ログファイルのインポート
Firewall Analyzerでログを解析するにあたり、対象装置からFirewall Analyzerのインストールサーバーにログを直接転送する方法と、ログファイルをインポートしてログ情報を取り込む2つの方法があります。
本ページでは、ログファイルのインポート機能について記載します。
以下の設定画面に遷移します。
[設定]→[システム]→[ログファイルのインポート]
画面右上の[ログのインポート]よりインポートを実施します。
インポート機能には、以下2つのオプションがあります。いずれかを選択してください。
- ローカルホスト
- リモートホスト
- 本機能を使用してインポートしたログデータを削除する機能は実装されていません。
そのため、同じファイルを複数回インポートした場合、データが重複して表示されるのでご留意ください。
※本画面上の[削除]は、インポート履歴のみを削除します。 - インポートを実施した日時から、データ保存期間のカウントが開始されます。
syslogデータ内に日時フィールドが含まれている場合も、インポート実施日時が基準となります。
ローカルホスト
Firewall Analyzerに接続している端末上(インストールサーバー含む)にログファイルが存在する場合、「ローカルホスト」を選択してインポートを実施します。
インストールサーバー上から直接Firewall Analyzerにアクセスした場合、[スケジュール]機能と[ディレクトリ]機能が表示されます。
リモート端末からアクセスした場合、[ファイル]機能のみ表示されます。
ローカルホストの画面で選択できるオプションは以下の通りです。
ファイル
| 項目 | 説明 |
|---|---|
| ファイルの場所 | ローカル内に保管されているファイルの場所を指定します。 テキストファイルまたはZipファイルをインポート可能です。 ※ファイル最大ファイル:1GB |
| 未解析/ジャンクレコードは無視する | Firewall Analyzerで解析不可なログが含まれている場合、そのレコードはスキップし、解析可能なレコードのみを参照します。 |
| 次を仮想ファイアウォールとする(※) | 仮想ファイアウォールと物理ファイアウォールを分ける際に使用します。 チェックがない場合、インポートされる装置は物理装置として識別されます。 |
| ログファイルを既存の装置にマッピング | インポート対象の装置が既にFirewall Analyzerに追加されている場合、対象装置にマージするようインポートします。 |
スケジュール
| 項目 | 説明 |
|---|---|
| ファイルの場所 | ローカル内に保管されているファイルの場所(パス含む)を指定します。 |
| 時間間隔(分):開始 | ファイルの参照間隔を指定します。 |
| 動的にファイル名を変更する | 日時等、インポート対象のファイル名が動的に変化する場合にチェックを入れ、ファイル名の変更パターンを入力します。 |
| 未解析/ジャンクレコードは無視する | Firewall Analyzerで解析不可なログが含まれている場合、そのレコードはスキップし、解析可能なレコードのみを参照します。 |
| 次を仮想ファイアウォールとする(※) | 仮想ファイアウォールと物理ファイアウォールを分ける際に使用します。 チェックがない場合、インポートされる装置は物理装置として識別されます。 |
| ログファイルを既存の装置にマッピング | インポート対象の装置が既にFirewall Analyzerに追加されている場合、対象装置にマージするようインポートします。 |
[時間間隔(分)]と[開始]を指定しない場合、対象のファイルが1度のみ即時インポートされます。
ディレクトリ
| 項目 | 説明 |
|---|---|
| ファイルの場所 | ファイルが保管されているディレクトリパスを指定 |
| 未解析/ジャンクレコードは無視する | Firewall Analyzerで解析不可なログが含まれている場合、そのレコードはスキップし、解析可能なレコードのみを参照します。 |
| 次を仮想ファイアウォールとする(※) | 仮想ファイアウォールと物理ファイアウォールを分ける際に使用します。 チェックがない場合、インポートされる装置は物理装置として識別されます。 |
リモートホスト
ログファイルがローカル端末上ではなく、リモート端末上にある場合、こちらのオプションを選択してインポートを実施します。
| 項目 | 説明 |
|---|---|
| ホスト名/IPアドレス | リモート端末のホスト名もしくはIPアドレスを入力 |
| ユーザー名、パスワード | リモート端末にアクセスするための認証情報を入力 |
| プロトコル | アクセス時のプロトコルを選択 ・FTP ・SFTP/SSH |
| ポート | プロトコル選択時に自動的にポートが反映されます。必要に応じて変更してください。 |
| 時間間隔(分):開始 | ファイルの参照間隔を指定します。 |
| ファイルの場所 | リモート端末に保管されているファイルの場所を指定 ※ファイルサイズ:最大2GB |
| 動的にファイル名を変更する | 日時等、インポート対象のファイル名が動的に変化する場合にチェックを入れ、ファイル名の変更パターンを入力します。 |
| 未解析/ジャンクレコードは無視する | Firewall Analyzerで解析不可なログが含まれている場合、そのレコードはスキップし、解析可能なレコードのみを参照します。 |
| 次を仮想ファイアウォールとする(※) | 仮想ファイアウォールと物理ファイアウォールを分ける際に使用します。 チェックがない場合、インポートされる装置は物理装置として識別されます。 |
| ログファイルを既存の装置にマッピング | インポート対象の装置が既にFirewall Analyzerに追加されている場合、対象装置にマージするようインポートします。 |
(※)
[次を仮想Firewallとする]オプションは、VDOMのsyslogファイルをインポートする場合に有効化します。
・Firewall Analyzerに既に装置が追加されている場合:本オプションを有効化し、Firewall Analyzerに追加されている既存装置のIPアドレスを入力してインポートしてください。
・Firewall Analyzerに装置が追加されていない場合:初めにVDOMのsyslogファイルをインポートし装置追加を行います。それ以降は本オプションを有効化の上、追加した装置のIPアドレスを入力してVDOMのsyslogファイルをインポートしてください。
※本オプションを有効化した場合、IPアドレスの入力は必須です。IPアドレスの入力なしにインポートを実施すると、エラーが発生します。
※入力したIPアドレスが、Firewall Analyzerの[インベントリ]画面に存在しない場合、新規装置として追加されます。
・[時間間隔(分)]と[開始]を指定しない場合、対象のファイルが1度のみ即時インポートされます。
インポート実施後の各項目について
[ログファイルのインポート]画面の一覧に、インポート実施後の各情報が記録されます。
| 項目 | 説明 |
|---|---|
| ファイル名 | インポートを実施したファイル名 |
| リモートホスト | インポートを実施した端末情報(ホスト名またはIPアドレス) |
| プロトコル | インポートに使用したプロトコル |
| ステータス | インポートステータス |
| インポート時間 | インポート実施時刻 |
| サイズ | インポートしたファイルのサイズ |
| 経過時間 | インポート完了までの時間 |
| レポート表示 | リンクをクリックすると、[レポート]→[FWAレポート]画面に遷移します。 |
| アクション | リモートホストで設定したインポートアクションの有効化/無効化の設定をします。 ※ローカルホストからインポートを実施した場合、項目は表示されません。 |
ビルド12.5.476以降、ログファイルをインポート後に表示される[レポート表示]リンクをクリックすると、syslogに含まれる日時に応じて、自動で日付/時間が指定された状態でFWAレポートが表示されるよう、仕様変更しました。
なお、syslogに日時データが存在しない場合には、デフォルトの「今日」が指定されてFWAレポート画面に遷移します。
※ビルド12.5.476未満の環境では、「今日」の時間がデフォルトで指定されてFWAレポートに遷移されます。
※ログファイルをインポート後も、装置追加されない場合や、[レポート表示]リンクが表示されない場合、該当のsyslogデータが、Firewall Analyzerで解析可能なログではない可能性があります。
その場合には、弊社サポート窓口までお問い合わせください。サポートより、対象のsyslogデータの有効性を確認いたします。