コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=system-services-log-settings

ログ設定

Sophos Firewall は、トラフィック、システムおよびネットワーク保護機能に関するログ機能を提供します。ログにより、ネットワークアクティビティを分析して、セキュリティの問題を特定できます。

ログの設定を表示または変更するには、「システムサービス > ログ設定」を選択します。

イベントログ

ログの種類を選択して、ログをローカルに保存し、ログビューアで確認したり、Sophos Central または外部の syslog サーバーに送信したりできます。

特定のモジュールまたは機能を選択してログを保存・送信することも、すべてのログを選択することもできます。

  1. 次のルールと一致するトラフィックのログを保存するには、次の手順を実行します。

    • ファイアウォールルール: 各ルールで「ファイアウォールトラフィックのログ」を選択します。
    • SSL/TLS インスペクションルール: 各ルールで「接続のログ」を選択します。

  2. 保存されたログがローカルに表示されるか、外部に送信されることを確認するには、「システムサービス」 > 「ログ設定」を選択し、次のように「ログ設定」でログの種類を選択します。

    • ログビューア:ローカルレポート
    • Sophos Central:Central レポート
    • Syslog サーバー:設定した syslog サーバー

ローカルレポート、Central レポート、syslog サーバーでログの種類を選択します。

ローカル

イベントログをローカルに保存し、ログビューアに表示するには、「ローカルレポート」でログの種類を選択します。

これらのログはログビューアに表示されます。オンボックスレポートではありません。レポートのオン/オフを切り替えるには、ファイアウォールルールとアプリケーションフィルタをオフにしてもアプリケーションレポートが生成され続けるを参照してください。

セントラルレポート

ログを Sophos Central に送信するには、Sophos Central ページに移動して、「Sophos Central サービス」をオンにする必要があります。詳細は、Sophos Central サービスの概要を参照してください。

「ログ設定」ページの「Central レポート」で Sophos Central に送信するログの種類を変更できます。

この設定はログにのみ適用されます。レポートには適用されません。

Syslog サーバー

イベントログを送信する syslog サーバーは 5 つまで設定できます。ファイアウォールはこれらのログをサーバーに送信します。通常、Syslog プロトコルの通信には、UDP ポート 514 が使用されます。

Syslog サーバーは、イベントログ用の中央ログ機能と長期的に保護されたストレージを備えています。

ログを Syslog サーバーに送信するには、「追加」をクリックし、Syslog サーバーの詳細を指定します。Syslog サーバーがログ設定ページに表示されます。

LINCE モードで syslog サーバーとの TLS 接続を確立するには、証明書の共通名 (CNAME) またはサブジェクト代替名 (SAN) が syslog サーバーのドメインと一致する必要があります。LINCE がオフの場合、ファイアウォールは CNAME のみを検証します。

ログ抑制

同じイベントについて重複するログエントリが連続して発生する場合は、これらを抑制して表示できます。ログを抑制することで、ログに必要なスペースと処理サイクルを減らせます。

この機能は、ログビューア、Sophos Central、サードパーティの syslog サーバーに送信されるログに適用されます。

  • すべてのログを抑制して表示するには、「ログの抑制」で「すべて」を選択します。現在、「ファイアウォール」のログのみが抑制に対応しています。
  • 同じイベントのログエントリ数は、ログビューアの「ログの表示頻度」に表示されます。

ログの種類

ファイアウォール:ファイアウォールの構成 (ファイアウォールルール、MAC フィルタリング、DoS 攻撃対策など) に関連するトラフィックの情報。

IPS (侵入防御システム): を不明なパターンまたは疑わしいパターン (異常)、署名に基づいて検出および遮断された攻撃のログ。

ウイルス対策: HTTP、SMTP、FTP、POP3、IMAP4、HTTPS、SMTPS、IMAPS および POPS トラフィックで検出されたウイルスの詳細。

スパム対策:SMTP、POP3、IMAP4、SMTPS、POPS、IMAPS スパムおよびスパムの可能性があるメールの詳細。

コンテンツフィルタリング:Web ポリシーに関連付けらたイベントなど、Web とアプリケーションのフィルタリングイベントの詳細。

Web ポリシーに関連付けられたイベントを表示するには、該当するファイアウォールルールで、「ファイアウォールトラフィックのログ」を選択してください。

イベント:構成、認証、システムアクティビティに関する情報。

Web サーバープロテクション:保護ポリシーなど、Web サーバーの保護アクティビティの詳細。

アクティブな脅威対応:MDR 脅威フィードと Sophos X-Ops 脅威フィードに基づいて、ログに記録され、ブロックされたトラフィックに関する情報。

ワイヤレス:アクセスポイントのアクティビティと SSID の詳細。

ログビューアはワイヤレスログに対応していないため、デフォルトでは「ローカルレポート」の「アクセスポイントと SSID」項目がオフになっています。ワイヤレスログを表示するには、Sophos Central または Syslog サーバーに送信してください。

ハートビート:エンドポイントの正常性に関する情報。

システム正常性:CPU 使用率、メモリ使用率、ライブユーザー数、インターフェイス、ディスクパーティションの詳細。

ゼロデイ対策: すべてのゼロデイ保護イベントのログ。

SD-WAN: SD-WAN プロファイル、SLA、およびルート使用のログ。

その他のリソース