付録:手動のSyslog解析
サードパーティ製のデバイスの多くはsyslogフォーマットでのログを使用します。ログサーバでRawデータをCheck Pointのログ形式に再フォーマットし、サードパーティのsyslogメッセージに処理します。SmartEventで再フォーマットしたログを受け取り、セキュリティ イベントに変換します。
Log Parsing Editorを使って解析ファイルを作ることができます(Syslogメッセージのインポートを参照)。また、手動で解析ファイルを作成することもできます。このセクションでは作成方法について説明します。
|
|
警告 - 備えられている解析ファイルを手動で変更した場合、アップグレード時に自動保存されません。コメントなどで変更をわかるようにしておいてください。 |
考慮事項
-
これらのガイドで、デバイスが生成するログの正しい構成を確認してください。
-
デバイスが生成可能なログと構成を説明するベンダーのログ記録ガイドやその他のドキュメント。すべての関連ログを見つけるために、ドキュメントは重要です。通常は解析ファイルを書けば十分です。
-
できるだけ多くのログサンプル。SmartEventで使用するため、実際のデバイスから生成されたログを使用します。サンプルは、解析ファイルを検査して調整するために重要です。
-
-
フリーテキスト解析言語と必要な解析ファイル、ログサーバ上の場所について詳しく確認してください(解析プロシージャを参照)。
-
対象製品の既存の解析ファイルを比較します。
-
ログから取り出すフィールドを選択します。取り出すフィールドは、各デバイスにより異なります。ただし、同じカテゴリのデバイスでは、通常ログフィールドは同じです。例:
デバイスのタイプ
標準ログフィールド
ファイアウォール、ルータ、接続ベースのログを送る他のデバイス
発信元IPアドレス、宛先IPアドレス、発信元ポート、宛先ポート、プロトコル、許可/拒否の表示
IDS / IPS、アプリケーションファイアウォール、攻撃ログを送る他のデバイス
攻撃名/ID
解析プロシージャ
プロシージャはログサーバで行い、syslog daemonで開始します。ログサーバで実行するSyslog daemonはsyslogを受信して解析を呼び出します。解析には、さまざまな解析定義や条件などを持つ多くの解析ファイルが関与し、これらは$FWDIR/conf/syslog/ディレクトリにあります。これらのファイルにはデバイス特定の解析ファイルがあり、デバイス固有のsyslogフォーマットに従って実際の解析とフィールドの抽出などが定義されています。
解析はsyslog_free_text_parser.Cファイルから開始します。このファイルは異なる辞書の用語を定義してsyslogを解析します。すべてのsyslogメッセージに共通しているフィールド(PRI、日付と時刻など)、およびsyslogを生成したマシンとアプリケーションをファイルで取り出します。
syslog_free_text_parser.CファイルではallDevices.Cファイルを使用します(2つのファイル:UserDefined/UserDefinedSyslogDevices.CとCPdefined/CPdefinedSyslogDevices.Cを参照)。
-
1番目のファイル(UserDefined/UserDefinedSyslogDevices.C)にはユーザが定義するデバイス解析ファイルの名前が含まれています。
-
2番目のファイル(CPdefined/CPdefinedSyslogDevices.C)にはCheck Pointが定義するデバイス解析ファイルが含まれています。
allDevices.Cファイルはデバイス解析ファイルを読み、受け取るsyslogをファイルで解析されるsyslogフォーマットでマッチングします。
Syslogの事前解析に成功した後(syslogフォーマットに一致したsyslogオリジン)、ファイルで残りのsyslogが解析されます。一致するものが見つからない場合、Check Pointデバイス解析ファイルに進み、一致するまで実行します。
