ログ > Syslog

Dell SonicWALL セキュリティ装置では、イベント メッセージを GUI に表示するだけでなく、同じメッセージを外部の、ユーザ設定の Syslog サーバに送信して表示することができます。「Syslog 設定」で Syslog メッセージの形式を選択し、送信先の Syslog サーバを Syslog サーバのテーブルで指定できます。

SonicWALL の Syslog はすべてのログ アクティビティをキャプチャし、すべての接続の送信元と送信先の名前/IP アドレス、IP サービス、および転送バイト数を記録します。Dell SonicWALL の Syslog サポートでは Syslog デーモンを実行する外部サーバが必要で、その UDP ポートを設定できます。

Dell SonicWALL には完全互換の Syslog ビューア (GMS、Analyzer など) があり、受信 Syslog メッセージに基づいて有用なレポートを生成できます。GMS または Analyzer が有効にされると、送信先ホストが Syslog サーバの 1 つとして自動的に追加されます。しかし、その他の Syslog サーバを必要に応じて追加することもできます。最大 7 つの Syslog サーバをファイアウォールに接続できます。

* 
補足:詳細については、RCF3164 - BSD Syslog プロトコルを参照してください。
* 
補足:Syslog 出力は、「ログ > 設定」ページで行ったイベント、グループ、またはグローバル種別に対するイベント優先順位の変更に影響されます。詳細については、イベント属性のグローバルな設定 を参照してください。
* 
補足:SonicWALL の Syslog サポートでは、UDP ポート 上で Syslog デーモンを実行する外部サーバが必要になります。既定のポートは UDP Port 514 ですが、別のポートを選択してもかまいません。

「ダッシュボード > ログ監視」ページを表示するには、ページの右上隅にある「ログ監視を表示します 」アイコンを選択します。

トピック:
Syslog 設定
Syslog サーバの追加

Syslog 設定

ログ > Syslog」ページでは、Syslog サーバにログを送信するときに使用する各種設定を指定できます。使用する Syslog ファシリティと Syslog 形式を選択できます。

* 
補足:Dell SonicWALL の グローバル管理システム (GMS) を使用してファイアウォールを管理している場合、「Syslog 形式」は既定に固定され、「Syslog ID」は firewall に固定されます。したがって、これらのフィールドはグレーアウトされ、変更できません。しかし、他のすべてのフィールドは、必要に応じてカスタマイズできます。

Syslog 設定の設定

ファイアウォールで Syslog 設定を指定するには、次の手順に従います。
1
ログ > Syslog」ページに移動します。
2
Syslog ファシリティは、工場出荷時の既定の設定のままでもかまいません。しかし、必要に応じて「Syslog 設定」セクションの「Syslog ファシリティ」メニューから、ネットワークに適した Syslog ファシリティを選択します。
カーネル
ユーザ レベル メッセージ
メール システム
システム デーモン
セキュリティ/認証メッセージ
Syslogd により内部的に生成されたメッセージ
ライン プリンタ サブシステム
ネットワーク ニュース サブシステム
UUCP サブシステム
Clock Daemon (BSP Linux)
AUTHPRV セキュリティ/認証メッセージ
FTP デーモン
NTP サブシステム
ログ監査
ログ警告
Clock Daemon (Solaris)
ローカル 0
ローカル 1
ローカル 2
ローカル 3
ローカル 4
ローカル 5
ローカル 6
ローカル 7
3
(オプション) Syslog 設定をオーバーライドしてレポーティング ソフトウェアの設定を使用する場合は、DELL レポーティング ソフトウェアを使用していれば、「レポート ソフトウェアの設定を Syslog 設定よりも優先させる」オプションを選択します。
* 
補足:ViewPoint モードまたは Analyzer モードが有効なとき、「レポート ソフトウェアの設定を Syslog 設定よりも優先させる」オプションは自動的に選択されます。このオプションを選択すると、Syslog 形式は常に既定の形式にリセットされます。
4
Syslog 形式」メニュー リストから、使用する Syslog 形式を選択します。以下の Syslog 形式がリストされます。
既定 - 既定の SonicWALL Syslog 形式を使用します。
* 
補足:既定の Syslog 形式は、GMS またはレポーティング ソフトウェアで必要とされます。
WebTrends - WebTrends Syslog 形式を使用します。WebTrends ソフトウェアをシステムにインストールしておく必要があります。
拡張 Syslog - 拡張 Dell SonicWALL Syslog 形式を使用します。
ArcSight - ArcSight Syslog 形式を使用します。ArcSight Logger アプリケーションで ArcSight メッセージがデコードされるように Syslog サーバを設定する必要があります。

拡張 Syslog」または「Arcsight」を選択すると、設定アイコン が有効になります。設定アイコンをクリックすると、設定ダイアログが起動し、ログに記録する特定の設定を選択できます。

5
選択した Syslog 形式が
既定または WebTrends の場合は、Step 13 に進みます。
拡張 Syslog の場合は、Step 6 に進みます。
ArcSight の場合は、Step 10 に進みます。
6
(オプション)「拡張 Syslog」を選択した場合は、設定アイコン を選択します。「拡張 Syslog の設定」設定ウィンドウが表示されます。

7
(オプション) ログに記録する「拡張 Syslog」オプションを選択します。すべてのオプションを選択するには、「すべて選択」を選択します。すべてのオプションを選択解除するには、「すべて消去」を選択します。
8
保存」を選択します。
9
Step 13 に進んでください。
10
(オプション)「ArcSight」を選択した場合は、設定アイコン を選択します。「ArcSight CEF フィールドの設定」設定ウィンドウが表示されます。

11
(オプション) ログに記録する「ArcSight」オプションを選択します。すべてのオプションを選択するには、「すべて選択」を選択します。すべてのオプションを選択解除するには、「すべて消去」を選択します。
12
保存」を選択します。
13
Syslog ID」ボックスに、使用する Syslog ID を入力します。

Syslog ID」フィールドの値の前に「id=」を付けたものが、生成されるすべての Syslog メッセージで使用されます。したがって、既定値 firewall の場合は、すべての Syslog メッセージに「id=firewall」が含まれます。この ID として設定する文字列には英数字とアンダースコアを使用でき、長さは 0 ~ 32 文字です。

* 
補足:レポート ソフトウェアの設定を Syslog 設定よりも優先させる」オプションが有効なとき、「Syslog ID」フィールドは firewall に固定されるので、変更できません。
14
(オプション) 必要に応じて「イベント送出数を制限する」を選択します。このコントロールを使用して、イベントの速度制限を有効にし、内部または外部のログ機構がログ イベントに圧倒されることを防止できます。「1 秒間あたりの最大イベント数」フィールドでイベントの最大数を指定します。最小は 0、最大は 1000、既定値は 1 秒間あたり 1000 です。
* 
補足:イベント送出数とデータ速度の制限は、個々のイベントのログ優先順位とは関係なく適用されます。
15
(オプション) 必要に応じて「イベント データ送出バイトを制限する」を選択します。このコントロールを使用して、データの速度制限を有効にし、内部または外部のログ機構がログ イベントに圧倒されることを防止できます。「1 秒間あたりの最大バイト数」フィールドで最大バイト数を指定します。最小は 0、最大は 1000000000、既定値は 1 秒間あたり 10000000 バイトです。
16
(オプション) 必要に応じて「Syslog サーバの NDPP 強制を有効にする」を選択します。
17
Syslog オプションの設定が完了したら、ページ上部にある「適用」を選択します。