Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Linux システムでの syslog サーバ設定の例

LinuxシステムでのSyslogサーバー設定例の概要

セキュアな Junos OS 環境では、イベントを監査し、ローカルの監査ファイルに保存する必要があります。記録されたイベントは、同時に外部の syslog サーバに送信されます。syslog サーバーは、デバイスからストリーミングされた syslog メッセージを受信します。syslogサーバには、ストリーミングされたsyslogメッセージを受信するように設定されたNETCONFサポート付きのSSHクライアントが必要です。

NDcPP2.2eログはイベントをキャプチャします。そのうちのいくつかを以下に示します。

  • コミットされた変更

  • ユーザーのログインとログアウト

  • SSHセッションの確立の失敗

  • SSHセッションの確立または終了

  • システム時刻の変更

次の手順は、StrongSwan設定を使用してLinuxプラットフォーム上でsyslogサーバを設定し、IPsecを提供する方法を示す例です。開始する前に、Linux ベースの syslog サーバーを IP アドレスとゲートウェイで構成し、StrongSwan IPsec クライアントを syslog サーバーにインストールして、Junos OS デバイスとの VPN 接続を開始する必要があります。

IPsec VPN 機能を提供するためにリモート syslog サーバーで StrongSwan 構成をセットアップするには、次の手順を実行します。

  1. Junos OS デバイスの構成に従って、 /etc/ipsec.secrets の設定を変更します。

  2. Junos OS デバイスの設定に従って、 /etc/ipsec.conf の設定を変更します。

    手記:

    ここでは、 conn home は Junos OS デバイスと Syslog サーバー上の Strongswan VPN クライアント間に確立する IPSec トンネル接続の名前を指定し、 ike=aes-sha256-modp2048 は接続に使用する IKE 暗号化および認証アルゴリズムと DH グループを指定し、esp=aes128-sha1 は接続に使用する ESP 暗号化および認証アルゴリズムを指定します。

  3. ipsec up <being-established-ipsec-tunnel-name> コマンドを使用して、IPsec サービスをアクティブにします。例えば

  4. IPsec StrongSwanサービスを再起動します。

  5. syslogで暗号化されたトラフィックを確認します。

  6. /var/log/syslogをsyslogサーバー上の/var/tmp/syslog_verifyファイルにコピーして、Junos OSデバイスからのsyslogを検証します。

ローカル ファイルへのイベント ログの構成

ローカル・ファイルへの監査情報の保管、および記録する詳細レベルを syslog ステートメントで構成できます。この例では、Audit_file という名前のファイルにログを格納 します

リモート サーバーへのイベント ログの構成

SSH経由でNETCONFを使用してイベントログメッセージをリモートシステムのイベントロギングサーバーに送信するイベントトレースモニターを設定して、監査情報の安全なリモートサーバーへのエクスポートを設定します。以下の手順は、SSH経由でNETCONFを使用して、安全な外部サーバーにシステムログメッセージを送信するために必要な設定を示しています。

リモートサーバーからの接続開始時のリモートサーバーへのイベントログの構成

次の手順では、TOE への SSH 接続がリモート システム ログ サーバーから開始されたときに、リモート サーバーへのイベント ログを設定する手順について説明します。

  1. リモート syslog サーバで RSA 公開キーを生成します。

    目的のパスフレーズを入力するように求められます。 syslog-monitor キーペアの保存場所が表示されます。

  2. TOE で、イベントをトレースする権限を持つ monitor という名前のクラスを作成します。
  3. クラスモニターと、リモート syslog サーバにあるキーペアファイルの syslog-monitor キーペアを使用する認証を使用して、syslog-mon という名前のユーザを作成します。
  4. SSHを使用してNETCONFをセットアップします。
  5. すべてのメッセージを /var/log/messages に記録するように syslog を設定します。
  6. リモート・システム・ログ・サーバーで、SSH エージェントを起動します。この起動は、syslog-monitor キーの処理を単純化するために必要です。
  7. リモート syslog サーバーで、SSH エージェントにsyslog-monitorキー ペアを追加します。

    目的のパスフレーズを入力するように求められます。手順 1 で使用したのと同じパスフレーズを入力します。

  8. external_syslog_serverセッションにログインした後、デバイスへのトンネルを確立し、NETCONFを起動します。
  9. NETCONF の確立後、システム ログ イベントのメッセージ ストリームを設定します。この RPC により、NETCONF サービスは、確立された SSH 接続を介してメッセージの送信を開始します。
  10. syslog メッセージの例を以下に示します。syslog サーバで受信した TOE の管理者アクションに対して生成されたイベント ログを監視します。監査サーバーと TOE の間を通過するトラフィックを調べ、この転送中にこれらのデータが表示されないこと、および監査サーバーによって正常に受信されていることを確認します。ローカルイベントとsyslogサーバーに記録されたリモートイベントの間でログを照合し、テスト中に監査サーバーで使用される特定のソフトウェア(名前、バージョンなど)を記録します。

以下の出力は、syslog サーバのテスト ログ結果を示しています。

次の出力は、TOE で生成され、syslog サーバで受信されたイベント ログを示しています。

次の出力は、受信したローカルsyslogとリモートsyslogが類似していることを示しています。

デバイスが使用する接続が意図せずに切断された場合、セキュリティー管理者は接続を再始動する必要があり、そうしないとデバイスは監査サーバーとの再接続を試みます。