エンタープライズ ネットワークでは、SD-WAN Orchestrator は、エンタープライズ SD-WAN Edge から SD-WAN Orchestrator に発信されたイベントおよびファイアウォール ログを、ネイティブの Syslog 形式で 1 つ以上の一元化されたリモート Syslog コレクタ(サーバ)に収集することをサポートします。Syslog コレクタがエンタープライズ内で設定された Edge から SD-WAN Orchestrator に発信されたイベントおよびファイアウォール ログを受信できるようにするには、プロファイル レベルで次の手順を実行して、SD-WAN Orchestrator のセグメントごとに Syslog コレクタの詳細を設定します。

前提条件

  • SD-WAN Edge と Syslog コレクタ間のパスを確立するために、クラウド仮想プライベート ネットワーク(ブランチ間 VPN 設定)が SD-WAN EdgeSD-WAN Orchestrator へのイベントの発信元)に設定されていることを確認します。詳細については、プロファイルのクラウド VPN の設定を参照してください。

手順

  1. SD-WAN Orchestrator から、[設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。
    [設定プロファイル (Configuration Profiles)] ページが表示されます。
  2. Syslog 設定を行うプロファイルを選択し、[デバイス (Device)] 列の下にあるアイコンをクリックします。
    選択したプロファイルの [デバイス設定 (Device Settings)] ページが表示されます。
  3. [セグメントの設定 (Configure Segments)] ドロップダウン メニューから、Syslog 設定を行うプロファイル セグメントを選択します。デフォルトでは、[グローバル セグメント [正規] (Global Segment [Regular])] が選択されています。
  4. [Syslog 設定 (Syslog Settings)] 領域に移動し、次の詳細を設定します。
    1. [ファシリティ コード (Facility Code)] ドロップダウン メニューから、Syslog サーバがファシリティ フィールドを使用して SD-WAN Edge からのすべてのイベントのメッセージを管理する方法にマッピングされる Syslog 標準値を選択します。使用できる値の範囲は、[local0][local7] です。
      注: [ファシリティ コード (Facility Code)] フィールドは、Syslog 設定がプロファイルに対して有効になっているかどうかにかかわらず、 [グローバル セグメント (Global Segment)] に対してのみ設定できます。その他のセグメントは、グローバル セグメントのファシリティ コード値を継承します。
    2. [Syslog が有効 (Syslog Enabled)] チェックボックスをオンにします。
    3. [IP アドレス (IP)] テキスト ボックスに、Syslog コレクタの宛先 IP アドレスを入力します。
    4. [プロトコル (Protocol)] ドロップダウン メニューから、Syslog プロトコルとして [TCP] または [UDP] のいずれかを選択します。
    5. [ポート (Port)] テキスト ボックスに、Syslog コレクタのポート番号を入力します。デフォルト値は 514 です。
    6. Edge インターフェイスはプロファイル レベルで使用できないため、[送信元インターフェイス (Source Interface)] フィールドは [自動 (Auto)] に設定されます。Edge は送信元インターフェイスとして [広報 (Advertise)] フィールドが設定されているインターフェイスを選択します。
    7. [ロール (Roles)] ドロップダウン メニューから、次のいずれかを選択します。
      • [Edge イベント (EDGE EVENT)]
      • [ファイアウォール イベント (FIREWALL EVENT)]
      • [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)]
    8. [Syslog レベル (Syslog Level)] ドロップダウン メニューから、設定する必要がある Syslog 重要度レベルを選択します。たとえば、[CRITICAL] が設定されている場合、SD-WAN Edge は、クリティカル、アラート、または緊急のいずれかに設定されたすべてのイベントを送信します。
      注: デフォルトでは、ファイアウォール イベント ログは、Syslog 重要度レベル [INFO] で転送されます。

      許可される Syslog の重要度レベルは次のとおりです。

      • [EMERGENCY]
      • [ALERT]
      • [CRITICAL]
      • [ERROR]
      • [WARNING]
      • [NOTICE]
      • [INFO]
      • [DEBUG]
    9. 必要に応じて、[タグ (Tag)] テキスト ボックスに、Syslog のタグを入力します。Syslog タグは、Syslog コレクタでさまざまなタイプのイベントを区別するために使用できます。使用できる最大文字数は 32 文字で、ピリオドで区切られています。
    10. [ファイアウォール イベント (FIREWALL EVENT)] または [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)] のロールがある Syslog コレクタを設定する場合、Syslog コレクタがすべてのセグメントからファイアウォールのログを受信するようにするには、[すべてのセグメント (All Segments)] チェックボックスを選択します。このチェックボックスがオフになっている場合、Syslog コレクタは、コレクタが設定されている特定のセグメントからのみファイアウォールのログを受信します。
      注: ロールが [Edge イベント (EDGE EVENT)] の場合、任意のセグメントで設定された Syslog コレクタはデフォルトで Edge イベントのログを受信します。
  5. [+] ボタンをクリックして別の Syslog コレクタを追加するか、[変更の保存 (Save Changes)] をクリックします。リモート Syslog コレクタは SD-WAN Orchestrator で設定されます。
    注: セグメントごとに最大 2 個の Syslog コレクタを設定し、Edge ごとに最大 10 個の Syslog コレクタを設定できます。設定されたコレクタの数が上限に達した場合、 [+] ボタンがアクティベーション解除されます。
    注: 選択したロールに基づいて、Edge は、指定された重要度レベルの対応するログをリモート Syslog コレクタにエクスポートします。 SD-WAN Orchestrator の自動生成されたローカル イベントを Syslog コレクタで受信する場合は、 log.syslog.backend および log.syslog.upload のシステム プロパティを使用して、 SD-WAN Orchestrator レベルで Syslog を設定する必要があります。
    ファイアウォール ログの Syslog メッセージの形式を理解するには、 ファイアウォール ログの Syslog メッセージ形式を参照してください。

次のタスク

SD-WAN Orchestrator では、プロファイル レベルと Edge レベルで Syslog 転送機能を有効にすることができます。プロファイル設定の [ファイアウォール (Firewall)] ページで、エンタープライズ SD-WAN Edge から発信されたファイアウォール ログを設定済みの Syslog コレクタに転送する場合は、 [Syslog 転送 (Syslog Forwarding)] ボタンを有効にします。
注: デフォルトでは、 [Syslog 転送 (Syslog Forwarding)] ボタンは、プロファイルまたは Edge 設定の [ファイアウォール (Firewall)] ページで使用でき、アクティベーション解除されています。

プロファイル レベルでのファイアウォール設定の詳細については、プロファイルのファイアウォールの設定を参照してください。