BIG-IP ASMAWAFログレポートを利用するための「Logging Profile」設定

NW機器

BIG-IP ASM/AWAFログレポートを利用するためのロギングプロファイル設定方法

当記事では、LogStare Reporter(以下、LSRと記載)にてBIG-IP ASM/AWAFログレポートを利用するための「ロギングプロファイル(Logging Profile)」設定について記載します。

対象バージョン

F5Networks「BIG-IP 16.1.0」

事前準備

Virtual Serverや Security Policies等はあらかじめ作成してください。
LSRと連携させるためのSyslogサーバ(LogStare Collector)を準備してください。

ロギングプロファイル(LOGGING PROFILE)の設定方法

[Security] > [Event Logs] > [Logging Profiles]へ移動します。
Logging Profiles設定画面

画面右上の「create」を押下します。
Logging Profiles設定画面

「Profile Name」と「Description」に任意の内容を入力し「Application Security」にチェックを入れます。ここでは「Profile Name」に「LogStare」、「Description」に「Log Report」を入力しています。
Logging Profiles設定画面

「Configuration」「Storage Destination」を以下のように設定します。
・「Configuration」:「Advanced」
・「Storage Destination」:「Remote Storage」
Logging Profiles設定画面

「Logging Format」「Response Logging」「Protocol」「Server Addresses」「Facility」を以下のように設定します。
・「Logging Format」:「Comma-Separated Values」
・「Response Logging」:「Off」
・「Protocol」:「TCP」
・「Server Addresses」:SyslogサーバのIPアドレスとSyslog/TCPに設定されているポート番号に設定した上で登録してください。
・「Facility」:任意の項目。例では「LOG_LOCAL0」を選択しています。
Logging Profiles設定画面

「Storage Format」を以下のように設定します。
・「Storage Format」:「Field-List」
・「Delimiter」:「~,~」
ログフォーマット設定画面

「Selected Items」を以下の順番で設定します。
・attack_type
・date_time
・dest_ip
・dest_port
・device_id
・geo_location
・http_class_name
・ip_address_intelligence
・ip_client
・ip_with_route_domain
・is_truncated
・management_ip_address
・method
・policy_apply_date
・policy_name
・protocol
・query_string
・request
・request_status
・response
・response_code
・route_domain
・session_id
・severity
・sig_ids
・sig_names
・sig_set_names
・src_port
・sub_violations
・support_id
・unit_hostname
・uri
・username
・violation_details
・violation_rating
・violations
・virus_name
・vs_name
・websocket_direction
・websocket_message_type
・x_forwarded_for_header_value
ログフィールドリスト

「Maximum Request Size」「Maximum Query String Size」「Maximum Entry Length」「Report Detected Anomalies」「Request Type」を以下のように設定します。
・「Maximum Request Size」:「8192」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Query String Size」:「2048」※先に「Maximum Entry Length」の値を「64K」に変更する必要があります。
・「Maximum Entry Length」:「64K」
・「Report Detected Anomalies」:「Enabled」
・「ReportReport Challenge Failure Messages 」:「Enabled」
最大クエリサイズ設定

「Storage Filter」「Request Type」を以下のように設定します。
・「Storage Filter」:「Basic」
・「Request Type」:「All requests」
ストレージフィルター設定画面

画面左下の「Create」を押下します。
ストレージフィルター設定画面

作成した「LOGGING PROFILE」の「POLICIES」への適用方法

[Local Traffic] > [Virtual Servers] > [Virtual Server List]へ移動します。
バーチャルサーバリスト

対象のVirtual Serverを押下します。
バーチャルサーバリスト

[Security]タブ > [Policy]タブへ移動します。
セキュリティポリシー

「Log Profile」にて、先程作成した「Logging Profile」を「Available」から「Selected」に移動し「Update」を押下します。
ポリシー設定

BIG-IP ASM/AWAFログレポートを利用するための「Logging Profile」設定についての説明は以上で終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

SonicWall UTMのログ活用事例前のページ

監視項目データベース更新案内(211020_01)次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    VMware ESXiにおけるSNMPサービス有効化手順

    当記事では、VMware ESXiにおけるSNMPサービスの有効化方法…

  2. NW機器

    SonicWall UTMにてSNMP(v1/v2/v3)を有効化する方法について

    当記事では、SonicWall UTMにてSNMP(v1/v2/v3)…

  3. NW機器

    FortiGate・Palo AltoのSyslogが取得できない

    FortiGate・Palo Alto側での確認事項FortiGa…

  4. Windows/Linux

    Windows Server 2016 (2012) / Windows 10 にて、WMI 通信の…

    当記事では、LogStare Collector にて、Windows…

  5. FortiGateの冗長化構成におけるSNMP監視について

    NW機器

    冗長構成したFortiGateをSNMP監視するための設定方法

    当記事では、LSC(LogStare Collector)における冗長…

secuavail

logstare collector

logstare collector

  1. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP