Syslog サーバーの設定を構成する
syslog は、UNIX 用に開発されたログ インターフェイスですが、複数のコンピュータ システムによって使用されています。syslog ログ メッセージを最大 3 台のサーバーに送信するように Firebox を構成できます。
クラウド管理されていない Firebox の場合、複数の syslog サーバーは、Fireware OS v12.4 以降でサポートされています。
各 syslog サーバーで、サーバーへの接続に使用する IP アドレスとポートを指定する必要があります。
syslog ログ メッセージは暗号化されません。外部インターフェイスを介して syslog サーバーにログ メッセージを送信しないことをお勧めします。セキュリティを強化するために、信頼済みネットワークに syslog サーバーを配置することをお勧めします。
追加する各 syslog サーバーについて、ログ メッセージの形式を指定します。Firebox は、Syslog または IBM LEEF の 2 つのログ形式でログ メッセージを送信できます。syslog サーバーにログ メッセージを送信する場合は、Syslog ログ形式を指定します。IBM QRadar サーバーにログ メッセージを送信する場合は、IBM LEEF ログ形式を指定します。ログ形式ごとに、ログ メッセージに含める詳細の一部を構成できます。
Syslog ログ形式の詳細
Firebox でログ メッセージのタイムスタンプとデバイスのシリアル番号をログ メッセージに含めるかどうかを選択します。タイムスタンプは、Firebox で構成されているタイム ゾーンで表されます。
IBM LEEF ログ形式の詳細
Firebox が QRadar サーバーに送信するログ メッセージに、デバイスのシリアル番号と syslog ヘッダーを含めるかどうかを選択します。
ログ メッセージの種類ごとに使用する syslog ファシリティを指定できます。syslog ファシリティは、各ログ メッセージの相対的な優先順位を決定します。数値が小さい場合は、優先順位が高いことを示します。アラームなどの優先度の高いログ メッセージには Local0 を選択します。優先度の低いログ メッセージの種類には、Local1 ~ Local7 を選択します。以下の 5 つのログ メッセージの種類に syslog ファシリティを指定できます:
- アラーム
- トラフィック
- イベント
- 診断
- パフォーマンス
さまざまな種類のメッセージについての詳細は、次を参照してください: ログ メッセージの種類。
IBM LEEF ログ形式を選択すると、Firebox は、msg-id フィールドを含むログ メッセージのみを QRadar サーバーに送信します。IBM LEEF ログ形式を選択すると、Firebox はパフォーマンス ログ メッセージを QRadar サーバーに送信しません。
IBM LEEF ログ形式のログ メッセージには、以下の詳細を含む LEEF ヘッダーが含まれます:
- LEEF バージョン
- ベンダー名
- 製品名
- 製品バージョン
- イベント ID
例:
- LEEF バージョン — LEEF: 1.0
- ベンダー名 — WatchGuard
- 製品名 — Firebox
- 製品バージョン — 12.1.B548280
- イベント ID — 1AFF000B (メッセージ ID)
QRadar サーバーの場合、syslog ファシリティ設定を構成する前に、syslog ヘッダーを含めるオプションを選択する必要があります。QRadar サーバーに送信されるログ メッセージに syslog ヘッダーを含めるよう選択した場合、ホスト名とタイムスタンプはログ メッセージに含まれません。
syslog または QRadar サーバーにログ メッセージを送信するように Firebox を構成する前に、syslog または QRadar が構成済みかつ使用可能で、ログ メッセージを受信する準備ができている必要があります。
Syslog サーバーを追加する
- システム > ログ記録 の順に選択します。
ログ記録 ページが表示されます。 - Syslog Server タブをクリックします。
- これらの syslog サーバーにログ メッセージを送信する チェックボックスを選択します。
- 追加 をクリックします。
Syslog サーバー ダイアログ ボックスが表示されます。 - IP アドレス テキスト ボックスに、サーバーの IP アドレスを入力します。
- ポート テキスト ボックスに、既定の syslog サーバー ポート (514) が表示されます。サーバー ポートを変更するには、サーバーの別のポートを入力または選択します。
- ログ形式 ドロップダウン リストで、Syslog または IBM LEEF を選択します。
ログ メッセージに含めることができる詳細は、選択するログ形式によって異なります。
syslog ログ形式の Syslog サーバーの設定。
IBM LEEF ログ形式の Syslog サーバーの設定。
- (任意) 説明 テキスト ボックスに、このサーバーの説明を入力します。
- (Syslog ログ形式のみ) Firebox でイベントが発生した日付と時刻をログ メッセージの詳細に含める場合は、タイムスタンプ チェックボックスを選択します。
- Firebox のシリアル番号をログ メッセージの詳細に含めるには、デバイスのシリアル番号 チェックボックスを選択します。
- (IBM LEEF ログ形式のみ) syslog ヘッダーをログ メッセージの詳細に含めるには、syslog ヘッダー チェックボックスを選択します。
- Syslog の設定 セクションで、それぞれのログ メッセージの種類の syslog ファシリティをドロップダウン リストから選択します。
IBM LEEF ログ形式を選択する場合、ログ メッセージの種類に syslog ファシリティを選択する前に syslog ヘッダー チェックボックスを選択できます。- アラームなどの優先度の高い syslog メッセージには Local0 を選択します。
- 他の種類のログ メッセージに優先度を割り当てるには、Local1 – Local7 を選択します (小さい数字の優先度が高くなります)。
- メッセージの種類の詳細を送信しない場合は、なし を選択します。
- 既定の設定を復元するには、既定値に戻す をクリックします。
- 保存 をクリックします。
- 設定 > ログ記録 の順に選択します。
ログ記録のセットアップ ダイアログ ボックスが表示されます。
![[ログ記録のセットアップ] ダイアログ ボックスのスクリーンショット](images/wsm_pm-logging-setup.jpg)
- これらの syslog サーバーにログ メッセージを送信する チェックボックスを選択します。
- 追加 をクリックします。
Syslog の構成 ダイアログ ボックスが表示されます。 - IP アドレス テキスト ボックスに、サーバーの IP アドレスを入力します。
- ポート テキスト ボックスに、既定の syslog サーバー ポート (514) が表示されます。サーバー ポートを変更するには、サーバーの別のポートを入力または選択します。
- ログ形式 ドロップダウン リストで、Syslog または IBM LEEF を選択します。
ログ メッセージに含めることができる詳細は選択するログ形式によって異なります。
syslog ログ形式の Syslog の構成 ダイアログ ボックス。
IBM LEEF ログ形式の Syslog の構成 ダイアログ ボックス。
- (Syslog ログ形式のみ) Firebox からのタイムスタンプ情報をログ メッセージの詳細に含めるには、タイムスタンプ チェックボックスを選択します。
- Firebox のシリアル番号をログ メッセージの詳細に含めるには、デバイスのシリアル番号 チェックボックスを選択します。
- (IBM LEEF ログ形式のみ) syslog ヘッダーをログ メッセージの詳細に含めるには、syslog ヘッダー チェックボックスを選択します。
- ログ メッセージの種類ごとに、syslog ファシリティを選択します:
- アラームなどの優先度の高い syslog メッセージには Local0 を選択します。
- 他の種類のログ メッセージに優先度を割り当てるには、Local1 – Local7 を選択します (小さい数字の優先度が高くなります)。
- ログ メッセージの種類の詳細を送信しない場合は、なし を選択します。
- 既定の設定を復元するには、既定値に戻す をクリックします。
- OK をクリックして、Syslog の構成 ダイアログ ボックスを閉じます。
- OK をクリックして、ログ記録のセットアップ ダイアログ ボックスを閉じます。
- 構成ファイルを保存する.