WatchGuard Log Server は、WatchGuard Server Center のコンポーネントです。これは、各接続済みの Firebox または WatchGuard サーバーからログ メッセージ データを収集できるローカル データベースです。管理コンピュータであるコンピュータまたは別のコンピュータに WatchGuard Log Server をインストールできます。バックアップおよびスケーラビリティ用の Log Server を追加することもできます。そのためには、WatchGuard System Manager (WSM) のインストール プログラムを使用して、Log Server コンポーネントのみインストールするように選択します。インストールの詳細については、次を参照してください:Log Server を設定する。
ログ メッセージのデータ
Log Server は、TCP ポート 4107 および 4115 で情報を受信します。Log Server に接続する各 Firebox は、まずその名前、シリアル番号、タイム ゾーン、およびソフトウェア バージョンを送信し、その後、新しいイベントが発生すると、ログ データを送信します。Firebox が送信する情報には、トラフィック、アラーム、イベント、デバッグ、パフォーマンス統計の各ログ メッセージがあります。Firebox のシリアル番号 (SN) は、Log Server データベースで Firebox を一意に特定するのに使用されます。Log Server に送信されるログ メッセージは多くのタイム ゾーンから発信可能ですが、Log Server はすべてのログ メッセージを UTC 形式で保存します。
プロセス
Log Server は、複数のプロセスおよびモジュールを使用して、ログ メッセージ データを収集し、格納します。
- wlcollector.exe は、ログの収集プロセスで、以下の 2 つのモジュールを実行します:
- ap_collector は、Firebox からログを取得し、Log Server のデータベースに取り込みます。
- ap_notify は、Firebox からのアラームを取得し、選択したタイプの通知を送信します。
データ形式
ログ メッセージは、XML (テキスト) 形式で WatchGuard Log Server に送信され、SSL 接続 (AES 256-ビット) で送信される際に暗号化されます。ログ データは、Log Server のデータベースに格納されるときには暗号化されません。
Log Server が Firebox からのログ データを収集した後、WatchGuard Report Server を使用して、データを定期的に統合して、レポートを生成できます。
暗号化
Report Server が Log Server からデータを取得するときに、ログ メッセージ データは暗号化された SSL 接続 (AES 256-ビット) で送信されます。
Report Server の詳細については、次を参照してください: Report Server について。
ログ ファイル
WatchGuard Log Server は、wlcollector.log および ap_collector.log ファイルを使用して、Firebox とデータベースの接続に関する情報を格納します。この情報には、認証エラー、チャレンジと応答のミスマッチおよびデータベース アクセス エラーが含まれます。
ファイルは、既定でこのディレクトリに格納されています:
C:\ProgramData\WatchGuard\logs\wlogserver\wlcollector
Log Server データベース
ログ情報は、PostgreSQL データベースに格納されます。Log Server は、PostgreSQL データベースの複数のインスタンスを使用してグローバル データベースを管理します。PostgreSQL データベースの各インスタンスは、別の PostgreSQL 処理として Windows のタスク マネージャに表示されます。
各 Log Server には 4 つの主なデータベース テーブルがあり、ここにすべての Firebox のログ メッセージが保存されます。Log Server は、固定サイズのパーティションを作成し、ログ情報を格納します。Log Server データベースの内容を手動で変更するには、PostgreSQL コマンド プロンプトを使用するか、または pgadmin などサードパーティのアプリケーションを使用します。
Firebox を初めて Log Server に接続する場合、グローバル データベースに新しい Firebox の情報が更新されます。各 Firebox のログ メッセージは、4 つの Log Server データベース テーブルの 1 つに送信されます。これらのテーブル内のデータは、WatchGuard WebCenter でログ ファイルを表示するとき、またはレポートを作成するときに使用します。
WatchGuard Report Server により生成されたレポートは、XML ファイルとして次のディレクトリに保存されます:
C:\ProgramData\WatchGuard\wrserver\reports\
パフォーマンスとディスク領域
ログ情報を 1 つの Log Server に送信するように最大 100 の Firebox を構成することができます。ただし、Log Server に接続できる正確な Firebox 数は、そのハード ドライブのサイズとスピード、利用可能な RAM、プロセッサ数、および各接続済みの Firebox により Log Server に送信されるログ トラフィック量によって異なります。Log Server のパフォーマンスを大きく向上するには、より高速のハード ドライブ、より大容量のメモリ、または別のプロセッサを追加します。
データベースからの古いログ メッセージを自動的に削除するよう Log Server を構成することができます。Log Server を初めて設定する時に、日ごとに使用される平均ディスク領域を測定することをお勧めします。データベースが大きすぎるディスク領域を使用する前に、何日のログ メッセージをデータベースに維持するかを決定して、その時間間隔に一致するように設定を変更します。ログ メッセージをデータベースから削除すると、新しいログ エントリを作成するときにディスク領域が再使用されます。
reindexdb ユーティリティを使用すると、1 つまたは複数の PostgreSQL データベース テーブル内のインデックスを再ビルドして、パフォーマンスを向上できます。このユーティリティは、WatchGuard サポート担当者から推奨された場合のみ実行してください。
Log Manager と Report Manager
対話型の WatchGuard WebCenter Web UI の Log Manager ページと Report Manager ページを使用して、ログ ファイルの詳細を確認したり、Firebox や WatchGuard サーバーから生成されたレポートを表示したり、オンデマンド レポートを生成したりすることができます。任意のレポートのデータをピボットして、レポートに含まれる 詳細を確認することができます。各レポートには、関連するレポートの詳細のリンクが含まれています。
詳細については、WebCenter でログ メッセージとレポートを参照する、WebCenter のデバイス ログ メッセージを表示する、および レポートを Report Manager で表示する を参照してください。