designetwork

ネットワークを軸としたIT技術メモ

PapertrailでCiscoASAのFWログ(syslog)を管理する

クラウドログ管理サービスのPapertrail。最低限の機能は無料で利用できるため、自宅ラボのFWログなどを管理するには最適だ。また、syslogサーバの構築が不要となるため、検証環境などでも効果が高い。

自宅ラボとして使用しているCisco ASAのFWログをPapertrailに出力する。

使用機器

Cisco ASA 5505 : ASA 9.3(2) 追加ライセンスなし

Papertrailの設定

Papertrailではsyslogを受信するための特別な設定は不要だ。ユーザ登録するだけで使用開始できる。

Papertrail - cloud-hosted log management, live in seconds

ログイン後にこちらのAdd your first systemをクリックする。

このようにsyslogの送信先が表示される。私の場合はlogs5.papertrailapp.com:18xxxという宛先が指定された。(セキュリティ保護のため伏せ字にさせていただきます)

Cisco ASA FWのsyslog設定

先の画像の通り、Linux, WindowsなどのOSについては手順・使い方が記載されている。この中にCiscoは含まれていないため、Not shown here?から検索する。こちらに記載の通り、各種ネットワーク機器のログ設定手順が記載されている。

説明の内容はいたってシンプルで、FWログ(syslog)送信先の設定手順が記載されている。

logging enable
logging host outside <host>.papertrailapp.com udp/11111
logging trap informational
logging severity 5

なお、logging trap notificationのように大量ログを送信する設定は非推奨となっている。ログの検証後はinformationalなどに変更することを推奨されている。

rate-limit-loggingをサポートされている場合には使用が推奨されている。

logging rate-limit 10 30 level debugging

自宅ASAへの設定追加

上記を参考に自宅ASA(FW)へ設定を追加した。基本的に説明の通りsyslog設定を追加すればよい。私の環境ではホスト名で登録しようとするとエラーになってしまった。

ASA5505(config)# logging host outside ?

configure mode commands/options:
  Hostname or A.B.C.D  Specify the IP address or name of the syslog server.
ASA5505(config)# logging host outside logs5.papertrailapp.com ?
ERROR: % Unrecognized command

そのため、DNSの名前解決先IPアドレスを確認してIPアドレスで指定する。なお、プロトコルudpで指定してもrunning-configではプロトコル番号17で表示される。

logging host outside 169.46.82.181 17/18xxx

ログ確認

Dashboardに新規ホストが表示されている。このIPアドレスをクリックするとログが確認できる。

EventにCisco ASAのFWログ(syslog)が表示されている。ログの検索もできる。

使用できる容量

SettingsからPapertrailを無料で利用できる残容量を確認できる。なお、ログは6日分を検索でき、過去7日分をアーカイブで取得することができる。

まとめ - PapertailでCiscoASAのFWログ(syslog)を管理する

PapertrailでCisco ASAのFWログ(syslog)の管理を始めた。Papertrailは無料で使用開始できるため、自宅ラボ・検証環境で有用だと考えられる。