Syslog Analyticsのタイムゾーンにずれがおきる事象に関して

本KBはSyslog Analytics2.5における内容となります。

将来のバージョンにおいてはsyslogメッセージの仕様が変更される可能性がございますので、必ずバージョンを確認して実施ください。

◆Syslog Analyticsのバージョン確認方法に関して

１．Syslog Analytics管理ページアクセス後、Consoleタブをクリックします。

２．左ペインのApplianceを選択します。

３．System>Statusから現バージョンをご確認ください。

Syslog Analytics ver2.5において、Syslog Analytics側で日本時間にタイムゾーンを設定していても、送付されるsyslog messageがUTCの場合、UTC時間でデータが収集されます。

上記を改善するためには、送付されるsyslogメッセージのタイムゾーンをUTCからJSTに変更して送付する必要がございます。

注意: On-Prem Analytics 2.5.2519 でこの問題は修正されました。このバージョンの、AnalyticsはUTC時刻で送られるSyslogをローカルタイムで処理します。ローカルタイムはFirewall装置毎に指定可能です。Analytics で、Firewall装置毎のStatusページにてTimezoneを設定してください。 

◆送付されているsyslog messageがUTCかどうかを判断する方法に関して

１．Syslog Analytics管理ページアクセス後、Consoleタブをクリックします。

２．左ペインのApplianceを選択します。

３．System>File Managerを選択します。

４．Select Folderから/syslogsを選択します。

５．最新日付のsyslogをエクスポートします。

６．timeの箇所が日本時間で送付されているかUTCで送付されているかを確認します。

日本時間の例：

id=firewall sn=18B169920180 time="2021-03-12 11:00:00"

UTCの例：

id=firewall sn=18B169920180 time="2021-03-12 02:00:00 UTC"

◆syslogメッセージのタイムゾーンの設定に関して

注意: GMS（Global ManagementSystem) もしくはNSM(Network Security Manager)  SaaS 及びOn -premで管理しているFirewall装置は、ここで説明する設定によらずSyslogはUTCで送信されます。GMSによる管理を有効にする 設定が有効な状態でSyslogをUTC以外で送信する方法はありません。

Gen6/Gen6.5:

Gen7:

UTM側設定にて、送信されるsyslog messageのタイムゾーンは紐づいています。

ここでは、UTCタイムゾーンからJSTへ変更する手順に関して説明します。

１．UTM装置の管理画面へ移動し、管理タブ＞装置＞システム時間へ移動します。

２．「ログに UTC (協定世界時) を使用する」が有効になっているかを確認します。

上記設定が有効になっている場合、UTMのログおよびsyslogの時刻はUTCを使用します。

JST時間（UTMシステム時間）を使用する場合は、無効化してください。

３．２の「ログにUTCを使用する」を無効化してもsyslog timezoneに変更がない場合、Analyzerの設定が有効化されている可能性がございます。

詳細は次のKBを参照ください。

「Analyzer設定を有効にする」の設定項目の削除に関して