Juniper装置の設定
Firewall Analyzerでは、以下のJuniper装置をサポートしています。
- Juniper SRX
SRX100、SRX210、SRX220、SRX240、SRX650、SRX1400、SRX3400、SRX3600、SRX5600、SRX5800 - Juniper Networks IDP
IDP50
SRXのログ転送設定
J-Webを使用する場合
- SRXのWeb管理コンソールにログイン
- [Configure]→[CLI Tools]→[Point and Click CLI]をクリック
- [System]から[Syslog]をクリック
- [Host]の横の[Add New Entry]をクリック
- syslogサーバー(Firewall Analyzerのインストールサーバー)のIPアドレスを入力
- [Apply]をクリックして設定を保存
CLIを使用する場合
- SRXのCLIコンソールにログイン
- 以下のコマンドを実行
user@host# set system syslog host <Firewall AnalyzerのインストールサーバーのIPアドレス> any any
- CLI上で以下の設定がされているか確認(不足している場合には、コマンドラインより追加)
<x.x.x.x> : syslog転送先(Firewall Analyzerをインストールしているサーバー)のIPアドレス
<y.y.y.y> : SRXのIPアドレス
※指定するポート番号が開放されていること(Firewall Analyzerのsyslogサーバー設定で、ステータスがUPになっていること)を確認してください。
set system syslog archive size 100k
set system syslog archive files 3
set system syslog user * any emergency
set system syslog host <x.x.x.x> any any
set system syslog host <x.x.x.x> port 1514
set system syslog file policy_session user info
set system syslog file policy_session match RT_FLOW
set system syslog file policy_session archive size 1000k
set system syslog file policy_session archive world-readable
set system syslog file messages any critical
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands error
set system syslog file traffic-log any any
set system syslog file traffic-log match RT_FLOW_SESSION
set system syslog file webfilter-log any any
set system syslog file webfilter-log match WEBFILTER_
set security log format syslog
set security log mode stream
set security log source-address <y.y.y.y>
set security log stream syslog host <x.x.x.x>
set security log stream syslog host port 1514
set security log mode stream source-address <y.y.y.y>
set security log stream opmanager format syslog
set security log stream opmanager category all
ポリシーのロギング有効化
J-Webを使用する場合
- [Configure]→[Security]→[Policy]→[FW Policies]を選択
- ロギングを有効化するポリシーをクリック
- Log Optionsの[Logging/Count]を開き、[Log at Session Close Time]にチェック
CLIを使用する場合
- SRXのCLIコンソールにログイン
- 以下のコマンドを実行
user@host# set security policies from-zone trust to-zone untrust policy permit-all then log session-close
Juniper Networks IDP Device (IDP 50)
センサーからのsyslog転送設定
- IDP装置にログイン
- [Device]→[Report Settings]→[Enable Syslog]をクリック
- チェックボックス[Enable Syslog Messages]を選択
- [Apply]をクリックして変更を保存
この設定により、以下に関連するsyslogが生成されます。
・All attacks
・Policy load
・Restart
以下に関連するsyslogは生成されません。
・Profiler logs
・Device connect/disconnect logs
・Interface UP/DOWN logs
・Logs for Bypass State Changes
NSMからのsyslog転送設定
- NSMにログイン
- [Action Manager]→[Action Parameters]→[Define a Syslog Server]をクリック
- [Action Manager]→[Device Log Action Criteria]→[Category]をクリック
- Category[all]、Actions[syslog enable]を選択
- [Apply]をクリックして変更を保存
この設定により、以下に関連するsyslogが生成されます。
・All attacks
・Policy load
・Restart
・Profiler logs
・Device connect/disconnect logs
以下に関連するsyslogは生成されません。
・Interface UP/DOWN logs
・Logs for Bypass State Changes