手動のSyslog解析

syslogファイルを解析するには

1. 新しい解析ファイル<device product name>.Cを作成します。

2. そのファイルを、ログサーバのディレクトリ$FWDIR/conf/syslog/UserDefinedに置きます。

3. ログサーバ上で、$FWDIR/conf/syslog/UserDefined/UserDefinedSyslogDevices.Cファイルを編集して、新しい解析ファイルを含む行を追加します。例:

   : (             :command (                   :cmd_name (include)                   :file_name ("snortPolicy.C")             )       )

4. オプション：必要な場合行います。

   1. 新しいディレクトリファイル<device product name>_dict.iniを作成します。辞書を参照してください。

   2. ファイルを、ログサーバのディレクトリ$FWDIR/conf/syslog/UserDefinedに置きます。

      ディクショナリにより、異なるデバイスからのログの同じ意味を持つ値を、共通の値に変換します。この共通の値は、イベント定義で使用します。

   3. ログサーバのファイル$FWDIR/conf/syslog/UserDefined/UserDefinedSyslogDictionaries.Cを編集します。

   4. 辞書ファイルを含む行を追加します。例:

      :filename ("snort_dict.ini")

5. 解析を確認するには、syslogのサンプルをCheck Point Log Serverへ送ります。

syslogサンプルを送信するには

1. ログサーバでsyslogを許可するよう設定するには、SmartConsoleを備えたSecurity Management Serverに接続します。

2. Logs and Masters > Additional Logging Configurationで、プロパティAccept Syslog messagesを有効にします。

3. ログサーバネットワークオブジェクトを編集します。

4. コマンドcpstop & cpstart、またはfw kill fwd & fwd -nを実行します。

   ログサーバでfwd処理が再開します。

5. デバイス、またはsyslogジェネレータから直接syslogを送信します。

   例:Kiwi Syslog Message Generator (http://www.kiwisyslog.com/software_downloads.htm#sysloggen.)

トラブルシューティング

SmartConsoleに想定どおりのログが表示されない場合、解析ファイルに問題がある可能性があります。

• 構文エラーが解析ファイルにある場合は、エラーメッセージが表示されます。特定のエラーメッセージを読み取る場合、プロシージャfwd -nを実行する前にTDERROR_ALL_FTPARSERの値を5に設定します。

• 'Product syslog'でsyslogがSmartConsoleに表示される場合、ログは正しく解析されず、一般のsyslogとして解析されたことを意味します。

• プロダクトフィールドに別のプロダクト(追加したものではなく)が含まれている場合、他のプロダクトの解析ファイルに問題があることを意味しています。この場合はCheck Point SmartEventチームに報告してください。

• ログで正しくレポートされている場合は、取り出したすべてのフィールドを確認します。Informationセクションも確認します。More Columnsを選択して表示されるフィールドもあります。