Tips & Tricks: トラフィック ログをSyslog サーバーに転送する

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Tips & Tricks: Forward traffic logs to a syslog server
https://live.paloaltonetworks.com/t5/Featured-Articles/Tips-amp-Tricks-Forward-traffic-logs-to-a-sys...

 

トラフィックログをPalo Alto Networks ファイアウォールからSyslog サーバに転送する必要がありますか?レポーティング、法令上、保存領域といった理由から、それらのログをファイアウォールからSyslog サーバに転送設定する必要があります。このステップ バイ ステップにそって設定してみてください。トラフィック ログをSyslog サーバに転送するには以下の4つのステップが必要です。

 

  • Syslog サーバ プロファイルの作成。
  • ログ転送プロファイルの作成。
  • 作成したログ転送プロファイルをセキュリティ ポリシーに設定。
  • コミットにて変更を反映。

ステップ1. Syslog サーバ プロファイルの作成

  1. WebUIからDevice > サーバー プロファイル (Server Profiles) > Syslogに移動。

syslog_server_profile.png


2. 名前 (Name) : Syslog サーバ プロファイルの名前を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。 
    使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。

3. 追加 (Add) をクリックし、Syslog サーバ名を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。 
    使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。

 

 

  • Syslog サーバー (Syslog Server): Syslog サーバのIPアドレスを入力。
  • 転送 (Transport): Syslog メッセージを送付するプロトコルをUDP、TCPもしくはSSLから選択。
  • ポート (Port): Syslog サーバのポート (スタンダードポート : UDPは514; SSLは6514; TCPは任意の番号を指定)を入力。
  • フォーマット (Format): 使用するSyslog フォーマット: BSD (デフォルト設定) もしくはIETFを指定。
  • ファシリティ (Facility):  Syslogのスタンダード値の一つを選択。Syslog サーバがFacility フィールドをどのように使ってメッセージを管理するかマッピングします。Facility フィールドの詳細については、 RFC 3164 (BSD format)もしくはRFC 5424 を参照ください。

syslog_server_profile_2.png

 

あなたのSyslog サーバ プロファイルが、以下の設定例のように作成できました。

 

syslog_server_profile_3.png

 

外部レポーティング ツールと連携するために、ファイアウォールはログ フォーマットをカスタマイズできます。さらに、カスタム キーの追加もできます。カスタム フォーマットは以下から設定できます。


Device > サーバー プロファイル (Server Profiles) > Syslog > プロファイル名 > カスタム ログ フォーマット (Custom Log Format):

custom_log_format.png

 

ArcSightのCommon Event Format (CEF)に準拠したログフォーマットについては CEF Configuration Guides を参照ください。

 

ステップ2. ログ転送 (Log forwarding) プロファイルの作成

WebUIからObjects > ログ転送 (Log forwarding)に移動し、追加 (Add)をクリックします。

 

log_forwarding_profile.png

 

 

 

  1. 名前 (Name): プロファイル名(最大31文字)。この名前はセキュリティ ポリシーに設定した場合に、ログ転送プロファイルの一覧に表示されます。名前は大文字小文字を区別し、ユニークでなくてはなりません。使えるのはアルファベット、番号、スペース、ハイフンそして、アンダースコアです。
  2. Syslog : トラフィック ログを送付する宛先を指定するために、Syslog サーバ プロファイルを選択します。
  3. 設定を確認してOKをクリックします。

log_forwarding_profile_2.png

 

ログ転送プロファイルが作成できました。以下のサンプルのようになっていると思います。

 

log_forwarding_profile_3.png

 

ステップ3. 作成したログ転送プロファイルをセキュリティ ポリシーに設定

 

WebUIからPolicies > セキュリティ (Security)に移動。

 

security_policy.png

 

ログの転送設定をしたいルールを選びます。画面サンプル例はAny Allowを選択。

 

security_policy_2.png

 

 

 

次に、アクション (Actions) タブに移動し、ドロップダウンから作成したログ転送プロファイルを選択し、設定が完了したらOKをクリック。

 

security_policy_rule.png

 

OKをクリックした後、設定したセキュリティ ルールのオプション (Options)欄に、Forwarding アイコンが表示されます。

 

security_rule_options.png

 

ステップ4. 設定が完了したら、コミット (Commit)し設定を反映する。

 

著者: Kim