BIG-IP ASMAWAFログレポートを利用するための「Logging Profile」設定

NW機器

BIG-IP ASM/AWAFログレポートを利用するためのロギングプロファイル設定方法

この記事は投稿日から1年以上経過しています。

当記事では、LogStare Reporter(以下、LSRと記載)にてBIG-IP ASM/AWAFログレポートを利用するための「ロギングプロファイル(Logging Profile)」設定について記載します。

対象バージョン

F5Networks「BIG-IP 16.1.0」

事前準備

Virtual Serverや Security Policies等はあらかじめ作成してください。
LSRと連携させるためのSyslogサーバ(LogStare Collector)を準備してください。

ロギングプロファイル(LOGGING PROFILE)の設定方法

[Security] > [Event Logs] > [Logging Profiles]へ移動します。
Logging Profiles設定画面

画面右上の「create」を押下します。
Logging Profiles設定画面

「Profile Name」と「Description」に任意の内容を入力し「Application Security」にチェックを入れます。ここでは「Profile Name」に「LogStare」、「Description」に「Log Report」を入力しています。
Logging Profiles設定画面

「Configuration」「Storage Destination」を以下のように設定します。
・「Configuration」:「Advanced」
・「Storage Destination」:「Remote Storage」
Logging Profiles設定画面

「Logging Format」「Response Logging」「Protocol」「Server Addresses」「Facility」を以下のように設定します。
・「Logging Format」:「Comma-Separated Values」
・「Response Logging」:「Off」
・「Protocol」:「TCP」
・「Server Addresses」:SyslogサーバのIPアドレスとSyslog/TCPに設定されているポート番号に設定した上で登録してください。
・「Facility」:任意の項目。例では「LOG_LOCAL0」を選択しています。
Logging Profiles設定画面

「Storage Format」を以下のように設定します。
・「Storage Format」:「Field-List」
・「Delimiter」:「~,~」
ログフォーマット設定画面

「Selected Items」を以下の順番で設定します。
・attack_type
・date_time
・dest_ip
・dest_port
・device_id
・geo_location
・http_class_name
・ip_address_intelligence
・ip_client
・ip_with_route_domain
・is_truncated
・management_ip_address
・method
・policy_apply_date
・policy_name
・protocol
・query_string
・request
・request_status
・response
・response_code
・route_domain
・session_id
・severity
・sig_ids
・sig_names
・sig_set_names
・src_port
・sub_violations
・support_id
・unit_hostname
・uri
・username
・violation_details
・violation_rating
・violations
・virus_name
・vs_name
・websocket_direction
・websocket_message_type
・x_forwarded_for_header_value
ログフィールドリスト

「Maximum Request Size」「Maximum Query String Size」「Maximum Entry Length」「Report Detected Anomalies」「Request Type」を以下のように設定します。
・「Maximum Request Size」:「8192」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Query String Size」:「2048」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Entry Length」:「64K」
・「Report Detected Anomalies」:「Enabled」
・「ReportReport Challenge Failure Messages 」:「Enabled」
最大クエリサイズ設定

「Storage Filter」「Request Type」を以下のように設定します。
・「Storage Filter」:「Basic」
・「Request Type」:「All requests」
ストレージフィルター設定画面

画面左下の「Create」を押下します。
ストレージフィルター設定画面

作成した「LOGGING PROFILE」の「POLICIES」への適用方法

[Local Traffic] > [Virtual Servers] > [Virtual Server List]へ移動します。
バーチャルサーバリスト

対象のVirtual Serverを押下します。
バーチャルサーバリスト

[Security]タブ > [Policy]タブへ移動します。
セキュリティポリシー

「Log Profile」にて、先程作成した「Logging Profile」を「Available」から「Selected」に移動し「Update」を押下します。
ポリシー設定

BIG-IP ASM/AWAFログレポートを利用するための「Logging Profile」設定についての説明は以上で終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

SonicWall UTMのログ活用事例前のページ

監視項目データベース更新案内(211020_01)次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

  2. NW機器

    BUFFALO製スマートスイッチにおけるSNMP設定

    当記事では、BUFFALO製スマートスイッチにSNMP の設定を投入す…

  3. NW機器

    SonicWall UTMのログ活用事例

    当記事では、SonicWall社製UTMのログ活用事例としてSyslo…

  4. NW機器

    FortiGateの送信元NAT/宛先NAT設定について

    当記事では、FortiGateにおける送信元NAT(Source NA…

  5. NW機器

    Cisco 製品にSNMP (v1, v2c) / Syslog の設定を追加する (Cisco C…

    当記事では、Cisco 製品からSNMP 並びにSyslog を取得す…

  6. NW機器

    FortiGateのコンサーブモードについて

    UTMにはコンサーブモード(節約モード)に切り替わる製品があります…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP