エンタープライズ ネットワークでは、SD-WAN Orchestrator は、エンタープライズ SD-WAN Edges から SD-WAN Orchestrator に発信されたイベントおよびファイアウォール ログを、ネイティブの Syslog 形式で 1 つ以上の一元化されたリモート Syslog コレクタ(サーバ)に収集することをサポートします。Syslog コレクタがエンタープライズ内で構成された Edge から SD-WAN Orchestrator に発信されたイベントおよびファイアウォール ログを受信できるようにするには、プロファイル レベルで次の手順を実行して、SD-WAN Orchestrator のセグメントごとに Syslog コレクタの詳細を構成します。

前提条件

  • SD-WAN Edge と Syslog コレクタ間のパスを確立するために、クラウド仮想プライベート ネットワーク(ブランチ間 VPN 設定)が SD-WAN EdgeSD-WAN Orchestrator へのイベントの発信元)に構成されていることを確認します。詳細については、クラウド VPN の構成を参照してください。

手順

  1. SD-WAN Orchestrator から、[構成 (Configure)] > [プロファイル (Profiles)] の順に移動します。
    [構成プロファイル (Configuration Profiles)] ページが表示されます。
  2. Syslog 設定を構成するプロファイルを選択し、[デバイス (Device)] 列の下にあるアイコンをクリックします。
    選択したプロファイルの [デバイス設定 (Device Settings)] ページが表示されます。
  3. [セグメントの構成 (Configure Segments)] ドロップダウン メニューから、Syslog 設定を構成するプロファイル セグメントを選択します。デフォルトでは、[グローバル セグメント [正規] (Global Segment [Regular])] が選択されています。
  4. [Syslog 設定 (Syslog Settings)] 領域に移動し、次の詳細を構成します。
    1. [ファシリティ コード (Facility Code)] ドロップダウン メニューから、Syslog サーバがファシリティ フィールドを使用して SD-WAN Edges からのすべてのイベントのメッセージを管理する方法にマッピングされる Syslog 標準値を選択します。使用できる値の範囲は、[local0][local7] です。
      注: [ファシリティ コード (Facility Code)] フィールドは、Syslog 設定がプロファイルに対して有効になっているかどうかにかかわらず、 [グローバル セグメント (Global Segment)] に対してのみ構成できます。その他のセグメントは、グローバル セグメントのファシリティ コード値を継承します。
    2. [Syslog が有効 (Syslog Enabled)] チェックボックスをオンにします。
    3. [IP アドレス (IP)] テキスト ボックスに、Syslog コレクタの宛先 IP アドレスを入力します。
    4. [プロトコル (Protocol)] ドロップダウン メニューから、Syslog プロトコルとして [TCP] または [UDP] のいずれかを選択します。
    5. [ポート (Port)] テキスト ボックスに、Syslog コレクタのポート番号を入力します。デフォルト値は 514 です。
    6. Edge インターフェイスはプロファイル レベルで使用できないため、[送信元インターフェイス (Source Interface)] フィールドは [自動 (Auto)] に設定されます。Edge は送信元インターフェイスとして [アドバタイズ (Advertise)] フィールドが設定されているインターフェイスを選択します。
    7. [ロール (Roles)] ドロップダウン メニューから、次のいずれかを選択します。
      • [Edge イベント (EDGE EVENT)]
      • [ファイアウォール イベント (FIREWALL EVENT)]
      • [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)]
    8. [Syslog レベル (Syslog Level)] ドロップダウン メニューから、構成する必要がある Syslog 重要度レベルを選択します。たとえば、[CRITICAL] が構成されている場合、SD-WAN Edge は、クリティカル、アラート、または緊急のいずれかに設定されたすべてのイベントを送信します。
      注: デフォルトでは、ファイアウォール イベント ログは、Syslog 重要度レベル [INFO] で転送されます。

      許可される Syslog の重要度レベルは次のとおりです。

      • [EMERGENCY]
      • [ALERT]
      • [CRITICAL]
      • [ERROR]
      • [WARNING]
      • [NOTICE]
      • [INFO]
      • [DEBUG]
    9. 必要に応じて、[タグ (Tag)] テキスト ボックスに、Syslog のタグを入力します。Syslog タグは、Syslog コレクタでさまざまなタイプのイベントを区別するために使用できます。使用できる最大文字数は 32 文字で、ピリオドで区切られています。
    10. [ファイアウォール イベント (FIREWALL EVENT)] または [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)] のロールがある Syslog コレクタを構成する場合、Syslog コレクタがすべてのセグメントからファイアウォールのログを受信するようにするには、[すべてのセグメント (All Segments)] チェックボックスを選択します。このチェックボックスがオフになっている場合、Syslog コレクタは、コレクタが構成されている特定のセグメントからのみファイアウォールのログを受信します。
      注: ロールが [Edge イベント (EDGE EVENT)] の場合、任意のセグメントで構成された Syslog コレクタはデフォルトで Edge イベントのログを受信します。
  5. [+] ボタンをクリックして別の Syslog コレクタを追加するか、[変更の保存 (Save Changes)] をクリックします。リモート Syslog コレクタは SD-WAN Orchestrator で構成されます。
    注: セグメントごとに最大 2 個の Syslog コレクタを構成し、Edge ごとに最大 10 個の Syslog コレクタを構成できます。構成されたコレクタの数が上限に達した場合は、 [+] ボタンが無効になります。
    注: 選択したロールに基づいて、Edge は、指定された重要度レベルの対応するログをリモート Syslog コレクタにエクスポートします。 SD-WAN Orchestrator の自動生成されたローカル イベントを Syslog コレクタで受信する場合は、 log.syslog.backend および log.syslog.upload のシステム プロパティを使用して、 SD-WAN Orchestrator レベルで Syslog を構成する必要があります。

例: IETF Syslog メッセージ形式 (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

次に、Syslog のサンプル メッセージを示します。

<158>Dec 17 07:21:16 b1-edge1 velocloud.sdwan: VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
メッセージには、次の要素が含まれています。
  • 優先度 - ファシリティ * 8 + 重要度 (local4 & critical) - 158
  • 日付 - Dec 17
  • 時刻 - 07:21:16
  • ホスト名 - b1-edge1
  • Syslog タグ - velocloud.sdwan
  • メッセージ - VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3
VMware SD-WAN は、次のファイアウォール ログ メッセージをサポートしています。
  • ステートフル ファイアウォールが有効になっている場合:
    • 開く
    • 終了
    • 拒否
    • 更新
  • ステートフル ファイアウォールが無効になっている場合:
    • 許可
    • 拒否
表 1. ファイアウォール ログ メッセージのフィールド
フィールド 説明
SID 各セッションに適用される一意の識別番号。
SVLAN 送信元デバイスの VLAN ID。
DVLAN 宛先デバイスの VLAN ID。
SEGMENT セッションが属するセグメント。許容範囲は 0 ~ 255 です。
IN セッションの最初のパケットを受信したインターフェイスの名前。オーバーレイ受信パケットの場合、このフィールドには [VPN] が含まれます。その他のパケット(アンダーレイを介して受信)の場合、このフィールドには Edge 内のインターフェイスの名前が表示されます。
PROTO セッションで使用される IP プロトコルのタイプ。指定できる値は、TCP、UDP、GRE、ESP、ICMP です。
SRC ドット区切りの 10 進表記によるセッションの送信元 IP アドレス。
DST ドット区切りの 10 進表記によるセッションの宛先 IP アドレス。
SPT セッションの送信元ポート番号。このフィールドは、アンダーレイ転送が UDP/TCP である場合にのみ適用されます。
DPT セッションの宛先ポート番号。このフィールドは、アンダーレイ転送が UDP/TCP である場合にのみ適用されます。
DEST_NAME セッションのリモートエンド デバイスの名前。使用可能な値は次のとおりです。
  • CSS-Backhaul:Edge からクラウド セキュリティ サービスに送信されるトラフィックの場合に使用します。
  • Internet-via-<出力方向インターフェイス名>:ビジネス ポリシーを使用して Edge から直接送信されるクラウド トラフィックの場合に使用します。
  • Internet-BH-via-<バックホール ハブ名>:ビジネス ポリシーを使用してバックホール ハブ経由でインターネットに送信される、クラウド向けトラフィックの場合に使用します。
  • <リモート Edge 名>-via-Hub:ハブを通過する VPN トラフィックの場合に使用します。
  • <リモート Edge 名>-via-DE2E:ダイレクト VCMP トンネルを経由して Edge 間を流れる VPN トラフィックの場合に使用します。
  • <リモート Edge 名>-via-Gateway:クラウド ゲートウェイを通過する VPN トラフィックの場合に使用します。
  • NVS-via-<ゲートウェイ名>:クラウド ゲートウェイを通過する Non-VMware SD-WAN Site トラフィックの場合に使用します。
  • Internet-via-<ゲートウェイ名>:クラウド ゲートウェイを通過するインターネット トラフィックの場合に使用します。
NAT-SRC ダイレクト インターネット トラフィックの送信元 NAT に使用される送信元の IP アドレス。
NAT-SPT ダイレクト インターネット トラフィックの PAT に使用される送信元のポート。
APPLICATION セッションが DPI エンジンによって分類されたアプリケーション名。このフィールドは、終了ログ メッセージでのみ使用できます。
BYTES_SENT セッションで送信されたデータ量(バイト単位)。このフィールドは、終了ログ メッセージでのみ使用できます。
BYTES_RECEIVED セッションで受信されたデータ量(バイト単位)。このフィールドは、終了ログ メッセージでのみ使用できます。
DURATION_SECS セッションがアクティブになっている期間。このフィールドは、終了ログ メッセージでのみ使用できます。
REASON セッションの終了または拒否の理由。使用可能な値は次のとおりです。
  • 状態違反
  • リセット
  • 削除済み
  • 期限切れ
  • Fin-受信済み
  • RST-受信済み
  • エラー
このフィールドは、終了および拒否ログ メッセージに使用できます。

次のタスク

SD-WAN Orchestrator では、プロファイル レベルと Edge レベルで Syslog 転送機能を有効にすることができます。プロファイル構成の [ファイアウォール (Firewall)] ページで、エンタープライズ SD-WAN Edges から発信されたファイアウォール ログを構成済みの Syslog コレクタに転送する場合は、 [Syslog 転送 (Syslog Forwarding)] ボタンを有効にします。
注: デフォルトでは、 [Syslog 転送 (Syslog Forwarding)] ボタンは、プロファイルまたは Edge 構成の [ファイアウォール (Firewall)] ページで使用でき、無効になっています。

プロファイル レベルでのファイアウォール設定の詳細については、プロファイルのファイアウォールの構成を参照してください。