エンタープライズ ネットワークでは、SASE Orchestrator は、エンタープライズ SD-WAN Edge から SASE Orchestrator に発信されたイベントおよびファイアウォール ログを、ネイティブの Syslog 形式で 1 つ以上の一元化されたリモート Syslog コレクタ(サーバ)に収集することをサポートします。Syslog コレクタがエンタープライズ内で設定された Edge から SASE Orchestrator に発信されたイベントおよびファイアウォール ログを受信できるようにするには、プロファイル レベルで次の手順を実行して、SASE Orchestrator のセグメントごとに Syslog コレクタの詳細を設定します。

前提条件

  • SD-WAN Edge と Syslog コレクタ間のパスを確立するために、クラウド仮想プライベート ネットワーク(ブランチ間 VPN 設定)が SD-WAN EdgeSASE Orchestrator へのイベントの発信元)に設定されていることを確認します。詳細については、プロファイルのクラウド VPN の設定を参照してください。

手順

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [プロファイル (Profiles)] の順にクリックします。[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。
  2. プロファイルを設定するには、プロファイルへのリンクをクリックするか、プロファイルの [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。設定オプションは、[デバイス (Device)] タブに表示されます。
  3. [セグメントの設定 (Configure Segments)] ドロップダウン メニューから、Syslog 設定を行うプロファイル セグメントを選択します。デフォルトでは、[グローバル セグメント [正規] (Global Segment [Regular])] が選択されています。
  4. [テレメトリ (Telemetry)] で、[Syslog] 領域に移動し、次の詳細を設定します。
    1. [ファシリティ (Facility)] ドロップダウン メニューから、Syslog サーバがファシリティ フィールドを使用して SD-WAN Edge からのすべてのイベントのメッセージを管理する方法にマッピングされる Syslog 標準値を選択します。使用できる値の範囲は、[local0][local7] です。
      注: [ファシリティ (Facility)] フィールドは、プロファイルに対する Syslog 設定にかかわらず、 [プロファイルに対してグローバル セグメント (Global Segment)] に対してのみ設定できます。その他のセグメントは、グローバル セグメントのファシリティ コード値を継承します。
    2. [Syslog の有効化 (Enable Syslog)] チェックボックスをオンにします。
    3. [+ 追加 (+ ADD)] ボタンをクリックし、次の詳細を設定します。
      フィールド 説明
      IP アドレス (IP) Syslog コレクタの宛先 IP アドレスを入力します。
      プロトコル (Protocol) ドロップダウン メニューから Syslog プロトコルとして [TCP] または [UDP] を選択します。
      ポート (Port) Syslog コレクタのポート番号を入力します。デフォルト値は 514 です。
      送信元インターフェイス (Source Interface) Edge インターフェイスはプロファイル レベルで使用できないため、[送信元インターフェイス (Source Interface)] フィールドは [自動 (Auto)] に設定されます。Edge は送信元インターフェイスとして [広報 (Advertise)] フィールドが設定されているインターフェイスを選択します。
      ロール (Roles) 次のいずれかを選択します。
      • [Edge イベント (EDGE EVENT)]
      • [ファイアウォール イベント (FIREWALL EVENT)]
      • [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)]
      Syslog レベル (Syslog Level) 設定する必要がある Syslog 重要度レベルを選択します。たとえば、[CRITICAL] が設定されている場合、SD-WAN Edge は、クリティカル、アラート、または緊急のいずれかに設定されたすべてのイベントを送信します。
      注: デフォルトでは、ファイアウォール イベント ログは、Syslog 重要度レベル [INFO] で転送されます。

      許可される Syslog の重要度レベルは次のとおりです。

      • [EMERGENCY]
      • [ALERT]
      • [CRITICAL]
      • [ERROR]
      • [WARNING]
      • [NOTICE]
      • [INFO]
      • [DEBUG]
      タグ (Tag) 必要に応じて、Syslog のタグを入力します。Syslog タグは、Syslog コレクタでさまざまなタイプのイベントを区別するために使用できます。使用できる最大文字数は 32 文字で、ピリオドで区切られています。
      すべてのセグメント (All Segments) [ファイアウォール イベント (FIREWALL EVENT)] または [Edge およびファイアウォール イベント (EDGE AND FIREWALL EVENT)] のロールがある Syslog コレクタを設定する場合、Syslog コレクタがすべてのセグメントからファイアウォールのログを受信するようにするには、[すべてのセグメント (All Segments)] チェックボックスを選択します。このチェックボックスがオフになっている場合、Syslog コレクタは、コレクタが設定されている特定のセグメントからのみファイアウォールのログを受信します。
      注: ロールが [Edge イベント (EDGE EVENT)] の場合、任意のセグメントで設定された Syslog コレクタはデフォルトで Edge イベントのログを受信します。
  5. [+ 追加 (+ ADD)] ボタンをクリックして別の Syslog コレクタを追加するか、[変更の保存 (Save Changes)] をクリックします。リモート Syslog コレクタは SASE Orchestrator で設定されます。
    注: セグメントごとに最大 2 個の Syslog コレクタを設定し、Edge ごとに最大 10 個の Syslog コレクタを設定できます。設定されたコレクタの数が上限に達した場合、 [+] ボタンが無効になります。
    注: 選択したロールに基づいて、Edge は、指定された重要度レベルの対応するログをリモート Syslog コレクタにエクスポートします。 SASE Orchestrator の自動生成されたローカル イベントを Syslog コレクタで受信する場合は、 log.syslog.backend および log.syslog.upload のシステム プロパティを使用して、 SASE Orchestrator レベルで Syslog を設定する必要があります。
    ファイアウォール ログの Syslog メッセージの形式を理解するには、 ファイアウォール ログの Syslog メッセージ形式を参照してください。

次のタスク

SASE Orchestrator では、プロファイル レベルと Edge レベルで Syslog 転送機能を有効にすることができます。プロファイル設定の [ファイアウォール (Firewall)] ページで、エンタープライズ SD-WAN Edge から発信されたファイアウォール ログを設定済みの Syslog コレクタに転送する場合は、 [Syslog 転送 (Syslog Forwarding)] ボタンを有効にします。
注: デフォルトでは、 [Syslog 転送 (Syslog Forwarding)] ボタンは、プロファイルまたは Edge 設定の [ファイアウォール (Firewall)] ページで使用でき、無効になっています。

プロファイル レベルでのファイアウォール設定の詳細については、プロファイルのファイアウォールの設定を参照してください。

[セキュアな Syslog 転送のサポート (Secure Syslog Forwarding Support)]

5.0 リリースでは、セキュアな Syslog 転送機能がサポートされています。Syslog 転送のセキュリティの確保は連邦認証に必要であり、大規模企業の Edge のセキュリティ強化要件を満たすために必要です。セキュアな Syslog 転送プロセスは、TLS 対応の Syslog サーバから始まります。現在、SASE Orchestrator では、TLS がサポートされている Syslog サーバにログを転送できます。5.0 リリースでは、SASE Orchestrator で Syslog 転送を制御し、階層 PKI 検証、CRL 検証などのデフォルトのセキュリティ チェックを実行できます。さらに、サポートされている暗号スイートを定義し、自己署名証明書を許可しないようにすることにより、転送のセキュリティをカスタマイズすることもできます。

セキュアな Syslog 転送のもう 1 つの側面は、失効情報の収集または統合方法です。SASE Orchestrator は、手動または外部プロセスを介して取得できるオペレータからの失効情報入力を有効にできるようになりました。SASE Orchestrator はその CRL 情報を取得し、それを使用して、すべての接続が確立される前に転送のセキュリティを確認します。また、SASE Orchestrator は CRL 情報を定期的に取得し、接続の検証時に使用します。

[システム プロパティ (System Properties)]

セキュアな Syslog 転送では、まず SASE Orchestrator の Syslog 転送パラメータを設定して、Syslog サーバに接続できるようにします。これを行うために、SASE Orchestrator は JSON 形式の文字列を受け入れ、システム プロパティで設定されている次の設定パラメータを実行します。

次のシステム プロパティは、下のリストと図に示すように設定できます。
  • log.syslog.backend:バックエンド サービスの Syslog 統合設定
  • log.syslog.portal:ポータル サービスの Syslog 統合設定
  • log.syslog.upload:アップロード サービスの Syslog 統合設定

システム プロパティを設定するときに、次のセキュアな Syslog 設定 JSON 文字列を使用できます。

  • config <Object>
    • enable: <true> <false> Syslog 転送を有効または無効にします。このパラメータは、セキュアな転送が有効な場合でも Syslog 転送全体を制御します。
    • options <Object>
      • host: <string> Syslog を実行しているホストのデフォルトは localhost です。
      • port:<number> Syslog が実行されているホストのポート。デフォルトは Syslogd のデフォルト ポートです。
      • protocol:<string> tcp4、udp4、tls4。注:(tls4 はデフォルト設定でセキュアな Syslog 転送を有効にします。これを設定するには、次のセキュアな Options オブジェクトを参照してください。
      • pid:<number> ログ メッセージの送信元のプロセスの PID(デフォルト:process.pid)。
      • localhost:<string> ログ メッセージの送信元を示すホスト(デフォルト:localhost)。
      • app_name:<string> アプリケーションの名前(node-portal、node-backend など)(デフォルト:process.title)。
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> 検証中に SAN チェックをスキップすることもできます。つまり、サーバの証明書に自己署名証明書の SAN がない場合に使用できます。デフォルト false.
      • fetchCRLEnabled: <boolean> false がない場合、SASE Orchestrator は、提供された CA に組み込まれている CRL 情報を取得します。デフォルト:true
      • rejectUnauthorized: <boolean> false でない場合、SASE Orchestrator は、指定された CA のリストに対して階層 PKI 検証を適用します。デフォルト:true。(これは主にテスト目的で必要です。本番環境では使用しないでください。)
      • caCertificate: <string> SASE Orchestrator は、PEM 形式の証明書を含む文字列を受け入れて、信頼できる CA 証明書を任意で上書きできます(openssl のわかりやすい連結形式で複数の CRL を含めることができます)。デフォルトでは、Mozilla によって厳選された既知の CA を信頼します。このオプションは、エンティティによって管理されるローカル CA を受け入れるのに使用できます。たとえば、オンプレミス環境で独自の CA と PKI を使用している場合などです。
      • crlPem:<string> SASE Orchestrator は PEM 形式の CRL を含む文字列を受け入れることができます(openssl のわかりやすい連結形式で複数の CRL を含めることができます)。このオプションは、ローカルに保持されている CRL を受け入れるのに使用できます。fetchCRLEnabled が true に設定されている場合、SASE Orchestrator はこの情報と取得された CRL を組み合わせます。これは主に、証明書に CRLDistribution Point 情報が含まれていない特定のシナリオで必要になります。
      • crlDistributionPoints: <Array> SASE Orchestrator は、オプションで「http」プロトコルのアレイ CRL 配布ポイントの URI を受け入れることもできます。SASE Orchestrator は「https」URI を受け入れません
      • crlPollIntervalMinutes: <number> fetchCRLEnabled が false に設定されていない場合、SASE Orchestrator は 12 時間ごとに CRL をポーリングします。ただし、このパラメータはオプションでこのデフォルトの動作を上書きし、指定された数に従って CRL を更新できます。

[セキュアな Syslog 転送の設定例 (Configuring Secure Syslog Forwarding Example)]

SASE Orchestrator には、説明されたパラメータを配置してセキュアな Syslog 転送を有効にする次のシステム プロパティ オプションがあります。
注: 次の例は、チェーン構造の信頼に従って変更する必要があります。

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Syslog 転送を設定するには、次の JSON オブジェクトを例として参照してください(下の図)。

設定が成功すると、SASE Orchestrator は次のログを生成し、転送を開始します。

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

[FIPS モードでのセキュアな Syslog 転送 (Secure Syslog Forwarding in FIPS Mode)]

セキュアな Syslog 転送で FIPS モードが有効になっていて、Syslog サーバが次の暗号化スイートを提供していない場合、接続は拒否されます:"TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256"。また、FIPS モードから独立して、Syslog サーバ証明書に「ServerAuth」属性を設定する拡張キー使用フィールドがない場合、接続は拒否されます。

[定期的なCRL 情報の取得 (Constant CRL Information Fetching)]

fetchCRLEnabled が false に設定されていない場合、SASE Orchestrator はバックエンド ジョブ メカニズムを介して CRL 情報を 12 時間ごとに定期的に更新します。取得された CRL 情報は、log.syslog.lastFetchedCRL という名前の対応するシステム プロパティに保存されます。{serverName}。この CRL 情報は、Syslog サーバへの接続を試行するごとに確認されます。取得中にエラーが発生した場合、SASE Orchestrator はオペレータ イベントを生成します。

fetchCRLEnabled が true に設定されている場合、次のように CRL の状態に従う 3 つのシステム プロパティがあります:log.syslog.lastFetchedCRL.backend、log.syslog.lastFetchedCRL.portal、log.syslog.lastFetchedCRL.upload(次の図を参照)。この情報には、CRL および CRL 情報の最終更新時刻が表示されます。

[ログの記録 (Logging)]

「fetchCRLEnabled」オプションが true に設定されている場合、SASE Orchestrator は CRL を取得しようとします。エラーが発生すると、SASE Orchestrator によってイベントが生成され、[オペレータ イベント (Operator Events)] ページに表示されます。