Skip to main content

 

Cisco Meraki Documentation

Syslog サーバーの概要と設定

このドキュメントは原文を 2025年08月04日付けで翻訳したものです。
最新の情報は原文をご確認ください。

Syslog サーバーを、MX セキュリティ アプライアンス、MR アクセス ポイント、MS スイッチからのメッセージをレポート用に保存するように設定できます。本ドキュメントでは、Syslog メッセージの例と、Syslog サーバーを設定してメッセージを保存する方法について説明します。

Syslog メッセージの種類

MX セキュリティ アプライアンスは、「イベント ログ」「IDS アラート」「URL」「フロー」の 4 つのカテゴリ(役割)のメッセージ送信をサポートしています。MR アクセス ポイントも同様ですが、IDS アラートは送信できません。MS スイッチは現時点ではイベント ログ メッセージのみをサポートしています。

Syslog サーバーが VPN トンネル越しに設置されている場合、Syslog トラフィックの送信元は 6.X.X.X アドレスになります。特に VPN コンセントレータ モードや、Single LAN 設定のルーティング/NAT モードの場合は、この挙動が顕著です。

URL

HTTP GET リクエストが発生すると Syslog エントリが生成されます。

 

例:

Apr 20 14:36:35 192.168.10.1 1 948077314.907556162 MX60 urls src=192.168.10.3:62526 dst=54.241.7.X.X mac=00:1A:A0:XX:XX:XX request: GET http://www.meraki.com

概要:

IP アドレス 192.168.10.3 のクライアントが http://www.meraki.com への HTTP GET リクエストを送信しました。

フロー

インバウンドおよびアウトバウンド フローは、送信元や宛先、ポート番号、適用されたファイアウォール ルールを示す Syslog メッセージを生成します。インバウンド ルールでは「1=deny」「0=allow」となります。

例:

インバウンド フロー:

948077334.886213117 MX60 flows src=39.41.X.X dst=114.18.X.X protocol=udp sport=13943 dport=16329 pattern: 1 all

アウトバウンド フロー:

948136486.721741837 MX60 flows src=192.168.10.254 dst=8.8.8.8 mac=00:18:0A:XX:XX:XX protocol=udp sport=9562 dport=53 pattern: allow all

注: ファームウェア MX18.101 以降では、"flows" の Syslog メッセージが、適用されたルールに応じて "firewall"、"vpn_firewall"、"cellular_firewall"、"bridge_anyconnect_client_vpn_firewall" に変更されました。アウトバウンド フローの例では以下のように更新されます。

948136486.721741837 MX60 firewall src=192.168.10.254 dst=8.8.8.8 mac=00:18:0A:XX:XX:XX protocol=udp sport=9562 dport=53 pattern: allow all

 

概要:

インバウンド フローの例は、39.41.X.X から MX の WAN IP への UDP フローがブロックされたことを示しています。アウトバウンド フローは、DNS リクエストの許可されたアウトバウンド フローを示しています。
 

注: Syslog Flows は MR と MX で共通のカテゴリです。Flows を MX または MR のみのものとして分離することはできません。

アプライアンス/スイッチ/無線 イベント ログ

ダッシュボードの ネットワーク全体 > 監視 > イベント ログ で確認できるメッセージのコピーです。

 

例:

May 10 18:46:04 192.168.10.1 1 948080570.911780502 MX60 events dhcp lease of ip 192.168.10.252 from server mac 00:18:0A:XX.XX.XX for client mac 58:67:1A:XX.XX.XX from router 192.168.10.1 on subnet 255.255.255.0 with dns 8.8.8.8, 8.8.4.4

概要:

MAC アドレス 00:18:0A:XX.XX.XX のクライアントが MX から IP アドレスのリースを受け、MX はクライアントに 8.8.8.8 および 8.8.4.4 を DNS サーバーとして提供しました。

セキュリティ イベント

すべてのセキュリティ イベントは Syslog メッセージを生成します(MX セキュリティ アプライアンスのみの役割)

 

例:

1490031971.951780201 ANB_MX80 security_event ids_alerted signature=1:39867:3 priority=3 timestamp=1490031971.693691 shost=00:15:5D:1E:08:04 direction=egress protocol=udp/ip src=192.168.30.10:49243 dst=71.10.216.1:53 message: INDICATOR-COMPROMISE Suspicious .tk dns query

概要:

192.168.30.10 から 71.10.216.1 への .tk ドメインの DNS クエリが送信された際に IDS Syslog メッセージが生成されました。

Air Marshal イベント

Air Marshal イベントは、検出された無線トラフィックを説明する Syslog メッセージを生成します。

 

例:

Oct 20 17:21:33 192.195.83.210 0.0 syslog2 airmarshal_events type= rogue_ssid_detected ssid='' vap='0' bssid='FF:FF:FF:FF:FF:FF' src='02:18:6A:XX:XX:XX dst='FF:FF:FF:FF:FF:FF' wired_mac='00:18:0A:XX:XX:XX' vlan_id='0' channel='44' rssi='60' fc_type='0' fc_subtype='4'

概要:

LAN 上に存在するデバイスがビーコンを送信し、不正 SSID イベントが発生し、Syslog メッセージが生成されました。

ログ サンプルおよび詳細情報

Syslog イベント タイプや製品ごとのログ サンプル一覧については、こちらの記事をご参照ください。

注: Syslog メッセージ構造はスイッチ モデルによって異なります。たとえば、MS120(MS17.2.1)および C9300(IOS XE 17.15.3)で ポート サイクルを実施した場合、Syslog メッセージと構造が異なって報告されます。

The Difference in Syslog Syntax between MS and IOS XE.

Syslog サーバーの設定

Syslog サーバーは Linux システムで短時間で簡単に構築できます。また、他の OS 用にも多くの Syslog サーバーが利用可能です(Windows 用の Kiwi Syslog など)。

以下は、Ubuntu 13.04 上で syslog-ng を使用し、MX セキュリティ アプライアンスからの Syslog 情報を収集するサーバー設定例のコマンドです。

注:以下のコマンドはデモ用の設定例です。実際の設定や詳細はサーバーのドキュメントを参照してください。

 

まず syslog アプリケーションをインストールします。

sysadmin@ubuntu:~$ sudo apt-get install syslog-ng

 

syslog-ng インストール後、MX からのログ メッセージを受信できるよう設定が必要です。本手順では、各役割 カテゴリごとに個別のログ ファイルに保存する設定例を示します(URL、イベント ログなどの個別ファイル)。すべてのログを 1 つのファイルにまとめて保存することも可能です。適切なエディタを用いて syslog-ng 設定ファイルを編集してください。ここでは nano を使用しています。

sysadmin@ubuntu:~$ sudo nano /etc/syslog-ng/syslog-ng.conf

 

本例では MX の LAN IP は 192.168.10.1、Syslog サーバーは 192.168.10.241 の UDP ポート 514 で待ち受けています。構築環境に応じて MX やサーバーの LAN IP を適宜修正してください。最初のコード セクションは、MX からのすべての Syslog メッセージを /var/log/meraki.log に保存する設定です。2 番目のコード セクションでは、正規表現で各役割 カテゴリを判別し、それぞれ個別のファイルに保存します。いずれか 1 つのオプションのみ設定してください。

オプション 1 - すべてのメッセージを /var/log/meraki.log に保存:

#define syslog source
source s_net { udp(ip(192.168.10.241) port(514)); };

#create filter to match traffic (this filter will catch all syslog messages that come from the MX)
filter f_meraki { host( "192.168.10.1" ); };

#define a destination for the syslog messages
destination df_meraki { file("/var/log/meraki.log"); };

#bundle the source, filter, and destination rules together with a logging rule
log { source ( s_net ); filter( f_meraki ); destination ( df_meraki ); };

オプション 2 - メッセージ種別ごとに個別ファイルに保存:

#define syslog source
source s_net { udp(ip(192.168.10.241) port(514)); };

#create individual filters to match each of the role categories
filter f_meraki_urls { host( "192.168.10.1" ) and match("urls" value ("MESSAGE")); };
filter f_meraki_events { host( "192.168.10.1" ) and match("events" value ("MESSAGE")); };
filter f_meraki_ids-alerts { host( "192.168.10.1" ) and match("ids_alerted" value ("MESSAGE")); };
filter f_meraki_flows { host( "192.168.10.1" ) and match("flows" value ("MESSAGE")); };

#define individual destinations for each of the role categories
destination df_meraki_urls { file("/var/log/meraki_urls.log"); };
destination df_meraki_events { file("/var/log/meraki_events.log"); };
destination df_meraki_ids-alerts { file("/var/log/meraki_ids-alerts.log"); };
destination df_meraki_flows { file("/var/log/meraki_flows.log"); };

#bundle the source, filter, and destination rules together with a logging rule for each role category
log { source ( s_net ); filter( f_meraki_urls ); destination ( df_meraki_urls ); };
log { source ( s_net ); filter( f_meraki_events ); destination ( df_meraki_events ); };
log { source ( s_net ); filter( f_meraki_ids-alerts ); destination ( df_meraki_ids-alerts ); };
log { source ( s_net ); filter( f_meraki_flows ); destination ( df_meraki_flows ); };

 

最後に syslog-ng プロセスを再起動します。

sysadmin@ubuntu:~$ sudo /etc/init.d/syslog-ng restart 

ダッシュボードの設定

Syslog サーバーは、ネットワーク全体 > 設定 > 一般 からダッシュボードで定義できます。

Syslog サーバーを追加 リンクをクリックし、新しいサーバーを定義します。IP アドレス、UDP ポート番号、サーバーに送信する役割を設定します。複数の Syslog サーバーを設定可能です。

Syslog Server IP

アプライアンス専用、スイッチ専用、無線専用のダッシュボード ネットワークでは、Syslog サーバーは「レポート」ではなく「ログ」セクションで追加します。

MX セキュリティ アプライアンスで フロー 役割が有効な場合、セキュリティ & SD-WAN > 設定 > ファイアウォール ページの Syslog 列から、個別のファイアウォール ルールごとにロギングの有効化/無効化が行えます。

Enabling Syslog for firewall rules
 

Syslog に関する追加考慮事項

ストレージ割り当て

Syslog メッセージは、特にフローを収集する場合、大量のディスク容量を必要とすることがあります。Syslog サーバーを稼働させるホストを選定する際は、ログを十分保存できるストレージ容量を確保してください。ログの保存期間制限等の詳細は syslog-ng の man ページをご参照ください。

トラフィック フローの予測

Syslog トラフィックは、Syslog サーバーへ到達するために用いる経路種別により、3 つのシナリオで流れが異なります。以下は例と各シナリオでの挙動です。

シナリオ 1 - LAN 経由で到達可能

Syslog サーバーが MX の LAN 内にある場合、MX はサーバーの所属する VLAN インターフェースを送信元としてトラフィックを送出します。静的ルートのみでアクセス可能な場合は、トランジット VLAN インターフェースが利用されます。

シナリオ 2 - パブリック インターフェース経由で到達可能

Syslog サーバーが WAN 経由でアクセス可能な場合、MX はパブリック インターフェース(WAN)からトラフィックを送出します。

シナリオ 3 - AutoVPN または非 Meraki VPN 経由で到達可能

MX が Syslog トラフィックを VPN トンネル越しに送信する場合、VPN に参加している最も大きい VLAN の送信元 IP を使用します。ファイアウォール設計時にはこの動作に注意してください。

サイト間 AutoVPN または非 Meraki VPN 接続を介するトラフィックは「サイト間アウトバウンド ファイアウォール」ルールの対象となり、許可ルールが必要になる場合があります。これは、セキュリティ & SD-WAN > 設定 > サイト間 VPN > オーガナイゼーション全体の設定 > ルールの追加で設定できます。下記はその例です。

Site to Site outbound firewall rule

  • Was this article helpful?