アクセスルールによって許可された通信のアクセスログをSyslogで確認するには
Description
SonicWall UTMのアクセスルールによって許可されたパケットのイベントをSyslog Serverで確認する方法をご紹介します。
NOTE: Syslog server設定が済んでいてSyslog serverでsyslogを受信できている状態であることを前提としています
Resolution
SonicWall Firewallの設定
1.) ログ > 設定ページにて、表示フィルタ横の+をクリックし、種別フィルタの文法に「id=1235」を入力し、適用をクリックします。
2.) イベントエントリーのSyslog欄にチェックを入れて、適用をクリックします。
なお、対象のイベントエントリーでは冗長フィルタがデフォルトで有効になっています。冗長フィルタ機能は一定期間内に出力された同一イベントの出力を抑制する機能です。
すべてのイベントを毎度通知したい場合はイベントエントリーの設定アイコンをクリックして「Syslog でイベントを報告する」の冗長フィルタ間隔値を0にしてください。
Syslog Server
3.) Syslogサーバで以下のようにICMP、UDP、TCPパケットが許可された様子を確認できます。
Jun 25 17:12:31 172.x.x.1 id=firewall sn=18b169****** time="2018-06-25 08:12:31 UTC" fw=153.x.x.148 pri=6 c=0 m=1235 msg="Packet allowed: matched Access Rule" n=1422 src=10.x.x.201::X0 dst=1.1.1.1::X1 srcMac=00:0c:29:xx:xx:xx dstMac=1a:b1:69:xx:xx:xx proto=icmp uuid="5ef63db0-e1fc-bb87-0700-18b169******" rule="10 (LAN->WAN)"
Jun 25 17:12:36 172.x.x.1 id=firewall sn=18b169****** time="2018-06-25 08:12:36 UTC" fw=153.x.x.148 pri=6 c=0 m=1235 msg="Packet allowed: matched Access Rule" n=1424 src=10.x.x.201:56278:X0:SNWL-W10P1703E dst=204.79.197.203:80:X1 srcMac=00:0c:29:xx:xx:xx dstMac=1a:b1:69:xx:xx:xx proto=tcp/http uuid="5ef63db0-e1fc-bb87-0700-18b169******" rule="10 (LAN->WAN)"
Jun 25 17:12:38 172.x.x.1 id=firewall sn=18b169****** time="2018-06-25 08:12:38 UTC" fw=153.x.x.148 pri=6 c=0 m=1235 msg="Packet allowed: matched Access Rule" n=1431 src=10.x.x.201:56290:X0:SNWL-W10P1703E dst=104.112.239.74:443:X1 srcMac=00:0c:29:xx:xx:xx dstMac=1a:b1:69:xx:xx:xx proto=tcp/https uuid="5ef63db0-e1fc-bb87-0700-18b169******" rule="10 (LAN->WAN)"
Jun 25 17:15:16 172.x.x.1 id=firewall sn=18b169****** time="2018-06-25 08:15:16 UTC" fw=153.x.x.148 pri=6 c=0 m=1235 msg="Packet allowed: matched Access Rule" n=1633 src=10.x.x.201:51828:X0:SNWL-W10P1703E dst=1.1.1.1:53:X1:1dot1dot1dot1.cloudflare-dns.com srcMac=00:0c:29:xx:xx:xx dstMac=1a:b1:69:xx:xx:xx proto=udp/dns uuid="5ef63db0-e1fc-bb87-0700-18b169******" rule="10 (LAN->WAN)"