BIG-IP ASMAWAFログレポートを利用するための「Logging Profile」設定

NW機器

BIG-IP ASM/AWAFログレポートを利用するためのロギングプロファイル設定方法

当記事では、LogStare Reporter(以下、LSRと記載)にてBIG-IP ASM/AWAFログレポートを利用するための「ロギングプロファイル(Logging Profile)」設定について記載します。

対象バージョン

F5Networks「BIG-IP 16.1.0」

事前準備

Virtual Serverや Security Policies等はあらかじめ作成してください。
LSRと連携させるためのSyslogサーバ(LogStare Collector)を準備してください。

ロギングプロファイル(LOGGING PROFILE)の設定方法

[Security] > [Event Logs] > [Logging Profiles]へ移動します。
Logging Profiles設定画面

画面右上の「create」を押下します。
Logging Profiles設定画面

「Profile Name」と「Description」に任意の内容を入力し「Application Security」にチェックを入れます。ここでは「Profile Name」に「LogStare」、「Description」に「Log Report」を入力しています。
Logging Profiles設定画面

「Configuration」「Storage Destination」を以下のように設定します。
・「Configuration」:「Advanced」
・「Storage Destination」:「Remote Storage」
Logging Profiles設定画面

「Logging Format」「Response Logging」「Protocol」「Server Addresses」「Facility」を以下のように設定します。
・「Logging Format」:「Comma-Separated Values」
・「Response Logging」:「Off」
・「Protocol」:「TCP」
・「Server Addresses」:SyslogサーバのIPアドレスとSyslog/TCPに設定されているポート番号に設定した上で登録してください。
・「Facility」:任意の項目。例では「LOG_LOCAL0」を選択しています。
Logging Profiles設定画面

「Storage Format」を以下のように設定します。
・「Storage Format」:「Field-List」
・「Delimiter」:「~,~」
ログフォーマット設定画面

「Selected Items」を以下の順番で設定します。
・attack_type
・date_time
・dest_ip
・dest_port
・device_id
・geo_location
・http_class_name
・ip_address_intelligence
・ip_client
・ip_with_route_domain
・is_truncated
・management_ip_address
・method
・policy_apply_date
・policy_name
・protocol
・query_string
・request
・request_status
・response
・response_code
・route_domain
・session_id
・severity
・sig_ids
・sig_names
・sig_set_names
・src_port
・sub_violations
・support_id
・unit_hostname
・uri
・username
・violation_details
・violation_rating
・violations
・virus_name
・vs_name
・websocket_direction
・websocket_message_type
・x_forwarded_for_header_value
ログフィールドリスト

「Maximum Request Size」「Maximum Query String Size」「Maximum Entry Length」「Report Detected Anomalies」「Request Type」を以下のように設定します。
・「Maximum Request Size」:「8192」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Query String Size」:「2048」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Entry Length」:「64K」
・「Report Detected Anomalies」:「Enabled」
・「ReportReport Challenge Failure Messages 」:「Enabled」
最大クエリサイズ設定

「Storage Filter」「Request Type」を以下のように設定します。
・「Storage Filter」:「Basic」
・「Request Type」:「All requests」
ストレージフィルター設定画面

画面左下の「Create」を押下します。
ストレージフィルター設定画面

作成した「LOGGING PROFILE」の「POLICIES」への適用方法

[Local Traffic] > [Virtual Servers] > [Virtual Server List]へ移動します。
バーチャルサーバリスト

対象のVirtual Serverを押下します。
バーチャルサーバリスト

[Security]タブ > [Policy]タブへ移動します。
セキュリティポリシー

「Log Profile」にて、先程作成した「Logging Profile」を「Available」から「Selected」に移動し「Update」を押下します。
ポリシー設定

BIG-IP ASM/AWAFログレポートを利用するための「Logging Profile」設定についての説明は以上で終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

SonicWall UTMのログ活用事例前のページ

監視項目データベース更新案内(211020_01)次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    【2021/12/29更新】Log4jの脆弱性(CVE-2021-44228)に対する各UTM/IP…

    ※本記事の内容は、2021年12月13日現在の公開情報をもとに記載して…

  2. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API監視について

    当記事では、Nutanix Prism におけるSNMP監視/REST…

  4. PALOALTOのURLフィルタリングのカテゴリ例外における脆弱性
  5. NW機器

    LogStare Collectorにて、UNIVERGE IXシリーズ のSNMP監視をするための…

    当記事では、LogStare Collectorにおける UNIVER…

  6. NW機器

    Palo Alto にSNMP v2c / Syslog 設定を追加する

    当記事では、Palo Alto からSNMP 並びにSyslog を取…

secuavail

logstare collector

logstare collector

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP