Syslogデバイスの追加

最新かつ正確なSyslog転送の設定方法は、各機器のベンダーにお問い合わせください。

UNIXデバイスでのSyslogサービスの構成
Mac OSデバイスでのSyslogサービスの構成
HP-UX/Solaris/AIX DeviceデバイスでのSyslogサービスの構成
VMwareでのSyslogサービスの構成
Arista SwitchでのSyslogサービスの構成
Cisco SwitchでのSyslogサービスの構成
HP SwitchでのSyslogサービスの構成
CiscoデバイスでのSyslogサービスの構成
Cisco FirepowerデバイスでのSyslogサービスの構成
SonicWallデバイスでのSyslogサービスの構成
JuniperデバイスでのSyslogサービスの構成
PaloAltoデバイスでのSyslogサービスの構成
FortinetデバイスでのSyslogサービスの構成
Check PointデバイスでのSyslogサービスの構成
NetScreenデバイスでのSyslogサービスの構成
WatchGuardデバイスでのSyslogサービスの構成
SophosデバイスでのSyslogサービスの構成
BarracudaデバイスでのSyslogサービスの構成
Barracuda WebアプリケーションファイアウォールでのSyslogサービスの構成
BarracudaメールセキュリティゲートウェイでのSyslogサービスの構成
HuaweiファイアウォールデバイスでのSyslogサービスの構成
MerakiデバイスでのSyslogサービスの構成
pfSenseデバイスでのSyslogサービスの構成
H3CデバイスでのSyslogサービスの構成
F5デバイスからLog360 CloudエージェントへのSyslog転送の構成手順
WindowsファイアウォールのLog360 Cloudへの追加
CyberoamデバイスでのSyslogサービスの構成
Dell SwitchでのSyslogサービスの構成
Forcepoint SwitchでのSyslogサービスの構成
StormshieldデバイスでのSyslogサービスの構成

UNIXデバイスでのSyslogサービスの構成

注記: さまざまなプロトコルで使用されるデフォルトのポート番号に注意してください。

デフォルトポート番号	使用したプロトコル
513と514	UDP
514	TCP

rootユーザーとしてログインし、/etcディレクトリのSyslog設定ファイル（syslog.conf/rsyslog.conf/syslog-ng.conf）を編集します。
UDPベースのログ収集の場合

*.*<space/tab>@<agent_server_name>:<ポート番号>を末尾に追加します。<agent_server_name>は、Log360 Cloudエージェントが起動しているデバイスの名前またはIPアドレスです。

TCPベースのログ収集の場合

*.*<space/tab>@@<agent_server_name>:<ポート番号>を末尾に追加します。<agent_server_name>は、Log360 Cloudエージェントが起動しているデバイスの名前またはIPアドレスです。

注記Log360 Cloudエージェントが起動するデバイスと、Syslogデバイスが接続可能であることを確認します。

Log360 Cloudエージェントサーバーへの監査ログの転送

以下の構成は、rsyslog.conf (or) syslog.confのLinuxデバイスで実行する必要があります。

[モジュール]セクションで、「$ModLoad imfile」が含まれているかどうかを確認します(このモジュール"imfile"は、入力テキストをSyslogメッセージに転換し、そこからLog360 Cloudエージェントサーバーに転送できます)。
以下のディレクティブには、外部ログファイルの詳細が含まれています。

$InputFileName <Monitored_File_Absolute_Path>
$InputFileStateFile <State_Filename>
$InputFileSeverity <Severity >
$InputFileFacility <Facility >
$InputRunFileMonitor

ログを転送するためには、以下の行を提供する必要があります。

<Facility>.<Severity> @Host-Ip:Port

例:

$InputFileName /var/log/sample.log

$InputFileStateFile sample

$InputFileSeverity info

$InputFileFacility local6

local6.info @log360cloud-Server:514

※「/var/log/sample.log」は転送される外部ファイルです。

注記

これらの手順は、すべてのLinuxデバイスに適用できます。
一意の<State_Filename>を異なる<Monitored_File_Absolute_Path>に使用してください。
監査ログを転送する場合、セキュリティが強化されたRed Hatシステム（SElinux）のデフォルトポリシーでは、監査ログの読み取りが許可されない場合があります。その場合、監査ログは、"active=yes"をetc/audisp/plugins.d/syslog.confに追加して転送できます。

Mac OSデバイスでのSyslogサービスの構成

ルートユーザーとしてログインし、/etcディレクトリのsyslog.confファイルを編集します。
*.*<tab>@<server_IP>を末尾に追加します。そこでは、<server_IP>は、Log360 Cloudエージェントが稼働しているマシンのIPアドレスです。

注記: Log360 CloudエージェントサーバーIPアドレスがMAC OSデバイスから到達できるか確認します。

ファイルを保存し、エディタを終了します。
以下のコマンドを実行して、syslogデバイスを再起動します。

$ sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist

$ sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist

HP-UX/Solaris/AIX DeviceデバイスでのSyslogサービスの構成

ルートユーザーとしてログインします。
/etcディレクトリのsyslog.confファイルを以下のように編集します。

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug<tab-separation>@<agent_server_name>

そこでは、<agent_server_name>は、Log360 Cloudエージェントが稼働しているマシンの名前です。タブ区切りのみが*.debugと@<agent_server_name>.の間にあるか確認します。

注記: Solarisデバイスの場合、syslog.confファイルに*.debug<tab-separation>@<agent_server_name>が含まれていると十分です。

構成を保存してエディタを終了します。
/etcディレクトの services ファイルを編集します。
Syslogサービスのポート番号を514に変更します。これは、Log360 Cloudエージェントのデフォルトリスナーの1つです。ただし、514以外の別のポートを選択する場合は、Log360 Cloudエージェントにデバイスを追加するときに、同じポートを入力するのを忘れないでください。
適切なコマンドを使用して、OSでsyslogデーモンを起動します。

（HP-UXの場合） /sbin/init.d/syslogd start

（Solarisの場合） /etc/init.d/syslog start

（Solaris 10の場合） svcadm -v restart svc:/system/system-log:default

（IBM AIXの場合） startsrc -s syslogd

VMwareでのSyslogサービスの構成

すべてのESXおよびESXiデバイスはsyslogサービス（syslogd）を実行し、VMkernelおよびその他のシステムコンポーネントからのメッセージをファイルに記録します。

SyslogサービスをESXデバイスで構成するには:

vSphere Clientもvicfg-syslogも、ESXデバイスのsyslog動作を構成するために使用することはできません。ESXデバイスにSyslogを構成するには、/etc/syslog.confファイルを編集する必要があります。

ESXiデバイスでsyslogサービスを構成するには：

ESXiデバイスでは、vSphereClientまたはvSphereCLIコマンドvicfg-syslogを使用して、次のオプションを構成できます。

ログファイルのパス: Syslogdがすべてのメッセージをログに記録するファイルへのデータストアパスを指定します。

リモートホスト: Syslogメッセージの転送先のリモートデバイスを指定します。転送された Syslog メッセージを受信するには、リモートホストに Syslog サービスがインストールされている必要があります。

リモートポート: Syslog メッセージを受信するためにリモートホストが使用するポートを指定します。

vSphere CLIコマンドを使った構成: vicfg-syslogについての詳細は、vSphereコマンドラインインターフェイスのインストールと参照ガイドを参照してください。
vSphereクライアントを使った構成:

vSphere Client のインベントリで、ホストをクリックします。
[構成]タブをクリックします。
[ソフトウェア]の下の[詳細設定]をクリックします。
ツリーコントロールでSyslogを選択します。
Syslog.Local.DatastorePathテキストボックスに、Syslogがメッセージをログ記録するデータストアパスを入力します。パスが指定されていない場合、デフォルトパスは/var/log/messagesです。

データストアのパス形式は「[<datastorename>] </path/to/file>」です。パスは、データストアをバックアップするボリュームのルートに相対するパスです。

例：データストアのパス「[storage1] var/log/messages」は、パス「/ vmfs/volumes/storage1/var/log/messages」にマッピングされます。

Syslog.Remote.Devicenameテキストボックスに、Syslogデータの転送先のリモートホストの名前を入力します。値を指定しないと、データは転送されません。
Syslog.Remote.Portテキストボックスに、Syslogデータの転送先のリモートホスト上のポートを入力します。デフォルトでは、Syslog.Remote.Portは 514に設定されています。これはSyslogが使用するデフォルトUDPポートです。Syslog.Remote.Portへの変更は、Syslog.Remote.Devicenameが構成されている場合のみ有効です。
[OK]をクリックします。

Arista SwitchでのSyslogサービスの構成

Aristaスイッチにログインします
[構成]モードに移動します。
Switchを以下のように構成し、ログをLog360 Cloudエージェントサーバーに送信します。

Arista# config terminal
Arista(config)# ロギングホスト < agent_server_Ip >< port_number > protocol [tcp/udp]
Arista(config)# logging trap information
Arista(config)# copy running-config startup-config

コマンド実行ログを設定するには：

Arista (config)# aaa accounting commands all console start-stop logging
Arista (config)# aaa accounting commands all default start-stop logging
Arista (config)# aaa accounting exec console start-stop logging
Arista (config)# aaa accounting exec default start-stop logging
Arista (config)# copy running-config startup-config

ログオンログを設定するには：

Arista (config)# aaa認証ポリシー成功時ログ
Arista (config)# aaa認証ポリシー失敗時ログ
Arista (config)# running-config startup-configをコピー

Cisco SwitchでのSyslogサービスの構成

スイッチにログインします。
設定モードに移動します。
Switchを以下のように構成(ここではCatalyst 2900を使用)し、ログをLog360 Cloudエージェントサーバーに送信します。

<Catalyst2900># 構成ターミナル
<Catalyst2900>(config)# ロギング <agent_server_IP>

最新のCatalyst Switch
Catalyst6500(config)# の場合は、ロギング <agent_server_IP>を設定します

以下のコマンドを使用して、ログ機能とトラップ通知を構成することもできます。
Catalyst6500(config)# ロギングファシリティローカル7
Catalyst6500(config)# ロギングトラップ通知

注記同じコマンドがCiscoルータにも適用できます。

各ルーターまたはSwitchでのＳｙｓｌｏｇ構成についての詳細な手順は、Cisco®ドキュメントを参照してください。お使いのCiscoデバイスがＬｏｇ360 Ｃｌｏｕｄエージェントがサポートする標準Syslog形式と異なる場合は、 log360-support@manageengine.comまでお問い合わせください。

HP SwitchでのSyslogサービスの構成

スイッチにログインします。
次のコマンドを入力します。

HpSwitch# configure terminal

HpSwitch(config)# ロギング重大度デバッグ

HpSwitch(config)# ロギング <Agent_IP_ADDRESS>

CiscoデバイスでのSyslogサービスの構成

CiscoデバイスでSyslogサービスを設定するには、次の手順に従います。

ファイアウォールにログインします。
[構成]モードに移動します;
Switchを以下のように構成 (ここではCatalyst 2900を使用)し、ログをLog360 Cloudエージェントサーバーに送信します：

Cisco-ASA# config terminal

Cisco-ASA (config)# ロギングホスト <agent _server_IP> [TCP/UDP]/< Port_Number >

注記: 既定のUDPポートは514です。デフォルトTCPポートは1470です。

Cisco-ASA (config)# ロギングトラップ情報

Cisco-ASA (config)# ロギングファシリティローカル7

Cisco FirepowerデバイスでのSyslogサービスの構成

手順1: Syslogサーバーの構成

トラフィックイベントにSyslogサーバーを構成するには、[構成] → [ASA Firepower構成] → [ポリシー] → [操作アラート]の順位移動し、[アラートを作成]ドロップダウンメニューをクリックし、オプション[Syslogアラートを作成]を選択します。Webインターフェイスの場合は、[ポリシー] → [操作アラート]の順に移動します。Syslogサーバーの値を入力します。

名前: Syslogサーバーを一意に識別する名前を指定します。
ホスト: SyslogサーバーのIPアドレス/ホスト名を指定します。
ポート：Syslogサーバーのポート番号を指定します。
ファシリティ: Syslogサーバーで構成されている機能を選択します。
重大度：Syslogサーバーで構成されている重大度を選択します。
タグ: Syslogメッセージで表示するタグ名を指定します。

手順2: 接続イベントの外部ロギングを有効にする

接続イベントは、ログが有効になっているアクセスルールにトラフィックがヒットしたときに生成されます。接続イベントに外部ロギングを有効にするには、[ASDM構成] → [ASA Firepower構成] → [ポリシー] → [コントロールポリシーにアクセス]の順に移動します。インターフェイスの場合は、[ポリシー] → [コントロールポリシーにアクセス]の順に移動します。アクセスルールを編集し、ログオプションに移動します。
ロギングオプションログを接続のはじめと終わりまたはログを接続の終わりに選択します。[接続イベントの接続先]オプションに移動し、イベントの送信先を指定します。
外部Syslogサーバーにイベントを送信するには、Syslog,を選択し、続いて、ドロップダウンリストからSyslogアラート応答を選択します。オプションで、追加アイコンをクリックしてSyslogアラート応答を追加できます。

手順3: 侵入イベントの外部ログを有効にする

シグニチャ（snortルール）が悪意のあるトラフィックと一致すると、侵入イベントが生成されます。侵入イベントに外部ロギングを有効にするには、[ASDM構成] → [ASA Firepower構成] → [ASA Firepower構成] → [ポリシー] → [侵入ポリシー] → [侵入ポリシー]の順に移動します。Ｗebインターフェイスの場合は、Policies[ポリシー] → [侵入ポリシー] → [侵入ポリシー]の順に移動します。新しい侵入ポリシーを作成するか、既存のポリシーを編集します。[詳細設定] → [外部応答]の順に移動します。
外部Syslogサーバーに侵入イベントを送信するには、オプション[Syslogアラート]で[有効化]を選択し、次に[編集]オプションをクリックします。.

ロギングホスト: SyslogサーバーのIPアドレス/ホスト名を指定します。

ファシリティ: Syslogサーバーで構成されている機能を選択します。

重大度：Syslogサーバーで構成されている重大度を選択します。

SonicWallデバイスでのSyslogサービスの構成

SonicWall デバイスで Syslog サービスを設定するには、以下の手順に従います：

管理者としてSonicWallデバイスにログインします。
[ログ] → [オートメーション]の順に移動し、[Syslogサーバー]までスクロールダウンします。
[追加]ボタンをクリックします。

Web ブラウザを使用して SonicWall 管理インターフェースに接続し、ユーザ名とパスワードでログインします。

左側のメニューの[ログ]ボタンをクリックします。メインディスプレイにタブ付きのウィンドウが開きます。
[ログ設定]タブをクリックします。
[ログの送信]で、クラウドエージェントを実行しているマシンのIPアドレスをフィールド[Syslogサーバー1]に入力します。514以外のポートに従っている場合は、フィールド [Syslogサーバーポート1]にその値を入力します。
[自動化]で、Syslog形式を拡張Syslogに設定します。
[カテゴリ] → [ログ]の順に、Syslogメッセージの受取先のイベントの種類すべてにチェックを入れます。
[更新]ボタンをクリックします。

SonicOS 6.5以降の場合：

管理者としてSonicWallデバイスにログインします。
[管理]タブをクリックし、[ログ設定]> [SYSLOG]を展開します
Syslogサーバーの下の[追加]をクリックします。
[Syslog Serverサーバーを追加]ウインドウから、Log360 CloudエージェントサーバーのIPアドレスまたはホスト名を入力します。
ポート番号を入力し、サーバータイプをSyslogに設定します。
Syslog形式を拡張されたSyslogに設定します。
[OK]をクリックして構成します。

新しい設定を有効にするには、SonicWall を再起動する必要があります。

JuniperデバイスでのSyslogサービスの構成

JuniperデバイスでSyslogサービスを構成するには、以下の手順に従います。

管理者としてJuniperデバイスにログインします。
[構成]タブに移動します。
左ペインの[CLIツール]を拡大し、サブツリーの[CLIエディタ]をクリックしまて、システム のSyslogに移動します。
ホスト名、重大度、ファシリティおよびログプレフィックス等の必要な値とあわせて、ホストノードを挿入します。
[実行]をクリックして変更を保存します。変更を表示するには、[CLIビューア]をクリックします。

構成手順を完了したら、JuniperデバイスのログはLog360 Cloudエージェントサーバーに自動転送されます。

PaloAltoデバイスでのSyslogサービスの構成

Palo Altoデバイスで Syslog サービスを設定するには、以下の手順に従います：

Palo Altoデバイスに管理者としてログインします。
[デバイス] → [サーバープロファイル] → [Syslog]の順に移動し、Syslogサーバープロファイルを構成します。
トラフィック、脅威、およびWildFire送信ログのSyslog転送を構成します。初めに、[オブジェクト] → [ログ転送]の順に移動し、[追加]をクリックして、ログ転送プロファイルを作成します。
ログ転送プロファイルをセキュリティルールに割り当てます。
システム、構成、HIP一致、相関関係ログのSyslog転送を構成します。
変更を有効にするには、[コミット]をクリックします。

ソース: https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/monitoring/configure-syslog-monitoring.html

バージョン7.1以降の場合：

Palo Altoデバイスに管理者としてログインします。
Log360 CloudエージェントサーバーにSyslogサーバープロファイルを構成

[デバイス] → [サーバープロファイル] → [Syslog]の順に選択します。
[追加]をクリックして、プロファイルの名前を入力します。
ファイアウォールに複数の仮想システム（vsys）がある場合は、このプロファイルを使用できる場所（vsysまたは共有）を選択します。
Log360 Cloudエージェントサーバーの場合は、[追加]をクリックし、要求した情報を入力します。
[OK]をクリックします。

トラフィック、脅威、およびWildFire送信ログのsyslog転送を構成します。

ログ転送プロファイルを作成します。

[オブジェクト] → [ログ転送]の順に選択し、[追加],をクリックして名前を入力し、プロファイルを指定します。
各ログの種類および各重大度レベルまたはWildFire判定の場合は、Log360 CloudエージェントのSyslogサーバープロファイルを選択して[OK]をクリックします。

ログ転送プロファイルをセキュリティルールに割り当てます。

システム、設定、HIP一致、相関ログのsyslog転送を構成します。

[デバイス] → [ログ設定]の順に選択します。
システムと相関関係ログの場合は、各重大度レベルをクリックし、Log360 CloudエージェントのSyslogサーバープロファイルを選択して[OK]をクリックします。
構成、HIP一致、および相関kン系ログの場合は、セクションを編集し、Log360 CloudエージェントのSyslogサーバープロファイルを選択して[OK]をクリックします。

[コミット]をクリックして変更を保存します。

ソース: https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-admin/monitoring/configure-syslog-monitoring

構成手順を完了したら、Palo AltoデバイスのログがLog360 Cloudエージェントサーバーに自動転送されます。

FortinetデバイスでのSyslogサービスの構成

Fortinet デバイス（FortiManager 5.0.7以上）で Syslog サービスを設定するには、以下の手順に従います。

管理者としてFortinetデバイスにログインします。
Syslogサーバーを[GUI システム設定] → [詳細] → [Syslogサーバー]からか、またはCLIコマンドで定義します。

構成システム syslog

編集 <server名>

ipを設定 <SyslogサーバーIP>

終了

FortiManagerローカルログのLog360 CloudエージェントへのCLI経由での送信を有効にします。

構成システムローカルログsyslogd設定

syslog名を設定< 前の手順で定義したリモートSyslogサーバー名>

重大度を設定 <緊急 | アラート | 重大 | エラー | 警告 | 通知 | 情報 | デバッグ> (ログへの最小重大度レベル)

ステータスを設定 <有効化 | 無効化>

csvを設定　CSV有効化の有無。

ファシリティを設定　リモートSyslogにどのファシリティにするか。

ポートを設定　従うポート。

終了

構成手順が完了したら、FortinetデバイスからのログはLog360 Cloudエージェントサーバーに自動転送されます。

詳細およびその他のバージョンについては、次のリンクを参照してください：http://kb.fortinet.com/kb/documentLink.do?externalID=FD35387

Check PointデバイスでのSyslogサービスの構成

Check PointデバイスでSyslogサービスを設定するには、以下の手順に従います：

Check Pointデバイスに管理者としてログインします。
ロックを無効にするには、画面左端上の[ロック]アイコンをクリックします。
表示される確認ポップアップで[はい]をクリックします。
[システム管理] → [システムロギング]の順に移動します。
リモートシステムロギングセクションで、[追加]をクリックします。
[リモートサーバーロギングエントリを追加]ウインドウで、[リモートサーバーのIPアドレス] (Log360 Cloudエージェントサーバー)を入力します。
[優先度]ドロップダウンから、リモートサーバーに送信するログの重大度レベルを選択します。
[OK]をクリックします。

NetScreenデバイスでのSyslogサービスの構成

NetScreen デバイスの Syslog サービスは、次の2つの方法で設定できます。

NetScreenデバイスを使用したSyslogメッセージの有効化：

NetScreen GUIにログインします。
[構成] → [レポート設定] → [Syslog]の順に移動します。
[Syslogメッセージを有効化]チェックボックスにチェックを入れます。
[インターフェイスをソースIPとして信頼する」を選択し、[トラフィックログを含める]オプションを有効にします。
[Log360 CloudエージェントサーバーのIPアドレスと[Syslogポート(514)]を所定ボックスに入力します。他のフィールドにはすべて、デフォルト値があります。
[適用]をクリックして、変更を保存します。

CLIコンソールのSyslogメッセージを有効化:

次のコマンドを実行します。

Netscreen → set syslog config <ip address> facilitates local0 local0
Netscreen → set syslog config <ip address> port 514
Netscreen → set syslog config <ip address> log all
Netscreen → set syslog enable

WatchGuardデバイスでのSyslogサービスの構成

WatchGuardデバイスでSyslogサービスを構成するには、以下の手順に従います。

管理者としてWatchGuardデバイスにログインします。
[システム] → [ロギング] → [Syslog]の順に移動します。
[このIPアドレスでSyslogサーバーにログメッセージを送信]チェックボックスを有効にします。
Log360 CloudエージェントサーバーのIPアドレスをIPアドレスにあるボックスに入力します。
514をポートにあるボックスで選択します。
Syslogを[ログ形式]ドロップダウンリストから選択します。
ログメッセージ詳細に日付と時刻を含める場合は、[タイムスタンプ]チェックボックスを有効にします。
シリアル番号をログメッセージ詳細に追加する場合は、[デバイスのシリアル番号]チェックボックスを有効にします。
[Syslog設定]セクションのドロップダウンリストでログメッセージの各種類にSyslogファシリティを選択します。

アラーム等、高優先度Syslogメッセージの場合は、[Local0]を選択します。
ログメッセージの他の種類に優先度を割り当てるには、[Local1 - Local7]を選択します。
メッセージの種類に詳細を送信しないようにするには、[なし]を選択します。

注記: 低い数値が優先されます。

[保存]をクリックします

SophosデバイスでのSyslogサービスの構成

SophosデバイスでSyslogサービスを構成するには、以下の手順に従います。

Sophos-UTM Syslog の有効化:

Sophos UTM に管理者としてログインします。
[ロギングとレポート] → [ログ設定] → [リモート[Syslogサーバー]の順に移動します
Syslogサーバー状態を有効にします
Syslog サーバーを設定するには、次の情報を入力します

名前：<任意>

サーバー：< Log360 CloudエージェントサーバーIPアドレス >

ポート：< 513 >

[リモートSyslog]に移動 → Log360 Cloudエージェントサーバーに送信が必要なログを選択します。
[適用]をクリックします

Sophos-XG Syslog の有効化:

Sophos-XG に管理者としてログインします。
[システム] → [システムサービス] → [ログ設定] → [Syslogサーバー] → [追加]の順に移動します
Syslog サーバーを設定するには、次の情報を入力します

名前：<任意>

サーバー：< Log360 CloudエージェントサーバーIPアドレス >

ポート：< 513 >

設備：<デーモン>

重大度：<情報>

形式：< 標準形式 >

保存をクリック。
[システム] → [システムサービス] → [ログサービス]の順に移動 →Log360 Cloudエージェントサーバーに送信が必要なログを選択します。

BarracudaデバイスでのSyslogサービスの構成

BararacudaデバイスのSyslogサービスは、次の5つの手順に従って構成できます。

Syslogサービスを有効にする

[構成] → [フル構成] → [ボックス]Box → [インフラストラクチャサービス] → [Syslogストリーミング]の順に移動します。
ロックをクリック。
Syslogサービスを有効にします。
[変更を保存]および[アクティブ化]をクリックします。

Logdataフィルターを構成する

[構成] → [フル構成] → [ボックス]Box → [インフラストラクチャサービス] → [Syslogストリーミング]の順に移動します。
メニューから、[ログデータフィルター]を選択します。.
[構成モード] → [詳細表示に切り替え] → [ロック]の順にクリックします
[+]アイコンをクリックして、新しいエントリを追加します。
フィルターに説明の名前を入力し、[OK]をクリックします。
[データ選択]テーブルで、外リーミングするログファイルを追加します。（例：Fatal_log、Firewall_Audit_Log、Panic_log）
[影響を受けたボックスログデータ]セクションで、データ選択リストから、Syslog daemonによりどのようなボックスログが影響を受けるかを定義します。
[影響を受けたサービスログデータ]セクションで、データ選択リストから、Syslog daemonによりどのようなボックスログが影響を受けるかを定義します。
[変更を送信]および[アクティブ化]をクリックします。

ログストリームの宛先を構成する

[構成] → [フル構成] → [ボックス]Box → [インフラストラクチャサービス] → [Syslogストリーミング]の順に移動します。
メニューから、[ログストリーム宛先]を選択します。
[構成モード] → [詳細表示に切り替え] > [ロック]の順に拡大します。
[+]アイコンをクリックして、新しいエントリを追加します。
説明の名前を入力し、[OK]をクリックします。
宛先ウインドウで、[リモートログホスト]を選択します。
Log360 CloudエージェントサーバーIPアドレスを宛先IPアドレスとして[ログホストIP]アドレスフィールドに入力します。
Syslogメッセージを配信する宛先ポートに513, 514を入力します。
宛先プロトコルにUDPを入力します。
OKをクリックします
[変更を送信]および[アクティブ化]をクリックします。

[ログデータタグ付け]を無効にします。
Logdataストリームを構成

[構成] → [フル構成] → [ボックス]Box → [インフラストラクチャサービス] → [Syslogストリーミング]の順に移動します。
メニューから、[ログデータストリーム]を選択します。
[構成モード]メニューを拡大し、[詳細表示に切り替え]を選択します。
[+]アイコンをクリックして、新しいエントリを追加します。
説明の名前を入力し、[OK]をクリックします。
アクティブストリーム、ログの宛先、およびログフィルターの設定を構成します。
[変更を送信]および[アクティブ化]をクリックします。

Barracuda WebアプリケーションファイアウォールでのSyslogサービスの構成

Barracuda Webアプリケーションは、次の手順に従って構成できます。

[詳細] > [エクスポートロゴ] > [エクスポートログサーバーを追加]の順に移動します。
[エクスポートログサーバーを追加]で、以下の詳細を入力して[OK]をクリックします

名前：Log360 Cloudエージェントサーバーに名前を入力します
IPアドレスまたはホスト名：Log360 CloudエージェントサーバーのIPアドレスまたはホスト名を入力します
ポート：Log360 CloudエージェントサーバーのIPアドレスと関連づけられたポート(513、514)を入力します
ログのタイムスタンプとホスト名：イベントの日付と時間を含むログを送信するには、これを有効にします

BarracudaメールセキュリティゲートウェイでのSyslogサービスの構成

Barracuda電子メールセキュリティゲートウェイアプリケーションは、次の手順で構成できます。

メールSyslogをBarracudaメールセキュリティゲートウェイWebインターフェイスを使って構成するには、[詳細] → [詳細ネットワーク]のじゅんに移動します。
メールフローに関連したSyslogデータを送信するLog360 CloudエージェントサーバーのIPアドレスを入力します。
プロトコルTCPまたはUDPを指定し、syslogデータを送信するポート（513,514）も指定します。

HuaweiファイアウォールデバイスでのSyslogサービスの構成

HuaweiファイアウォールデバイスでSyslogサービスを構成するには、以下の手順に従います。

Huaweiファイアウォールデバイスにログインします。
[システム表示] → [ログ監視] → [ファイアウォールログストリーム]の順に移動します。
トラフィック監視ログをLog360 Cloudエージェントサーバーにエクスポートするには、所定のスペースに以下の詳細を入力します。
Info-centerログホスト<Log360 CloudエージェントサーバーIPアドレス> 514ファシリティ <ファシリティ>
構成モードを終了します。

MerakiデバイスでのSyslogサービスの構成

MerakiデバイスでSyslogサービスを構成するには、以下の手順に従います。

管理者としてMerakiデバイスにログインします。
ダッシュボードから、[ネットワーク全体] → [構成] → [全般]の順に移動します。
[Syslogサーバーを追加]リンクをクリックします。所定フィールドに、[Log360 CloudエージェントサーバーIPアドレス]と[UDPポート番号]を入力します。
データをサーバーに送信できるように役割を定義します。

注記: フローロールがMerakiセキュリティ機器で有効になっている場合、個別ファイアウォールルールのロギングを有効/無効にできます。これは、[セキュリティ機器] → [構成] → [ファイアウォール]の順に移動し、[ロギング列]を編集して、実行できます。

[保存]をクリックします。

pfSenseデバイスでのSyslogサービスの構成

pfSenseデバイスにログインします。
[ステータス] → [システムログ] → [設定]の順に移動します。
リモートログを有効にします。
Log360 Cloudエージェントサーバーの[IPアドレス]とポートを指定します。
すべてのリモートSyslogの内容を確認してください。
[保存]をクリックします。

H3CデバイスでのSyslogサービスの構成

管理者としてH3Cセキュリティデバイスにログインします。
システムビューモードに移動します。
[情報センター]チェックボックスを有効にします。
ホストの出力ルールを構成します。
info-center source {<module-name>|default} {console|monitor|logbuffer|logfile|loghost} {deny|level <severity>}
ログホストを指定し、以下のパラメーターを構成します。
info-centerログホスト {<agent_server_IP>} [ポート <port_number>][ファシリティ <local-number>]
これで、H3Cセキュリティデバイスが正常に構成されました。

F5デバイスからLog360 CloudエージェントへのSyslog転送の構成手順

システムログを転送するには：

「設定ユーティリティ」にログインします。
[システム] → [ログ] → [構成] → [リモートロギング]の順に移動します。
リモートIPを入力します。このケースのリモートIPは、Log360 CloudエージェントサーバーのIPアドレスになります。
リモートポート番号を入力します。Log360 Cloudエージェントのデフォルトリモートポートは514です。
「追加」をクリックします。
[更新]をクリックします。

（これでイベントログを転送します)。（例：ファイアウォールイベント）

管理ポートの宛先を作成します

「設定ユーティリティ」にログインします。
[システム] → [ログ] → [構成] → [ログ宛先]の順に移動します。
「作成」をクリックします。
ログの宛先の名前を入力します。
ログの種類を指定するには、「管理ポート」をクリックします。
Log360 CloudエージェントサーバーのＩＰアドレスを入力します。
Log360 Cloudエージェントサーバーのリスニングポートを入力します。デフォルトのリスニングポートは514です。
プロトコルには、UDPプロトコルを選択します。
「完了」をクリックします。

フォーマットされたリモートsyslog宛先を作成します。

次に、[システム] → [ログ] → [構成] → [ログ宛先]の順に移動します。
「作成」をクリックします。
ログの宛先の名前を入力します。
ログタイプを指定するには、リモートsyslogを選択します。
[Syslog設定]で、syslog形式を「syslog」に設定し、syslog宛先として[管理への転送]ポートを選択します。
「完了」をクリックします。

ログを転送するログ出版者を作成します。

[システム] → [ログ] → [構成] → [ログ発行者]の順に移動します。
「作成」をクリックします。
ログ出版者構成の名前を入力します。
使用可能なリストで、以前に構成したリモートSyslog宛先名をクリックして、選択したリストに移動します。
「完了」をクリックします。

仮想サーバーのログプロファイルを作成する

[セキュリティ]> [イベントログ]> [ログプロファイル]に移動します。
「作成」をクリックします。
ロギングプロファイルのプロファイル名を入力します。
次に、チェックボックスをクリックしてネットワークファイアウォールを有効にします。
ネットワークファイアウォールの設定で、発行元を入力します。以前に設定したSyslogパブリッシャーを入力します。
ログルールの一致の下で、[承認、削除、および拒否]をクリックします。（注意：ログが必要ない場合は、無効にすることができます）。
他のオプションはデフォルトのままにします。（メモ: ストレージ形式は「なし」である必要があります）
次に、「作成」をクリックします。

対応する仮想サーバーにロギングプロファイルを適用します

次に、[ローカルトラフィック] → [仮想サーバー]の順に移動します
ロギングプロファイルを適用する仮想サーバーを選択します
上部にある[セキュリティ]タブをタップし、ポリシーをクリックします。
ネットワークファイアウォールに移動します。
実施を有効にして、ネットワークファイアウォールポリシーを選択します。
[ログプロファイル]で、ログプロファイルを有効にし、以前に構成したログプロファイルを選択します。
次に、[更新]をクリックします。

WindowsファイアウォールのLog360 Cloudへの追加

Windowsファイアウォールログを監視するには、初めにファイアウォール収集元のWindowsホストを追加する必要があります。

Log360 CloudエージェントがWindowsファイアウォールロゴを収集するには、Windowsホストのローカル監査ポリシーを修正し、すべてのファイアウォール関連イベントを有効にする必要があります。これを行うには、以下の手順に従います。

コマンドプロンプトを開きます。
以下のコマンドを実行してすべてのファイアウォール関連イベントのロギングを有効にします。
auditpol.exe /set /category:"ポリシー変更" /subcategory:"MPSSVC rule-level policy change" /success:enable /failure:enable
auditpol.exe /set /category:"ポリシー変更" /subcategory:"プラットフォームポリシー変更の絞り込み" /success:enable /failure:enable
auditpol.exe /set /category:"ログオン/ログオフ" /subcategory:"IPsecメインモード" /success:enable /failure:enable
auditpol.exe /set /category:"ログオン/ログオフ" /subcategory:"IPsecクイックモード" /success:enable /failure:enable
auditpol.exe /set /category:"ログオン/ログオフ" /subcategory:"IPsec拡張モード" /success:enable /failure:enable
auditpol.exe /set /category:"システム" /subcategory:"IPsecドライバー" /success:enable /failure:enable
auditpol.exe /set /category:"システム" /subcategory:"他のシステムイベント" /success:enable /failure:enable
auditpol.exe /set /category:"オブジェクトアクセス" /subcategory:"プラットフォームパケットドロップの絞り込み" /success:enable /failure:enable
auditpol.exe /set /category:"オブジェクトアクセス" /subcategory:"プラットフォーム接続の絞り込み" /success:enable /failure:enable
以下のコマンドを使ってホストを再起動（または）強制手動リフレッシュします。 gpupdate /force

CyberoamデバイスでのSyslogサービスの構成

CyberoamデバイスでSyslogサービスを構成するには、以下の手順に従います。

Cyberoam Syslog の有効化:

Cyberoam に管理者としてログインします。
[ログとレポート]> [構成]> [Syslogサーバー]> [Syslogサーバー]> [追加]に移動します
Syslog サーバーを設定するには、次の情報を入力します
名前：< any >
サーバー: < Log360 CloudエージェントサーバーIPアドレス >
ポート: < 513 >
ファシリティ: < DAEMON >
重大度: < 情報 >
形式: < Cyberoam 標準形式 >
保存をクリック。
[ログとレポート] > [構成] > [ログ設定] の順に移動 > Log360 Cloudエージェントサーバーに送信が必要なログを選択します。

Dell SwitchでのSyslogサービスの構成

Log360 CloudエージェントサーバーがDell Switchからログを収集するには、スイッチでロギングを有効にする必要があります。

ロギングは、コマンドプロンプトに以下のコマンドを入力して、Dell Switchで有効にすることができます。

コマンド	パラメータ
console# configure	構成済モードを入力します。
console(conf)# ロギング <agent _server_IP>	IPアドレスまたはホスト名を設定し、外部Syslogを特定してログ出力を送信します。(オプション) UDPおよびTCPポート指定を入力することもできます。

注記: 詳細は、Dell Switchのドキュメントを参照してください。

Forcepoint SwitchでのSyslogサービスの構成

Log360 CloudエージェントサーバーがForcepointデバイスからログを収集するようにするには、Forcepoint NGFWセキュリティ管理センターでログ転送を有効にする必要があります。

セキュリティ管理コンソールから、[構成] > [ネットワークエレメント] > [サーバー] > [ログサーバー]の順に移動します。
[ログサーバー]を右クリックして[プロパティ]を選択します。[ログサーバー - プロパティ]ぷっぷアップが開きます。
[追加]をクリックします。次のフィールドには、以下の情報の入力が必要です。
Log360 Cloudエージェントサーバーのホスト名またはIPアドレスを入力します。
TCPにポート番号513、UDPに514を入力します。
CEF形式をログ形式で選択します。
[ログ転送]タブを選択して、[OK]をクリックします。

StormshieldデバイスでのSyslogサービスの構成

Stormshieldデバイスからのログ収集を有効にするには、次の手順に従います。

ファイアウォールにログインします。
[構成]タブをクリックします。
[通知]ボタンをクリックします。[有効にする]を選択して、Syslogサービスを開始します。
[宛先]フィールドに、Log360 CloudエージェントサーバーのIPアドレスを入力します。
[保存]をクリックします。