WatchGuard Fireboxのログを収集するための設定方法

NW機器

WatchGuard Fireboxのログを収集するための設定方法

当記事では、WatchGuard社FireboxシリーズのログをSyslogを用いて転送し収集する方法について記載します。

対象バージョン

Fireware v12.7.1 Build 644848

※当記事では、VMware ESXi7上に構築したFirebox V smallによる検証結果をもとに執筆しております。

前提条件

管理者権限をもつユーザで、ブラウザからWebインターフェースへアクセスできることとします。

トラフィックの通信を許可/拒否するファイアウォールポリシーは設定済みであるとします。

Webインターフェースの基本的な操作(設定のsave等)については記載を割愛しております。

Webインターフェースで設定すること

Syslog転送の設定
[システム]>[ログ記録]へ移動し、以下のように設定します。

1.[Syslogサーバー]タブを選択します。

2.「これらのsyslogサーバーにログメッセージを送信します」にチェックを入れます。
Syslog転送の設定

3.「追加」をクリックし、SyslogサーバーのIPアドレス及びポート番号、ログ形式を設定します。

「タイムスタンプ」、「デバイスのシリアル番号」の箇所は特にチェックを入れる必要はありません。

なお、チェックを入れた場合も解析はできますが、レポートにはタイムスタンプ、シリアル番号は表示されません(LogStare Collectorでの生ログには出てきます)

※その他の設定は、デフォルト値にします。

Syslogサーバーの設定

ファイアウォールポリシーの設定

[ファイアウォール]>[ファイアウォールポリシー]へ移動し、以下のように設定します。

※ファイアウォールポリシーのトラフィックログを収集しない場合は、ファイアウォールポリシーの設定は不要です。イベントログ(SSLVPNログイン、認証失敗等)はデフォルトの設定で収集できます。

1.トラフィックログを収集するファイアウォールポリシーを選択します。

2.ログ記録の「ログメッセージの送信」または「レポート用のログメッセージを送信する」にチェックを入れます。(両方チェックを入れることも可能)

※当社では、セキュリティポリシーが許可の場合は「レポート用のログメッセージを送信する」、拒否の場合は「ログメッセージの送信」を選ぶことを想定しております。

ファイアウォールポリシーの設定

「ログメッセージの送信」をチェックした場合は、以下のログのようにトラフィックのプロトコルの詳細(赤字の部分)がログとして出力されます。

Sep 21 17:09:52 WatchGuard-XTM (シリアル番号) (2021-09-21T08:09:52) firewall: msg_id="3000-0148" Allow Trusted External 52 tcp 20 127 (送信元IPアドレス) (宛先IPアドレス) (送信元ポート番号) (宛先ポート番号) offset 8 S 2038682253 win 65535 geo_dst="JPN" (HTTPS-00)

「レポート用のログメッセージを送信する」をチェックした場合は、以下のログのように送信/受信バイト数等(赤字の部分)がログとして出力されます。

Sep 21 14:45:17 WatchGuard-XTM (シリアル番号) (2021-09-21T05:45:17) firewall: msg_id="3000-0151" Allow Trusted External tcp (送信元IPアドレス) (宛先IPアドレス) (送信元ポート番号) (宛先ポート番号) geo_dst="JPN" duration="62" sent_bytes="5726" rcvd_bytes="17572" (HTTPS-00)

ログフォーマットの詳細は、WatchGuard社のFirewareLogCatalogをご参照ください。

WatchGuard社:FirewareLogCatalog

LogStare Collectorにて設定すること

1.Fireboxより転送されたログは「SYSLOG収集」にてLogSatre Collectorで受信します。「SYSLOG収集」につきましては、以下の記事をご参照ください。

SYSLOG収集

2.「SYSLOG収集」にて利用されるポート番号はデフォルトでtcp/udp共に514となっています。環境設定より「SYSLOG収集」にて利用されるポート番号を変更することで514以外のポートで「SYSLOG収集」が可能となります。環境設定につきましては、以下の記事をご参照ください。

LogStareCollectorにおける環境設定について

LogStare Reporter / LogStare Quintでのレポート例

当社のLogStare Reporter及びLogStare QuintはFireboxのログの可視化に対応しております。

※LogStare Reporter / LogStare Quintについて詳しくは以下のページをご覧ください

LogStare製品ラインアップ

以下はレポートの一例です。

時間帯別全トラフィック集計レポート
Fireboxを経由するトラフィックの件数を時間帯別に確認できます。
時間帯別全トラフィック集計レポート

時間帯別SSLVPNログイン集計レポート
SSLVPNログイン件数を時間帯別に確認できます。
時間帯別SSLVPNログイン集計レポート

時間帯別認証失敗集計レポート
WebインターフェースへのアクセスやSSLVPN等におけるユーザ認証の失敗した件数を時間帯別に確認できます。
時間帯別認証失敗集計レポート

カテゴリ別Webフィルタ集計レポート
Webサイトのカテゴリ別にログ件数を確認できます。
カテゴリ別Webフィルタ集計レポート

以上で、WatchGuard社FireboxシリーズのログをSyslogを用いて転送し収集する方法についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

WatchGuard FireboxをSNMPで監視するWatchGuard FireboxをSNMPで監視するための設定方法前のページ

CloudWatch監視対応サービス一覧次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. NW機器

    【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2…

    ※本記事の内容は、2021年11月15日現在の公開情報をもとに記載して…

  2. ログ分析・監視テクニック

    Zabbixヒストリデータのレポート生成について

    当記事では、NetStare Suite(以下、NSSと記載)における…

  3. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  4. NW機器

    FortiGate・Palo AltoのSyslogが取得できない

    FortiGate・Palo Alto側での確認事項FortiGa…

  5. NW機器

    OpenSSLの脆弱性(CVE-2022-0778)に対する各UTM/IPS/WAFの対応状況につい…

    セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenS…

  6. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP