ログ > Syslog

標準のイベント ログに加え、Dell SonicWALL セキュリティ装置は、詳細なログを外部の Syslog サーバに送信することができます。Dell SonicWALL の Syslog はすべてのログ アクティビティをキャプチャし、すべての接続ソースと宛先 IP アドレス、IP サービス、および転送バイト数を記録します。Dell SonicWALL の Syslog サポートでは、UDP ポート 514 上で Syslog デーモンを実行する外部サーバが必要になります。

Tip 詳細については、RCF3164 - BSD Syslog プロトコルを参照してください。

既定の Dell SonicWALL Syslog や WebTrends Firewall Suite などの Syslog アナライザを使用して、Syslog データの並べ替え、分析、グラフ化を行うことができます。これで、Dell SonicWALL セキュリティ装置からサーバにメッセージが送信されます。最大で 3 つの Syslog サーバを接続できます。

次の図に、「ログ > Syslog」ページを示します。

Syslog 設定

ログ > Syslog」ページでは、Syslog サーバにログを送信するときに使用する各種設定を指定できます。使用する Syslog ファシリティと Syslog 形式を選択できます。

Note Dell SonicWALL のグローバル管理システム (GMS) を使用してファイアウォールを管理している場合、Syslog サーバのフィールドはファイアウォール管理者では設定できません。

 

ファイアウォールで Syslog 設定を指定するには、次の手順に従います。

1. 「ログ > Syslog」ページに移動します。

Syslog 設定」で、次のように設定します。

2. Syslog ファシリティ」メニュー リストから、使用する「Syslog ファシリティ」を選択します。

3. (オプション) Syslog 設定をオーバーライドしてレポーティング ソフトウェアの設定を使用する場合は、「レポート ソフトウェアの設定を Syslog 設定よりも優先させる」オプションを選択します。
以下の Syslog ファシリティがリストされます。

• カーネル メッセージ

• ユーザ レベル メッセージ

• メール システム

• システム デーモン

• セキュリティ/認証メッセージ

• Syslogd により内部的に生成されたメッセージ

• ライン プリンタ サブシステム

• ネットワーク ニュース サブシステム

• UUCP サブシステム

• クロック デーモン

• セキュリティ/認証メッセージ

• FTP デーモン

• NTP サブシステム

• ログ監査

• ログ警告

• クロック デーモン

• ローカル 0 (Local0)

• ローカル 1 (Local1)

• ローカル 2 (Local2)

• ローカル 3 (Local3)

• ローカル 4 (Local4)

• ローカル 5 (Local5)

• ローカル 6 (Local6)

• ローカル 7 (Local7)

 

4. 「Syslog 形式」メニュー リストから、使用する Syslog 形式を選択します。
以下の Syslog 形式がリストされます。

• 既定 - 既定の Dell SonicWALL Syslog 形式を使用します。

• WebTrends - WebTrends Syslog 形式を使用します。WebTrends ソフトウェアをシステムにインストールしておく必要があります。

• 拡張 Syslog - 拡張 Dell SonicWALL Syslog 形式を使用します。

ArcSight - ArcSight Syslog 形式を使用します。ArcSight Logger アプリケーションで ArcSight メッセージがデコードされるように Syslog サーバを設定する必要があります。ArcSight Logger は、Linux 64 ビット プラットフォームと CentOS 5.4 で動作します。

拡張 Syslog」または「Arcsight」を選択すると、設定アイコン syslog_format_config.jpg が有効になります。設定アイコンをクリックすると、設定ダイアログが起動し、ログに記録する特定の設定を選択できます。

5. (オプション) 「拡張 Syslog」を選択した場合は、設定アイコン syslog_format_config00321.jpg を選択します。
拡張 Syslog」設定ダイアログが表示されます。

syslog_enhanced_dialog.png

 

6. (オプション) ログに記録する「拡張 Syslog」オプションを選択します。

7. (オプション) 「ArcSight」を選択した場合は、設定アイコン syslog_format_config00322.jpg を選択します。
ArcSight」設定ダイアログが表示されます。

syslog_arcsight_dialog.png

 

8. (オプション) ログに記録する「ArcSight」オプションを選択します。

9. Syslog ID」ボックスに、使用する Syslog ID を入力します。

Syslog ID」フィールドの値の前に「id=」を付けたものが、生成されるすべての Syslog メッセージで使用されます。したがって、既定値 firewall の場合は、すべての Syslog メッセージに「id=firewall」が含まれます。「レポート ソフトウェアの設定を有効にする」オプションを有効にすると、Syslog ID フィールドは無効になります。

10. (オプション) 必要に応じて「イベント送出数を制限する」を選択します。
このコントロールを使用して、イベントの速度制限を有効にし、内部または外部のログ機構がログ イベントに圧倒されることを防止できます。

11. (オプション) 必要に応じて「イベント データ送出バイトを制限する」を選択します。
このコントロールを使用して、データの速度制限を有効にし、内部または外部のログ機構がログ イベントに圧倒されることを防止できます。

Syslog サーバ

Dell SonicWALL セキュリティ装置に Syslog サーバを追加するには、次の手順に従います。

1. 「追加」を選択します。「Syslog サーバの追加」ウィンドウが表示されます。

「名前または IP アドレス」フィールドに Syslog サーバの名前または IP アドレスを入力します。これで、Dell SonicWALL セキュリティ装置からサーバにメッセージが送信されます。

3. Syslog が既定のポート 514 を使用しない場合は、「ポート番号」フィールドにポート番号を入力します。

4. 「OK」を選択します。

5. 「適用」を選択して、すべての「Syslog サーバ」設定を保存します。