クラウド管理の Fireboxes の Log Server 設定を構成する

適用:クラウド管理の Fireboxes

この機能は、WatchGuard Cloud ベータ プログラムの参加者のみが利用できます。

WatchGuard Cloud では、WatchGuard Cloud の通常のデータ保持期間よりも長くログ メッセージを保持するため、Dimension または Syslog サーバーにログ メッセージを送信するように、クラウド管理の Firebox を構成することができます。

クラウド管理の Firebox の デバイス構成 ページにある Log Servers タイルには、Log Server とそのステータス (有効または無効) が表示されています。

Screen shot of Device Configuration, Log Server status

Log Server を構成する方法の詳細については、次を参照してください。

Dimension サーバーの設定を構成する

プライマリおよびバックアップの Dimension サーバーを追加することができます。Firebox がプライマリ Dimension サーバーに接続できない場合、バックアップ Dimension サーバーへの接続を試みます。

プライマリ Dimension サーバーが使用できず、また Firebox がバックアップ Dimension サーバーに接続されている場合、Firebox は 6 分ごとにプライマリ Dimension サーバーに再接続を試みます。Firebox がプライマリ サーバーへの再接続を試みても、プライマリ サーバーが使用可能になるまで、バックアップ サーバーへの既存の接続に影響はありません。プライマリ サーバーが使用可能になると、Firebox はプライマリ サーバーに再接続します。

構成によっては、Dimension サーバーのストレージが予想より早く不足する可能性があります。ログ メッセージの量に対応できるように Dimension の配備を計画するようにしてください。

ログ メッセージを Dimension サーバーに送信する

クラウド管理の Firebox を構成して、ログ メッセージを Dimension サーバーに送信することができます。Dimension サーバーを構成する方法の詳細については、次を参照してください:WatchGuard Dimension をインストールする

ログ メッセージを Dimension サーバーに送信するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. Log Server タイルをクリックします。
    Log Server ページが開きます。

Screen shot of Device Configuration, Dimenion server

  1. Dimension にログ メッセージを送信する チェックボックスを選択します。
  2. Log Server の追加 をクリックします。
    WatchGuard Log Server の追加 ダイアログ ボックスが開きます。

Screen shot of Device Configuration, Add Log Server

  1. IP アドレスまたは FQDN テキスト ボックスに、プライマリ Dimension サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。
  2. 認証キー テキスト ボックスに、Dimension サーバーの認証キーを入力します。
    これは、Dimension のインスタンスを設定したときに構成した認証キーです。認証キーには 8 ~ 32 文字を指定することができ、スペースおよびスラッシュ (/ または \) を除くすべての文字を使用できます。
  3. 追加 をクリックします。
    Dimension Log Server とその優先度が Log Server のリストに表示されます。
  4. バックアップ Dimension サーバーを追加するには、手順 6 ~ 9 を繰り返します。
    このリストには、構成されたログ サーバーの IP アドレスまたはドメイン名、および優先度などの概要が表示されます。
  5. Dimension サーバーの優先度を変更するには、行をクリックしてリスト内で上下にドラッグします。
  6. 構成の更新をクラウドに保存するには、保存 をクリックします。

Dimension サーバーを削除する

サーバーは、リストから削除することができます。プライマリ Dimension サーバーを削除すると、バックアップ サーバーがプライマリ サーバーになります。1 つしかないサーバーでエラーが発生すると、ログ メッセージを受信できなくなります。

Dimension サーバーを削除するには、以下の手順を実行します。

  1. サーバーのリストの IP アドレスまたはドメイン名の横にある をクリックします。
  2. Log Server の削除 を選択します。

Syslog サーバーの設定を構成する

syslog は、UNIX 用に開発されたログ インターフェイスですが、複数のコンピュータ システムによって使用されています。syslog ログ メッセージを最大 3 台のサーバーに送信するように Firebox を構成できます。

クラウド管理されていない Firebox の場合、複数の syslog サーバーは、Fireware OS v12.4 以降でサポートされています。

各 syslog サーバーで、サーバーへの接続に使用する IP アドレスとポートを指定する必要があります。

syslog ログ メッセージは暗号化されません。外部インターフェイスを介して syslog サーバーにログ メッセージを送信しないことをお勧めします。セキュリティを強化するために、信頼済みネットワークに syslog サーバーを配置することをお勧めします。

追加する各 syslog サーバーについて、ログ メッセージの形式を指定します。Firebox は、Syslog または IBM LEEF の 2 つのログ形式でログ メッセージを送信できます。syslog サーバーにログ メッセージを送信する場合は、Syslog ログ形式を指定します。IBM QRadar サーバーにログ メッセージを送信する場合は、IBM LEEF ログ形式を指定します。ログ形式ごとに、ログ メッセージに含める詳細の一部を構成できます。

Syslog ログ形式の詳細

Firebox でログ メッセージのタイムスタンプとデバイスのシリアル番号をログ メッセージに含めるかどうかを選択します。タイムスタンプは、Firebox で構成されているタイム ゾーンで表されます。

IBM LEEF ログ形式の詳細

Firebox が QRadar サーバーに送信するログ メッセージに、デバイスのシリアル番号と syslog ヘッダーを含めるかどうかを選択します。

ログ メッセージの種類ごとに使用する syslog ファシリティを指定できます。syslog ファシリティは、各ログ メッセージの相対的な優先順位を決定します。数値が小さい場合は、優先順位が高いことを示します。アラームなどの優先度の高いログ メッセージには Local0 を選択します。優先度の低いログ メッセージの種類には、Local1Local7 を選択します。以下の 5 つのログ メッセージの種類に syslog ファシリティを指定できます:

  • アラーム
  • トラフィック
  • イベント
  • 診断
  • パフォーマンス

さまざまな種類のメッセージについての詳細は、次を参照してください: ログ メッセージの種類

IBM LEEF ログ形式を選択すると、Firebox は、msg-id フィールドを含むログ メッセージのみを QRadar サーバーに送信します。IBM LEEF ログ形式を選択すると、Firebox はパフォーマンス ログ メッセージを QRadar サーバーに送信しません。

IBM LEEF ログ形式のログ メッセージには、以下の詳細を含む LEEF ヘッダーが含まれます:

  • LEEF バージョン
  • ベンダー名
  • 製品名
  • 製品バージョン
  • イベント ID

例:

  • LEEF バージョン — LEEF: 1.0
  • ベンダー名 — WatchGuard
  • 製品名 — Firebox
  • 製品バージョン — 12.1.B548280
  • イベント ID — 1AFF000B (メッセージ ID)

QRadar サーバーの場合、syslog ファシリティ設定を構成する前に、syslog ヘッダーを含めるオプションを選択する必要があります。QRadar サーバーに送信されるログ メッセージに syslog ヘッダーを含めるよう選択した場合、ホスト名とタイムスタンプはログ メッセージに含まれません。

syslog または QRadar サーバーにログ メッセージを送信するように Firebox を構成する前に、syslog または QRadar が構成済みかつ使用可能で、ログ メッセージを受信する準備ができている必要があります。

Syslog サーバーにログ メッセージを送信

最大 3 つの syslog サーバーを追加することができます。Firebox は、Syslog または IBM LEEF の 2 つの形式でログ メッセージを送信できます。ログ メッセージに含めることができる詳細は、選択するログ メッセージの形式によって異なります。

Syslog サーバーにログ メッセージを送信するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. Log Server タイルをクリックします。
    Log Server ページが開きます。

Screen shot of Device Configuration, Syslog server

  1. Syslog サーバーにログ メッセージを送信する チェックボックスを選択します。
  2. Log Server の追加 をクリックします。
    Syslog サーバーの追加 ページが開きます。

Screen shot of Device Configuration, Add Syslog Server  

  1. IP アドレス テキスト ボックスに、syslog サーバーの IP アドレスを入力します。
  2. ポート テキスト ボックスに、既定の syslog サーバー ポート (514) が表示されます。サーバー ポートを変更するには、サーバーの別のポートを入力または選択します。
  3. 形式 ドロップダウン リストで、Syslog または IBM LEEF を選択します。
  4. (IBM LEEF ログ形式のみ) syslog ヘッダーをログ メッセージの詳細に含めるには、syslog ヘッダーを含める チェックボックスを選択します。

Screen shot of Device Configuration, Add Syslog Server - LEEF

  1. ログ メッセージの種類ごとに、ドロップダウン リストから Syslog ファシリティを選択します。
    IBM LEEF ログ形式を選択する場合、ログ メッセージの種類に syslog ファシリティを選択する前に syslog ヘッダー チェックボックスを選択する必要があります。
    • アラームなどの優先度の高い syslog メッセージには Local0 を選択します。
    • 他の種類のログ メッセージに優先度を割り当てるには、Local1Local7 を選択します (数字が小さいほど優先度が高くなります)。
    • メッセージの種類の詳細を送信しない場合は、なし を選択します。
  2. 保存 をクリックします。
  3. Log Server を削除するには、IP アドレスの横にある をクリックしてから Log Server の削除 を選択します。
  4. 構成の更新をクラウドに保存するには、保存 をクリックします。

関連情報:

クラウド管理の Firebox を WatchGuard Cloud に追加する

Firebox のログ記録および通知について

ログ メッセージの種類