SRX日志

SRX日志

1. SRX日志分类

SRX的日志可分为两类: events 日志和traffic 日志。

1.1. Events日志

Events日志是由设备自身状态变化产生的log。

Events日志有4中输出方式：

➢ User //配置log输出在用户终端，类似思科terminal monitor。

➢ Console //配置log输出在console控制台。

➢ File //配置以文件形式在本地存储log。

➢ Host //配置将log发送至一个远程主机。

每一种输出方式都必须配置两个参数，facility和severity，facility指设备类型，severity指对应设备类型的日志严重级别。SRX防火墙日志共7个严重级别，从高到低：

➢ Emergency

➢ Alert

➢ Critical

➢ Error

➢ Warning

➢ Notice

➢ Info

低级别包括高级别，如设置严重级别为“warning”，则从“Emergency”到“warning”的日志都会被记录。

当前防火墙event日志配置如下：

set system syslog user * any emergency

set system syslog host 1.1.1.1 any warning //设备类型为any，严重级别为warning

set system syslog host 1.1.1.1 facility-override local7 //此处设置发送日志到日志服务器时将所有日志的设备类型用用local7代替。

set system syslog file messages any warning

set system syslog file messages authorization info

set system syslog file interactive-commands interactive-commands any

以上配置生效后，所有级别为warning及以上的 日志发送至日志服务器1.1.1.1，所有日志的设备类型都用local7代替；同时所有级别为warning及以上的日志、所有关于认证的日志也会存储至本地文件“messages”中；在设备上操作的所有命令（interactive-commands）将存储在本地文件“interactive-commands”中。

当配置日志严重级别为warning后哪些日志会被记录？比如设备接口状态up转为down，设备硬件（线卡、模块、电源等）状态变化以及系统进程状态发生变化等信息。

1.2. Traffic日志

Traffic日志与设备自身状态无关，是由穿越防火墙的流量产生的日志，记录信息包括会话开始/结束的时间，源zone，目的zone，源地址/端口，目标地址/端口，传输协议号，传输的包个数/字节数，匹配的安全策略名称等，这类事件日志称为traffic日志（记录traffic日志的前提是在策略中已配置记录log）。

当前防火墙traffic日志配置如下：

set security log mode stream

set security log source-address 2.2.2.2

set security log stream test host 1.1.1.1

Traffic日志可配置为两种模式：

➢ Stream

stream模式不经过控制平面（路由引擎）处理而是直接通过转发平面产生日志，当配置traffic日志的模式为stream时，12.1之前的版本无法在本地记录traffic日志，从12.1版本开始本地和日志服务器均可记录；

➢ Event

event模式是通过路由引擎处理产生日志，当日志较大时会对路由引擎CPU性能造成一定影响。当配置traffic日志的模式为event时，可同时在日志服务器和本地记录traffic日志。