ログ解析、ログ管理

ファイアウォール・プロキシ ログ管理

ファイアウォール・プロキシログの保管

組織内でマルウェア感染などの異常が発覚した際、ファイアウォールやプロキシログを適切に保管していないと感染経路をたどることができません。事態の正確な把握を遅らせるばかりか、将来的な対応策を検討することもできず、企業としての信頼性にも関わります。このような状況を防ぐため、ファイアウォールやプロキシのログを長期保管することは、最低限のセキュリティ対策として求められます。

Firewall Analyzerは、ファイアウォールやプロキシから受信したログデータやクライアント画面からインポートを行って取り込んだログデータを、解析・管理するためにFirewall Analyzer内のデータベースに取り込みます。それと同時に、全ログデータを、ファイルとして自動保存する機能があります。この機能は、ログの保管として便利な機能です。

アーカイブ設定アーカイブ設定(バージョン7からの画面)

ログの削除機能

保管されたログの削除機能は、「無期限」・「1年」・「6か月」・「3か月」・「1か月」・「1週間」の保存期間より選択が可能です。保管ログの最大サイズ数は、Firewall Analyzerサーバーのハードディスク容量に依存します。

syslogサーバー設定

Firewall Analyzerは、標準では"514""1514の2つのポートで、ファイアウォール・プロキシからのログデータを待ち受けます。サーバー環境によっては、この2つのポート番号が、別のアプリケーションで占有されていたり、ネットワーク環境によっては、別のポート番号でしかログを送信できない場合があります。そのような際に、この2つの標準のポート番号を閉じ、別のポート番号にてsyslogサーバーとしてトラフィックログを待ち受けできます。

プロトコル・グループ設定

Firewall Analyzer は、たとえば 80/tcp 等の標準的でよく知られているポート/プロトコルの組み合わせに関しては、「Web プロトコル・グループに属するhttp プロトコル」というように指定済みですが、未登録の多様なプロトコルのトラフィックについては、プロトコル・グループ設定から個別に指定することで、正確なネットワーク状況の分析が可能になります。