[ファイアウォールのログ (Firewall Logs)] ページには、VMware SD-WAN Edge から送信されたファイアウォール ログの詳細が表示されます。以前は、カスタマーがファイアウォール ログを保存して表示する唯一の方法は、Syslog サーバに転送することでした。リリース 5.2.0 では、Orchestrator にファイアウォール ログを保存するオプションがあり、Orchestrator ユーザー インターフェイスで表示、並べ替え、検索を実行できます。デフォルトでは、Edge はファイアウォールのログを Orchestrator に送信できません。Edge がファイアウォールのログを Orchestrator に送信できるようにするには、[グローバル設定 (Global Settings)] ユーザー インターフェイス ページのカスタマー レベルで [Orchestrator のファイアウォール ログ作成の有効化 (Enable Firewall Logging to Orchestrator)] カスタマー機能が有効になっていることを確認します。カスタマーがファイアウォールのログ作成機能を有効にする場合は、オペレータに問い合わせる必要があります。デフォルトでは、Orchestrator は、7 日の最大保持期間またはローテーションベースで最大ログ サイズがカスタマー テナントあたり 15 GB に達するまでファイアウォールのログを保持します。

Orchestrator で Edge ファイアウォールのログを表示するには、次の手順を実行します。
  1. エンタープライズ ポータルの [SD-WAN] サービスで、[監視 (Monitor)] > [ファイアウォールのログ (Firewall Logs)] の順に移動します。[ファイアウォールのログ (Firewall Logs)] ページが表示されます。

    このページには次の Edge ファイアウォールのログの詳細が表示されます:時間、セグメント、Edge、アクション、インターフェイス、プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、拡張機能ヘッダー、ルール、理由、受信バイト数、送信バイト数、所要時間、アプリケーション、宛先ドメイン、宛先名、セッション ID、シグネチャ、IPS アラート、IDS アラート、シグネチャ ID、カテゴリ、攻撃元、攻撃対象、重要度。

    注: すべてのファイアウォール ログですべてのフィールドが入力されるわけではありません。たとえば、[理由 (Reason)]、[受信/送信バイト数 (Bytes Received/Sent)] および [期間 (Duration)]は、セッションが終了したときにログに含まれるフィールドです。シグネチャ、IPS アラート、IDS アラート、シグネチャ ID、カテゴリ、攻撃元、攻撃対象、および重要度は、ファイアウォール ログではなく、拡張ファイアウォール サービス (EFS) アラートの場合にのみ入力されます。
    ファイアウォールのログが生成されます。
    • フローが作成されたとき(フローが受け入れられた条件で)
    • フローが終了したとき
    • 新しいフローが拒否されたとき
    • 既存のフローが更新されたとき(ファイアウォール設定の変更が原因で)
    EFS アラートは以下の場合に生成されます。
    • フロー トラフィックが EFS エンジンで設定されている任意の suricata シグネチャと一致する場合。
    • ファイアウォール ルールで侵入検知システム (IDS) のみが有効になっている場合、Edge は、エンジンで設定された特定のシグネチャに基づいてトラフィック フローが悪意のあるものかどうかを検出します。攻撃が検出されると、Orchestrator でファイアウォールのログ作成が有効になっている場合、EFS エンジンはアラートを生成し、アラート メッセージを SASE Orchestrator/Syslog サーバに送信します。パケットはドロップされません。
    • ファイアウォール ルールで侵入防止システム (IPS) が有効になっている場合、Edge は、エンジンで設定された特定のシグネチャに基づいてトラフィック フローが悪意のあるものかどうかを検出します。攻撃が検出されると、EFS エンジンはアラートを生成し、シグネチャ ルールのアクションが「拒否 (Reject)」で、悪意のあるトラフィックと一致する場合にのみ、クライアントへのトラフィック フローをブロックします。シグネチャ ルールのアクションが「アラート (Alert)」の場合、IPS を設定している場合でもパケットをドロップせずにトラフィックが許可されます。
  2. [フィルタ (Filter)] オプションを使用し、ドロップダウン メニューからフィルタを選択して、ファイアウォールのログをクエリします。
  3. [CSV] オプションをクリックして、Edge ファイアウォールのログのレポートを CSV 形式でダウンロードします。