ログ記録、ログ ファイル、および通知について

ネットワーク セキュリティの重要な機能は、セキュリティ システムからメッセージを収集し、収集した記録を頻繁に調べて、後から参照できるように記録をアーカイブに保存する機能です。WatchGuard ログ メッセージ システムによりセキュリティに関連するイベント情報が記載されたログ ファイルが作成されるので、それを確認することによって、ネットワークのセキュリティおよびアクティビティの監視、セキュリティ上のリスクの特定、およびリスクへの対処を行うことができます。

ログ ファイルは、イベントのリストで、そのイベントに関する情報が記載されています。イベントは、Firebox で発生するアクティビティの 1 つです。イベントの例には、Firebox によるパケットの拒否などがあります。Firebox は、ネットワーク上のアクティビティの詳細が分かるように、許可されるイベントに関する情報を取得できます。

Firebox および WatchGuard サーバーにより生成されるログ メッセージを確認するには、Traffic Monitor、Log Manager、または Dimension を使用します。詳細については、次のセクションを参照してください：

WatchGuard のログ メッセージ システムには、次のセクションで説明するいくつかのコンポーネントが存在します。

ログ メッセージについて

Firebox と WatchGuard サーバーは、WSM Log Server または WatchGuard Dimension にログ メッセージを送信することができます。Firebox は、ログ メッセージを syslog サーバーに送信するか、またはログを Firebox にローカルに保存できます。ログ メッセージをそれらの場所のいずれか一方または両方に送信するように選択できます。

Firebox System Manager を使用して、トラフィック モニタ タブにログ メッセージをリアルタイムで表示できます。Log Manager または WatchGuard Dimension でログ メッセージを調べることもできます。ログ メッセージは .wgl.xml の拡張子で、WSM Log Server の WatchGuard ディレクトリにある、SQL データベース ファイルに保存されます。

Traffic Monitor と Log Manager の詳細は、Traffic Monitor および Log Manager と Report Manager のセクションを参照してください。

Dimension の詳細は、次を参照してください：Dimension を設定・管理する。

Firebox デバイスにより送信されるさまざまなログ メッセージについては、次を参照してください：ログ メッセージの種類。

ログ メッセージを送信するように Firebox を構成する方法の詳細については、次のトピックを参照してください：

• ログ記録と通知の基本設定を行う
• ログ設定およびパフォーマンス統計を構成する (Web UI)
• ログ メッセージを WatchGuard Log Server に送信する（Web UI）
• Firebox がログ メッセージを送信する場所を定義する（WSM）
• ポリシーのログ記録および通知を設定する（Web UI） (Web UI)
• ポリシーのログ記録および通知を構成する (Policy Manager) (WSM)

Firebox により生成されるログ メッセージの詳細については、Fireware ログ カタログ を参照してください。

Log Server

Fireware Web UI では、ログ ファイルを保存する次の 2 つの方法があります:

WatchGuard Log Server

WatchGuard System Manager (WSM) Log Server または WatchGuard Dimension を使用できます。Firebox がある場合、Firebox からのログ メッセージを収集する Log Server を構成できます。

Syslog

これは、UNIX 用に開発されたログ インターフェイスですが、複数の他のコンピュータ システムによって使用されています。syslog ホストを使用する場合、ログ メッセージを syslog サーバーに送信するように Firebox デバイスを設定できます。使用中のオペレーティング システムと互換性がある syslog サーバーを探すには、インターネットで syslog daemon を検索します。

Firebox が WSM Log Server または Dimension にログ ファイルを送信するように構成されており、接続に失敗した場合、ログ ファイルは収集されません。ログ ファイルの喪失を回避するため、ローカルの信頼済みネットワーク上の syslog host にもログ メッセージを送信するよう Firebox を構成することができます。

ログ メッセージを WatchGuard Log Server へ送信する方法については、次を参照してください：ログ メッセージを WatchGuard Log Server に送信する（Web UI）。

WatchGuard Dimension の詳細については、次を参照してください：Dimension を設定・管理する。

ログ メッセージを syslog ホストへ送信する方法については、次を参照してください：Syslog サーバーの設定を構成する。

WatchGuard Log Server は、各接続済みの Firebox または WatchGuard サーバーからログ メッセージ データを収集します。Log Server は、TCP ポートの 4107 および 4115 で情報を受信します。Log Server に接続する各 Firebox は、まずその名前、シリアル番号、タイム ゾーン、およびソフトウェア バージョンを送信し、その後、新しいイベントが発生すると、ログ データを送信します。Firebox が送信する情報には、トラフィック、アラーム、イベント、デバッグ、パフォーマンス統計の各ログ メッセージがあります。Firebox のシリアル番号 (SN) は、Log Server データベースで Firebox を一意に特定するのに使用されます。Log Server に送信されるログ メッセージは多くのタイム ゾーンから発信可能ですが、Log Server はすべてのログ メッセージを UTC 形式で保存します。Log Server は、PostgreSQL データベースの複数のインスタンスを使用してグローバル データベースを管理します。PostgreSQL データベースの各インスタンスは、別の PostgreSQL 処理として Windows のタスク マネージャに表示されます。

Log Server は、複数の処理およびモジュールを使用して、ログ メッセージ データを収集し、格納します。 wlcollector.exe は、ログの収集 処理です。Firebox は、この処理に接続して、TCP ポート 4115 または 4107 にログを記録します。wlcollector.exe は、ap_collector および ap_notify の 2 つのモジュールを実行します。ap_collector は、Firebox からログを取得し、Log Server のデータベースに取り込みます。ap_notify は、Firebox からのアラームを取得し、選択したタイプの通知を送信します。

ログ メッセージは、XML (テキスト) 形式で WatchGuard Log Server に送信され、SSL 接続 (AES 256-ビット) で送信される際に暗号化されます。ログ データは、Log Server のデータベースに格納されるときには暗号化されません。

管理コンピュータであるコンピュータまたは別のコンピュータに WatchGuard Log Server をインストールできます。バックアップおよびスケーラビリティ用の Log Server を追加することもできます。そのためには、WatchGuard System Manager のインストール プログラムを使用して、Log Server コンポーネントのみインストールするように選択します。

Log Server が Firebox からのログ データを収集した後、WatchGuard Report Server を使用して、データを定期的に統合して、レポートを生成できます。Report Server が Log Server からデータを取得するときに、ログ メッセージ データは暗号化された SSL 接続 (AES 256-ビット) で送信されます。

Report Server の詳細については、次を参照してください：Report Server について。

アプリケーションおよびサーバーのログ記録と通知

Log Server は、Firebox または WatchGuard サーバーからログ メッセージを受信できます。Firebox および Log Server の構成後、Firebox はログ メッセージを Log Server に送信します。Firebox に定義した様々な WSM アプリケーションおよびポリシーのログ記録を有効にして、表示するログのレベルを制御することができます。別の WatchGuard サーバーから Log Server にログ メッセージを送信するように選択する場合は、まず、そのサーバーでログ記録を有効にする必要があります。

Firebox からのログ メッセージ送信の詳細については、次を参照してください：ポリシーのログ記録および通知を構成する (Policy Manager)。

WatchGuard server からのログ メッセージの送信については、次を参照してください：Report Server のログ記録設定を構成する。

ログファイル

WatchGuard Log Server は、wlcollector.log および ap_collector.log ファイルを使用して、Firebox とデータベースの接続に関する情報を格納します。この情報には、認証エラー、チャレンジと応答のミスマッチおよびデータベース アクセス エラーが含まれます。

ファイルは、既定で以下の場所に格納されています。

• Window 8 および Window 7 — C:\ProgramData\WatchGuard\logs\wlogserver\wlcollector
• Windows XP — C:\Documents and Settings\WatchGuard\logs\wlogserver\wlcollector\

データベース

ログ情報は、PostgreSQL データベースに格納されます。各 Log Server には 4 つの主なデータベース テーブルがあり、ここにすべての Firebox のログ メッセージが保存されます。Log Server は、固定サイズのパーティションを作成し、ログ情報を格納します。Log Server データベースの内容を手動で変更するには、PostgreSQL コマンド プロンプトを使用するか、またはpgadmin などサードパーティのアプリケーションを使用します。

Firebox を初めて Log Server に接続する場合、グローバル データベースに新しい Firebox の情報が更新されます。各 Firebox のログ メッセージは、4 つの Log Server データベース テーブルの 1 つに送信されます。これらのテーブル内のデータは、WatchGuard WebCenter でログ ファイルを表示するとき、またはレポートを作成するときに使用します。

WatchGuard Report Server により生成されたレポートは、XML ファイルとして次のディレクトリに保存されます:

Window 10、8 および Window 7 — C:\ProgramData\WatchGuard\wrserver\reports\

パフォーマンスとディスク領域

ログ情報を 1 つの Log Server に送信するように複数の Firebox を構成することができます。構成するデバイス数は、利用可能なディスク領域によってのみ制限されます。ただし、Log Server に接続できる正確な Firebox 数は、そのハード ドライブのサイズとスピード、利用可能な RAM、プロセッサ数、および各接続済みの Firebox により Log Server に送信されるログ トラフィック量によって異なります。より高速のハード ドライブ、より大きいメモリ、または別のプロセッサを追加すると、Log Server のパフォーマンスを大きく向上できます。

Log Server では、データベースからの古いログ メッセージを自動的に削除できる設定が用意されています。Log Server を初めて設定する時に、日ごとに使用される平均ディスク領域を測定することをお勧めします。データベースが大きすぎるディスク領域を使用する前に、何日のログ メッセージをデータベースに維持するかを決定して、その時間間隔に一致するように設定を変更します。ログ メッセージをデータベースから削除すると、新しいログ エントリを作成するときにディスク領域が再使用されます。

reindexdb ユーティリティを使用すると、1 つまたは複数の PostgreSQL データベース テーブル内のインデックスを再ビルドして、パフォーマンスを向上できます。このユーティリティは、WatchGuard サポート担当者の推奨がある場合のみ実行する必要があります。

Log Manager と Report Manager

対話型の WatchGuard WebCenter Web UI の Log Manager ページと Report Manager ページを使用して、ログ ファイルの詳細を確認したり、Firebox や WatchGuard サーバーから生成されたレポートを表示したり、オンデマンド レポートを生成したりすることができます。レポートを開くときに、任意のレポートのデータをピボットして、レポートに含まれる 詳細を確認することができます。各レポートには、関連するレポートの詳細のリンクが含まれています。

詳細については、次を参照してください：WebCenter でログ メッセージとレポートを参照する, デバイス ログ メッセージを表示するおよび レポートを Report Manager で表示する。

Traffic Monitor

Firebox System Manager (FSM) の Traffic Monitor タブで、Firebox で発生したログ メッセージを確認することができます。いくつかのネットワークでは、ログ メッセージが送信されるときに小規模の遅延が発生する可能性があります。トラフィック モニタ は、ネットワーク パフォーマンスのトラブルシューティングに役立てることができます。例えば、どのポリシーが最も多く使用されているかを確認したり、外部インターフェイスが常に最大能力で使用されているかどうかを確認したりすることができます。

詳細については、次を参照してください：デバイス ログ メッセージ (Traffic Monitor)。

システム ステータス Traffic Monitor

Firebox Web UI の Traffic Monitor ページで、Firebox で発生したログ メッセージをリアルタイムで確認することができます。いくつかのネットワークでは、ログ メッセージが送信されるときに小規模の遅延が発生する可能性があります。トラフィック モニタ は、ネットワーク パフォーマンスのトラブルシューティングに役立てることができます。例えば、どのポリシーが最も多く使用されているかを確認したり、外部インターフェイスが常に最大能力で使用されているかどうかを確認したりすることができます。

詳細については、次を参照してください：Traffic Monitor。

関連情報

クイック起動 — ネットワーク用のログ記録を設定する

を設定する Log Server

WebCenter でログ メッセージとレポートを参照する

通知について

Syslog サーバーの設定を構成する

Traffic Monitor

フィードバックの送信  •   サポートのリクエスト  •   全製品ドキュメント  •   技術検索

© 2018 WatchGuard Technologies, Inc. All rights reserved.W WatchGuard、WatchGuard ロゴ、WatchGuard Dimension、Firebox、Core、Fireware および LiveSecurity は、米国および他の国における WatchGuard Technologies の登録商標または商標です.