SRXのトラフィックログ

SRXのトラフィックログ、普通にセキュリティポリシーの中でセッションログの設定があってsession-initとsession-close時にログを記録する事が出来ます。

セキュリティポリシーの設定時に

user@host# set security policies from-zone trust to-zone untrust policy default-permit then log session-close

user@host# set security policies from-zone trust to-zone untrust policy default-permit then log session-init

みたいにログ記録を指定出来るのですが、
デフォルトでは出力されないので、ログに関する設定が必要だったりします。

user@host# set system syslog file traffic-log any any

user@host# set system syslog file traffic-log match "RT_FLOW_SESSION"

とここまではJuniperのページにKB16509として載っていて、ここまで設定することで

トラフィックログをファイルに書き出すことが出来ます。

ですのでこの状態ではコマンドラインから

user@host> show log traffic-log

トラフィックログを見る必要があります。
J-Web(GUI)にはNetscreenと似たアイコンが表示されるので、クリックすれば見れるのが当たり前に思うのですが、そうはなっていなかった。
jweb-pol.jpg
普通にここまで設定をして、View Logのアイコンをクリックしても、ログは表示されませんでした。
結論を書いてしまうと

user@host# set security policies trace options file policy-trace

user@host# set security log mode event

はっきりしていないのですが、このあたりの設定(出力ファイルまで指定)をしていた当たりから、ログが見れるようになったようです。
それにしても、SRXはやれること(例えば、VR毎にFlowベース処理を止めて単なるルータにしてしまうことも出来る)も多いのですが、反面他のファイアウォールが当たり前に(かつ簡単に)出来ていることが、簡単に出来なかったりと、かなり灰汁が強い感じですね。