基本構成

ファイアウォール・プロキシ ログ管理

Firewall Analyzerの基本的な構成

以下の図では、Firewall Analyzerの基本的なシステム構成を表しています。

Firewall、UTMといったSyslogにてログ送信が可能な機器については、Firewall Analyzerへ直接ログ送信をおこなうことで 受信後、すぐにログ解析が開始されます。 Proxyサーバーのログを、Syslogサーバーへ送信が行えない場合はFirewall Analyzerが定期的にFTPでログを取得することができます。

取得したログは、Firewall AnalyzerのDBで管理しデータ解析を行います。 また取得したログは定期的にそれぞれの機器毎、日毎にログファイル(テキスト)へ指定したフォルダーへ出力管理します。

Firewall Analyzer 基本構成

ログファイルをFirewall Analyzerに取り込む

ログファイルをFirewall Analyzerに取り込む方法は、大きく分けて2通りになります。

1つは、ファイアウォールからログデータをFirewall AnalyzerにSyslogとして送信し、Firewall Analyzer側では ログデータを受信するポートを開けてログを待ち受ける方法です。 もう一つは、ファイアウォールが保存したログファイルをインポートする方法です。 どちらの方法も、設定はクライアントWeb画面からの簡単な操作により行うことができます。

Firewall Analyzerは、Juniper SSG (NetScreen) など主要なファイアウォールに対応しています。サポート対象のファイアウォールとプロキシを確認するには、サポート対象機器ページをご参照ください。

ログデータの取り込み

(1)syslogにてログファイルを直接受信する方法

多くのファイアウォールには、Syslog(シスログ)としてログデータを指定したマシンに送信する機能があります。 Firewall Analyzerは、標準で5141514の二つのポートを開けて、ファイアウォールから送信されるログデータを待ち受けます。 (待ち受けポートは追加・変更可能です。)ファイアウォールからログを受信すると、受信したグデータを解析しながら Firewall Analyzer内部のデータベース(MySQL)にデータを登録します。WebブラウザーでFirewall Analyzerクライアント画面を開くと、 データベースに登録されたデータがレポートとして画面に表示されます。

(2)ログファイルを定期的にインポートする方法

多くのファイアウォールには、指定したマシンにログをログファイルとして保存する機能があります。 Firewall Analyzerのクライアント画面でインポートを実行することで、このログファイルをFirewall Analyzer内部

データベース(MySQL)に取り込むことができます。

ログファイルのインポートは、以下の3つの方法で行うことができます。

  • ローカルマシン内のファイルを手動でインポート
  • FTPサーバー内のログファイルをFirewall AnalyzerのFTPクライアントにて取得しインポート
  • LEA接続でCheckpoint Firewall-1のログファイルを取得インポート