動作確認環境
- PA-200
- Version 8.1.19
トラフィックログを Syslogサーバへ転送する
送信元や宛先などの情報を含むトラフィックログを外部の Syslog サーバに転送することは良く行われます。以下ではこのための設定方法を記載します。
トラフィックログ転送の設定手順
- Syslog サーバプロファイルを設定する
- ログ転送プロファイルを設定する
- ログ転送プロファイルをセキュリティポリシーに適用する
上記手順から分かるように、トラフィックログ転送設定はセキュリティポリシー毎に行います。
Syslog サーバプロファイルの設定
Syslog サーバプロファイルとは、ログの転送先となる Syslog サーバに関する設定情報のことです。
Syslog サーバプロファイルの設定は以下の要素から構成されています。
- プロファイル名
- Syslog サーバ名
- IP アドレス
- 転送プロトコル
- デフォルト UDP
- ポート番号
- デフォルト 514
- フォーマット
- デフォルト BSD
- ファシリティ
- デフォルト LOG_USER
GUI で設定する場合は [Device → サーバープロファイル → Syslog] から設定します。
Syslog サーバープロファイルの設定画面は以下です。
CLI で設定する場合は以下の構文で設定します。
set shared log-settings syslog <プロファイル名> server <サーバ名> <項目> <値>
例えば以下の設定値で設定する場合の設定コマンドは以下の通りです。
- プロファイル名: SyslogProf
- サーバ名: Syslog_192.168.1.100
- IP アドレス: 192.168.1.100
- プロトコル: UDP
- ポート番号: 514
- フォーマット: BSD
- ファシリティ: LOG_USER
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 server 192.168.1.100
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 transport UDP
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 port 514
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 format BSD
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 facility LOG_USERプロトコルの選択肢は以下の通りです。
SSL
TCP
UDPフォーマットの選択肢は以下の通りです。
BSD
IETFファシリティの選択肢は以下の通りです。
LOG_LOCAL0
LOG_LOCAL1
LOG_LOCAL2
LOG_LOCAL3
LOG_LOCAL4
LOG_LOCAL5
LOG_LOCAL6
LOG_LOCAL7
LOG_USERログ転送プロファイルの設定
ログ転送プロファイルとは、どのようなログをどこ宛に転送するかという設定情報です。
ログ転送プロファイルは以下の要素から構成されています。
- プロファイル名
- マッチリスト名
- ログタイプ
- デフォルト traffic
- フィルタ
- デフォルト “All Logs”
- 転送方式
- Panorama
- デフォルト OFF
- Syslog サーバプロファイル
- Panorama
- ビルトインアクション
- ログタイプ
ログ転送プロファイルを GUI で設定する場合は [Objects → ログ転送] から行います。
設定画面は以下のようになっています。
各種設定は以下のように設定します。
- プロファイル名、マッチリスト名は任意の名前で OK です
- ログタイプはデフォルトの traffic とします
- フィルタはデフォルトの “All Logs” とします
- 転送方式
- Panorama はデフォルトの OFF とします
- Syslog にあらかじめ作成しておいた Syslog サーバプロファイルを追加します
- ビルトインアクションは設定不要です
CLI で設定する場合は、以下の構文で設定します。
set shared log-settings profiles <プロファイル名> match-list <マッチリスト名> <項目> <値>
例えば以下の設定値で設定する場合の設定コマンドは以下の通りです。
- プロファイル名: testLogProf
- マッチリスト名: testList
- ログタイプ: traffic
- フィルタ: “All Logs”
- Panorama: no (OFF)
- Syslog プロファイル: SyslogProf
set shared log-settings profiles testLogProf match-list testList log-type traffic
set shared log-settings profiles testLogProf match-list testList filter "All Logs"
set shared log-settings profiles testLogProf match-list testList send-to-panorama no
set shared log-settings profiles testLogProf match-list testList send-syslog SyslogProfログ転送プロファイルを GUI で設定するとコンフィグ上に設定が表示されないという事象があります。詳しくは以下記事参照。
ログ転送プロファイルをセキュリティポリシーに適用
最後に、作成したログ転送プロファイルをセキュリティポリシーに適用します。この設定を行うと、対象のセキュリティポリシーに合致するトラフィックに関するログを Syslog サーバへ転送する動作になります。
GUI で設定する場合は、対象のセキュリティポリシーの設定画面の [アクション] タブの [ログ設定 → ログ転送] で設定したいログ転送プロファイルを指定します。
CLI で設定する場合は以下の構文で設定します。
set rulebase security rules <ポリシー名> log-setting <ログ転送プロファイル名>
例えば以下の設定値で設定する場合の設定コマンドは以下の通りです。
- ポリシー名: Tust_to_Untrust
- ログ転送プロファイル名: Syslog_192.168.1.100
set rulebase security rules Tust_to_Untrust log-setting Syslog_192.168.1.100トラフィックログの例
Syslog サーバに転送されるトラフィックログは以下のようなフォーマットとなっています。
<14>Feb 11 13:38:27 PA-200 1,2023/02/11 13:38:27,001606037698,TRAFFIC,start,2049,2023/02/11 13:38:27,10.20.1.10,8.8.8.8,0.0.0.0,0.0.0.0,Tust_to_Untrust,,,ping,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,Syslog_192.168.1.100,2023/02/11 13:38:27,6570,5,0,0,0,0,0×100000,icmp,allow,570,570,0,5,2023/02/11 13:38:21,0,any,0,127,0×0,10.0.0.0-10.255.255.255,United States,0,5,0,n/a,0,0,0,0,,PA-200,from-policy,,,0,,0,,N/A,0,0,0,0 192.168.1.1 11/02 13:38:27.936
Syslog 転送の送信元インターフェース
Palo Alto が Syslog サーバにログ転送する際の送信元インターフェースは、デフォルトでは MGT インターフェースになっています。
送信元インターフェースの設定は「サービスルートの設定」で変更することもできます。
コメント