Firewall Analyzer ナレッジベース

ベンダー/モデルごとの装置追加識別子について


対象バージョン

バージョン12

概要

Firewall AnalyzerにFW装置を追加する際、各ベンダーやモデルに応じて、Firewall Analyzerが認識する識別子が異なります。
本ナレッジでは、主要なFWベンダー/モデルごとに、その識別子についてご案内いたします。

VDOM機器の場合にはベンダー問わず、syslogに含まれる"vdom_id"をもとに追加されます。

装置追加基準

各ベンダー/モデルごとの識別子につきまして、以下の表をご参照ください。

ベンダー/モデル 識別子
Fortigate syslog内の"device_id"フィールド値
CiscoASA
Cisco PIX
Cisco Firepower
ロギング設定:
logging device-id {context-name | hostname | ipaddress interface_name | string text}
・device_idのロギング設定が有効な場合、syslog内の"device_id"値に基づいて識別
・device_idのロギング設定が無効な場合、送信元IPアドレスに基づいて識別
Juniper SRX
Barracuda
FW装置からFirewall Analyzerに直接ログを転送している場合:
・syslog内の"timestamp"値の後ろに"Device Name"フィールドが存在する場合には、"Device Name"フィールド値
・"Device Name"フィールドが存在しない場合には、送信元IPアドレス
FW装置とFirewall Analyzer間にsyslogサーバーが存在し、syslogサーバーからログが転送されている場合:
・送信元IPアドレス(syslogサーバーIPアドレス)
NetScreen syslog内の"device_id"フィールド値
Paloalto
Sophos XG
pfsense
KerioControl
送信元IPアドレス
Sophos UTM
Watchguard
Huawei
Vyatta
3Com
F5
syslog内の"hostname"フィールド値
Sonicwall syslog内の"fw"フィールド値(=WAN IPアドレス)
Checkpoint LEAフォーマットの場合:
・"orig_name"フィールド値(=Firewall Gateway 名)
Log Exporterの場合:
・"orig"フィールド値(=Firewall Gateway IPアドレス)

 

「送信元IPアドレス」を識別子とするベンダー/モデルに関する留意事項:
ご利用環境の構成で、FW装置とFirewall Analyzerの間にサードパーティベンダーのsyslogサーバー等が配置されており、
収集したログをsyslogサーバーからFirewall Analyzerに転送している場合には、syslogサーバーのIPアドレスが識別子となります。
このとき、
・同一ベンダーの場合、複数装置を1つの装置(=ライセンス消費1)として登録し、各装置のログデータは混在した状態で表示されます。
・異なるベンダーが存在する場合、各ベンダー単位で装置を登録し、同じベンダー装置のログは混在した状態で表示されます。
(例:上記の構成で、Paloalto4台、Sophos XG3台のログを転送している場合、Firewall Analyzerでは、ベンダー単位で2台=ライセンス消費2として装置を登録し、登録された各装置では同じベンダー装置のログデータが混在した状態となります)
※サードパーティベンダーのsyslogサーバーの仕様/動作については弊社サポート範囲外です。Firewall Analyzerで事象が発生した際の調査状況に応じて、それ以上の調査が叶わず、FW装置からFirewall Analyzerへの直接転送(弊社推奨構成)をご案内する場合がございますので、あらかじめご了承ください。