夜明けの27
■FWのtrafficログ取得
【環境】
Juniper SG350M、ブラウザコンソールでのGUI、telnetでのCUI
【目標】
約100ある全ポリシーのtrafficログ1週間ぶんを取得する
【手詰まり】
①GUIだと、全ポリシーのtrafficログを一括取得できない(ポリシー別個でしか取得できない仕様)
所見:マジか…。CUIでやろ。
実施:FWにtelnetログインして、製品説明書にあった以下のコマンドを実行。
get log traffic
ドドドっと大量にログが表示されていくので、しばらく放置。外部サーバに吐き出させたかったけど、それっぽい設定が入ってなかったから保留。TFTPプロトコルを使うらしい。今回はプロンプト画面表示をコピペしよう。待つこと約5分。
結果:大量表示させすぎて最初の方の表示が見切れてる…。teratermの設定を確認したら、最大表示桁数10,000。実行結果は全部でおそらく12,000桁くらいなので、ギリギリ?アウト。設定を変更してもう一度、と思ったら。
②グローバルIPから毎秒やってくる不正アクセスがtrafficログを大量に蓄積させ、過去1時間ぶんしかログが取得できない
所見:これはひどい。ポリシーに則って全部deniedしてるのはいいけど。ていうか調べたら、このFW製品は最大4092通信しかtrafficログを内部保存できないらしい(それ以上は古いものから上書き)。syslogサーバ設定(ログの外部サーバ保存)もしてないのでどうしよか。
実施:どうにもならないので妥協。時間があればsyslogサーバ設定やりたかったけど。特に取得したいポリシーだけtrafficログを出力することに目標変更。目当てのポリシー以外のtrafficログ取得設定を解除しようと思ったら。
③ポリシーの数が多すぎて、GUIでの作業がクソめんどくさい
所見:100ヶ変更するとなると、1ヶ10秒かかるとして1000秒=約16分かかる。…あれ、そこまで長くないな。とにかく当時は長い時間がかかる気がしたので、CUI作業に変更。
調査:コマンドをググるが、それっぽいのがヒットしない。Juniper製品はJUNOSというOS&コマンドを使用するらしいことと、まずは set policy id xx でポリシーモード?になる必要があることだけ把握。肝心のその先、trafficログ取得を解除するコマンドが不明。ここはNW製品お得意の、tabキーによるコマンド予測に頼る。
実施:
set policy id 3 ←ポリシーを選択(ポリシーモードへ移行)
unset log ←ログ取得設定を解除
exit ←ポリシーモードから抜ける
unsetが設定削除、logがログ設定、とかいう内容の英語の説明が表示されたので信じる。…上手くいったぜ。これを100ヶぶんエクセルで書き出して、コピペ一括実行。
結果:やったね10秒でできたよ! 調査時間とか実行コマンド作成時間とか合わせたら余裕で30分超えているけどいいんだ。GUIで確認しても、ちゃんと設定外れてる。
【成果】
妥協の果てに、ひとまずtrafficログ取得の前準備が完了。あとは1週間放置してログを蓄積させたのち回収します。
【感想】
やっぱ基本は設定変更作業はCUIでするスタンスを作らないとなぁ。GUIは表示確認とかの用途って割り切るように。あと不正アクセスひどい。IP調べたら中国期限でした。こんな場末のサーバにまでハッキング狙ってくるんだから、世にある外部公開サーバはすべからく標的になってるんじゃなかろうか。すべからくの使い方あってるっけ。
■その他
・LDAP認証ユーザーのパスワード変更したいときって、ldifファイルを直接弄らなくても、普通のpasswdコマンドでできちゃうんだね…。それ知らなくて1hくらいひたすらググってた。
・2ヶ月前にしてようやく応用情報の勉強を始めた。どの参考書でも真っ先に出てくる基数とか歩数とか浮動小数点が相変わらずピンと来なくて覚えられない。業務で全く触れないところだしなあ…。