FortiGateファイアウォールの設定
Firewall Analyzerは、FortiOSの以下のバージョンをサポートしています。
FortiGateのバージョンを確認するコマンド:get system status
FortiOS:2.5、2.8、3.0、5.0、6.0、6.2以上(7.x含む)
仮想ファイアウォールログ(仮想ドメイン)
FortiGateの物理マシンに存在する仮想ファイアウォールからログを受信するために、Firewall Analyzerで必要な個別の設定はありません。
VDOMをサポートするための前提条件:
ForitGateファイアウォールのVDOMログをサポートするには、ログフォーマットがWELFではなくSyslogである必要があります。
FortiGateファイアウォールの設定
次の手順でFortiGateファイアウォールの設定を行います。
※ログのエクスポートでCSV形式を選択しないようお願いします。
- FortiGateのWebインターフェースにログイン
- [Log & Report]→[Log Setting]画面または[Log & Report]→[Log Config]→[Log Setting]画面を表示
※FortiGateのバージョンによって異なります。 - WELF形式でログをエクスポートする場合:
- [Log in WebTrends Enhanced Log Format]または[WebTrends]のチェックボックスを選択
※FortiGateのバージョンによって異なります。 - syslogサーバーのIPアドレスを入力
- ロギングレベル[Information]または[Log All Events]を選択
※FortiGateのバージョンによって異なります。
- [Log in WebTrends Enhanced Log Format]または[WebTrends]のチェックボックスを選択
- Syslog形式でログをエクスポートする場合
- [Log to Remote Host]または[Syslog]のチェックボックスを選択
※FortiGateのバージョンによって異なります。 - syslogサーバーのIPアドレスとポートを入力
- ロギングレベル[Information]または[Log All Events]を選択
※FortiGateのバージョンによって異なります。 - facility[local7]を選択
- [Apply]をクリック
ルールのロギング設定
以下の手順で、FortiGateファイアウォールのトラフィックをロギングするルール設定を行います。
- [Firewall]→[Policy]を選択
- トラフィックをロギングするルールを選択して、[Edit]をクリック
- [Log Traffic]のチェックボックスを選択
- [OK]をクリック
- [Apply]をクリック
上記の手順を、ロギングを有効にするすべてのルールに対して実行します。
上記を設定後に、FortiGateからログを受信することができない場合、CLIベースの設定を確認してください。
CLIベースの設定
- 以下のコマンドを実行で、syslogを有効化します。
Enable syslog:
config log syslogd2 setting
set status enable
set server "syslog転送先のIPアドレス"
set csv disable
set facility local7
set port 1514
set reliable disable
end
- 以下のコマンドを実行してトラフィックを有効化します。
Enable traffic:
config log syslogd filter
set severity information
set traffic enable
set web enable
set email enable
set attack enable
set im enable
set virus enable
end
- コマンド「show log syslogd filter」を実行し、使用可能なすべてのトラフィックを一覧表示します。
- FortiOSバージョン5では、TCPでsyslogを転送するオプションがあります。Firewall AnalyzerがFortiGateからログを受信できていない場合、FortiOSのバージョンを確認してください。バージョン5.0以降の場合、syslog設定で「reliable」が無効(disable)になっていることを確認してください。これによりUDPでログを転送するようになります。
メモリとロギングの最適化
メモリの削減やロギングレートを上げる必要がある際に、以下の設定でパフォーマンスを向上(最適化)できる場合があります。
拡張トラフィックロギングの無効化
config log fortianalyzer
set extended-traffic-log {disable | enable}
end
この設定は、ICSA準拠のためにデフォルトで有効になっています。
有効の場合、セッションの開始と停止のときにログが生成されるため、トラフィックログの量が2倍になります。
無効にすると、セッション停止時のみにログが生成されます。
コマンド「extended-traffic-log enable」を実行すると、
拒否ルールのロギング設定(有効化/無効化)に関係なく、暗黙のDenyを含む拒否ルールを対象にロギングします。
SNMPの設定
CLIの使用:
以下のコマンドで、FortiGateでSNMPが有効になっているか確認します。
get system snmp sysinfo
無効になっている場合、以下のコマンドでSNMPを有効化します。
config system snmp sysinfo
set status enable
end
Firewall Analyzerで稼働しているSNMPマネージャーが、ファイアウォールのSNMPエージェントにクエリを実行するための設定
config system snmp
edit <SNMP Community ID>
config hosts
edit <SNMP Community ID>
set interface <Firewall Analyzerがファイアウォールに接続するインターフェース>
set ip <Firewall AnalyzerのインストールサーバーのIPアドレス>
end
end
ファイアウォールに接続するインターフェースでSNMPトラフィックが許可されているか確認するには、以下のコマンドを実行します
get system interface <interface name>
インターフェースに対してSNMPトラフィックを許可するには、以下のコマンドを実行します。
config system interface internal
set allowaccess <proto1 proto2 SNMP>
end
Web UIの使用:
- FortiGateのWebインターフェースにログイン
- [System]→[Config]→[SNMP v1/v2c]画面を表示
- SNMPエージェントの[Enable]を選択
- 概要(Description)、ロケーション(Location)、連絡先(Contact)情報を入力
- [Apply]をクリック
- 既存のSNMPコミュニティがある場合、それを編集してFirewall Analyzer(SNMPマネージャー)のIPアドレスとインターフェースを指定します。
- SNMPコミュニティを新規に追加する場合、[Create New]をクリックして、[Community Name]を入力します。その後、Firewall Analyzer(SNMPマネージャー)のIPアドレスとインターフェースを指定します。
SNMPトラフィックをインターフェースで有効化(activate)する設定
- [System]→[Network]→[Interface]を表示
- 対象のインターフェースで、[Edit]を選択
- [Administrative Access]を選択
- [OK]をクリック
高可用性モードでのFortiGateの設定
Firewall Analyzerでは、FortiGateファイアウォールのログに含まれる「device_id」をリソース名として使用します。
高可用性モードでは、アクティブとスタンバイ機が同じ名前であっても「device_id」は異なります。そのため通常、Firewall Analyzerはこれらを2台のデバイスとして認識しますが、
これを回避するために、スタンバイ機の装置名(devname)をアクティブ機の「device_id」と同じ値に設定してください。
FortiGateファイアウォールのsyslogでは、装置のシリアル番号を「device_id」として送信し、ホスト名を装置名(devname)フィールドの値として送信します。
例:
アクティブ機のログ:<189>date=2011-09-28 time=13:14:58 devname=DSAC456Z4 device_id=FGT80G3419623587 log_id=0021000002
スタンバイ機のログ:<188>date=2011-09-28 time=13:14:59 devname=FGT80G3419623587 device_id=FGT80G4534717432 log_id=0022000003