ナレッジドキュメント

Tips & Tricks: トラフィック ログをSyslog サーバーに転送する

開始者 kkondo ‎07-30-2018 02:16 AM (5,633 閲覧回数)

※この記事は以下の記事の日本語訳です。
Tips & Tricks: Forward traffic logs to a syslog server
https://live.paloaltonetworks.com/t5/Featured-Articles/Tips-amp-Tricks-Forward-traffic-logs-to-a-sys...

 

トラフィックログをPalo Alto Networks ファイアウォールからSyslog サーバに転送する必要がありますか?レポーティング、法令上、保存領域といった理由から、それらのログをファイアウォールからSyslog サーバに転送設定する必要があります。このステップ バイ ステップにそって設定してみてください。トラフィック ログをSyslog サーバに転送するには以下の4つのステップが必要です。

 

  • Syslog サーバ プロファイルの作成。
  • ログ転送プロファイルの作成。
  • 作成したログ転送プロファイルをセキュリティ ポリシーに設定。
  • コミットにて変更を反映。

ステップ1. Syslog サーバ プロファイルの作成

  1. WebUIからDevice > サーバー プロファイル (Server Profiles) > Syslogに移動。

syslog_server_profile.png


2. 名前 (Name) : Syslog サーバ プロファイルの名前を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。 
    使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。

3. 追加 (Add) をクリックし、Syslog サーバ名を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。 
    使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。

 

 

  • Syslog サーバー (Syslog Server): Syslog サーバのIPアドレスを入力。
  • 転送 (Transport): Syslog メッセージを送付するプロトコルをUDP、TCPもしくはSSLから選択。
  • ポート (Port): Syslog サーバのポート (スタンダードポート : UDPは514; SSLは6514; TCPは任意の番号を指定)を入力。
  • フォーマット (Format): 使用するSyslog フォーマット: BSD (デフォルト設定) もしくはIETFを指定。
  • ファシリティ (Facility):  Syslogのスタンダード値の一つを選択。Syslog サーバがFacility フィールドをどのように使ってメッセージを管理するかマッピングします。Facility フィールドの詳細については、 RFC 3164 (BSD format)もしくはRFC 5424 を参照ください。

syslog_server_profile_2.png

 

あなたのSyslog サーバ プロファイルが、以下の設定例のように作成できました。

 

syslog_server_profile_3.png

 

外部レポーティング ツールと連携するために、ファイアウォールはログ フォーマットをカスタマイズできます。さらに、カスタム キーの追加もできます。カスタム フォーマットは以下から設定できます。


Device > サーバー プロファイル (Server Profiles) > Syslog > プロファイル名 > カスタム ログ フォーマット (Custom Log Format):

custom_log_format.png

 

ArcSightのCommon Event Format (CEF)に準拠したログフォーマットについては CEF Configuration Guides を参照ください。

 

ステップ2. ログ転送 (Log forwarding) プロファイルの作成

WebUIからObjects > ログ転送 (Log forwarding)に移動し、追加 (Add)をクリックします。

 

log_forwarding_profile.png

 

 

 

  1. 名前 (Name): プロファイル名(最大31文字)。この名前はセキュリティ ポリシーに設定した場合に、ログ転送プロファイルの一覧に表示されます。名前は大文字小文字を区別し、ユニークでなくてはなりません。使えるのはアルファベット、番号、スペース、ハイフンそして、アンダースコアです。
  2. Syslog : トラフィック ログを送付する宛先を指定するために、Syslog サーバ プロファイルを選択します。
  3. 設定を確認してOKをクリックします。

log_forwarding_profile_2.png

 

ログ転送プロファイルが作成できました。以下のサンプルのようになっていると思います。

 

log_forwarding_profile_3.png

 

ステップ3. 作成したログ転送プロファイルをセキュリティ ポリシーに設定

 

WebUIからPolicies > セキュリティ (Security)に移動。

 

security_policy.png

 

ログの転送設定をしたいルールを選びます。画面サンプル例はAny Allowを選択。

 

security_policy_2.png

 

 

 

次に、アクション (Actions) タブに移動し、ドロップダウンから作成したログ転送プロファイルを選択し、設定が完了したらOKをクリック。

 

security_policy_rule.png

 

OKをクリックした後、設定したセキュリティ ルールのオプション (Options)欄に、Forwarding アイコンが表示されます。

 

security_rule_options.png

 

ステップ4. 設定が完了したら、コミット (Commit)し設定を反映する。

 

著者: Kim