Syslog Serverの使用

はじめに

Syslog (System Logging Protocol) は、システムログやイベントメッセージを特定サーバであるsyslog サーバに送るために使われる標準プロトコルです。

Syslogプロトコルは、ルータやスイッチなど、ほとんどのネットワークデバイスで有効になっています。

Syslogは多くのログ分析ツールでも使われます。このようなツールを使う場合、Check Pointログがセキュリティゲートウェイからsyslogサーバにsyslogフォーマットで送られることを確認してください。

Check Pointでは次のsyslogプロトコルをサポートしています。RFC 3164 (旧) および RFC 5424 (新)。

以下の機能は、サポートされていません。IPv6ログとSoftware Bladeログ。

セキュリティゲートウェイの設定

デフォルトでは、セキュリティゲートウェイのログはSecurity Management Serverへ送られます。

ログを直接Syslogサーバに送信するようセキュリティゲートウェイを設定できます。

重要 - Syslogは暗号化プロトコルではありません。セキュリティゲートウェイとログプロキシが近くにあり、安全なネットワーク上で通信していることを確認してください。

プロシージャ

syslogサーバオブジェクトをSmartConsoleで定義します。
手順
1. 管理サーバにSmartConsoleから接続します。
2. 左側のナビゲーションパネルから[ゲートウェイ&サーバ]をクリックします。
3. Syslogサーバホストを表わすホストオブジェクトを作成します。
  1. オブジェクトエクスプローラから、New > Hostをクリックします。
  2. 以下のフィールドを設定します。
    
    Name - 一意の名前を入力します。
    
    IPv4 address - syslogサーバの正しいIPv4アドレスを入力します。
    
    IPv6 address - 任意:syslogサーバの正しいIPv6アドレスを入力します。これには、セキュリティゲートウェイ/各クラスタメンバでIPv6サポートが有効である必要があります。
  3. ［OK］をクリックします。。
4. Syslogサーバホストを表わすSyslogサーバオブジェクトを作成します。
  1. オブジェクトエクスプローラから、New > Server > More > Syslogをクリックします。
  2. 以下のフィールドを設定します。
    
    Name - 一意の名前を入力します。
    
    Host - 既存のホストを選択するか、Newをクリックして新しいコンピュータまたはアプライアンスを定義します。
    
    Port - syslogサーバの正しいポート番号を入力します(デフォルト=514)。
    
    Version - BSD ProtocolまたはSyslog Protocolを選択します。
  3. ［OK］をクリックします。。
5. オブジェクトエクスプローラを閉じます。
セキュリティゲートウェイ/クラスタオブジェクトで設定したsyslogサーバオブジェクトを選択します。
手順
1. Security Gatewayオブジェクトをダブルクリックします。
2. 左のツリーからLogsをクリックします。
3. Send logs and alerts to these log serversテーブルで、緑色(+)のボタンをクリックして設定したSyslog Serverオブジェクトを選択します。
  
  注：
  - ログを複数のSyslogサーバに送信するようセキュリティゲートウェイ/クラスタメンバを設定できます。
    
    セキュリティゲートウェイ/クラスタオブジェクトで選択したすべてのsyslogサーバは、同じプロトコルバージョンで使用する必要があります。（Version - BSD ProtocolまたはSyslog Protocol）
  - syslogサーバをバックアップサーバとしては設定できません。
4. ［OK］をクリックします。。
5. ポリシーをインストールします。

セキュリティゲートウェイ/各クラスタメンバのログ記録のプロパティを設定します。

注 - クラスタで、同じ方法でクラスタメンバを設定する必要があります。

fwsyslog_enableカーネルパラメータは、セキュリティゲートウェイにおけるカーネルのSyslog機能を有効または無効にします。

0 = 無効 (デフォルト)
1 = 有効

カーネルのSyslog機能を一時的（セキュリティゲートウェイが再起動するまで）、または永久的に（再起動後も）有効または無効にすることができます。

カーネルでのSyslogの状態を確認するには

セキュリティゲートウェイ/各クラスタメンバのコマンドラインにアクセスします。
エキスパートモードでログインします。

次を実行します。

fw ctl get int fwsyslog_enable

出力:

"fwsyslog_enable = 0"の場合、機能は無効です (デフォルト)
"fwsyslog_enable = 1"の場合、機能は有効です

カーネルのSyslog機能を永久的に有効にするには（再起動後も有効）

セキュリティゲートウェイ/各クラスタメンバのコマンドラインにアクセスします。
エキスパートモードでログインします。

$FWDIR/boot/modules/fwkern.confファイルを編集します:

vi $FWDIR/boot/modules/fwkern.conf

次の行を追加します:

fwsyslog_enable=1
ファイルでの変更を保存して終了します。
セキュリティゲートウェイ/クラスタメンバを再起動します。

カーネルのSyslog機能を永久的に無効にするには（再起動後も無効）

セキュリティゲートウェイ/各クラスタメンバのコマンドラインにアクセスします。
エキスパートモードでログインします。

$FWDIR/boot/modules/fwkern.confファイルを編集します:

vi $FWDIR/boot/modules/fwkern.conf

いずれか1つを実行します。
- カーネルパラメータの値を0に設定します:
  
  fwsyslog_enable=0
- 次の行全体を削除します:
  
  fwsyslog_enable=1
ファイルでの変更を保存して終了します。
セキュリティゲートウェイ/クラスタメンバを再起動します。

CoreXLファイアウォールインスタンスのログカウント

セキュリティゲートウェイ/各クラスタメンバ上のCoreXLファイアウォールインスタンスから送られるsyslogログの現在の数を確認できます。

1つのCoreXLファイアウォールインスタンスのログカウントを確認するには

セキュリティゲートウェイ/各クラスタメンバのコマンドラインにアクセスします。
エキスパートモードでログインします。

次を実行します。

fw -i <CoreXL Firewall Instance Number> ctl get fwsyslog_nlogs_counter

サンプル出力：

fwsyslog_nlogs_counter = 21

すべてのCoreXLファイアウォールインスタンスのログカウントを確認するには

セキュリティゲートウェイ/各クラスタメンバで2つのコマンドラインにアクセスします。
各コマンドラインにエキスパートモードでログインします。

1つ目のシェルで次を実行します：

fw ctl zdebug | grep logs

2つ目のシェルで次を実行します：

fw ctl set int fwsyslog_print_counter 1

1つ目のシェルで、各CoreXLファイアウォールインスタンスとすべての合計のCoreXLファイアウォールインスタンスのカウンタを確認します。

サンプル出力：

;[cpu_2];[fw4_0];Number of logs sent from instance 0 is 43;

;[cpu_2];[fw4_0];Number of logs sent from instance 1 is 39;

;[cpu_2];[fw4_0];Number of logs sent from instance 2 is 50;

;[cpu_2];[fw4_0];Total logs sent from kernel (all instances) = 132;

1つ目のシェルで、CTRL+Cを押してデバッグを停止します。

Syslogについては、付録:手動のSyslog解析を参照してください。