Windows/Linux

Microsoft Defender ファイアウォールのログをLSCにて収集する方法

この記事は投稿日から1年以上経過しています。

当記事では、Microsoft Defender ファイアウォールのログをLogStare Collector(以下、LSCと記載)にて収集する方法についての説明を記載します。

更新履歴

2021/02/17 新規公開しました。
2022/03/17 「Windows firewallログの送信方法」におけるokurun.jarのコマンド内容を変更しました。LSC転送時のオプションとして、ヘッダオプションを「Y」から「N」に変更しました。
2022/03/28 タイトルを「Windows firewallログをLSCにて収集する方法」から「Microsoft Defender ファイアウォールのログをLSCにて収集する方法」に変更しました。

概要

ログフォワーダー「okurun.jar」を利用してMicrosoft Defender ファイアウォールのログをsyslogとして発信し、LSCにて受信します。「okurun.jar」の入手先及び概要については、以下の記事をご参照ください。
ログフォワーダー「okurun.jar」について

前提条件

  • 「okurun.jar」はjavaにて動作します。OpenJDK等事前にWindowsへインストールし環境変数の設定等を実施してください。
  • Windows環境におけるjavaの環境変数設定については説明しません。
  • 当記事の記載内容は下記環境にて実施したものです。
  • 当記事の手順はすべて管理者権限にて実施しています。

Windows

OS WindowsServer 2019
JAVA OpenJDK14

LSCサーバ

LSCバージョン 2.0.1
OS CentOS7
メモリ 4GB
CPU 2コア
JAVA OpenJDK14

設定(Windows側)

Microsoft Defender ファイアウォールログの設定

  • コントロールパネルよりWindowsファイアウォールの設定画面を開き、画面左側の「詳細設定」を押下します。
  • 画面左側の、「ローカルコンピュータのセキュリティが強化されたWindowsファイアウォール」を右クリックして「プロパティ」を押下します。
  • 「ドメインプロファイル」タブを選択し項目「ログ」の「カスタマイズ」を押下します。
  • 項目「名前」にログファイルの出力先及びログファイル名が記載されているので確認します。当記事内ではログファイル出力先「%systemroot%system32LogFilesFirewall」、ログファイル名「pfirewall.log」となります。
    確認後、項目「破棄されたパケットをログに記録する」と項目「正常な接続をログに記録する」を「はい」と設定し「OK」を押下します。
  • 同様の作業をそれぞれ「パブリックプロファイル」「プライベートプロファイル」にて実施します。
  • ログファイル名およびログファイルの出力を確認します。

「okurun.jar」の準備

  • Windowsの任意のディレクトリに「okurun.jar」を配置します。当記事では、C:temp配下に配置します。

Microsoft Defender ファイアウォールログの送信方法

  • コマンドプロンプトを開き、「okurun.jar」を配置したディレクトリに移動します。
C:UsersAdministrator>cd /temp
C:temp>
  • 「okurun.jar」を実行します。当記事では、C:\Windows\System32\LogFiles\Firewall配下のpfirewall.logが「okurun.jar」の対象となるログファイルです。当記事では、LSC(172.23.61.59)にudp/514でファシリティ「AUTH」プライオリティ「NOTICE」にて転送する場合のコマンドを記載します。※LSCへ転送する場合は、ヘッダオプションはNにしてください。
C:temp>javaw -jar okurun.jar C:\Windows\System32\LogFiles\Firewall\pfirewall.log UTF-8 udp 172.23.61.59 514 NOTICE AUTH N Y
  • 上記コマンド実行後、バックグラウンド上で「okurun.jar」が起動します。

「okurun.jar」の停止方法

  • フォワーダーはtaskkillコマンドにて停止します。まず、タスクマネージャにて「okurun.jar」のプロセスIDを確認します。※列「コマンドライン」を表示させると探しやすいです。
  • 停止したい「okurun.jar」のプロセスIDを確認し、コマンドプロンプトよりtaskkillコマンドにて停止します。
# taskkill /pid 1532
  • タスクマネージャにて停止した「okurun.jar」のプロセスIDが存在しないことを確認します。

Microsoft Defender ファイアウォールのログメッセージサンプル

  • Microsoft Defender ファイアウォールのログメッセージについて説明します。
  • 「pfirewall.log」のログメッセージ形式を下記に示します。※実際のログファイル内の記述を参考にしています。
{date} {time} {action} {protocol} {src-ip} {dst-ip} {src-port} {dst-port} {size} {tcpflags} {tcpsyn} {tcpack} {tcpwin} {icmptype} {icmpcode} {info} {path}
  • 実際のログメッセージを下記に例示します。
2021-05-13 17:33:58 DROP UDP xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 55773 5355 71 - - - - - - - RECEIVE
2021-05-13 17:33:58 DROP UDP xx:xx:xx:xx:xx:xx xx:xx:xx:xx:xx:xx 55624 5355 81 - - - - - - - RECEIVE
2021-05-13 17:34:38 DROP ICMP xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx - - 60 - - - - 8 0 - RECEIVE

設定(LSC側)

基本設定

  • 「okurun.jar」にて転送されたメッセージを「SYSLOG収集」にてLSCで受信します。「SYSLOG収集」につきましては、以下の記事をご参照ください。
    SYSLOG収集
  • 「SYSLOG収集」にて利用されるポート番号はデフォルトでtcp/udp共に514となっています。「okurun.jar」にてポート番号を514以外に設定した場合、環境設定より「SYSLOG収集」にて利用されるポート番号を変更することで514以外のポートで「SYSLOG収集」が可能となります。環境設定につきましては、以下の記事をご参照ください。
    LogStare Collector における環境設定について

以上でMicrosoft Defender ファイアウォールのログをLSCにて収集する方法についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

ログフォワーダー「okurun.jar」について前のページ

LSC v2.1.0 build 210215 リリースノート次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. Windows/Linux

    LinuxのFirewallログをLSCで収集する方法

    当記事では、LinuxのfirewallログをLogStare Col…

  2. Windows/Linux

    Windowsファイアウォールにて特定のインバウンド通信を許可するための設定例

    当記事では、Windowsファイアウォールにて特定のインバウンド通信を…

  3. iNetSec SFの正常性を監視する

    ログ分析・監視テクニック

    iNetSec SFの正常性を監視するための設定方法

    当記事では、株式会社PFUのiNetSec SFを導入している環境にお…

  4. FITELnet-FシリーズをSNMPで監視

    ログ分析・監視テクニック

    古河ネットワークソリューションFITELnet-FシリーズをSNMPで監視する方法

    当記事では、古河ネットワークソリューションFITELnet-Fシリーズ…

  5. AWS/Azure

    自社製品をAMIにしてAWSマーケットプレイスへ出品

    はじめにかねてより弊社製品のAWSマーケットプレイス出品を目論んで…

  6. Windows/Linux

    Windows Server 2016 (2019,2012) / Windows 10,11 にて…

    当記事では、LogStare Collector にて、Windows…

Microsoft365もっと活用セミナー

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP