各種機能のデバッグログ設定

動作確認バージョン:vSRX Version22.4R1

security機能のログ設定について

ログ設定

以下にsecurity機能のログ設定手順を説明します。

サンプル設定のシナリオ

  • ポリシー毎にログオプションを指定したい
  • デフォルト設定のstreamモードからeventモードに変更を実施したい(ローカルのログとして見たいケース)

CLIにて入力するコマンド

user01@vSRX-01# set security policies from-zone trust to-zone "zone名" policy "ポリシー名" then log "initなど通信の種類"
user01@vSRX-01# set security log mode event

注釈

  • eventモードは、コントロールプレーン及びデータプレーンで処理します。ローカルでのログ記載及び外部へのSyslog転送が可能です。
  • streamモードは、データプレーンのみの処理です。コントロールプレーンでの処理を挟まず高速に外部へのSyslog転送が可能です。
  • 詳細は、Juniper社公式サイト 及び Knowledgebaseサイト をご参照ください。
  • security logとは具体的にはフィルタリングやNAT等のパケット処理に対するログを示します。デバッグを目的とした詳細な情報がログとして出力されます。
  • Syslogを大量(秒間数百程度)に書き込みした場合、CPU値が高くなる傾向がございますが、弊社では、[event]モードで長時間トラフィックログを書き込みと送信し、コントロールプレーンCPU値が100%の状態を発生させて、VRRPやIPSecプロトコルに影響を与えないことを確認しています。vSRXでは、通常のシステムログと別にセキュリティロギング機能を使ったトラフィックログを取得することが可能です。 2種類の動作モード([stream]と[event])の設定があります。 [stream]モードはvSRX内部にログ書き込みを行わず、外部のサーバにロギング転送する設定です。[event]モードはvSRX内部に書き込み外部に転送するという設定です。[event]モードは[stream]モードと比較してコントロールCPU負荷が高い傾向にあります。 通常のシステムログの書き込みや各機能ごとのTraceoption等のイベントでの書き込み動作もイベント数によって上記と同様CPU値が高くなる傾向があります。留意事項としては、トラフィックログ機能の[event]モードご利用時は、トラフィックログを書き込む量を抑えていただきますようお願いいたします。 また、[stream]モードでのロギングをご検討ください。 Traceoptionに関しては、常時利用は避けていただき装置の検証や障害発生時の動作詳細を解析するためにご利用をお願い致します。
  • Juniper社の Knowledgebaseサイト では個別にtraffic-logの名称でログファイルを作成しておりますが、指定しない場合はデフォルトで/var/log/messagesにログは記載されます。

ログ記載量の制限

security logでは、モード毎にレートリミットを設定可能です。以下に変更手順を説明します。

サンプル設定のシナリオ

  • 各モードのレートリミットを変更したい

CLIにて入力するコマンド

  • stream mode
user01@vSRX-01# set security log stream "ストリーム名" rate-limit 値(1..65535)

注釈

詳細は、Juniper社公式サイト をご参照ください。 デフォルト値は最大値です。

  • event mode

CLIにて入力するコマンド

user01@vSRX-01# set security log event-rate 値(0..1500)

注釈

security logでの設定で外部に転送可能なログの量を制限できます。event modeでのみ有効です。

CLIにて入力するコマンド

user01@vSRX-01# set security log rate-cap 値(0..5000)

注釈

ログ記載量の制限を超えた場合のログの扱い

  • streamモードでのログ転送
    • 転送するログの量がレートリミットを超えた場合には、超えた分のログは破棄されます。
  • eventモードによるvSRX内部へのログ書き込み
    • 書き込むログの量がレートリミットを超えた場合には、超えた分のログは破棄されます。
  • eventモードによるログの転送
    • 明確なレートリミットはございません。転送可能なログの量は負荷・リソースの状況に依存します。超過した分のログは破棄されます。

注釈

上記は共通して、処理しきれないログを破棄する動作を取ります。

その他機能のログ設定について

traceoptionを利用したログ設定

その他の一部機能については、traceoption設定が使えることがあります。traceoptionを利用することでデバッグレベルでのログを取得する事が可能です。お客様のトラブルシュート等にご活用ください。

注釈

詳細は、Juniper社公式サイト をご参照ください。