WatchGuard Fireboxの設定
Firewall Analyzerでは、WatchGuard FireboxのNativeログ形式ならびにWELF形式に対応しており、以下のバージョンならびにシリーズをサポートしています。
バージョン:
5.x、6.x、7.x、8.x、10.x、11
シリーズ:
Xシリーズ、x550e、x10e、x1000、x750e、x1250e Core、Fireware XTM v11.3.5
・ウイルスレポートは、バージョン10.xでのみサポートしています。
Nativeログの解析には、WatchGuardからFirewall AnalyzerのsyslogリスナーポートへNativeログを転送する必要があります。
デフォルトでは、WatchGuardファイアウォールのログにバイト情報が含まれておらず、パケットのヘッダーのサイズ情報のみです。
それらを有効にするには、以下の設定を行う必要があります。
- バージョン7.3の場合:
プロキシの[General Setting]に移動し、チェックボックス[Send log message wuth summmary of each transaction]を選択 - バージョン7.2.1の場合:
プロキシサービスで、チェックボックス[Log accounting/auditing information]を選択 - バージョン8.xの場合:
プロキシサービスで、チェックボックス[Send a log message with summary information for each transaction]を選択 - バージョン10.xの場合:
- External、VPNインターフェースベースのロギング:
[Policy Manager]から[Setup]→[Logging]→[Performance Statistics]メニューを選択し、チェックボックスを有効化して、保存 - プロキシレベルのロギング:
プロキシアクションを編集し、チェックボックス[Turn on logging for reports]を必要なプロキシごとに選択し、設定を保存
- External、VPNインターフェースベースのロギング:
Firebox X1250e、XTM 11シリーズの設定
syslogホストへログを送信
以下の手順を確認してください。
- WatchGuard装置の[Policy Manager]で、[System]→[Logging]を選択
ロギングページが表示されます。 - [Syslog Server]タブを選択
- チェックボックス[Enable Syslog output to this server]を選択
- [Enable Syslog output to this server]のテキストボックスで、syslogホストのIPアドレスを入力
- [Settings]のセクションで、ドロップダウンリストからログメッセージの種類ごとに、syslogのFacilityを選択
NONEを選択すると、該当のメッセージタイプの詳細は、syslogホストに送信されません。 - [Save]をクリック
※設定の詳細は、ベンダー様にご確認ください。
ExternalおよびVPNインターフェースのロギング
ロギングを有効化するには、[Setup]→[Logging]→[Performance Statistics]を開き、チェックボックスを有効化し設定を保存してください。
また、プロキシレベルのトラッキングには、プロキシアクションを編集し、[Turn on logging for reports]を各プロキシで選択し、設定を保存します。
WatchGuardの設定で、WELF(WebTrends Enhanced Log File)形式でログをエクスポートすることもできます。
WELF形式の設定については、ベンダー様にご確認ください。ログをWELF形式でエクスポートした後、Firewall Analyzerのインポート機能より、ファイルを取り込みます。