syslogサーバに監査ログを送信するためのFMCの設定
はじめに
このドキュメントでは、Syslogサーバに送信されるセキュアファイアウォール管理センター(SCM)監査ログを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Firewall Management Center(FMC)の基本的なユーザビリティ
- Syslogプロトコルの理解
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Firewall Management Center Virtual v7.4.0
- サードパーティのSyslogサーバ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド情報
Secure Firewall Management Centerは、読み取り専用の監査ログにユーザアクティビティを記録します。Firepowerバージョン7.4.0以降では、設定データの形式とホストを指定することで、監査ログデータの一部として設定変更をsyslogにストリーミングできます。外部サーバに監査ログをストリーミングすることにより、管理センターのスペースを節約できます。これは、設定変更の監査証跡を提供する必要がある場合にも役立ちます。
ハイアベイラビリティの場合は、アクティブなmanagement centerのみが、設定変更syslogを外部syslogサーバに送信します。ログファイルはHAペア間で同期されるため、フェールオーバーまたはスイッチオーバーの際に、新しいアクティブなmanagement centerが変更ログの送信を再開します。HAペアがスプリットブレインモードで動作している場合、そのペアの両方の管理センター(MC)は外部サーバに設定変更syslogを送信します。
設定
ステップ 1:Syslogへの監査ログの有効化
FMCが監査ログをsyslogサーバに送信するようにするには、System > Configuration > Audit Log > Send Audit Log to Syslog > Enabledの順に選択します。
次の図は、Send Audit Log to Syslog機能を有効にする方法を示しています。
FMCは、最大5台のsyslogサーバに監査ログデータをストリーミングできます。
ステップ 2Syslog情報の設定
サービスを有効にした後、syslog情報を設定できます。syslog情報を設定するには、System > Configuration > Audit Logの順に選択します。
要件に応じて、Send Configuration Changes, Hosts, Facility, Severityを選択します。
次の図に、監査ログ用にSyslogサーバを設定するパラメータを示します。
確認
パラメータが正しく設定されているかどうかを確認するには、System > Configuration > Audit Log > Test Syslog Serverの順に選択します。
次の図は、正常なSyslogサーバテストを示しています。
syslogが機能していることを確認するもう1つの方法は、syslogインターフェイスをチェックして監査ログが受信されていることを確認することです。
次の図は、Syslogサーバが受信する監査ログの例を示しています。
syslogサーバで受信できる設定変更の例を次に示します。
2023-09-29 16:12:18 localhost 172.16.10.2 Sep 29 16:12:23 firepower: [FMC-AUDIT] mojo_server.pl: admin@10.26.166.110, /ui/ddd/, Page View
2023-09-29 16:12:20 localhost 172.16.10.2 Sep 29 16:12:25 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT, Page View
2023-09-29 16:12:23 localhost 172.16.10.2 Sep 29 16:12:28 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:13:39 localhost 172.16.10.2 Sep 29 16:13:44 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Objects > Object Management > NetworkObject, create csm-lab
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NAT Policy Editor, Save Policy NATPolicy
2023-09-29 16:14:32 localhost 172.16.10.2 Sep 29 16:14:37 firepower: [FMC-AUDIT] sfdccsm: admin@10.1.1.10, Devices > NAT > NGFW NAT Policy Editor, Page View
2023-09-29 16:14:54 localhost 172.16.10.2 Sep 29 16:14:59 firepower: [FMC-AUDIT] ActionQueueScrape.pl: csm_processes@Default User IP, Login, Login Success
2023-09-29 16:14:55 localhost 172.16.10.2 Sep 29 16:15:00 firepower: [FMC-AUDIT] ActionQueueScrape.pl: admin@localhost, Task Queue, Successful task completion : Pre-deploy Global Configuration Generation
トラブルシュート
設定を適用した後、FMCがsyslogサーバと通信できることを確認します。
システムはICMP/ARPおよびTCP SYNパケットを使用して、syslogサーバが到達可能であることを確認します。次に、チャネルを保護している場合、システムはデフォルトでポート514/UDPを使用して監査ログをストリーミングし、TCPポート1470を使用します。
FMCでパケットキャプチャを設定するには、次のコマンドを適用します。
- tcpdump。このコマンドは、ネットワーク上のトラフィックをキャプチャします。
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# tcpdump -i eth0 host 172.16.10.11 and port 514
また、ICMP到達可能性をテストするには、次のコマンドを適用します。
- ping。このコマンドは、デバイスが到達可能かどうかを確認し、接続の遅延を知るのに役立ちます。
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin#ping 172.16.10.11
PING 172.16.10.11 (172.16.10.11) 56(84) bytes of data.
64 bytes from 172.16.10.11: icmp_seq=1 ttl=128 time=3.07 ms
64 bytes from 172.16.10.11: icmp_seq=2 ttl=128 time=2.06 ms
64 bytes from 172.16.10.11: icmp_seq=3 ttl=128 time=2.04 ms
64 bytes from 172.16.10.11: icmp_seq=4 ttl=128 time=0.632 ms
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
05-Jun-2026
|
初期リリース、再フォーマット |
1.0 |
03-Oct-2023
|
初版 |
フィードバック