ログ転送スタートガイド

Printer Friendly Page

ログ転送スタートガイド

この記事は、以下の記事の日本語訳です。

Getting Started: Log forwarding
https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Log-forwarding/ta-p/74725

 

 

ファイアウォールで、ログファイルとレポートの転送もできます!

 

状況によっては、セキュリティ情報イベント管理(SIEM)ソフトウェア製品やログ相関製品、Panoramaにログを送信したり、特定のイベントが発生したときに電子メールを受信したりすると便利です。

 

Palo Alto Networksのファイアウォールでは、セキュリティルールの適用やシステムイベントを含むあらゆる種類のイベントに対してログ転送を有効にすることができます。ルールが適用されたときやイベントが発生したときにSNMPトラップや電子メールを送信し、指定された電子メールアドレスにレポートを転送することもできます。

 

開始するにあたり、まずはじめに適切なサーバープロファイルを作成する必要があります。
SNMPサーバー、Syslogサーバー、電子メールプロファイルのいずれかを作成する必要があります。

snmp server profile

 

Syslogサーバープロファイルでは、Syslogサーバーの設定に合わせてSyslogのフォーマットと機能を変更できます。

syslog server profile

 

電子メールサーバープロファイルでは、表示名をフレンドリな形式に設定して、受信した電子メールに表示することができます。

ヒント:ほとんどの場合、SMTPサーバーは異なるドメインのメッセージを中継しないように構成されているため、
組織内のドメインに「送信者」の電子メールアドレスを設定することをお勧めします。

email server profile

 

適切なサーバープロファイルを作成したら、転送を開始するように設定できる場所が数ヶ所あります。

 

システムログ

 

システムイベントの場合、システムログに見られるように、重大度ごとにサーバーを割り当てることができます。これにより、たとえば、"informational"以外のすべてのログを履歴情報としてSyslogサーバーに転送したり、重大度"high"のイベントをSNMPトラップでアラートサーバーに送信したり、重大度"critical"のイベントを電子メールで送信し、且つログをPanoramaに送信することができます。重大度をクリックするだけで設定ウィンドウが表示され、実行するアクションを設定できます。

 

system log forwarding

 

 

セキュリティログ

 

セキュリティルールには、個々のログ転送プロファイルが割り当てられている場合があります。ほとんどのシナリオでは、すべてではないにしてもほとんどのセキュリティログがPanoramaまたはsyslogに転送されます。 重大な脅威は、SNMPトラップを生成したり、電子メールでセキュリティチームに通知することができます。

 

まず、必要性に合わせて1つ以上のプロファイルを作成します。

log forwarding profile

ヒント:URLフィルタリングログは「脅威」の重大度"informational"に含まれます。

 

 

次に、アクションタブにログ転送プロファイルを追加して、セキュリティルールにプロファイルをあてます。このポリシーでログ転送が有効になっていることが示す新しいアイコンがセキュリティポリシービューに表示されます。

security rule action

 

レポート

 

最後に、レポートは毎日または毎週送信されるので、管理者はファイアウォールにログオンする必要なく業務上の利便性を得ることができます。

 

まず、レポートグループを作成します。このレポートグループでは、事前定義レポートまたはカスタムレポートが単一の出力グループにまとめられます。 使用可能なすべてのレポートは、左枠から選択して右枠のグループに移動することができます。

report group

 

グループが作成されたら、レポート作成とその後の管理者への電子メール送信のための電子メールスケジューラーを設定します。

email scheduler

 

レポートが利用可能になった後、電子メールで送付されたPDFに表示されます(作成されたばかりのカスタムレポートでは、毎週の概要を追加するのに時間がかかることがあります)。

 

 

この記事を気に入って頂けましたらGetting Started: the seriesをご参照いただき、遠慮なくコメント頂ければ幸いです。

 

Tom