コンテンツにスキップ

ログ設定

Sophos Firewall は、トラフィック、システムおよびネットワーク保護機能に関する広範なログ機能を提供します。ログを使ってネットワークアクティビティを分析し、セキュリティ問題を特定したり、ネットワークの乱用を防止することができます。

ログは、ローカルに保存できるほか、Sophos Central や、サードパーティの Syslog サーバーに送信できます。

特定のモジュールまたは機能を選択してログを保存・送信することも、すべてのログを選択することもできます。

同じイベントについて重複するログエントリが連続して発生する場合は、これらを抑制して表示できます。ログを抑制することで、ログに必要なスペースと処理サイクルを減らせます。ログの抑制をオンにすると、ログビューア、Sophos Central、サードパーティの Syslog サーバーのログに適用されます。同じイベントのログエントリ数は、ログビューアの「ログの表示頻度」に表示されます。

ログの設定を変更するには、「システムサービス > ログ設定」に移動します。

  • ログをローカルに保存するには、「ローカルレポート」でログを選択します。

  • ログを Sophos Central に送信するには、Sophos Central ページに移動して Sophos Central サービスをオンにする必要があります。

    ログ設定のページでは、Central でサポートされているログがデフォルトで選択されています。「Central レポート」で、ログの選択を適宜変更してください。

  • ログを Syslog サーバーに送信するには、「追加」をクリックし、Syslog サーバーの詳細を指定します。Syslog サーバーがログ設定のページに表示されます。送信するログを選択します。Syslog サーバーの編集や削除も行えます。

  • すべてのログを抑制して表示するには、「ログの抑制」で「すべて」を選択します。現在、「ファイアウォール」のログのみが抑制に対応しています。

Syslog

Syslog とは、Sophos Firewall などのデバイスからのメッセージを、Syslog デーモンを実行しているサーバーに転送するプロトコルです。Syslog の通信には、通常、UDP ポート 514 が使用されます。

Syslog サーバーでは、ログをまとめて管理し、長期間にわたって安全に保管できるので、日常的なトラブルシューティングやインシデント処理に役立ちます。

Sophos Firewall では、詳細ログを外部の Syslog サーバーに送信・保存することができます。最大 5台の Syslog サーバーを利用できます。

Sophos Firewall は、RFC 5424 の Syslog 定義に従っています。

ログ

ファイアウォール: ファイアウォールのログには、ファイアウォールの構成 (ファイアウォールルール、MAC フィルタリング、DoS 攻撃対策など) に関連するトラフィックの情報が記録されます。

侵入防御システム (IPS): IPS のログには、不明または疑わしいパターン (変則的パターン) やシグネチャに基づいて検出、破棄された攻撃が記録されます。

ウイルス対策: ウイルス対策のログには、HTTP、SMTP、FTP、POP3、IMAP4、HTTPS、SMTPS、IMAPS および POPS トラフィックで検出されたウイルスの詳細が記録されます。

スパム対策: スパム対策のログには、SMTP、POP3、IMAP4、SMTPS、POPS、IMAPS のスパムメールまたはスパムの可能性のあるメールの詳細が記録されます。

コンテンツ フィルタリング: コンテンツフィルタリングのログには、Web ポリシーなどで指定された、Web とアプリケーションのフィルタリングイベントの詳細が記録されます。

Web ポリシーに関連付けられたイベントを表示するには、該当するファイアウォールルールで、「ファイアウォールトラフィックのログ」を選択してください。

イベント: イベントのログには、構成アクティビティ、認証アクティビティ、システムアクティビティに関する情報が記録されます。

Web サーバープロテクション: Web サーバープロテクションのログには、Web サーバープロテクションアクティビティの詳細 (保護ポリシーなど) が記録されます。

高度な脅威対策: ATP (高度な脅威対策) のログには、ATP イベントに関する情報 (破棄や警告など) が記録されます。

ワイヤレス: ワイヤレスのログには、アクセスポイントアクティビティと SSID の詳細が記録されます。

Sophos Firewall のログビューアは、ワイヤレスのログに対応していないため、「ローカルレポート」の「アクセスポイントと SSID」はデフォルトでオフになっています。ワイヤレスのログを参照するには、Syslog サーバーに送信してください。

ハートビート: ハートビートのログには、エンドポイントのセキュリティ状態に関する情報が記録されます。

システム正常性: システム正常性のログには、CPU 使用率、メモリ使用率、ライブユーザー数、インターフェース、ディスクパーティションの詳細が記録されます。

ゼロデイ対策: ゼロデイ対策のログには、ゼロデイ対策のイベントがすべて記録されます。

その他のリソース