WatchGuard Fireboxのログを収集するための設定方法

NW機器

WatchGuard Fireboxのログを収集するための設定方法

この記事は投稿日から1年以上経過しています。

当記事では、WatchGuard社FireboxシリーズのログをSyslogを用いて転送し収集する方法について記載します。

対象バージョン

Fireware v12.7.1 Build 644848

※当記事では、VMware ESXi7上に構築したFirebox V smallによる検証結果をもとに執筆しております。

前提条件

管理者権限をもつユーザで、ブラウザからWebインターフェースへアクセスできることとします。

トラフィックの通信を許可/拒否するファイアウォールポリシーは設定済みであるとします。

Webインターフェースの基本的な操作(設定のsave等)については記載を割愛しております。

Webインターフェースで設定すること

Syslog転送の設定
[システム]>[ログ記録]へ移動し、以下のように設定します。

1.[Syslogサーバー]タブを選択します。

2.「これらのsyslogサーバーにログメッセージを送信します」にチェックを入れます。
Syslog転送の設定

3.「追加」をクリックし、SyslogサーバーのIPアドレス及びポート番号、ログ形式を設定します。

「タイムスタンプ」、「デバイスのシリアル番号」の箇所は特にチェックを入れる必要はありません。

なお、チェックを入れた場合も解析はできますが、レポートにはタイムスタンプ、シリアル番号は表示されません(LogStare Collectorでの生ログには出てきます)

※その他の設定は、デフォルト値にします。

Syslogサーバーの設定

ファイアウォールポリシーの設定

[ファイアウォール]>[ファイアウォールポリシー]へ移動し、以下のように設定します。

※ファイアウォールポリシーのトラフィックログを収集しない場合は、ファイアウォールポリシーの設定は不要です。イベントログ(SSLVPNログイン、認証失敗等)はデフォルトの設定で収集できます。

1.トラフィックログを収集するファイアウォールポリシーを選択します。

2.ログ記録の「ログメッセージの送信」または「レポート用のログメッセージを送信する」にチェックを入れます。(両方チェックを入れることも可能)

※当社では、セキュリティポリシーが許可の場合は「レポート用のログメッセージを送信する」、拒否の場合は「ログメッセージの送信」を選ぶことを想定しております。

ファイアウォールポリシーの設定

「ログメッセージの送信」をチェックした場合は、以下のログのようにトラフィックのプロトコルの詳細(赤字の部分)がログとして出力されます。

Sep 21 17:09:52 WatchGuard-XTM (シリアル番号) (2021-09-21T08:09:52) firewall: msg_id="3000-0148" Allow Trusted External 52 tcp 20 127 (送信元IPアドレス) (宛先IPアドレス) (送信元ポート番号) (宛先ポート番号) offset 8 S 2038682253 win 65535 geo_dst="JPN" (HTTPS-00)

「レポート用のログメッセージを送信する」をチェックした場合は、以下のログのように送信/受信バイト数等(赤字の部分)がログとして出力されます。

Sep 21 14:45:17 WatchGuard-XTM (シリアル番号) (2021-09-21T05:45:17) firewall: msg_id="3000-0151" Allow Trusted External tcp (送信元IPアドレス) (宛先IPアドレス) (送信元ポート番号) (宛先ポート番号) geo_dst="JPN" duration="62" sent_bytes="5726" rcvd_bytes="17572" (HTTPS-00)

ログフォーマットの詳細は、WatchGuard社のFirewareLogCatalogをご参照ください。

WatchGuard社:FirewareLogCatalog

LogStare Collectorにて設定すること

1.Fireboxより転送されたログは「SYSLOG収集」にてLogSatre Collectorで受信します。「SYSLOG収集」につきましては、以下の記事をご参照ください。

SYSLOG収集

2.「SYSLOG収集」にて利用されるポート番号はデフォルトでtcp/udp共に514となっています。環境設定より「SYSLOG収集」にて利用されるポート番号を変更することで514以外のポートで「SYSLOG収集」が可能となります。環境設定につきましては、以下の記事をご参照ください。

LogStareCollectorにおける環境設定について

LogStare Reporter / LogStare Quintでのレポート例

当社のLogStare Reporter及びLogStare QuintはFireboxのログの可視化に対応しております。

※LogStare Reporter / LogStare Quintについて詳しくは以下のページをご覧ください

LogStare製品ラインアップ

以下はレポートの一例です。

時間帯別全トラフィック集計レポート
Fireboxを経由するトラフィックの件数を時間帯別に確認できます。
時間帯別全トラフィック集計レポート

時間帯別SSLVPNログイン集計レポート
SSLVPNログイン件数を時間帯別に確認できます。
時間帯別SSLVPNログイン集計レポート

時間帯別認証失敗集計レポート
WebインターフェースへのアクセスやSSLVPN等におけるユーザ認証の失敗した件数を時間帯別に確認できます。
時間帯別認証失敗集計レポート

カテゴリ別Webフィルタ集計レポート
Webサイトのカテゴリ別にログ件数を確認できます。
カテゴリ別Webフィルタ集計レポート

以上で、WatchGuard社FireboxシリーズのログをSyslogを用いて転送し収集する方法についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

WatchGuard FireboxをSNMPで監視するWatchGuard FireboxをSNMPで監視するための設定方法前のページ

CloudWatch監視対応サービス一覧次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. NW機器

    Nutanixを監視したいときのメトリクス監視項目例(API v2)

    当記事ではLogStare Collector(以下、LSC)でのNu…

  2. NW機器

    VMware ESXiにおけるSNMPサービス有効化手順

    当記事では、VMware ESXiにおけるSNMPサービスの有効化方法…

  3. FORTIGATEのAUTOMATION機能を用いてTEAMSへ通知

    NW機器

    FortiGateのAutomation機能を用いてTeamsへ通知してみた

    当記事では、FortiGateのAutomation機能を設定し、Mi…

  4. ログ分析・監視テクニック

    Zabbixヒストリデータのレポート生成について

    当記事では、NetStare Suite(以下、NSSと記載)における…

  5. Nutanix Prism ElementにOVAファイルをインポートする方法

    NW機器

    Nutanix Prism ElementにOVAファイルをインポートする方法

    当記事では、Nutanix Prism ElementにOVAファイル…

  6. NW機器

    FortiGateにてGUIにトラフィックログを表示するための設定方法

    FortiGateではトラフィックログを収集できますが、FortiGa…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP