Windows/Linux

LinuxのFirewallログをLSCで収集する方法

この記事は投稿日から2年以上経過しています。

当記事では、LinuxのfirewallログをLogStare Collector(以下、LSCと記載)にて収集する方法について記載します。大まかな流れとしては、①firewalldの拒否ログ出力設定、②serviceごとのログ出力設定、③LSC受信設定となります。

前提条件

・当記事では事前にrsyslog及びLSCの設定・構築が済んでいる前提で紹介します。LSCのインストールについては以下をご参照ください。

LogStare Collectorインストールからアンインストールまで Linux版

https://www.secuavail.com/kb/references/ref-200812_01/

・当記事の手順はすべて管理者権限にて実施しています。

・当記事の記載内容は下記環境にて実施したものです。
Linux
OS : CentOS7
IPアドレス:192.168.100.2

LSCサーバ
OS :CentOS7
メモリ: 4GB
CPU: 2コア
IPアドレス:192.168.100.1

Linux設定

firewalldの拒否ログ設定

firewalldのデフォルト設定では拒否ログを出力しないため、出力する設定に変更します。

現状設定の確認

# firewall-cmd –get-log-denied                       

off

設定変更

# firewall-cmd –set-log-denied=all      

success

設定が反映されているかの確認

# firewall-cmd –get-log-denied                          

all

許可していない送信元からのアクセスや開いていないポートに通信が来た時は/var/log/messagesに以下のようにログが出力されます。

サービスごとのログ出力

httpdやsshdのアプリケーションレベルのログではなくfirewallのパケットのログを出力します。以下のコマンドはfirewallのリッチルールで特定のipアドレス宛(この場合は自分自身)に送られてくるサービスをログに出力する設定です。

コマンド

firewall-cmd –permanent –zone=public –add-rich-rule=’rule family=”ipv4” destination address=”192.168.100.2/24” service name=”http” log prefix=”http:”’

以下各コマンドオプション解説

--permanent                           恒久的に設定を反映

--zone=public                        publicのゾーンにこの設定を反映(デフォルト設定ではpublicでOK)

--add-rich-rule=’’                 シングルクォーテーションの中にリッチルールを記入

rule family=”ipv4”                ipv4の設定

destination address=””        宛先のアドレス

service name=””                    表示しているログのサービス名

log prefix=””                           このprefixに記入した文字列(今回はhttp:)をログの先頭に付与

prefixの文字列は任意なので設定するサービス名にするとログが見やすくなります。

設定の反映

# firewall-cmd --reload

反映の確認

# firewall-cmd --list-rich-rules --permanent

rule family="ipv4" destination address="192.168.100.2/24" service name="http" log prefix="http:"

以上の設定から、httpのアクセスがあると下記のように/var/log/messagesにログが出力されます。

またこれとは別にhttpd(apache)自身が出しているログが/var/log/httpd/access_logに保存されており、アクセス日時と送信元ipが同じなため同一のログであることがわかります。

次にrsyslogでfirewallのログをLSCへ転送する設定を行います。

# vi /etc/rsyslog.conf

90行目あたり以下をを追記します。

kern.warn                                                                                                   @@192.168.100.1:514

この場合は192.168.100.1(LSCサーバ)の514番ポートにTCPでログを転送する設定です。@@はTCPでの転送、@ではUDPでの転送になります。

設定を反映させて、Linuxのfirewallの設定は完了です。

# systemctl restart rsyslog

LSC設定

LSCの監視・収集よりfirewallのSYSLOG収集の設定を行います。

監視・収集一覧より右上のプラスボタンを押して新規項目を追加します。

新規項目の設定内容は次の通りです。

デバイス・アプリケーション種類に任意の名前を入れる(今回はhttp-firewall)。

ファシリティ: kern

プライオリティ:warn

※firewallのログはfacility.priority=kern.warnであるため、この設定で取得できます。

最後に追加ボタンを押し監視項目が作成されます。

設定後正常に収集できていれば以下のように表示されます。

もし表示されない場合は検索バーで表示する範囲(期間)の変更をお試し下さい。

※今回の設定では監視項目がkern.warnであるためfirewall以外のログが出力されます。もし他の方法を望まれる方は以下の記事よりマッチング文字列(今回の場合であれば”http:”)を設定し、指定したサービスのログのみを収集することが可能です。

SYSLOG収集

SYSLOG収集

※補足

「SYSLOG収集」にて利用されるポート番号はデフォルトでtcp/udp共に514となっています。/etc/rsyslog.confにてポート番号を514以外に設定した場合、環境設定より「SYSLOG収集」にて利用されるポート番号を変更することで514以外のポートでの「SYSLOG収集」が可能となります。環境設定につきましては、以下の記事をご参照ください。

LogStare Collector における環境設定について

LogStare Collector における環境設定について

以上でLinuxのfirewallログをLSCで収集する方法についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

D-Link製レイヤ2スマートスイッチにおけるSYSLOG/SNMP設定前のページ

rsyslogをホスト名、IPアドレスごとにフォルダー分けする方法次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. ログフォワーダー「okurun.jar」について
  3. Zabbixヒストリデータのレポート生成について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    FortiGateにおける複数のSyslogサーバへログ転送を行う設定について

    当記事では、FortiGateにおける複数のSyslogサーバへログ転…

  2. Windows/Linux

    Windows ServerのDHCPログをLSCにて収集する方法

    当記事では、Windows ServerのDHCPログをLogStar…

  3. Windows/Linux

    Linuxにおけるsnmpwalkコマンドのオプションと使い方について

    当記事では、Linuxにおけるsnmpwalkコマンドのオプションと使…

  4. NW機器

    BIG-IP にSNMP 設定を追加する

    当記事では、F5社のBIG-IPにおける、SNMP の設定方法について…

  5. NW機器

    D-Link製DGS-3000シリーズ及びDGS-3120シリーズにおけるSYSLOG/SNMP設定…

    当記事では、D-Link製DGS-3000シリーズ及びDGS-3120…

  6. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API監視について

    当記事では、Nutanix Prism におけるSNMP監視/REST…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. 実践記事

    DNSキャッシュポイズニングやってみた
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP