Stonesoftファイアウォールの設定

Firewall Analyzerでは、以下のバージョンをサポートしています。

バージョン5.5

Stonesoftファイアウォールの設定手順

以下の手順で、Firewall Analyzerのインストールサーバーにログを転送します。

1. Stonesoftのログサーバーのサービスを停止
2. Stonesoftのインストールディレクトリで［LogServerConfiguration.txt」ファイルを表示
3. 以下の属性を確認
   SYSLOG_EXPORT_FORMAT：CEFを設定
   SYSLOG_PORT：デフォルトの514ポート（UDP）
   SYSLOG_SERVER_ADDRESS：Firewall AnalyzerのインストールサーバーのIPアドレス

アクセスルールのロギングの有効化

1. Stonesoftのログサーバーのサービスを開始
2. StonesoftのWeb管理インターフェースにログイン
3. ルールの［Log Accounting Information］を有効化
4. ［IPV4］タブに移動し、アクセスルールを編集
5. Loggingのセルをダブルクリック
6. 表示されたロギングのダイアログ画面で、必要なオプションを設定
   Connection Closing
   ・No Log：
   コネクションが終了するときにログエントリは作成されません。
   
   ・Normal Log：
   コネクションの開始、終了両方のログが記録されますが、トラフィック量に関する情報は収集されません。
   
   ・Log Accounting Information：
   コネクションの開始、終了両方のログが記録され、トラフィック量に関する情報も収集されます。アラートを発報するルールに対しては使用できません。トラフィック量をベースとしたレポートを生成する場合、すべてのルール対してこのオプションを選択する必要があります。

IPSロギングの有効化設定

［SYSLOG_EXPORT_IPS］の属性をYESに変更します（デフォルトの設定はNO）。

変更後、ログサーバーを再起動してください。

URLロギングの有効化設定

HTTPプロトコルでルールの［deep inspection］を有効化します。

1. ［Action Cell］で右クリックし、［Edit Options］を選択
2. ［Connection Tracking］タブ配下で、［Override Inspection Options Set With Continue Rules］と［Deep Inspection］を選択

StonesoftファイアウォールのURLロギングは、HTTPのパラメーターで設定されている［Logging of accessed URLs］でコントロールされています。
この設定を有効化することで、URLアクセスのロギングが行なわれます。

HTTP接続が、URLロギングが有効になっているルールに一致するもののDeep Inspectionは無効になっている場合、URLは［HTTP_URL-Logged］タイプのログエントリの［Information Message］フィールドに記録されます。

HTTP接続が、URLロギングが有効になっているルールに一致しDeep Inspectionが有効になっている場合、URLは［HTTP Request Host］と［HTTP Request URI］の2つのフィールドに記録されます。
1つ目にはアクセスホスト名（例として、www.example.com）、2つ目にはURI（例として、/something/here/page.php）が含まれます。
例の場合、アクセスしたアドレスは、「www.example.com/something/here/page.php」となります。

［Information Message］フィールドは、［INFO_MSG］フィールドとしてINFO_MSG設定にインポートする必要があります。
SYSLOG_CONF_FILE=${SG_ROOT_DIR}/data/fields/syslog_templates/default_syslog_conf.xml

［HTTP Request Host］と［HTTP Request URI］フィールドは、Deep Inspectionで生成されるIPSログエントリのフィールドです。
これらはeScope設定のエクスポートフィールドとして設定されていませんが、「default_syslog_conf.xml」ファイルのエクスポート可能フィールドに追加することができます。