Juniper SRXのログ設定（ログファイルの保存設定）

2022/8/6 12:352023/7/19 19:58

Juniper SRXを初めて触ったときにログ設定で少しハマったので、備忘のために設定方法などを書きます。

ログモードの設定トラフィックログの設定基本設定ログサイズ・世代管理設定その他設定 UTMログの設定セキュティポリシーの設定ログ確認コマンド

ログモードの設定

SRXにはログモードが2つあります。

Event mode　：デフォルトの設定（最大 1,500 event/秒までの環境で設定）

Stream mode　：高負荷な環境でセキュリティログの取得が必要な場合に設定

中規模くらいまでは”Event mode”で問題なさそうですが、それ以上は”Stream mode”にします。ただし、”Stream mode”では機器内部にログが保存されないので注意が必要です。 ”Event mode”の場合、ルーティングエンジンが処理した後に保存・ログ転送を行いますが、”Stream mode”の場合は、ルーティングエンジンを経由しないので負荷が軽くなります。

トラフィックログの設定

SRXのログ管理は少し特殊です。一般的なファイアウォールでは、特に設定しなくても機器内部にログが保存されますが、SRXは明示的に設定しなければ保存されません。

例えば、トラフィックログを保存する場合は以下の設定を行います。

基本設定

”①ファイル名”はログファイ名、”②facility”と”③severity”はその名の通りです。

※参考（facility、severity）

Junos OS Documentation | Juniper Networks

Junos OS is the network operating system that powers our broad portfolio of physical and virtual networking and security products. Built for reliability, security, and flexibility, Junos OS reduces the time and effort required to plan, deploy, and operate network infrastructure.

https://www.juniper.net/documentation/product/us/en/junos-os

”④ログファイル内の文字列”はログファイルに出力させるログ内に記載されている文字列を指定します。

この値に文字列をログファイルに保存します。

※RT_FLOWという文字列がトラフィックログに含まれています。

スポンサード

ログサイズ・世代管理設定

ログサイズと世代管理は以下の設定を行います。

”①ログファイルサイズ”は1ログファイルのサイズです。

このサイズを超えたログはローテートされます。

”②保存する世代数”はログファイルを保存する世代数です。

ログローテートはサイズを超えたら即時されるわけではなく、定期的（デフォルト15分）にファイルサイズの確認を行っていて、その際にサイズが超えていた場合に行います。

確認のタイミングは以下の設定で変更可能です。

その他設定

以下の設定はJ-Web（SRXのGUI）にログを表示するために必要な設定です。

GUIにログを表示するのにも設定が必要・・・・。

UTMログの設定

続いて、アンチウィルス・WEBフィルタ・IDP・ログの設定です。

基本的にトラフィックログと設定は同じです。

変更する必要があるのはマッチ条件で使う文字列です。

アンチウィルス： AV_

WEBフィルタ：WEBFILTER_

IDP ：RT_IDP

セキュティポリシーの設定

セキュティポリシーにログ出力設定を行わないと保存されないので、設定を行います。

then log session-close ：通信終了時にログが保存されます。 then log session-init ：通信開始時にログが保存されます。

ログ確認コマンド

以下のコマンドで保存されたログを確認可能です。

次回はSYSLOG転送の設定について書きたいと思います。

スポンサード

＜その他記事＞

Xでポスト

🐈Top/👨‍💻Tech -ネットワークエンジニアのアレ-/Juniper SRXのログ設定（ログファイルの保存設定）