BIG-IP ASMAWAFログレポートを利用するための「Logging Profile」設定

NW機器

BIG-IP ASM/AWAFログレポートを利用するためのロギングプロファイル設定方法

この記事は投稿日から2年以上経過しています。

当記事では、LogStare Reporter(以下、LSRと記載)にてBIG-IP ASM/AWAFログレポートを利用するための「ロギングプロファイル(Logging Profile)」設定について記載します。

対象バージョン

F5Networks「BIG-IP 16.1.0」

事前準備

Virtual Serverや Security Policies等はあらかじめ作成してください。
LSRと連携させるためのSyslogサーバ(LogStare Collector)を準備してください。

ロギングプロファイル(LOGGING PROFILE)の設定方法

[Security] > [Event Logs] > [Logging Profiles]へ移動します。
Logging Profiles設定画面

画面右上の「create」を押下します。
Logging Profiles設定画面

「Profile Name」と「Description」に任意の内容を入力し「Application Security」にチェックを入れます。ここでは「Profile Name」に「LogStare」、「Description」に「Log Report」を入力しています。
Logging Profiles設定画面

「Configuration」「Storage Destination」を以下のように設定します。
・「Configuration」:「Advanced」
・「Storage Destination」:「Remote Storage」
Logging Profiles設定画面

「Logging Format」「Response Logging」「Protocol」「Server Addresses」「Facility」を以下のように設定します。
・「Logging Format」:「Comma-Separated Values」
・「Response Logging」:「Off」
・「Protocol」:「TCP」
・「Server Addresses」:SyslogサーバのIPアドレスとSyslog/TCPに設定されているポート番号に設定した上で登録してください。
・「Facility」:任意の項目。例では「LOG_LOCAL0」を選択しています。
Logging Profiles設定画面

「Storage Format」を以下のように設定します。
・「Storage Format」:「Field-List」
・「Delimiter」:「~,~」
ログフォーマット設定画面

「Selected Items」を以下の順番で設定します。
・attack_type
・date_time
・dest_ip
・dest_port
・device_id
・geo_location
・http_class_name
・ip_address_intelligence
・ip_client
・ip_with_route_domain
・is_truncated
・management_ip_address
・method
・policy_apply_date
・policy_name
・protocol
・query_string
・request
・request_status
・response
・response_code
・route_domain
・session_id
・severity
・sig_ids
・sig_names
・sig_set_names
・src_port
・sub_violations
・support_id
・unit_hostname
・uri
・username
・violation_details
・violation_rating
・violations
・virus_name
・vs_name
・websocket_direction
・websocket_message_type
・x_forwarded_for_header_value
ログフィールドリスト

「Maximum Request Size」「Maximum Query String Size」「Maximum Entry Length」「Report Detected Anomalies」「Request Type」を以下のように設定します。
・「Maximum Request Size」:「8192」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Query String Size」:「2048」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Entry Length」:「64K」
・「Report Detected Anomalies」:「Enabled」
・「ReportReport Challenge Failure Messages 」:「Enabled」
最大クエリサイズ設定

「Storage Filter」「Request Type」を以下のように設定します。
・「Storage Filter」:「Basic」
・「Request Type」:「All requests」
ストレージフィルター設定画面

画面左下の「Create」を押下します。
ストレージフィルター設定画面

作成した「LOGGING PROFILE」の「POLICIES」への適用方法

[Local Traffic] > [Virtual Servers] > [Virtual Server List]へ移動します。
バーチャルサーバリスト

対象のVirtual Serverを押下します。
バーチャルサーバリスト

[Security]タブ > [Policy]タブへ移動します。
セキュリティポリシー

「Log Profile」にて、先程作成した「Logging Profile」を「Available」から「Selected」に移動し「Update」を押下します。
ポリシー設定

BIG-IP ASM/AWAFログレポートを利用するための「Logging Profile」設定についての説明は以上で終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

SonicWall UTMのログ活用事例前のページ

監視項目データベース更新案内(211020_01)次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    D-Link製DGS-3000シリーズ及びDGS-3120シリーズにおけるSYSLOG/SNMP設定…

    当記事では、D-Link製DGS-3000シリーズ及びDGS-3120…

  2. NW機器

    ネットワーク機器への不正接続の検知(PaloAlto)

    ネットワーク機器の空きポートに機器が接続された場合に、管理者へメールを…

  3. NW機器

    【仕様】VPNトンネルの認証方式においてIKE2を使用した場合、「FortiGuard_VPNステー…

    事象VPNトンネルの認証方式においてIKE2を使用した場合、監視項…

  4. NW機器

    FortiGate・Palo AltoのSyslogが取得できない

    FortiGate・Palo Alto側での確認事項FortiGa…

  5. NW機器

    LogStare Collectorにて、iLO4 , iLO5 のSNMP監視をするための設定方法…

    当記事では、LogStare Collectorにおける Integr…

  6. NW機器

    Nutanixを監視したいときのメトリクス監視項目例(API v2)

    当記事ではLogStare Collector(以下、LSC)でのNu…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

人気記事TOP10

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!

  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について

  4. 実践記事

    DNSキャッシュポイズニングやってみた

  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP