ログ記録と通知の基本設定を行う
ログ記録と通知の基本設定は、Firebox の構成全体で類似しています。ログ記録と通知の基本設定は、イベントが発生したときに Firebox が生成するログ メッセージのタイミング、内容とその種類を制御します。
Firebox 構成では、ログ記録と通知の設定をさまざまな場所で構成できます。例:
- ファイアウォールのポリシーとプロキシ — ポリシーおよびプロキシ イベントのアラーム通知
- Firebox 機能キー — 機能キーの有効期限切れまたは期限切れ間近の場合のアラーム通知
- 既定のパケット処理 — 特定の種類の攻撃およびイベントのログ記録とアラーム通知を実行 (Policy Manager でのみ構成可能)
- ブロックされたサイト および ブロックされたポート — ブロックされたサイトとブロックされたポート イベントのログ記録とアラーム通知
- Intrusion Prevention — IPS がアラームを生成したときのアラーム通知
- BOVPN — BOVPN イベントのアラーム通知
- Multi-WAN — 複数 WAN イベントのアラーム通知
- FireCluster — FireCluster イベントのアラーム通知
このトピックで説明するオプションのほとんどは、ログ記録と通知の基本設定を定義できる各場所で使用できます。
ログ記録と通知設定
構成することができるログ記録と通知設定:
ログ メッセージを送信する
パケット フィルタまたはプロキシ ポリシーでは、このチェックボックスはログ記録設定に表示されます。
このチェックボックスを選択すると、Firebox は、ポリシー内の構成に一致するイベントが発生した際にログ メッセージを送信します。これらのログ メッセージは Traffic Monitor および Log Manager で確認できます。
接続を拒否するプロキシ ポリシーまたはパケット フィルタ ポリシーでは、レポートを生成するためにログ メッセージも使用されます。接続を許可するパケット フィルタ ポリシーの場合、ポリシーで許可されている接続のログ メッセージを表示するには、このオプションを選択する必要があります。許可されたトラフィックのログ記録は既定では有効になっていませんが、トラブルシューティングに役立ちます。
ログ ファイル内で許可された接続を積極的に監視する必要がない場合は、トラフィックを許可するポリシーに対して ログ メッセージを送信する を選択しないことをお勧めします。これにより、Firebox の CPU 負荷が増加し、Dimension のログ ストレージが減少します。
ログ頻度の最大数を設定する (Fireware v12.7 以降)
Fireware v12.7 以降では、オプションを選択して、一部の種類のイベントに対して Firebox が生成するログ メッセージの最大数を指定できます。以下のオプションがあります。
- ログ頻度の最大数を設定する — 毎分のログ メッセージの最大数を指定します
- 無制限 — ログ メッセージの数を制限しない
ブロックされたサイト、ブロックされたポート、および以下の既定のパケット処理カテゴリのログ頻度を構成することができます。
- IP スプーフィング攻撃
- ポート スキャン
- IP スキャン
- ルーティング
- IPSec、IKE、SYN、ICMP、UDP フラッド攻撃
- DDOS 攻撃の対象
- DDOS 攻撃のソース
ブロックされたサイトに対して指定するログ頻度は、Geolocation のログ メッセージの最大数も制御します。
ログ頻度の制限は、制限に達したログがどのイベントによって生成されたかに関係なく、その種類のすべてのログに適用されます。たとえば、ブロックされたポートのログ頻度の制限を 5 に設定した場合、Firebox が 1 分間に 5 つのブロックされたポート ログを生成すると、次の 1 分間までブロックされたポートのログは生成されません。
レポートのログ メッセージを送信する
接続を許可するパケット フィルタ ポリシーの場合、このチェックボックスはログ記録の設定に表示されます。
プロキシ ポリシーの場合、この設定はプロキシ アクション内にあり、レポートのログ記録を有効化する と呼ばれます。
このチェックボックスをオンにすると、許可された接続に関するレポートの生成に使用されるログ メッセージが Firebox から送信されます。
SNMP トラップを送信する
このチェックボックスを選択すると、Firebox から SNMP 管理システムにイベント通知が送信されます。簡易ネットワーク管理プロトコル (SNMP) とは、ネットワークを監視および管理するためのツールの集まりです。SNMP トラップとは、指定の条件が発生したときにデバイスから SNMP 管理システムに送信されるイベント通知です。
SNMP トラップを送信する チェックボックスを選択し、SNMP をまだ構成していない場合、ダイアログ ボックスが表示され、SNMP を構成するかどうかを尋ねられます。はい をクリックすると、SNMP 設定 ダイアログ ボックスが表示されます。SNMP を構成しないと、SNMP トラップを送信することができません。
SNMP についての詳細は、次を参照してください:
通知を送信する
このチェックボックスを選択すると、指定したイベントの発生時に Firebox でアラーム ログ メッセージが生成されます。すべてのアラーム メッセージは、アラーム レポートに表示されます。また、アラームに関する通知を受け取ることもできます。通知の詳細については、次を参照してください:通知について。
この設定により、他のログ記録設定が無効になっている場合でも、アラーム レポートの生成に必要なログ メッセージを Firebox から送信できます。
通知を有効にする場合は、通知方法を指定します。これにより、ログ メッセージでアラームの種類が設定され、イベントが発生したときに通知を受け取る方法を制御します。次のうちいずれかのオプションを選択します。
電子メール
Firebox から、alarm_type=email を含むアラーム ログ メッセージが送信されます。
Dimension、WatchGuard Cloud、または WSM Log Server がアラーム ログ メッセージを受信すると、指定された電子メール アドレスに電子メール通知を送信できます。サーバーから電子メール通知を送信するには、WatchGuard Cloud、Dimension、または WSM Log Server で電子メール通知設定と電子メールの受信者を構成する必要があります。電子メール通知の設定を構成する方法の詳細については、次を参照してください:
- Dimension — Dimension の通知設定を構成する
- WatchGuard Cloud — 通知のルールを構成する
- WSM Log Server — Log Server の通知設定を構成する
ポップアップ ウィンドウ
Firebox から、alarm_type=pop-up を含むアラーム ログ メッセージが送信されます。
このオプションを選択すると、アラーム ログ メッセージがアラーム レポートに表示されますが、他のアラートや電子メール通知は生成されません。
WSM Log Server は、ポップアップ ウィンドウ通知をサポートしなくなりました。既定の 電子メール 通知の方法を選択することをお勧めします。
ポリシーにおけるログ記録および通知
ポリシーのログ記録の設定を構成する場所は、ポリシーの種類によって異なります。レポートのログ記録を制御する設定は、パケット フィルタ ポリシーとプロキシ ポリシーでは異なります。
パケット フィルタ ポリシー
パケット フィルタ ポリシーの場合、ポリシーのプロパティで次のログ記録の設定を構成します:
- ログ メッセージを送信する
- レポートのログ メッセージを送信する
- SNMP トラップを送信する
- 通知を送信する
レポートのログ メッセージを送信する 設定は、接続を許可するパケット フィルタ ポリシーでのみ表示されます。接続を拒否するパケット フィルタ ポリシーは、常にレポートのログ メッセージを生成します。
ポップアップ ウィンドウ オプションはポップアップ通知を生成しません。WatchGuard Cloud でアラートを生成するには、電子メール での通知方法を選択します。詳細については、Firebox イベントの通知ルールを構成する を参照してください。
プロキシ ポリシー
プロキシ ポリシーの場合、ポリシーのプロパティで次のログ記録の設定を構成します。
- ログ メッセージを送信する
- SNMP トラップを送信する
- 通知を送信する
プロキシ ポリシーの場合、Firebox がレポートのログ メッセージを送信できるようにする設定はプロキシ アクションにあり、レポートのログ記録を有効化する と呼ばれます。
Fireware Web UI のプロキシ アクションのログ記録の設定。
プロキシ アクションには、プロキシ アクションを使用するポリシーの診断ログ レベルを上書きする設定も含まれます。診断ログ レベルの詳細については、次を参照してください:診断ログ レベルを設定する。