「Analyzer設定を有効にする」の設定項目の削除に関して

SonicOS 6.5.3.x以降のファームウェアにおいて、ログ設定のAnalyzerの項目が削除されています。

6.5.2.xまでは管理タブ＞ログ設定のカテゴリ内にAnalyzerの項目が存在します。

6.5.3.x以降ではAnalyzerのカテゴリ自体が削除されております。

その為、6.5.2.x以下のファームウェアで「Analyzer設定を有効にする」が有効な場合、6.5.3.xファームウェアにアップグレードした後はGUIからの変更は出来ません。

「Analyzer設定を有効にする」が有効な場合、装置 ＞ システム時間のページの「ログに UTC (協定世界時) を使用する」のチェックの有無によらず、ログおよびSyslogのタイムスタンプが、UTCで記録されます。

「Analyzer設定を有効にする」が無効の場合、「ログに UTC (協定世界時) を使用する」が有効であればUTCで、無効であればLocal Time(装置 ＞ システム時間のページの「タイムゾーン」)となります。

6.5.3以降のバージョンで「Analyzer設定を有効にする」の設定の変更を行う場合、現状、CLIからの変更のみ可能です。

１．SonicWall装置へteratermなどのアプリケーションを利用しSSHもしくはシリアル接続でログインします。

２．現在のAnalyzer設定を確認します。

show log analyzer

３．上記では現在「Analyzer設定を有効にする」が有効な状態となります。

無効にする場合は以下コマンドを実施します。

configure

log analyzer

no enable

commit

４．コマンド実施後、log analyzer「Analyzer設定を有効にする」が無効になっていることを確認します。

補足：

無効から有効にしたい場合は、no enableではなくenableを実行ください。

参考情報：

現在のSyslog On-Prem Analytics(2.5) 、Log Analyzer でSyslogを参照した場合、タイムスタンプがUTCで表示される問題があります。本来、Analyticsでは各装置でUTCでSyslogを受信し、AnalyticsサーバのLocal Timeに変換して表示すべきところ、UTCのままで表示してしまうバグとなります。本問題は、Syslog Analyticsのバグであり、将来バージョンで修正される見込みです。

この問題は、以前Analyzerを使用していて、「Analyzer設定を有効にする」が有効な場合顕在化します。新規にAnalyticsを導入した場合、「Analyzer設定を有効にする」は無効であり、かつ、「ログに UTC (協定世界時) を使用する」はデフォルトで無効であるため、SonicWall FireWall装置は、SyslogをLocal TimeでAnalyticsに送信しますので、Analyticsのこのバグに気づかない場合があります。今後のAnalyticsの改修により、過去のLocal TimeのSyslogを参照する際に、さらに変換してしまい正しいログ情報が得られない結果となる場合がありますのでご注意ください。

本問題の詳細は以下の情報を参照ください。

参考KB：Syslog On-Prem Analytics : Log AnalyzerでタイムスタンプがUTCで表示される

この問題は、On-prem Analytics 2.5.2519で解決されました。

Analytics GUI の各機器のStatus PageにTime Zone設定が追加されました。この設定を適切に設定することにより、ファイアウォールアプライアンスから送られるUTCでのタイムスタンプのSyslogをローカルタイムの時刻に変換して情報を表示します。

注意: ただし、Status PageのTime Zone設定の変更前のSyslog情報については、引き続きUTCでの表示になります。設定変更後に受信したSyslogのみ対象となります。 

この修正はOn-prem Analytics の修正になります。Firewallが送信するSyslogの内容に変更はありません。