初めてLSCを導入される方が、FortiGate側の準備、LSCをインストールしてからログを確認するところまで、FortiGateを監視するために必要な設定の流れを説明します。
目次
FortiGate側の設定
事前準備
- LogStare Collector (以下 : LSC) サーバのIP アドレスをチェックします。(Syslog の転送先として設定します。)
※当記事では、192.168.0.100 をLSC サーバとして扱います。
設定内容 (SNMP)
- 左部メニュー内[システム] → [SNMP] をクリックします。
- [SNMP v1/v2c] 内の[新規作成] をクリックします。
- [ホスト] 欄にLSC サーバのIPアドレスを入力し、[OK]をクリックします。
- [適用] をクリックします。
- 左部メニュー内[ネットワーク] → [インターフェース] をクリックします。
- LSC サーバと接続しているポートを選択し、編集をクリックします。
- [管理者アクセス] 内の[SNMP] にチェックをいれ、[OK] をクリックします。
以上で、FortiGate にてSNMP を利用する準備が整いました。
Attention!:
IPアドレスによってシステム管理者のログイン制限を行っている場合は、LSCのIPアドレス(192.168.0.100)を追加する必要があります。
1.左部メニュー内[システム]→[管理者]をクリックします。
2.対象の管理者を選択し、[編集]をクリックします。
3. [信頼されるホストにログインを制限]にLSCのIPアドレス(192.168.0.100)を追加します。
4.OKをクリックします。
以上で設定完了です。
FortiGateのSNMP取得ができない方はこちらの記事をご参照ください。
設定内容 (Syslog)
- 左部メニュー内[ログ & レポート] → [ログ設定] をクリックします。
- [ログをSyslogへ送る] を有効化し、LSC サーバのIPアドレスを入力します。その後、[適用]をクリックします。
以上で、FortiGate にてSyslog を利用する準備が整いました。
TLS通信を利用したSYSLOG送信方法とCEF形式ログ送信設定は別途ご覧ください。
LSC側の設定
LSCのインストールから、LSCにFortiGateを監視するまでの流れを説明します。
必要に応じて適宜、読み飛ばしてください。
Windows版LSCのインストール手順
Windowsへのインストール事前準備手順
Windowsへのインストール作業の事前準備手順を記載しています。
インストール前に次の2点を確認してください。
- LSCの実行ファイルのダウンロード
有償版購入済のお客様はLogStare社のサポートサイトよりWindows版の実行ファイルをダウンロードし、LSCをインストールするWindows上に配置します。
※サポートサイトには弊社より発行のライセンス証書に記載のユーザIDとパスワードでログインが必要です。
無償版をご利用予定のお客様はこちらからお申し込みください。ダウンロードULRをご案内いたします。 - インターネットに接続したWindows機器
監視・収集設定に必要な更新データを取得するのに、インターネット接続が必要です。 - SNMP監視をする際、LSCをインストールしたOSでの確認事項
- FirewallにてSNMP通信で必要な161/162ポートが許可されている事
WindowsへのLSCインストール
- ダウンロードした実行ファイル(exeファイル)を実行し、セットアップを行います。
※お使いの環境によっては下の図のような画面が表示されることがありますが、「実行」をクリックします。
「次へ」をクリックします。 - インストール先フォルダを指定します。
デフォルトではCドライブ直下に「LogStare Collector」フォルダを作成し、その場所を指定しています。 - 利用可能なディスクスペースが必要なディスクスペースに対して不足していないことを確認し、「次へ」をクリックします。
- Windows版LSCにはJavaが内包されており、ディレクトリの指定もデフォルトで設定済です。必要に応じて変更してください。
- LSCが使用するポート番号を指定ができます。
ポート番号はデフォルトで80番がセットされています。 - Windowsサービス登録の選択ができます。
サービス登録を行うとWindowsのサービス機能でLSCの「自動起動」「手動」「無効」等の設定が行える様になります。
また、Windowsからログオフをしてもサービスが起動し続けます。 - LSCをインストール・実行するユーザとパスワードを入力して「次へ」をクリックします。
※ LSCでは、権限の関係上、ビルトインのAdministratorでの設定を推奨します。 - 「インストール先」、「Javaディレクトリ」、「サービスポート」の設定に誤りがないことを確認して、「インストール」をクリックします。インストールが始まります。
- インストールが完了したら、「完了」をクリックして、セットアップウィザードを終了します。
- 無償版では続いて、ライセンスを登録する必要があります。
「メールアドレス」「名前」「会社名」「部署名」「住所」「電話番号」を入力してください。
続いて、ソフトウェア使用許諾契約書、プライバシーポリシーを確認します。同意いただければ、「上記のソフトウェア使用許諾契約書、プライバシーポリシーに同意します」にチェックを入れて、「ライセンス登録」をクリックします。インストール手順解説動画
Windows版LSCの起動手順
LSCが停止中では、ブラウザからLSCの管理画面にアクセスしても下記の通りログイン画面等が表示されず、
「このサイトにアクセスできません」と表示されます。
本手順の起動を行うことでブラウザからLSCの管理画面にアクセスすることができるようになります。
Windows版LSCの起動方法
- デスクトップ上に作成されるショートカット「LogStare Collector(開始)」をダブルクリックして実行します。
- コマンドプロンプトが開き、ポートの競合を検知した場合は、ユーザの任意で起動を行うか選択します。
※Windowsサービス登録を行っていない場合のみ行われます。
※「y」を選択した場合は、競合したポートの機能を正しく利用できません。WARN: tcp port[514] is in use! syslog-tcp service cannot open this port. WARN: udp port[514] is in use! syslog-udp service cannot open this port. WARN: tcp port[15014] is in use! syslog-tls service cannot open this port. WARN: tcp port[21] is in use! ftp service cannot open this port. WARN: udp port[162] is in use! trap service cannot open this port. Some services cannot start properly. Do you want to continue anyway? [Y/N] :y
- LSC起動処理が終わるとコマンドプロンプトが閉じます。
(参考)2にてポート競合した状態で起動した場合は、環境設定で以下のように表示されます。
Attention!:ショートカット「LogStare Collector(開始)」を実行すると下図のようなアイコンが表示されることがあります。
このアイコンの表示中に、再度ショートカット「LogStare Collector(開始)」を実行すると、下図の「Configure(Java設定画面)」が表示されます。
LogStare Collector(開始)」を使ってLSCを停止した状態からLSCをスタートさせる場合は、一度LSCサービスを停止していただき、このアイコンを右クリック→「exit」でアイコンを消し、少したってから「LogStare Collector(開始)」を実行することでLSCサービスが開始されます。
Windows版LSCの起動・ログイン方法動画解説
Windowsサービスを使用したLSC起動方法
インストール時にWindowsサービス登録を行った場合は、Windowsのサービス機能でLSCの「自動起動」「手動」「無効」等の設定が可能です。
- Windowsの「サービス」の画面を起動します。
- 「LogStareCollectorService」の項目を選択後、右クリックから「プロパティ」を選択します。
- 「スタートアップの種類」から起動方法を選択します。
- 「適用」した後に「OK」を押します。
Windowsを再起動すると、「スタートアップの種類」で選択した方法でLSCが起動します。
- 「自動」を選択して再起動した場合 → LSCが自動で起動します。
- 「手動」を選択して再起動した場合 → LSCを手動で起動する必要があります。
「無効」を選択して再起動した場合 → LSCのサービスが無効状態になります。
コマンドプロンプトを使用したLSC起動方法
通常、LSCの起動はWindowsサービスを使用した起動やデスクトップのショートカットアイコンをダブルクリックして起動します。
これらの方法でもうまく起動しない場合には、コマンドプロンプトを使用して起動する方法もあります。
-
Windowsキーを押して 「cmd」と打ちます
-
コマンドプロンプトアイコンを右クリック→「管理者として実行」を押します
-
下記の通りコマンドを打ちます
- 起動には数分の時間がかかることがあります。
下図のようになれば、起動に成功しています。
Attention!:
下記のような画面が表示された場合、LSCのアクセスポートで競合が起こっている可能性があります。
下記ページを参照して、アクセスポートの変更を実施してください。
LogStare Collectorのwebアクセスポート変更についてコマンドプロンプトを使用したLSC起動方法でもブラウザでLSCの管理画面(ログイン画面等)が表示されず、LSCがうまく起動しない場合は、LSCのインストール先(規定値 : c:\LogStareCollector) 以下のlogsフォルダにあるlsc.logを画面のキャプチャと共に弊社サポートまでお送りください。Linux版LSCのインストール手順
Linuxへのインストール事前準備手順
Linuxへのインストール作業の事前準備手順を記載しています。
インストール前に次の2点を確認してください。-
- Java Development Kit(JDK)の確認
LSCの動作にはJDKが必要となります。手順は以下の通りです。
※LSCではJDK12以降のバージョンが必要です。
- Java Development Kit(JDK)の確認
。LSCに対応しているjdkのバージョンについては以下の記事をご参照ください。
LogStare Collectorの動作確認済JDKについて
・wgetで取得する場合
[root@Alma-LSC ~]# wget https://aka.ms/download-jdk/microsoft-jdk-17.35.1-linux-x64.tar.gz
・curlで取得する場合
[root@Alma-LSC ~]# curl -OL https://aka.ms/download-jdk/microsoft-jdk-17.35.1-linux-x64.tar.gz
jdkを解凍し、適当なディレクトリに配置します。
[root@Alma-LSC ~]# tar zxf microsoft-jdk-17.35.1-linux-x64.tar.gz [root@Alma-LSC ~]# ls anaconda-ks.cfg jdk-17+35 logstare-collector-2.3.0-setup.bin microsoft-jdk-17.35.1-linux-x64.tar.gz [root@Alma-LSC ~]# mv -iv jdk-17+35/ /usr/lib renamed 'jdk-17+35/' -> '/usr/lib/jdk-17+35' [root@Alma-LSC ~]# ls -la /usr/lib/jdk-17+35/ 合計 24 drwxr-xr-x 9 1001 121 107 9月 15 07:34 . dr-xr-xr-x. 34 root root 4096 2月 18 13:34 .. drwxr-xr-x 2 1001 121 4096 9月 15 07:34 bin drwxr-xr-x 5 1001 121 123 9月 15 07:24 conf drwxr-xr-x 3 1001 121 132 9月 15 07:24 include drwxr-xr-x 2 1001 121 4096 9月 15 07:24 jmods drwxr-xr-x 72 1001 121 4096 9月 15 07:24 legal drwxr-xr-x 5 1001 121 4096 9月 15 07:34 lib drwxr-xr-x 3 1001 121 18 9月 15 07:24 man -rw-r--r-- 1 1001 121 1234 9月 15 07:24 release [root@Alma-LSC ~]#
- LSCの実行ファイルのダウンロード
有償版購入済のお客様はLogStare社のサポートサイトよりLinux版の実行ファイルをダウンロードし、LSCをインストールするLinux上に配置します。
※サポートサイトには弊社より発行のライセンス証書に記載のユーザIDとパスワードでログインが必要です。
無償版をご利用予定のお客様はこちらからお申し込みください。ダウンロードURLをご案内いたします。
LinuxへのLSCインストール
- ダウンロードした実行ファイル(binファイル)を以下の手順で実行し、セットアップを行います。
ターミナルウィンドウから以下のコマンドを実行します。# cd /ダウンロードファイルの保存先ディレクトリ # chmod +x logstare-collector-1.8.0-setup.bin # ./logstare-collector-1.8.0-setup.bin
- LSCのインストール先を指定して、「Enter」キーを押してください。
デフォルトとして「/usr/local」が設定されています。=== LogStare Collector 初期設定 === LogStare Collector のインストール先を指定してください。 デフォルトは /usr/local になります。 指定先に LogStare Collector が存在する場合はアップデートを行います。 [インストール先] :
- JDK12が配置されているパスを指定して、「Enter」キーを押してください。
※今回はJDK12を使用しております。LogStare Collector が使用するJREパスを指定してください。 デフォルトは /usr/java/default になります。(Java Runtime Environment 7 以上のJREパスをご指定ください) [JRE] : /usr/lib/jdk-12.0.1
- LSCが使用するポート番号を指定して、「Enter」キーを押してください。
ポート番号はデフォルトで80番がセットされています。LogStare Collector が使用するサービスポートを指定してください。デフォルトは 80 になります。 [サービスポート] : 80
- 「インストール先」、「JRE」、「サービスポート」の設定に誤りがないことを確認してください。
=== LogStare Collector インストール先・環境設定確認 ==== インストール先・環境設定に誤りがないことを確認してください [インストール先] : /usr/local [JRE] : /usr/lib/jdk-12.0.1 [サービスポート] : 80
- 誤りが無ければ「y」を押して「Enter」キーを押してください。インストールが開始します。
=== LogStare Collector インストール先・環境設定確認 ==== インストール先・環境設定に誤りがないことを確認してください [インストール先] : /usr/local [JRE] : /usr/lib/jdk-12.0.1 [サービスポート] : 80 LogStare Collectorのインストールを行いますか?[y/N]
【参考:JDKパスを確認する方法】
-
- ユーティリティ「alternatives」コマンドを使用して現在登録されているjava情報から確認できます。
- コマンド「alternatives --config java」にて登録されているjavaの一覧を表示します。
-
- JDKパスを確認したら、使用するJavaの選択番号を押して「Enter」キーを押します。
-
-
# alternatives --config java 2 プログラムがあり 'java' を提供します。 選択 コマンド ----------------------------------------------- * 1 /usr/lib/jdk-12.0.1/bin/java + 2 /usr/lib/jdk-14.0.1/bin/java Enter を押して現在の選択 [+] を保持するか、選択番号を入力します:
※/bin/javaより前の部分がJDKパスとなります。
※※現在利用しているJDKは「*」が -
- 続いて、無償版ではライセンス登録を行います。
ガイドに従って入力してください。ライセンス登録を開始します。 1) 法人 2) 個人 法人/個人を選択してください :<<1か2を入力します>> [法人]を選択しました。 メールアドレスを入力してください : <<メールアドレスを入力>> メールアドレス(確認)を入力してください :<<メールアドレスを入力>> 名前を入力してください : <<名前を入力>> 名前(カナ)を入力してください : <<名前(カナ)を入力>> 会社名を入力してください : <<会社名を入力>> 会社名(カナ)を入力してください :<<会社名(カナ)を入力>> 部署名を入力してください : <<部署名を入力>> 住所を入力してください : <<住所を入力>> 電話番号(例 000-0000-0000)を入力してください : <<電話番号を入力>> : ライセンスを登録しました。 --------------------------------------------- https://www.logstare.com/doc/LogStareEULA.pdf
プライバシーポリシー
--------------------------------------------- ソフトウェア使用許諾契約書、プライバシーポリシーに同意します。[y/n] : y ※ソフトウェア使用許諾契約書・プライバシーポリシーをご一読の上、同意にyを入力します。 LogStare Collector Install FinishLinux版LSCの起動
以下のようにLSCを起動します。
[root@Alma-LSC ~]# cd /usr/local/logstarecollector/ [root@Alma-LSC logstarecollector]# [root@Alma-LSC logstarecollector]# [root@Alma-LSC logstarecollector]# sh sbin/start_kallista.sh ssl-disable 2022-01-31 15:16:23.394:INFO::main: Logging initialized @83ms to org.eclipse.jetty.util.log.StdErrLog 2022-01-31 15:16:23.398:INFO:oejr.Runner:main: Runner 2022-01-31 15:16:23.461:INFO:oejs.Server:main: jetty-9.4.0.v20161208 ~省略~ 2022-01-31 15:16:32.201:INFO:oejs.Server:main: Started @8893ms [root@Alma-LSC logstarecollector]#
LSCのログイン手順
- ブラウザを開き、URLにLSCサーバIPアドレスと、インストール時に指定したポート番号を入力します。
例:「http://192.168.xxx.xxx:80/」
※ポート番号は、Windows版では「kallista_env.cmd」、Linux版では「kallista_env.sh」を編集して変更ができます。
※※LSCでは、chromeが推奨ブラウザになります。 - LSCに接続が成功すると下図のログイン画面が表示されます。
①IDとパスワードを入力します。
(デフォルトユーザID:admin パスワード:root1234)
②「ログイン」をクリックします。
※初期パスワードは必ず変更してください。
※下記、LSCのログインパスワードの変更手順をご参照ください。 - ログインに成功すると、LSCの画面が表示されます。
※LSCへの接続に失敗する場合は、OSのファイアウォール設定などをご確認ください。監視対象デバイス(FortiGate)の追加
- 監視・ログ設定 > デバイス・グループに移動します。
- デバイスを追加するグループを選択し、「+」をクリックします。
- 「デバイス追加」画面にて追加するデバイス情報を設定し、「追加」をクリックします。
①LSCにて表示するデバイス名を設定します。
※デバイス登録後も変更することができます。
②監視対象デバイスのIPアドレスを設定します。
※デバイス登録後の変更はできません。
③LSCにて表示するアイコンを設定します。
※デバイス登録後も変更することができます。
④監視を行う監視間隔を設定します。
監視間隔は10秒~3600秒を設定することができますが、監視間隔を短くするほど、システム負荷が上昇します。
※デバイス登録後も変更できます。
⑤監視データの保管期間を確認することができます。
監視データ保管期間の変更は、環境設定画面にて変更することができます。
⑥収集ログの保管期間を設定します。
※無償版では監視データ保管期間及び収集ログ保管期間は10日固定です。
※監視データ保管期間と収集ログ保管期間につきましては、下記の記事をご参照ください。
監視データ保管期間と収集ログ保管期間について
⑦監視対象デバイスに設定されているSNMPバージョン(v1,v2c,v3の選択が可能)とSNMPコミュニティを設定します。
※SNMPコミュニティはv1,v2cのみの設定です。
下図の例ではSNMPバージョン2を選択した場合の設定画面です。
v3の設定は下記の通りです。
①認証に使用するユーザ名を設定します。
②監視対象デバイスに設定されているセキュリティレベルを選択します。
③監視対象デバイスに設定されているコンテキスト名を設定します。
④監視対象デバイスに設定されているエンジンID(16進数表記)を設定します。
「セキュリティレベル」が「noAuthNoPriv」の場合
上記のほかに下記の設定が必要です。
⑤監視対象デバイスに設定されている認証プロトコルを選択します。
選択可能な認証プロトコルは下記の通りです。
"MD5","SHA","SHA224","SHA256","SHA384","SHA512"
⑥監視対象デバイスに設定されている認証パスフレーズを設定します。「セキュリティレベル」が「authNoPriv」の場合
上記のほかに下記の設定が必要です。
⑦監視対象デバイスに設定されている暗号化プロトコルを選択します。
選択可能な暗号化プロトコルは下記の通りです。
"DES","AES128","AES192","AES192With3DESKeyExtension",
"AES256","AES256With3DESKeyExtension","3DES"
⑧監視対象デバイスに設定されている暗号化パスフレーズを選択します。
「セキュリティレベル」が「authPriv」の場合
- 登録確認画面が表示されますので「はい」をクリックします。
- デバイスが追加されたことを確認したらデバイス設定作業は完了です。
デバイスを複数設定したい場合はこの操作を繰り返します。監視デバイス追加手順解説動画
SNMP監視設定
- 追加したデバイスをクリックします。
- 監視項目スキャンをクリックします。
※下図のようにメーカ名、OS、製品名が表示されていないとスキャンできません。その場合、こちらの記事をご参照ください。
SNMP監視の設定
- 監視したい項目にチェック、全て監視したい場合は、「すべて選択」をクリックします。
- 「監視項目追加」をクリックすると、追加してもよろしいですか、とメッセージが表示されるので、「はい」をクリックして、登録が完了します。
SNMP監視手順解説動画
※監視するデバイスが登録されている前提になります。
- 監視・ログ設定 > デバイス・グループに移動します。
- ブラウザを開き、URLにLSCサーバIPアドレスと、インストール時に指定したポート番号を入力します。
-
Syslog監視設定
1. 監視・ログ収集設定 > 監視・収集 より、設定追加を行う機器を選択します。
※今回は【Server01】を指定します。
2. 設定項目を入力します。
① 監視項目名を記入します。
② 取得するログのファシリティを指定します。
※ 1つ以上選択してください。
③ 取得するログのプライオリティを指定します。
※ 1つ以上選択してください。
④ マッチング文字列に一致したログを取得します。
⑤ 除外マッチング文字列に一致したログ以外を取得します。
※ 指定がない場合は全てのログを取得します。
※ マッチング文字列及び除外マッチング文字列を設定した場合は、除外マッチング文字列以外でマッチング文字列に合致したログを取得します。
⑥ 文字コードを指定します。
※ デフォルトとして「UTF-8」が指定されます。
⑦ 「マッチング文字列」「除外マッチング文字列」の選別結果に対して、設定した文字列がマッチした場合に、ステータスが「警告」となりアラートメールを設定している場合、アラートメールが送信されます。
※設定の詳細につきましては、下記の記事をご参照ください。
ログ収集項目:テキストマッチングについて
3.設定を入れたら、「追加」をクリックして、追加しますか?と表示されるので「はい」を追加して完了です。
以上で設定作業は終了となります。
手順解説動画
※動画ではWMI収集を設定しています。
ログの検索・ダウンロード
監視・収集しているログを確認します。
- ログデータ > 検索・ダウンロードに移動します。
- 「デバイス」の一覧から、ログを表示したい監視デバイス名の△をクリック(もしくはダブルクリック)し、表示された監視項目及び収集項目を選択すると、画面右側「ログ一覧」に選択したログが表示されます。
※今回はServer01 > SYSLOG-Server01を選択します。
選択した監視項目及び収集項目によって表示されるログの内容は異なります。
表示されるログはログ表示を実施した3分前から現在時刻までをデフォルトで表示しています。
表示期間の変更
表示させるログ日時を指定することができます。
- 表示期間をクリックします。
- 表示されたログ表示期間メニューを利用してログ表示期間を設定します。
期間指定として、「直近3分」「直近1時間」「直近5時間」「今日」「昨日」「自分で指定」が選択できます。
「自分で指定」の場合、ログ表示期間の開始日時(時計/左側カレンダー)から終了日時(時計/右側カレンダー)までを指定します。
- 「検索」をクリックすると対象期間のログが表示されます。
ログの検索
検索キーワード欄に任意の文字列を入力し、「検索」をクリックすると入力された文字列を含むログが表示されます。
検索キーワード欄では正規表現を使用することができます。
- 検索キーワード欄に任意の文字列を入力します。
※有償版では複数条件検索が可能となります。 - 「検索」をクリックすると入力された文字列を含むログが表示されます。
ログのダウンロード
- ダウンロードボタンをクリックすることで現在の検索結果をCSV形式(.csv)またはファイル形式(.log)でダウンロードすることが可能です。
- オプションとして、LSCログ収集日時を含む/含まないが指定できます。
LSCログ収集日時を含む場合は、ログの先頭にLogStare Collectorが収集した日時を挿入したログをCSV形式(.csv)でダウンロードすることができます。
LSCログ収集日時を含まない場合は、LogStare Collectorが収集した生ログをファイル形式(.log)でダウンロードすることができます。
収集ログの削除のタイミング
ログ保存期間を過ぎた日の0時から1時間以内に期間超過のログが削除されます。
手順解説動画
SNMPが取得できない時の確認事項について
うまく取得できない際はこちらの記事をご参照ください。
以上で、初めてFortiGateの監視を始めるまでの説明を終わります。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。