SonicWallに管理者としてログインしたときのアクセスログ、イベントを確認したい

本記事ではSonicWallに管理者としてLANゾーンインターフェイスにログインしたときのアクセスログ、イベントを確認する方法をご紹介いたします。

管理者としてLANゾーンインターフェイスにログインしたときに確認できるイベントは下記の通りです。(MessageID＝29,994,526)

　NOTE: Message ID 526はデフォルトでGUI、Syslogいずれも無効化されていますので有効化が必要です

　NOTE: 以下のサンプルはsyslogメッセージですがGUI上でも確認可能なイベントです

　~~~~~~~~~~~~~

　Dec 11 10:33:21 10.*.*.*   id=firewall sn=18B169******  time="2017-12-11 01:33:21 UTC" fw=172.*.*.* pri=6 c=16 m=29 msg="Administrator login allowed" sess="Web" dur=0 n=38 usr="admin" src=10.*.*.*::X0 dst=10.*.*.*:8443:X0 proto=tcp/8443 note="admin" fw_action="NA"

　Dec 11 10:33:21 10.*.*.*   id=firewall sn=18B169****** time="2017-12-11 01:33:21 UTC" fw=172.*.*.* pri=6 c=16 m=994 msg="Configuration mode administration session started" n=13 usr="admin" src=60.*.*.*::X1 dst=172.*.*.*:8443:X1 proto=tcp/8443 note="admin at GUI from 60.*.*.*" fw_action="NA"

　Dec 11 10:33:21 10.*.*.*   id=firewall sn=18B169****** time="2017-12-11 01:33:21 UTC" fw=172.*.*.* pri=5 c=16 m=526 msg="Web management request allowed" app=49178 appName="General HTTPS MGMT" sess="Web" n=81117 usr="admin" src=60.*.*.*:41054:X1 dst=172.*.*.*:8443:X1 srcMac=c2:ea:e4:**:**:** dstMac=1a:b1:69:**:**:** proto=tcp/8443 rule="2 (WAN->WAN)" fw_action="mgmt"

　~~~~~~~~~~~~~

ちなみにログインに失敗した場合は下記イベント(MessageID=30)が出力され、

　~~~~~~~~~~~~~

　Dec 11 19:35:43 10.*.*.*   id=firewall sn=18B169******  time="2017-12-11 10:35:43 UTC" fw=172.*.*.* pri=1 c=32 m=30 msg="Administrator login denied due to bad credentials" sess="Web" dur=0 n=2 usr="admin" src=10.*.*.*:26509:X0 dst=10.*.*.*:8443:X0 proto=tcp/8443 note=" - authentication failed: admin" fw_action="NA"

　~~~~~~~~~~~~~

WANゾーンインターフェイスに管理者ログインした場合は下記イベント(MessageID=236)が出力されます。

　~~~~~~~~~~~~~

　Dec 11 10:33:21 10.*.*.*   id=firewall sn=18B169****** time="2017-12-11 01:33:21 UTC" fw=172.*.*.* pri=6 c=16 m=236 msg="WAN zone administrator login allowed" sess="Web" dur=0 n=15 usr="admin" src=60.*.*.*::X1 dst=172.*.*.*:8443:X1 proto=tcp/8443 note="admin" fw_action="NA"

　~~~~~~~~~~~~~

Step1. ログ > 設定ページに進みます。

Step2. 現在の「ログレベル：」を確認し、適宜「情報」に変更し、適用をクリックします。

 Step3. 同ページ上部の「＋」マークをクリックし、種別フィルタの文法を開きます。フィールドに「id=994;id=526;id=29」を入力し、適用をクリックします。

Step4. 上記3つのイベントが表示されます。すべてのイベントのGUI欄にチェックを入れ、適用をクリックします。

　　TIP: syslogで出力する場合はSyslog欄のチェックを入れます。

なお、デフォルトでは冗長フィルタが有効になっているイベントがあります。

冗長フィルタ機能は一定期間内に出力された同一のイベントを抑制する機能です。

すべてのイベントを確認したい場合は各イベントの冗長フィルタの値を0にします。ただし、必然的にログ出力量が増えますのでシステム負荷も増えます。テスト目的以外、通常運用時のベストプラクティスではありません。ご理解いただいた上で変更ください。

冗長フィルタの値を0にするには、各イベントエントリの右端にある編集アイコンをクリックし、イベントをログ監視に表示する(GUI)の冗長フィルタ間隔を0秒にして適用をクリックください。