Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

syslog サーバは、MX セキュリティ アプライアンス、MR アクセス ポイント、および MS スイッチからレポートする目的でメッセージを保存するように設定できます。 このドキュメントでは、syslog メッセージの例、およびメッセージを格納するための syslog サーバの設定方法例を示します。

syslog メッセージのタイプ

MX セキュリティ アプライアンスは、4 つのメッセージ/ロールのカテゴリ(イベント ログ、IDS アラート、URL、フロー)の送信をサポートします。 MR アクセス ポイントは、IDS アラートを除いて同じロールを送信できます。現在、MS スイッチはイベント ログ メッセージのみをサポートしています。 

syslog メッセージとその内容の詳細については、RFC 5424 を参照してください。


URL

すべての HTTP GET 要求は、syslog エントリを生成します。

 

例:

Apr 20 14:36:35 192.168.10.1 1 948077314.907556162 MX60 urls src=192.168.10.3:62526 dst=54.241.7.X.X mac=00:1A:A0:XX:XX:XX request: GET http://www.meraki.com


まとめ:

IP アドレス 192.168.10.3 を持つクライアントが http://www.meraki.com に HTTP GET 要求を送信しました。


フロー

インバウンド フローとアウトバウンド フローは、ポート番号とともに送信元と宛先、および一致するファイアウォール ルールを示す syslog メッセージを生成します。インバウンド ルールの場合:1=deny および 0=allow。

 

例:

インバウンド フロー:

192.168.10.1 1 948077334.886213117 MX60 flows src=39.41.X.X dst=114.18.X.X protocol=udp sport=13943 dport=16329 pattern: 1 all


アウトバウンド フロー:

192.168.10.1 1 948136486.721741837 MX60 flows src=192.168.10.254 dst=8.8.8.8 mac=00:18:0A:XX:XX:XX protocol=udp sport=9562 dport=53 pattern: allow all


まとめ: 

インバウンド フローの例は、39.41.X.X から MX の WAN IP への、ブロックされた UDP フローです。アウトバウンド フローには、DNS 要求に対して許可されたアウトバンド フローが示されています。   


アプライアンス/スイッチ/ワイヤレス イベント ログ

[ネットワーク全体(Network-wide)] > [モニタ(Monitor)] > [イベントログ(Event log)] の下のダッシュボードにメッセージのコピーがあります。

 

例:

May 10 18:46:04 192.168.10.1 1 948080570.911780502 MX60 events dhcp lease of ip 192.168.10.252 from server mac 00:18:0A:XX.XX.XX for client mac 58:67:1A:XX.XX.XX from router 192.168.10.1 on subnet 255.255.255.0 with dns 8.8.8.8, 8.8.4.4


まとめ: 

MAC アドレス 00:18:0A:XX.XX.XX を持つクライアントは MX から IP アドレスをリースし、MX は 8.8.8.8 と 8.8.4.4 を DNS サーバとしてクライアントに提供しています。


セキュリティ イベント

すべての セキュリティ イベントは syslog メッセージを生成します(MX セキュリティ アプライアンスはロールのみ)。

 

例:

1490031971.951780201 ANB_MX80 security_event ids_alerted signature=1:39867:3 priority=3 timestamp=1490031971.693691 shost=00:15:5D:1E:08:04 direction=egress protocol=udp/ip src=192.168.30.10:49243 dst=71.10.216.1:53 message: INDICATOR-COMPROMISE Suspicious .tk dns query


まとめ:

.tk DNS クエリが 192.168.30.10 から 71.10.216.1 に送信されたときに、IDS syslog メッセージが生成されました。


Air Marshal イベント

Air Marshal イベントは、検出されたワイヤレス トラフィックを説明する syslog メッセージを生成します。

 

例:

Oct 20 17:21:33 192.195.83.210 0.0 syslog2 airmarshal_events type= rogue_ssid_detected ssid='' vap='0' bssid='FF:FF:FF:FF:FF:FF' src='02:18:6A:XX:XX:XX dst='FF:FF:FF:FF:FF:FF' wired_mac='00:18:0A:XX:XX:XX' vlan_id='0' channel='44' rssi='60' fc_type='0' fc_subtype='4'


まとめ:

LAN 上に存在するデバイスによってビーコンが送信され、syslog メッセージの原因となった不正 SSID イベントが生成されました。


ログのサンプルと詳細

syslog イベントのタイプの詳細と各製品のログ サンプルの一覧については、こちらの記事を参照してください。


syslog サーバの設定

syslog サーバは Linux システム上で短時間で簡単に設定できます。他の OS で利用できる syslog サーバも多くあります(たとえば、Windows 用の Kiwi Syslogなど)。

以下のコマンドは、MX セキュリティ アプライアンスから syslog 情報を収集するための、syslog-ng を使用した Ubuntu 13.04 で上で動作する syslog サーバの設定例です。

注:以下のコマンドは設定例の概要です。具体的な手順や情報については、サーバのドキュメントを参照してください。

 

最初の手順は、syslog アプリケーションのインストールです。

sysadmin@ubuntu:~$ sudo apt-get install syslog-ng

 

syslog-ng がインストールされたら、MX からログ メッセージを受け取るように設定する必要があります。 これらの手順では、それぞれのロール カテゴリを独自のログ ファイルに格納するように syslog-ng が設定されます。 URL、イベント ログなど個々のログ ファイルが作成されます。また、1 つのファイルにすべてのログを格納するように設定することもできます。 適切なエディタを使用して syslog-ng 設定ファイルに変更を加えます。 この例では、nano を使用してファイルを編集しています。

sysadmin@ubuntu:~$ sudo nano /etc/syslog-ng/syslog-ng.conf

 

この例では、MX の LAN IP は 192.168.10.1 になります。syslog サーバは、192.168.10.241 UDP ポート 514 でリッスンします。設定した MX の LAN IP と syslog サーバが反映されるように必要に応じて更新します。 コードの最初のセクションでは、MX からのすべての syslog メッセージが /var/log/meraki.log に格納されるように設定しています。 コードの 2 番目のセクションでは、正規表現を使用し、それぞれのロール カテゴリに一致するものを、個別のログ ファイルに格納しています。 オプションのいずれかを設定する必要があります。


オプション 1 - すべてのメッセージを /var/log/meraki.log に記録する

#define syslog source
source s_net { udp(ip(192.168.10.241) port(514)); };

#create filter to match traffic (this filter will catch all syslog messages that come from the MX)
filter f_meraki { host( "192.168.10.1" ); };

#define a destination for the syslog messages
destination df_meraki { file("/var/log/meraki.log"); };

#bundle the source, filter, and destination rules together with a logging rule
log { source ( s_net ); filter( f_meraki ); destination ( df_meraki ); };
        

オプション 2 - メッセージ タイプごとに異なるログ ファイルに記録する: 

#define syslog source
source s_net { udp(ip(192.168.10.241) port(514)); };

#create individual filters to match each of the role categories
filter f_meraki_urls { host( "192.168.10.1" ) and match("urls" value ("MESSAGE")); };
filter f_meraki_events { host( "192.168.10.1" ) and match("events" value ("MESSAGE")); };
filter f_meraki_ids-alerts { host( "192.168.10.1" ) and match("ids-alerts" value ("MESSAGE")); };
filter f_meraki_flows { host( "192.168.10.1" ) and match("flows" value ("MESSAGE")); };

#define individual destinations for each of the role categories
destination df_meraki_urls { file("/var/log/meraki_urls.log"); };
destination df_meraki_events { file("/var/log/meraki_events.log"); };
destination df_meraki_ids-alerts { file("/var/log/meraki_ids-alerts.log"); };
destination df_meraki_flows { file("/var/log/meraki_flows.log"); };

#bundle the source, filter, and destination rules together with a logging rule for each role category
log { source ( s_net ); filter( f_meraki_urls ); destination ( df_meraki_urls ); };
log { source ( s_net ); filter( f_meraki_events ); destination ( df_meraki_events ); };
log { source ( s_net ); filter( f_meraki_ids-alerts ); destination ( df_meraki_ids-alerts ); };
log { source ( s_net ); filter( f_meraki_flows ); destination ( df_meraki_flows ); };

        

 

最後のステップでは syslog-ng プロセスを再起動します。

sysadmin@ubuntu:~$ sudo /etc/init.d/syslog-ng restart 
        

ダッシュボードの設定

syslog サーバは、ダッシュボードで [ネットワーク全体(Network-wide)] > [設定(Configure)] > [一般(General)] から定義できます。

[syslog サーバを追加(Add a syslog server)] リンクをクリックして、新規サーバを定義します。 サーバに送信する IP アドレス、UDP ポート番号、およびロールを指定する必要があります。 ここでは複数の syslog サーバを設定できます。

MX セキュリティ アプライアンスで [フロー(Flows)] ロールが有効にされている場合、個々のファイアウォール ルールのロギングは、[セキュリティ アプライアンス(Security appliance)] > [設定(Configure)] > [ファイアウォール(Firewall)] ページの [ロギング(Logging)] 列で有効/無効を切り替えることができます。


その他の考慮事項

syslog メッセージがディスク容量の多くを占有する場合があります。 syslog サーバを実行するホストを決定する際、そのホストにログを保持するための十分な空き容量があることを確認してください。 特定の期間のみログを保持する方法については、syslog-ng のマニュアル ページを参照してください。

 

サイト間 VPN を使用する複数の MX デバイスがあり、VPN のリモート側の syslog サーバに対してロギングを行う場合、トラフィックはサイト間ファイアウォールの影響を受けることになります。そのため場合によっては、syslog トラフィックが通過できるようにサイト間ファイアウォール ルールを作成する必要が生じます。 これは、[セキュリティ アプライアンス(Security appliance)] > [設定(Configure)] > [サイト間VPN(Site-to-site VPN)] > [組織全体の設定(Organization-wide settings)] > [ルールの追加(Add a rule)] から行えます。

送信元 IP アドレスは、syslog サーバに syslog メッセージを返信する MX のインターネット ポート 1 のアドレスである必要があります。 宛先 IP アドレスは、syslog サーバの IP アドレスになります。 syslog サーバが syslog メッセージを確認する標準 UDP ポート 514 を使用しない場合は、宛先ポート番号を変更します。