Clear

Check Pointファイアウォールの設定

Firewall Analyzerは、以下のバージョンのLog Exporter(ログエクスポーター)をサポートしています。

R77.30、R80.10、R80.20以降

Firewall Analyzerは64bit版をご提供しており、Check Point LEAはサポート対象外です。
Log Exporterをご利用ください。


Check Pointログのエクスポート

R80.20

Log ExporterはR80.20で統合されています。専用パッケージのインストールは不要です。

  1. R80.20へアップグレードする前にLog Exporterの設定を保持するには、sk127653 - How to backup and restore Log Exporter configuration on upgrade to R80.20を参照ください。
  2. CEF形式によるエクスポートは、R80.20 Jumbo Hotfix Take5以上のインストールが必要です。
R80.10

マルチドメインサーバー、マルチドメインログサーバー、セキュリティ管理サーバー、ログサーバー、スマートイベントサーバーにインストールします。

  1. Log Exporterは、R80.10 Jumbo Hotfix Take 56以上を対象にインストールすることができます。
  2. このホットフィックスは、Jumboの後にインストールする必要があります。上位Jumboへのアップグレードにはホットフィックスのアンインストールを行い、新規Jumboが配置され次第、再インストールする必要があります。
  3. Jumbo HFとの競合を避けるために、最新のLog Exporterをダウンロードしてください。
R77.30

マルチドメインサーバー、マルチドメインログサーバー、セキュリティ管理サーバー、ログサーバー、スマートイベントサーバーにインストールします。

Log Exporterは、R77.30 Jumbo Hotfix Take 292以上を対象にインストールすることができます。

このホットフィックスは、Jumboの後にインストールする必要があります。上位Jumboへのアップグレードにはホットフィックスのアンインストールを行い、新規Jumboが配置され次第、再インストールする必要があります。

バージョン 日付 CPUSEオンライン識別子 CPUSEオフラインパッケージ
R80.10 2019年1月20日 Check_Point_R80.10_Log_Exporter_T43_sk122323_FULL.tgz TGZ
R77.30 2018年11月6日 Check_Point_R77.30_Log_Exporter_T30_sk122323_FULL.tgz TGZ

CPUSEを使用してホットフィックスをインストールします。sk92449をご確認ください。


CLIによるLog Exporter設定(syslog転送)

ホットフィックスを適用すると、ファイアウィールが自動で再起動します。

  1. Check PointにTelnet/SSH接続し、次のコマンドを実行
    cp_log_export add name <name> target-server <Firewall Analyzer IP address> target-port 1514 protocol udp format cef
  2. 次のコマンドで新規ログエクスポ―ターを起動
    cp_log_export restart name <name>

Check Pointのログファイルをインポート

事前にCheck PointファイアウォールのSmartView Trackerで、以下の変更を行います。

SmartView Trackerでの変更

  1. SmartView Trackerを開き、[View]→[Query Properties]をクリック
  2. 以下の属性が選択されていることを確認
    • Elapsed
    • Bytes
    • Client InBound Bytes
    • Client OutBound Bytes
    • Server InBound Bytes
    • Server OutBound Bytes
    • Status
    • URL

Firewall AnalyzerにインポートするCheck Pointのログファイルをプレーンテキストで作成する方法

Check Pointのログファイルをプレーンテキストで作成してエクスポートする方法は2つあります。

方法1:

Check Point Management Stationのコマンドプロンプトで、以下のコマンドを実行

Check Point NGの場合以下のコマンドを使用してください。

fwm logexport -d ; -i fw.log -o exportresult.log -n

-dは区切り文字、-iは入力ログファイル、-oは出力ASCIIファイル、-nはログファイル内のIPアドレスのDNS解決を実行しないことを意味します。
詳細は、Check Point社が公開しているドキュメントを参照、またはCheck Point社の技術サポートにお問い合わせください。

上記のコマンドで、exportresult.logという名前のASCIIファイルが作成されます。
このファイルを、Firewall Analyzerのインストールサーバーにコピーまたは転送し、ファイルをFirewall Analyzerにインポートしてください。

方法2:
  1. Check PointのSmartTrackerのUI左側のツリーで、すべてのレコードを選択
  2. [File]→[Export]を選択
  3. プロファイルのファイル名を入力(例:exportresult.log)

このファイルを、Firewall Analyzerのインストールサーバーにコピーまたは転送し、ファイルをFirewall Analyzerにインポートしてください。


仮想マシン(仮想ドメイン)のログ

Check Pointの物理マシンの仮想ファイアウォールからログを受信するために、Firewall Analyzerで個別に必要な設定はありません。
syslogデータに、属性「orig_name」が存在する場合、ログの送信元が仮想ファイアウォール(VDOM)であるとみなします。それ以外の場合、物理マシンとみなします。


FAQ

syslog転送にはCheck Pointの各クラスターを変更する必要があるか

Check PointのSmartDashboardのみ設定してください。Firewall Analyzerは、syslogのフィールド(orig_name)の値にもとづいてクラスターを自動で検出します。


トラフィックレポートの値がすべて0と表示される場合の対応について

以下の手順を実施し、表示状況をご確認ください。

  1. SmartDashboardからすべてのルールを表示
  2. [Track]を[log]ではなく[Account]にセットし、ファイアウォールの各ルールで適用
    これにより、バイト情報を取得するようになります。
  3. すべてのルールで「Track」値を「Account」に設定したのち、すべてのポリシーをインストール

Check Pointの証明書を再設定後、ファイアウォールからsyslogを取得できなくなった場合

Check Point Management Serverで、OPSECオブジェクトの値を編集する必要があります。編集後、設定を保存しOPSECオブジェクトとの信頼を確立します。
その後、ポリシーをCheck Point Management Serverに再インストールします。

       概要