Tech-Blogカテゴリにおけるサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。
当記事では、富士通株式会社の製品である、
FUJITSU Network IPCOM EX2シリーズ(以下、IPCOM EX2シリーズ)を導入している環境において、SyslogをLogStare Collectorにて収集する方法について記載します。
対象製品
IPCOM EX2-3200
対象ソフトウェア
IPCOM EX2-3000 IN ソフトウェアV01
対象バージョン
V01L05 NF0201
※当記事は、VMware ESXi7上に構築したCentOS7にLogStare Collectorをインストールし検証した結果をもとに執筆しております。
前提条件
GUIの基本的な操作(設定の保存、再起動等)については記載を割愛しております。
セッション監査レベル、セッション追跡監査レベルはいずれも「全て記録」とした上で検証しております。
目次
Syslogの収集方法
LogStare Collector(GUI)にて設定すること
- [監視・ログ収集設定] > [デバイス・グループ]に移動します。
- グループを選択し、右上の「+」ボタンを押下します。
- 任意のデバイス名、「IPCOM EX2シリーズ」のIPアドレスを入力し、「追加」ボタンを押下します。
- [監視・ログ収集設定] > [監視・収集]に移動します。
- 先ほど追加したデバイスを選択し、右上の「+」ボタンを押下します。
- 下記を参考に設定を入力し、「追加」ボタンを押下します。
※デフォルトで問題ない設定項目の説明は割愛します。監視・収集 ☑収集
「Syslog収集」を選択します。収集名 任意の収集名を入力します。 ファシリティ 取得したいログに合わせて選択します。 プライオリティ 取得したいログに合わせて選択します。
IPCOM EX2シリーズにて設定すること
- IPCOM EX2シリーズの管理画面にログインします。
- [設定] > [運用管理設定] > [ログ] > [ログ転送] に移動し、「追加」ボタンを押下します。
- 下記を参考に、「ログ転送設定」を設定します。
ログ転送ルール名 任意の名前を入力します。 フォーマット形式 「IPCOM形式」を選択します。 フィルター設定(Syslog転送/SNMPトラップ送信/メール送信) 「設定しない」を選択します。 フィルター設定(ログファイル転送) 「設定しない」を選択します。 - 下記を参考に、「Syslog転送設定一覧」を設定します。
転送先 LogStare CollectorのIPアドレスを入力します。 プロトコル 「tcp」を選択し、ポート番号「514」を入力します。
※再送設定をするためにtcpを選択します。当該設定において、ポート番号を変える必要がある場合には、LogStare CollectorにおいてもSyslogを受信するポート番号を変更する必要があります。再送設定 「再送する」を選択します。 - 必要に応じて、「Syslog転送ファシリティ設定」を設定し、「適用」ボタンを押下します。
- [設定] > [運用管理設定] > [ログ] > [ログ採取] に移動し、取得したいログに合わせて設定します。
LogStare Reporter / LogStare Quintでのレポート例
当社のLogStare ReporterおよびLogStare QuintはiNetSec SFのSyslogの可視化に対応しています。
※現在、可視化(レポート化)に対応しているIPCOM EX2シリーズの機能は下記の通りです。
また、一般出力形式にのみ対応しております。(ダイジェスト出力形式の利用は想定しておりません。)
-
- アカウントログ
- セッションログ
- ファイアーウォール
- Webコンテンツ・フィルタリング
- アノマリ型IPS
- シグネチャー型IPS
- ウィルスログ
※LogStare Reporter、LogStare Quintについて詳しくは製品ラインアップをご覧ください
以下はレポートの一例です。
大量通信の集計レポート
ファイアウォールのセッションログを合計送受信サイズの多い順に表示したレポートです。
大容量のファイルをダウンロードした通信等を確認できるため、想定外の通信が発生していないか確認したい時に役立ちます。
カテゴリ別の集計レポート
各カテゴリのログ件数、block数、allow数を表示したレポートです。
各カテゴリのログ件数状況を確認することが出来るため、危険なカテゴリへのアクセスがどの程度発生しているか等の確認に役立ちます。
アラート名別IPS(Anomaly)の集計レポート
アノマリ型IPSのセッションログをアラート名別に表示したレポートです。
攻撃名称別に表示されるため、どのような攻撃を検知しているか確認したい時に役立ちます。
LogStare Reporterは、Collectorが収集したログデータのレポート作成や、監視データとの相関分析、高度な複合条件によるアラート通知などを行なうSaaS型のログ分析システムです。LogStare Reporter、LogStare Quintについて詳しくは、こちらのLogStare製品ラインアップをご覧ください。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。