“warning”的日志都会被记录。
当前防火墙event日志配置如下: set system syslog user * any emergency
set system syslog host 1.1.1.1 any warning //设备类型为any,严重级别为warning set system syslog host 1.1.1.1 facility-override local7 //此处设置发送日志到日志服务器时将所有日志的设备类型用用local7代替。
set system syslog file messages any warning set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
以上配置生效后,所有级别为warning及以上的 日志发送至日志服务器1.1.1.1,所有日志的设备类型都用local7代替;同时所有级别为warning及以上的日志、所有关于认证的日志也会存储至本地文件“messages”中;在设备上操作的所有命令(interactive-commands)将存储在本地文件“interactive-commands”中。
当配置日志严重级别为warning后哪些日志会被记录?比如设备接口状态up转为down,设备硬件(线卡、模块、电源等)状态变化以及系统进程状态发生变化等信息。
1.2. Traffic日志
Traffic日志与设备自身状态无关,是由穿越防火墙的流量产生的日志,记录信息包括会话开始/结束的时间,源zone,目的zone,源地址/端口,目标地址/端口,传输协议号,传输的包个数/字节数,匹配的安全策略名称等,这类事件日志称为traffic日志(记录traffic日志的前提是在策略中已配置记录log)。
当前防火墙traffic日志配置如下: set security log mode stream set security log source-address 2.2.2.2 set security log stream test host 1.1.1.1 Traffic日志可配置为两种模式: ➢ Stream
stream模式不经过控制平面(路由引擎)处理而是直接通过转发平面产生日志,当配置traffic日志的模式为stream时,12.1之前的版本无法在本地记录traffic日志,从12.1版本开始本地和日志服务器均可记录; ➢ Event
event模式是通过路由引擎处理产生日志,当日志较大时会对路由引擎CPU性能造成一定影响。当配置traffic日志的模式为event时,可同时在日志服务器和本地记录traffic日志。
本文来源:https://www.wddqxz.cn/0a152e00f5ec4afe04a1b0717fd5360cbb1a8d4f.html
2022-05-31
