fitelnet-f-linux-container

ログ分析・監視テクニック

FITELnet-Fシリーズのコンテナ機能でLinuxを動作させてみたよ!監視・SYSLOG受信も可能に!

ネットワーク機器でLinuxが自由に使えたら・・・皆さんそう思ったことはありませんか?
古河ネットワークソリューション様のFITELnet-Fシリーズには、LXCをベースとしたコンテナ機能が実装されており、超軽量なAlpine Linuxが動作します!

今回は、古河ネットワークソリューション様よりお借りした、FITELnet F220にて、Linuxを動作させ、セキュリティ運用ソフトウェアをインストール。実際に監視やSYSLOGの受信ができるのか検証してみました。

インストールしたセキュリティ運用ソフトウェアはもちろん弊社のLogStare Collectorです!
LogStare Collectorとは?

本記事におけるコンテナ設定・動作につきましては、古河ネットワークソリューション様のサポート対象外となります。

対象バージョン

今回は以下の構成で検証しています。

型番:FITELnet F220
ファームウェア:Version 01.06(00)[0]00.00.0 [2021/06/10 15:00]
コンテナイメージ:Alpinelinux 3.13 aarch64 (20210124_13:00)

コンテナの設定

それでは早速、コンテナ機能の設定を行います。

コンテナの有効化

以下のコマンドでコンテナを有効化します。

# enable
# configure terminal
(config) # container enable
(config) # end
# refresh

続いてコンテナイメージからコンテナを生成します。
※特権モードで行います。

# container start

以下のコマンドを実行してコンテナが動作していることを確認します。

# show container list
+-----------+------------+---------------------+---------+---------------------+ ------+
| NAME | BASE IMAGE | IMAGE VERSION | STATE | IPV4 | IPV6 |
+-----------+------------+---------------------+---------+---------------------+ ------+
| container | a58b2c065a | 3.13 20210422_15:00 | RUNNING |    |   |
+-----------+------------+---------------------+---------+---------------------+ ------+

コンテナのネットワーク設定

続いてコンテナが外部のネットワークと接続できるようにインターフェースの設定を行います。

今回はGigaEthernet 1/1をコンテナで利用します。
GigaEthernet 1/1は「bridge-group 2」に所属しています。
ここで設定したIPアドレスが自動的にコンテナ上のAlpine Linuxに設定されます。

# enable
# configure terminal
(config) # container configuration
(config-container) # interface 1
(config-container-if) # bridge-group 2
(config-container-if) # ip address x.x.x.x x.x.x.x
(config-container-if) # ip gateway x.x.x.x
(config-container-if) # exit
(config-container) # exit
(config) # interface GigaEthernet 1/1
(config-if-ge 1/1) # container-use
(config-if-ge 1/1) # exit
(config) # end
# refresh

※必要に応じて「save」コマンドをで設定を保存してください。

当社で検証したconfigの抜粋を以下に記載します。

interface GigaEthernet 1/1に設定したIPアドレスと同じセグメントにコンテナ上のAlpine LinuxのIPアドレスを割り当てました。
Alpine LinuxのデフォルトゲートウェイはGigaEthernet 1/1のIPアドレスにしています。

(略)
container enable
!
container configuration
 !
 interface 1
  bridge-group 2
  ip address 172.23.61.87 255.255.255.0
  ip gateway 172.23.61.1
 exit
!
(略)
!
interface GigaEthernet 1/1
 vlan-id 2
 bridge-group 2
 channel-group 2
 container-use
exit
!
(略)
!
interface Port-channel 2
 ip address 172.23.61.85 255.255.255.0
 exit
!

なお、コンテナ上のOS側ではifconfgや/etc/network/interfaces等でのIPアドレスの設定は不要で、ネットワークサービスの再起動も不要ですが、コンテナを作り直し(container restore)した場合、ネットワーク設定はconfig上には残っていますが、一度refreshしてcontainer restartしないとコンテナ上のOSに反映されないようです。

【参考:コンテナ上でのip aコマンドの結果】

~ # ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   inet 127.0.0.1/8 scope host lo
     valid_lft forever preferred_lft forever
   inet6 ::1/128 scope host
     valid_lft forever preferred_lft forever
2: sit0@NONE: mtu 1480 qdisc noop state DOWN group default qlen 1000
   link/sit 0.0.0.0 brd 0.0.0.0
3: loop0: <> mtu 65535 qdisc noop state DOWN group default qlen 1000
   link/ether 00:00:01:00:00:00 brd 00:00:00:00:00:00
4: loop1: <> mtu 65535 qdisc noop state DOWN group default qlen 1000
   link/ether 00:00:01:00:00:00 brd 00:00:00:00:00:00
16: eth2@if2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
   link/ether 00:80:bd:4c:98:ad brd ff:ff:ff:ff:ff:ff link-netnsid 0
   inet 172.23.61.87/24 scope global eth2
     valid_lft forever preferred_lft forever
   inet6 fe80::280:bdff:fe4c:98ad/64 scope link
     valid_lft forever preferred_lft forever

【参考:コンテナ上でのip rコマンドの結果】

~ # ip r
default via 172.23.61.1 dev eth2 metric 1
172.23.61.0/24 dev eth2 proto kernel scope link src 172.23.61.87

コンテナの状態を確認する便利なコマンド

コンテナの状態を確認する便利なコマンドをご紹介します。

・コンテナの一覧や割り当てられたIPアドレスを確認する

# show container list

・コンテナのストレージ情報を確認する

# show container storage information

DNSサーバを設定する

続いて、DNSサーバを設定します。

以下は一例として、8.8.8.8をDNSサーバとして設定する例です。

# enable
# configure terminal
(config) # container configuration
(config-container) # dns 8.8.8.8
(config-container) # exit
(config) # end
# refresh

LogStare Collectorのインストール

いよいよここからLogStare Collectorをインストールします。
特権モードで以下のコマンドを実行すると、コンテナ上のAlpine Linuxのシェルに入れます。

# container attach

シェルに入ったら、デフォルトゲートウェイへPing疎通ができることと、ホスト名でPing(ping www.logstare.com)を実行するなどして、名前解決ができることを確認します。

Alpine Linuxは超軽量動作のため、busyboxと呼ばれる多数のLinuxコマンドを単一の実行ファイルに詰め込んで動作しています。

このため、例えばよくあるgrepコマンドなども、若干オプションが異なっている場合があります。

LogStare Collectorのインストーラーで必要な各種コマンドなどを追加しながらインストールをしていきます。

必要なパッケージとライブラリの追加

必要なパッケージやライブラリ、OpenJDKをインストールします。

インターネットからダウンロードしますので、インターネットにアクセス出来ることが前提です。

コンテナ上のシェルで以下のコマンドを順に実行します。

~ # apk add openjdk11
~ # apk add bash
~ # apk add grep
~ # apk add coreutils
~ # apk add sed
~ # apk add tzdata
~ # exit

※coreutilsにはtailコマンドやmktempなどのコマンドが含まれています。Grepとsedはbusyboxにも備わっていますが、若干オプションが違うため、パッケージとしてインストールしています。

続いて少し特殊な操作を行います。以下から最新のsqlite-jdbcの「jar」ファイルをダウンロードし、お使いの端末等(FITEL-netにSSH等で接続している端末)で、7-zip等のツールで展開します。

※本記事執筆時点では「3.36.0.3」が最新です。
MVN REPOSITORY SQLite JDBC

展開した後に出来上がる「org\sqlite\native\Linux\aarch64\libsqlitejdbc.so」をコンテナにコピーします。

コンテナ上からscpコマンドでコピーするか、F220へまずSCPで転送した後、コンテナに転送することもできます。

F220上からコンテナにファイルを送信する場合は以下のコマンドを利用します。

# container push /drive/libsqlitejdbc.so

「/drive」はF220本体へSCPでコピーする場合のデフォルトのフォルダ(ホームディレクトリ)です。

再びコンテナ上のシェルに入り、以下のコマンドを実行します。

# container attach
~ # cp -ipv libsqlitejdbc.so /usr/lib

LogStare Collectorのインストールとパラメータ調整

ここからLogStare Collectorをダウンロードしてインストールします。

LogStare Collectorのセットアップファイルは、サイズが大きく、前述のcontainer pushコマンドでは、一時フォルダの容量をオーバーしてしまい、転送出来ませんでした。このため、直接当社サイトからダウンロードします。

コンテナ上のシェルで以下のコマンドを実行します。

~ # wget https://www.logstare.com/software/LSC/logstare-collector-2.1.3-setup.bin

※2021年11月時点での最新バージョンの2.1.3をダウンロードしています。

今後ファイル名が変更となる可能性があります。

ダウンロード出来たら、以下のコマンドでセットアップを開始します。
※バージョン2.1.3の例です。ファイル名は適宜読み替えて実行してください。

~ # bash logstare-collector-2.1.3-setup.bin

インストールパスはデフォルトで問題ありません。
JREのパスは「/usr/lib/jvm/default-jvm/jre/」を指定してください。

続いて起動パラメータを調整します。

F220ではメモリ容量が多くないため、LogStare Collectorのデフォルト設定では動作が重くなってしまうため、起動時に確保するメモリを少なくします。

※このため多くのデバイスの監視やログ収集は行なえませんがご理解ください。

コンテナ上のシェルでviコマンドで起動ファイルを編集します。

~ # vi /usr/local/logstarecollector/sbin/start_kallista.sh

以下のような記載が2箇所ありますので、

   -Xmx2048m -Xms128m \

2箇所とも以下のように変更します。(2048を512に書き換える)

   -Xmx512m -Xms128m \

以上でパラメータの修正は完了です。

LogStare Collectorの起動

以下のコマンドを実行してLogStare Collectorを起動します。

~ # /usr/local/logstarecollector/sbin/start_kallista.sh

実際に動かしてみた

少し複雑な手順もありましたが、無事インストールできましたでしょうか。

無事起動できれば、ブラウザで「http://コンテナに指定したipアドレス/」でアクセスできます。

初期設定などは以下のリファレンスをご参照ください。

LogStare Collector リファレンス記事一覧 | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア) (secuavail.com)

F220に搭載されているメモリやディスクのサイズの関係上、たくさんのデバイスを同時に監視したり、多くのログを保管することは出来ませんが、ルータ上で周辺デバイスを監視したりSYLOSGサーバとして動作させることで、追加のハードウェア投資なくネットワーク管理がスタートできます。

【参考:インストール直後のコンテナのディスク容量】

~ # df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mmcblk0p6 2.0G 892M 943M 49% /

(略)

※空きが1GB程度のため、たくさんのログを保続することは出来ませんが、LogStare Reporterと連携すればローカルディスクに多くの容量がなくても当社クラウド上にログや監視データを保存できます。

最後までお読みいただきありがとうございました!
皆様のお役に立てますと幸いです。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

FITELnet-FシリーズをSNMPで監視古河ネットワークソリューションFITELnet-FシリーズをSNMPで監視する方法前のページ

古河ネットワークソリューションFITELnet-FシリーズのログをSYSLOGで収集する設定方法次のページFITELnet-FシリーズのログをSYSLOGで収集

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. ログ分析・監視テクニック

    Microsoft Defender ファイアウォールのログ活用事例

    当記事では、Microsoft Defender ファイアウォール(W…

  2. ログ分析・監視テクニック

    Windows Server DNSのデバッグログ活用事例

    当記事では、Windows Server DNSのデバッグログ活用事例…

  3. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

  4. ログ分析・監視テクニック

    IPCOM EX2シリーズをSNMPで監視するための設定方法

    Tech-Blogカテゴリにおけるサードパーティ製品の設定内容につきま…

  5. iNetSec SFのSyslog・接続履歴ログを収集

    ログ分析・監視テクニック

    iNetSec SFのSyslog/接続履歴ログを収集するための設定方法

    当記事では、株式会社PFUのiNetSec SFを導入している環境…

  6. Barracuda WAF|ログを収集するための設定方法

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP