来自源地址的Juniper SRX日志流量

Question

我想看看有多少流量从C类网络进入我的网络。如何使SRX只将IP、日期和时间输出到特定的文件？

Class C Network: 201.6.2.0/24
Log file: /var/tmp/incoming.log
Interface: ge-0/0/1

Answer 1

有很多方法可以做到这一点，这取决于你所说的“多少流量”。

如果您只想记录来自该范围的单个流，则可以使用以下内容：

set system syslog file incoming.log any any
set system syslog file incoming.log match .*RT_FLOW.*201.6.2.*

不过，请注意，对通过SRX的所有通信量运行regex匹配可能会对CPU造成相当大的负担，这取决于您当前看到的流数，然后由您将所有日志条目加在一起计算出字节。

实际上，最好将所有流日志导出到外部syslog服务器、Junos空间安全主管或ELK堆栈，并对所收集的数据执行所有脱机匹配/筛选。

另一个CPU密集型较低的方法是创建一个特定的安全策略，该策略与此前缀上的源地址相匹配。然后，您需要将其放在安全策略的顶部。确保操作是计数的，然后您可以简单地使用：

显示安全策略-名称许可证-201-6-2详细信息

要很好地汇总会话命中数、进入字节数和输出字节数，只需对子网进行统计。

使用这种方法时要注意的是，您需要确保匹配的应用程序包含通常应用于来自同一区域的“任何”通信量的所有应用程序，这样您就不会给予这个前缀比以前更多或更少的访问权限。

祝好运!