エンタープライズ ネットワークでは、SD-WAN Orchestrator は、エンタープライズ SD-WAN Edge から SD-WAN Orchestrator に発信されたイベントおよびファイアウォール ログを、ネイティブの Syslog 形式で 1 つ以上の一元化されたリモート Syslog コレクタ(サーバ)に収集することをサポートします。Syslog コレクタがエンタープライズ内で構成された Edge から SD-WAN Orchestrator に発信されたイベントおよびファイアウォール ログを受信できるようにするには、プロファイル レベルで次の手順を実行して、SD-WAN Orchestrator のセグメントごとに Syslog コレクタの詳細を構成します。

前提条件

  • SD-WAN Edge と Syslog コレクタ間のパスを確立するために、クラウド仮想プライベート ネットワーク(ブランチ間 VPN 設定)が SD-WAN EdgeSD-WAN Orchestrator へのイベントの発信元)に構成されていることを確認します。詳細については、プロファイルのクラウド VPN の構成を参照してください。

手順

  1. SD-WAN Orchestrator から、[構成 (Configure)] > [プロファイル (Profiles)] の順に移動します。
    [設定プロファイル (Configuration Profiles)] ページが表示されます。
  2. Syslog 設定を構成するプロファイルを選択し、[デバイス (Device)] 列の下にあるアイコンをクリックします。
    選択したプロファイルの [デバイス設定 (Device Settings)] ページが表示されます。
  3. [セグメントの構成 (Configure Segments)] ドロップダウン メニューから、Syslog 設定を構成するプロファイル セグメントを選択します。デフォルトでは、[グローバル セグメント [正規] (Global Segment [Regular])] が選択されています。
  4. [Syslog 設定 (Syslog Settings)] 領域に移動し、次の詳細を構成します。
    1. [ファシリティ コード (Facility Code)] ドロップダウン メニューから、Syslog サーバがファシリティ フィールドを使用して SD-WAN Edge からのすべてのイベントのメッセージを管理する方法にマッピングされる Syslog 標準値を選択します。使用できる値の範囲は、[local0][local7] です。
      注: [ファシリティ コード (Facility Code)] フィールドは、Syslog 設定がプロファイルに対して有効になっているかどうかにかかわらず、 [グローバル セグメント (Global Segment)] に対してのみ構成できます。その他のセグメントは、グローバル セグメントのファシリティ コード値を継承します。
    2. [Syslog が有効 (Syslog Enabled)] チェックボックスをオンにします。
    3. [IP アドレス (IP)] テキスト ボックスに、Syslog コレクタの宛先 IP アドレスを入力します。
    4. [プロトコル (Protocol)] ドロップダウン メニューから、Syslog プロトコルとして [TCP] または [UDP] のいずれかを選択します。
    5. [ポート (Port)] テキスト ボックスに、Syslog コレクタのポート番号を入力します。デフォルト値は 514 です。
    6. Edge インターフェイスはプロファイル レベルで使用できないため、[送信元インターフェイス (Source Interface)] フィールドは [自動 (Auto)] に設定されます。Edge は送信元インターフェイスとして [アドバタイズ (Advertise)] フィールドが設定されているインターフェイスを選択します。
    7. [ロール (Roles)] ドロップダウン メニューから、次のいずれかを選択します。
      • [Edge イベント (EDGE EVENT)]
      • [ファイアウォール イベント (FIREWALL EVENT)]
      • [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)]
    8. [Syslog レベル (Syslog Level)] ドロップダウン メニューから、構成する必要がある Syslog 重要度レベルを選択します。たとえば、[CRITICAL] が構成されている場合、SD-WAN Edge は、クリティカル、アラート、または緊急のいずれかに設定されたすべてのイベントを送信します。
      注: デフォルトでは、ファイアウォール イベント ログは、Syslog 重要度レベル [INFO] で転送されます。

      許可される Syslog の重要度レベルは次のとおりです。

      • [EMERGENCY]
      • [ALERT]
      • [CRITICAL]
      • [ERROR]
      • [WARNING]
      • [NOTICE]
      • [INFO]
      • [DEBUG]
    9. 必要に応じて、[タグ (Tag)] テキスト ボックスに、Syslog のタグを入力します。Syslog タグは、Syslog コレクタでさまざまなタイプのイベントを区別するために使用できます。使用できる最大文字数は 32 文字で、ピリオドで区切られています。
    10. [ファイアウォール イベント (FIREWALL EVENT)] または [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)] のロールがある Syslog コレクタを構成する場合、Syslog コレクタがすべてのセグメントからファイアウォールのログを受信するようにするには、[すべてのセグメント (All Segments)] チェックボックスを選択します。このチェックボックスがオフになっている場合、Syslog コレクタは、コレクタが構成されている特定のセグメントからのみファイアウォールのログを受信します。
      注: ロールが [Edge イベント (EDGE EVENT)] の場合、任意のセグメントで構成された Syslog コレクタはデフォルトで Edge イベントのログを受信します。
  5. [+] ボタンをクリックして別の Syslog コレクタを追加するか、[変更の保存 (Save Changes)] をクリックします。リモート Syslog コレクタは SD-WAN Orchestrator で構成されます。
    注: セグメントごとに最大 2 個の Syslog コレクタを構成し、Edge ごとに最大 10 個の Syslog コレクタを構成できます。構成されたコレクタの数が上限に達した場合は、 [+] ボタンが無効になります。
    注: 選択したロールに基づいて、Edge は、指定された重要度レベルの対応するログをリモート Syslog コレクタにエクスポートします。 SD-WAN Orchestrator の自動生成されたローカル イベントを Syslog コレクタで受信する場合は、 log.syslog.backend および log.syslog.upload のシステム プロパティを使用して、 SD-WAN Orchestrator レベルで Syslog を構成する必要があります。
    ファイアウォール ログの Syslog メッセージの形式を理解するには、 ファイアウォール ログの Syslog メッセージ形式を参照してください。

次のタスク

SD-WAN Orchestrator では、プロファイル レベルと Edge レベルで Syslog 転送機能を有効にすることができます。プロファイル構成の [ファイアウォール (Firewall)] ページで、エンタープライズ SD-WAN Edge から発信されたファイアウォール ログを構成済みの Syslog コレクタに転送する場合は、 [Syslog 転送 (Syslog Forwarding)] ボタンを有効にします。
注: デフォルトでは、 [Syslog 転送 (Syslog Forwarding)] ボタンは、プロファイルまたは Edge 構成の [ファイアウォール (Firewall)] ページで使用でき、無効になっています。

プロファイル レベルでのファイアウォール設定の詳細については、プロファイルのファイアウォールの構成を参照してください。