ログ記録について

セキュリティゲートウェイでログを生成し、Security Management Serverでは管理者によるアクションを記録した監査ログを生成します。各セキュリティゲートウェイにインストールされたセキュリティポリシーによって、ログを生成するルールが決められています。

ログは以下に保存できます。

セキュリティゲートウェイからログを収集するSecurity Management Server。これはデフォルトです。
専用マシンのログサーバ。大量のログが発生する企業にお勧めします。
Security Gateway：これはローカルロギングと呼ばれます。

注 - ログは、スケジュールに従って自動的にSecurity Management ServerまたはLog Serverへ転送されるか、via CLI (fw fetchlogs)を経由してRemote File Management操作で手動でインポートされます。管理サーバとログサーバから、他のサーバへログを転送することもできます。

ログ記録に必要なストレージを確認するには、新アプライアンスのデータシートを参照してください。

Log Serverでは次のようなログ管理の処理が行われます。

既存のログファイルが定義された最大サイズを超えると自動的に新しいログファイルを開始。
エクスポート/インポートするためにログファイルを保存。
ログクエリに対する迅速なレスポンスを行うためのログのインデックス作成。

注：
- Smart-1 205、Smart-1 210、4コア以下のオープンサーバについて、アップグレード後や新たにインストールした後はSmartLog Indexingモードはデフォルトで有効になっていません。
- Domain Management ServerまたはDomain Log Serverで、SmartLogのモードをインデックス化から非インデックス化に変更する場合は、ドメインレベルでDomain Serverオブジェクトを編集します。Multi-Domain ServerまたはMulti-Domain Log Server全体を非インデックス化モードに変更するオプションはありません。

管理者はバックアップログサーバを設定できます。すべてのプライマリログサーバが切断されると、セキュリティゲートウェイは最初に設定されたバックアップログサーバにのみログを送信し始めます。最初のバックアップログサーバも切断されると、セキュリティゲートウェイは2番目に設定されたバックアップログサーバにログを送信します。

ダイナミックなログ配布

ダイナミックなログ配布により、ゲートウェイからアクティブなログサーバ間にログを配布するよう設定できます。それまでは、各ログサーバはログのコピーを受け取っていました。ログサーバが切断されると、ゲートウェイはバックアップサーバに接続し、各ログのコピーを送っていました。新しいバージョンでは、各ログを1つのログサーバに送り、プライマリログサーバ間でログを分配できるよう設定できます。すべてのプライマリサーバが切断された場合は、ログはバックアップログサーバ間に分配されます。ログサーバが1つも接続していない場合、ゲートウェイでローカルにログが書き込まれます。

使用事例 - ログの配布により、ログサーバでの高いリソースのニーズや、特定ゲートウェイ接続の負荷を低減し、高いCPUとディスク容量のニーズも軽減します。

ゲートウェイは高いログレートのため、ローカルにログを書き込みます。
特定のログサーバにおける付加がとても高くなります。

複数のログサーバ間でログの配布をSmartConsoleで設定するには

左側のナビゲーションパネルから[ゲートウェイ&サーバ]をクリックします。
Security Gatewayオブジェクトを開きます。
左のツリーからLogs>Log Distributionをクリックします。
Logs Distributionで、Distribute logs between log servers for improved performance (プライマリとバックアップのログサーバに適用)を選択します。
プライマリとバックアップのログサーバを選択します。
OKをクリックします。
設定したログサーバにデータベースをインストールします(Menu > Install database > プライマリとバックアップのログサーバオブジェクトを選択 > Installをクリック)。
ポリシーをセキュリティゲートウェイにインストールします。

ログストレージ

SmartEventとLog Serverでは、最適化アルゴリズムを使用してディスク容量と他のシステムリソースを管理します。ログとイベントデータベースが大量になると、設定したしきい値に従って古いログとイベントから自動的に削除されていきます。

SmartConsoleで、編集するSecurity GatewayまたはCheck Pointホストを開き、Logs > Storageを開きます。

以下のフィールドを設定します。

ディスク空き容量の確認 - MBytesまたはPercentageを選択します。
When disk space is below <number> Mbytes, issue alert - ログとログインデックスファイルに利用できるディスク容量がこの閾値を下回るとアラートが発生します。この値は、Additional logging optionsページの...stop loggingよりも最低5 MB以上大きい値にしてください。
When disk space is below <number> Mbytes, start deleting old files - 利用可能なディスク容量がこのしきい値を下回ると、古いログとログインデックスファイルを削除していきます。この値は、When disk space is below <number> Mbytes, start deleting old files, issue alertよりも最低5 MB以上大きい値にしてください。
Run the following script before deleting old files - スクリプトへのパスを入力します。スクリプトはサーバに存在している必要があります

このオプションはゲートウェイのみです

Reserve <number> <units> for packet capturing - 一部のタイプのログでも、ログイベントを作成するパケットをキャプチャできます。MBytesまたはパーセントで、パケットキャプチャに使用したい値を設定します。

これらのオプションと例はSecurity Management Server、SmartEvent Server、Log Serverが対象です。

When disk space is below <number> Mbytes, start deleting old files - ログパーティションで利用可能な容量が1分おきにチェックされます。一度しきい値に達すると、ログディスクのメンテナンスが発生し、最も古い日付のログとインデックスデータを削除し、設定したしきい値より多くなるまで、繰り返されます。

Daily logs retention

Keep indexed logs for no longer than <number> days - 毎晩夜中に実行します。日付が古いインデックスファイルを削除して、今日と設定したインデックス日数(14 = 14日+今日)のファイルを保持します。
Keep log files for an extra <number> days - 毎晩夜中に実行します。日付が古いインデックスファイルを削除して、今日と設定したインデックス日数プラスログ日数(3664 = 14 [インデックス設定から] + 3650日+今日)のファイルを保持します。3664は10年以上であり、事実上すべてのログファイルが保持されます。

注 - インデックス化ログとログファイル両方の最大集計値は3664です。

これらの例として、管理者は次のしきい値を有効にしています。

When disk space is below [5000] Mbytes, start deleting old files
Daily logs retention
- Keep indexed logs for 14 days
- Keep log files for an extra 6 days (6 + 14 = 20日のログファイル)

例1:

サーバには3000 MBytesのディスク空き領域があり、ログとインデックスファイルは5日です。

サーバは5000 MBytesのディスク空き領域ができるまで、ログとインデックスファイルを削除します。

例2:

サーバには10 MBytesのディスク空き領域があり、ログとインデックスファイルは30日です。

サーバは毎晩夜中に、20日より前(6 + 14)のすべてのログファイルを削除します。

サーバは毎晩夜中に、14日より前のすべてのインデックスファイルを削除します。

例3:

サーバは1 GBのログと1 GBのインデックスファイルを毎日生成します。サーバには35日分のログと30日分のインデックスファイルがあり、ディスクの空き容量は残り2.5GBです。設定したディスク容量しきい値は5 Gbなので、サーバの空き容量がしきい値を2.5 GB下回っていることになります。

インデックスファイルのしきい値は14日です。

ログファイルのしきい値は20日です。

ディスク容量のしきい値(5 GB)に達すると、ディスク容量のメンテナンスにより、5 GB以上の空き容量ができるまで、ログとインデックスデータが削除されます。この例の場合:

1 日目からのログは、古いため削除されます。3日分の古いログが削除されて3 GBのログがクリアされ、ドライブに6 GBの空き容量ができます。しきい値を1 GB上回り、サーバには32日のログと30日のインデックスが残ります。
サーバには14日分以上のインデックスファイル、つまりプラス16日分あります(30日分のインデックスファイル)。

また、20日分以上のログ、つまりプラス12日分あります(32日分のログファイル)。

夜中に、当日のログファイルと最小限の20日間分のログファイルが残るまで、余分のログとインデックスファイルが削除されます。

夜中に、当日のインデックスと最小限の14日間分が残るまで、インデックスの日数が削除されます。

3日分のログを削除し、5.5 GBの空き容量が残ります。

12日分のログファイル+16日分のインデックスファイルで、合計28 GB (12+16)の空き容量ができます。

これで、33.5 GBの空き容量ができました。

毎日のログの保存は夜中に行われ、設定した日数のログ + インデックスデータを保持します。

通常は、ログのディスク容量のしきい値に達することはありません。しかし、ログのディスク容量のしきい値に再び達することがあると、容量が不足しないようにログのディスクメンテナンスプロセスが繰り返されます。

専用ドメインログサーバ

専用ドメインログサーバの導入を参照してください。

R80以降のSecurity Management Server/Log ServerでLog Receive Rateを監視する方法については、sk120341を参照してください。

Security Management Serverの負荷を軽減させる場合は、専用のLog Serverをインストールし、セキュリティゲートウェイからのログをこのLog Serverに送るよう設定します。すべてのLog Serverからのログを確認するには、SmartConsoleでSecurity Management Serverにアクセスし、ログ&モニタリングビューのログタブに移動します。

デイリーログの保持

デイリーログの保持は、ログが削除されるまでに保存される期間のことです。この値を設定することでディスクの空き領域を管理できます。

設定したログを保持する値に関係なく、ディスク容量のメンテナンスが必要な緊急事態であっても、監査ログは削除されません。監査ログのデイリー保持は設定できません。

監査インデックスは、ディスク容量の緊急事態の場合のみ削除されます。監査インデックスは、SmartConsoleで設定した値に関係なく、毎日のメンテナンスの一環として削除はされません。ただし、log_maintenance_domain_conf.csvファイルで設定されている場合は除きます(Global SmartEventのみ)。詳細についてはsk164054を参照してください。

R80.40以降では、次のサーバでログの保持について設定できます。

Management/Log Servers:SmartConsoleでの設定。
Multi-Domain Server/Multi-Domain Log Server:各サーバとドメインに対してSmartConsoleでログとインデックスの保持を設定し、マルチドメインサーバレベルのすべてのドメインのデフォルト値を使用できます(スーパーユーザのみ)。

注 - Multi-Domain Serverのデイリーインデックスの保持は、ドメインとMulti-Domain Serverレベルの間で定義された最大値に基づいて実施されます。
Global SmartEvent:Daily index retentionの手動設定ファイルでのみ設定します。詳細についてはsk164054を参照してください。

注 - ログの保持を設定する場合:

Keep log files for an extra Y days:この値が0の場合、ログとインデックスログは同じ日数保存されます。追加の保存するログ日数が0より大きい値。

例1:

インデックス化ログ:14日 & ログファイル:0日間

結果:14インデックス日間と14日間のログファイル。

例2:

インデックス化ログ:14日 & ログファイル:6日間

結果:14インデックス日間と20日間のログファイル。

デイリーログの保持を設定するには(Management/SmartEvent/Log Server):

SmartConsoleで、ログ > ストレージへ移動します。
デイリーログの保持をしたい場合は、選択してログを保持するポリシーを適用します。
- インデックスログの保存期間を<X>日以内にします。
- ログファイルの保存を<Y>日間延長します。
［OK］をクリックします。設定を保存します。

デイリーログの保持を設定するには(マルチドメインサーバ):

SmartConsoleで、Multi-Domain Server > ログの設定 > 一般へ移動します。
デイリーログの保持をしたい場合は、選択してログを保持するポリシーを適用します。
- インデックスログの保存期間を<X>日以内にします。
- ログファイルの保存を<Y>日間延長します。
［OK］をクリックします。設定を保存します。

注 - この設定は、手動で設定されていないすべてのドメインに適用されます。

デイリーログの保持を設定するには(Domain Management Server):

Domain Management Serverで、ログ > ストレージへ移動します。
選択して、マルチドメイン設定に基づく、またはオーバーライドするログの保持を設定します。

注 - マルチドメイン設定をオーバーライドできる権限を持つのはスーパーユーザだけです。
オーバーライドを選択する場合は、インデックス化ログとログファイルを X + Y日間保持するよう選択します。
［OK］をクリックします。設定を保存します。

デイリーログの保持を設定するには(Global SmartEvent):

他のケースとは違い、ポリシー設定を行うGUIはありません。現在のGUI設定に対する変更は一切行われず、デフォルトの値が適用されます。

ただし、log_policy_extended.Cを使った一般設定、またはlog_maintenance_domain_conf.csvファイルを使ってデイリーインデックスの保持を個々のドメインに対して設定をすることができます (sk164054を参照)。

各ドメインを個別に設定するには

$RTDIR/conf/log_maintenance_domain_conf.csvファイルをMulti-Domain Serverからコピーします(推奨)

または

テンプレートをsk164054からダウンロードして、$RTDIR/conf/log_maintenance_domain_conf.csvファイルを置きます
ファイルを手作業で編集するか、Excelで編集します。

ファイルをLinux以外の環境で編集する場合、dos2unixを使ってファイルをLinuxフォーマットに変換する必要があります。変換しないと、ファイルの読み込みができない場合があります。

各ドメインにデフォルトの値を使用できるため、ドメインごとに設定する必要はありません。デフォルトのドメインを追加して、デフォルトとして使用する値を指定すればこの設定が可能です。

ベストプラクティス - すべてのドメインが個別に設定されいても、デフォルトの値を追加します。新しいドメインを追加してこのファイルを編集し忘れたり、ドメイン名に誤りがあった場合などに役立ちます。

デフォルト値が設定されていない場合、ファイルで設定されていないすべてのドメインには、特定のインデックスタイプに設定されたファイルに書かれた最大値が設定されます。

Domain_name	監査	ファイル	firewallandvpn	other	other-smartlog	リソース	SmartEvent
ドメイン1	3650	20	15	14	14	14	14
ドメイン2	3650	20	30	14	14	14	14
デフォルト	3650	30	14	14	14	14	14

例では、ドメイン3でデフォルト値が使われています。

デフォルトが未設定の場合、最大値が使われます:(3650, 20, 30, 14, 14, 14, 14, 14)