前回の記事ではRaspberry Piに標準でインストールされているrsyslogに対して外部デバイスからのsyslogを受け付けるまでの設定を行いました。
今回はMerakiの各デバイスからSyslogサーバへ通知を行う設定を行いたいと思います。
Meraki Dashboardでの設定
設定は流石Merakiですごく簡単でかつシンプルです。
「ネットワーク全体(Network-wide) > 設定(Configure) > 一般(General)」にある「レポーティング(Reporting) > Syslogサーバ(Syslog servers)」から設定を行います。
サーバIPにSyslogサーバのIPアドレスを、ポート番号を514以外にしたい場合はポート番号の設定を行い、最後にSyslogサーバへ通知を行いたい内容を選択するのみです。
MerakiにおいてはTCPでのSyslogの通知は出来ず、UDPのみとなりますので注意が必要です。
また、SyslogのメッセージはMeraki各デバイスから直接発信されます。Dashboardからの通知ではないことも理解しておく必要があります。
複数のSyslogサーバの設定を行うことも可能ですのでロールによって送信先を変える設定も可能です。
ロール(Roles)について
Syslogの設定は上記のみとなりますので非常に簡単なのですがロールに関して少し触れておきたいと思います。
Merakiで設定できるSyslogの設定はCiscoの設定のように事細かく設定できるわけでは無く、限られた物のみが通知の対象となります。
接待可能なロールをまとめておきます。
スイッチイベントログ、ワイヤレスイベントログ、アプライアンスイベントログ
これはDashboard上の「ネットワーク全体 > 監視 > イベントログ」と同じ内容になります。
MX、MR、MSそれぞれで有効にしたいロールを選択します。
Air Mershalイベント
MRからのAir Marshal機能においてRogue AP等のイベントを検知した時に通知されます。
フロー
MXまたはMRを通過するフロー情報を出力します。Source IP、Destination IP、Source Port、Destination Portが情報として含まれ、Firewallルールが設定されている場合にはAllow/Denyの情報もメッセージ内に含まれます。
URL
上記のフローロールはすべての通信が対象となりますが、URLはHTTP(S)のアクセスログが出力されます。HTTPのGET・PUT等の情報及びそのURLがメッセージ内に含まれます。
HTTPSに関しては暗号化される前までの情報から取得することになりますのでドメインレベルまでの情報となり、HTTP GET等の情報もUNKNOWNと表示されます。
HTTPSでの通信が大多数を占める現在では、単純にドメインレベルでのアクセスログの取得に留まると理解しておいた方が良いでしょう。
URLは最大500文字までとなります。
セキュリティイベント
MXにて検知されたIPS/IDSおよびAMPのイベントが出力されます。
IDS/IPSのメッセージに含まれるPriorityは、
1 : High Priority Alert
2 : Medium Priority Alert
3 : Low Priority Alert
4 : Very Low Priority Alert
となります。
まとめ
繰り返しとなりますが、MerakiのSyslogの設定は至ってシンプルなものとなります。そして出力可能なSyslogのメッセージも限定的なものとなりますので、この記事を通して送信可能なメッセージの内容を理解していただき有効的にお使いいただけますと嬉しく思います。
