Syslog サーバーの概要と設定
このドキュメントは原文を 2025年08月04日付けで翻訳したものです。
最新の情報は原文をご確認ください。
Syslog サーバーを、MX セキュリティ アプライアンス、MR アクセス ポイント、MS スイッチからのメッセージをレポート用に保存するように設定できます。本ドキュメントでは、Syslog メッセージの例と、Syslog サーバーを設定してメッセージを保存する方法について説明します。
Syslog メッセージの種類
MX セキュリティ アプライアンスは、「イベント ログ」「IDS アラート」「URL」「フロー」の 4 つのカテゴリ(役割)のメッセージ送信をサポートしています。MR アクセス ポイントも同様ですが、IDS アラートは送信できません。MS スイッチは現時点ではイベント ログ メッセージのみをサポートしています。
Syslog サーバーが VPN トンネル越しに設置されている場合、Syslog トラフィックの送信元は 6.X.X.X アドレスになります。特に VPN コンセントレータ モードや、Single LAN 設定のルーティング/NAT モードの場合は、この挙動が顕著です。
URL
HTTP GET リクエストが発生すると Syslog エントリが生成されます。
例:
Apr 20 14:36:35 192.168.10.1 1 948077314.907556162 MX60 urls src=192.168.10.3:62526 dst=54.241.7.X.X mac=00:1A:A0:XX:XX:XX request: GET http://www.meraki.com
概要:
IP アドレス 192.168.10.3 のクライアントが http://www.meraki.com への HTTP GET リクエストを送信しました。
フロー
インバウンドおよびアウトバウンド フローは、送信元や宛先、ポート番号、適用されたファイアウォール ルールを示す Syslog メッセージを生成します。インバウンド ルールでは「1=deny」「0=allow」となります。
例:
インバウンド フロー:
948077334.886213117 MX60 flows src=39.41.X.X dst=114.18.X.X protocol=udp sport=13943 dport=16329 pattern: 1 all
アウトバウンド フロー:
948136486.721741837 MX60 flows src=192.168.10.254 dst=8.8.8.8 mac=00:18:0A:XX:XX:XX protocol=udp sport=9562 dport=53 pattern: allow all
注: ファームウェア MX18.101 以降では、"flows" の Syslog メッセージが、適用されたルールに応じて "firewall"、"vpn_firewall"、"cellular_firewall"、"bridge_anyconnect_client_vpn_firewall" に変更されました。アウトバウンド フローの例では以下のように更新されます。
948136486.721741837 MX60 firewall src=192.168.10.254 dst=8.8.8.8 mac=00:18:0A:XX:XX:XX protocol=udp sport=9562 dport=53 pattern: allow all
概要:
インバウンド フローの例は、39.41.X.X から MX の WAN IP への UDP フローがブロックされたことを示しています。アウトバウンド フローは、DNS リクエストの許可されたアウトバウンド フローを示しています。
注: Syslog Flows は MR と MX で共通のカテゴリです。Flows を MX または MR のみのものとして分離することはできません。
アプライアンス/スイッチ/無線 イベント ログ
ダッシュボードの ネットワーク全体 > 監視 > イベント ログ で確認できるメッセージのコピーです。
例:
May 10 18:46:04 192.168.10.1 1 948080570.911780502 MX60 events dhcp lease of ip 192.168.10.252 from server mac 00:18:0A:XX.XX.XX for client mac 58:67:1A:XX.XX.XX from router 192.168.10.1 on subnet 255.255.255.0 with dns 8.8.8.8, 8.8.4.4
概要:
MAC アドレス 00:18:0A:XX.XX.XX のクライアントが MX から IP アドレスのリースを受け、MX はクライアントに 8.8.8.8 および 8.8.4.4 を DNS サーバーとして提供しました。
セキュリティ イベント
すべてのセキュリティ イベントは Syslog メッセージを生成します(MX セキュリティ アプライアンスのみの役割)。
例:
1490031971.951780201 ANB_MX80 security_event ids_alerted signature=1:39867:3 priority=3 timestamp=1490031971.693691 shost=00:15:5D:1E:08:04 direction=egress protocol=udp/ip src=192.168.30.10:49243 dst=71.10.216.1:53 message: INDICATOR-COMPROMISE Suspicious .tk dns query
概要:
192.168.30.10 から 71.10.216.1 への .tk ドメインの DNS クエリが送信された際に IDS Syslog メッセージが生成されました。
Air Marshal イベント
Air Marshal イベントは、検出された無線トラフィックを説明する Syslog メッセージを生成します。
例:
Oct 20 17:21:33 192.195.83.210 0.0 syslog2 airmarshal_events type= rogue_ssid_detected ssid='' vap='0' bssid='FF:FF:FF:FF:FF:FF' src='02:18:6A:XX:XX:XX dst='FF:FF:FF:FF:FF:FF' wired_mac='00:18:0A:XX:XX:XX' vlan_id='0' channel='44' rssi='60' fc_type='0' fc_subtype='4'
概要:
LAN 上に存在するデバイスがビーコンを送信し、不正 SSID イベントが発生し、Syslog メッセージが生成されました。
ログ サンプルおよび詳細情報
Syslog イベント タイプや製品ごとのログ サンプル一覧については、こちらの記事をご参照ください。
注: Syslog メッセージ構造はスイッチ モデルによって異なります。たとえば、MS120(MS17.2.1)および C9300(IOS XE 17.15.3)で ポート サイクルを実施した場合、Syslog メッセージと構造が異なって報告されます。
Syslog サーバーの設定
Syslog サーバーは Linux システムで短時間で簡単に構築できます。また、他の OS 用にも多くの Syslog サーバーが利用可能です(Windows 用の Kiwi Syslog など)。
以下は、Ubuntu 13.04 上で syslog-ng を使用し、MX セキュリティ アプライアンスからの Syslog 情報を収集するサーバー設定例のコマンドです。
注:以下のコマンドはデモ用の設定例です。実際の設定や詳細はサーバーのドキュメントを参照してください。
まず syslog アプリケーションをインストールします。
sysadmin@ubuntu:~$ sudo apt-get install syslog-ng
syslog-ng インストール後、MX からのログ メッセージを受信できるよう設定が必要です。本手順では、各役割 カテゴリごとに個別のログ ファイルに保存する設定例を示します(URL、イベント ログなどの個別ファイル)。すべてのログを 1 つのファイルにまとめて保存することも可能です。適切なエディタを用いて syslog-ng 設定ファイルを編集してください。ここでは nano を使用しています。
sysadmin@ubuntu:~$ sudo nano /etc/syslog-ng/syslog-ng.conf
本例では MX の LAN IP は 192.168.10.1、Syslog サーバーは 192.168.10.241 の UDP ポート 514 で待ち受けています。構築環境に応じて MX やサーバーの LAN IP を適宜修正してください。最初のコード セクションは、MX からのすべての Syslog メッセージを /var/log/meraki.log に保存する設定です。2 番目のコード セクションでは、正規表現で各役割 カテゴリを判別し、それぞれ個別のファイルに保存します。いずれか 1 つのオプションのみ設定してください。
オプション 1 - すべてのメッセージを /var/log/meraki.log に保存:
#define syslog source source s_net { udp(ip(192.168.10.241) port(514)); }; #create filter to match traffic (this filter will catch all syslog messages that come from the MX) filter f_meraki { host( "192.168.10.1" ); }; #define a destination for the syslog messages destination df_meraki { file("/var/log/meraki.log"); }; #bundle the source, filter, and destination rules together with a logging rule log { source ( s_net ); filter( f_meraki ); destination ( df_meraki ); };
オプション 2 - メッセージ種別ごとに個別ファイルに保存:
#define syslog source source s_net { udp(ip(192.168.10.241) port(514)); }; #create individual filters to match each of the role categories filter f_meraki_urls { host( "192.168.10.1" ) and match("urls" value ("MESSAGE")); }; filter f_meraki_events { host( "192.168.10.1" ) and match("events" value ("MESSAGE")); }; filter f_meraki_ids-alerts { host( "192.168.10.1" ) and match("ids_alerted" value ("MESSAGE")); }; filter f_meraki_flows { host( "192.168.10.1" ) and match("flows" value ("MESSAGE")); }; #define individual destinations for each of the role categories destination df_meraki_urls { file("/var/log/meraki_urls.log"); }; destination df_meraki_events { file("/var/log/meraki_events.log"); }; destination df_meraki_ids-alerts { file("/var/log/meraki_ids-alerts.log"); }; destination df_meraki_flows { file("/var/log/meraki_flows.log"); }; #bundle the source, filter, and destination rules together with a logging rule for each role category log { source ( s_net ); filter( f_meraki_urls ); destination ( df_meraki_urls ); }; log { source ( s_net ); filter( f_meraki_events ); destination ( df_meraki_events ); }; log { source ( s_net ); filter( f_meraki_ids-alerts ); destination ( df_meraki_ids-alerts ); }; log { source ( s_net ); filter( f_meraki_flows ); destination ( df_meraki_flows ); };
最後に syslog-ng プロセスを再起動します。
sysadmin@ubuntu:~$ sudo /etc/init.d/syslog-ng restart
ダッシュボードの設定
Syslog サーバーは、ネットワーク全体 > 設定 > 一般 からダッシュボードで定義できます。
Syslog サーバーを追加 リンクをクリックし、新しいサーバーを定義します。IP アドレス、UDP ポート番号、サーバーに送信する役割を設定します。複数の Syslog サーバーを設定可能です。
アプライアンス専用、スイッチ専用、無線専用のダッシュボード ネットワークでは、Syslog サーバーは「レポート」ではなく「ログ」セクションで追加します。
MX セキュリティ アプライアンスで フロー 役割が有効な場合、セキュリティ & SD-WAN > 設定 > ファイアウォール ページの Syslog 列から、個別のファイアウォール ルールごとにロギングの有効化/無効化が行えます。
Syslog に関する追加考慮事項
ストレージ割り当て
Syslog メッセージは、特にフローを収集する場合、大量のディスク容量を必要とすることがあります。Syslog サーバーを稼働させるホストを選定する際は、ログを十分保存できるストレージ容量を確保してください。ログの保存期間制限等の詳細は syslog-ng の man ページをご参照ください。
トラフィック フローの予測
Syslog トラフィックは、Syslog サーバーへ到達するために用いる経路種別により、3 つのシナリオで流れが異なります。以下は例と各シナリオでの挙動です。
シナリオ 1 - LAN 経由で到達可能
Syslog サーバーが MX の LAN 内にある場合、MX はサーバーの所属する VLAN インターフェースを送信元としてトラフィックを送出します。静的ルートのみでアクセス可能な場合は、トランジット VLAN インターフェースが利用されます。
シナリオ 2 - パブリック インターフェース経由で到達可能
Syslog サーバーが WAN 経由でアクセス可能な場合、MX はパブリック インターフェース(WAN)からトラフィックを送出します。
シナリオ 3 - AutoVPN または非 Meraki VPN 経由で到達可能
MX が Syslog トラフィックを VPN トンネル越しに送信する場合、VPN に参加している最も大きい VLAN の送信元 IP を使用します。ファイアウォール設計時にはこの動作に注意してください。
サイト間 AutoVPN または非 Meraki VPN 接続を介するトラフィックは「サイト間アウトバウンド ファイアウォール」ルールの対象となり、許可ルールが必要になる場合があります。これは、セキュリティ & SD-WAN > 設定 > サイト間 VPN > オーガナイゼーション全体の設定 > ルールの追加で設定できます。下記はその例です。