クラウドログ管理サービスのPapertrail。最低限の機能は無料で利用できるため、自宅ラボのFWログなどを管理するには最適だ。また、syslogサーバの構築が不要となるため、検証環境などでも効果が高い。
自宅ラボとして使用しているCisco ASAのFWログをPapertrailに出力する。
使用機器
Cisco ASA 5505 : ASA 9.3(2) 追加ライセンスなし
Papertrailの設定
Papertrailではsyslogを受信するための特別な設定は不要だ。ユーザ登録するだけで使用開始できる。
Papertrail - cloud-hosted log management, live in seconds
ログイン後にこちらのAdd your first systemをクリックする。
このようにsyslogの送信先が表示される。私の場合はlogs5.papertrailapp.com:18xxxという宛先が指定された。(セキュリティ保護のため伏せ字にさせていただきます)
Cisco ASA FWのsyslog設定
先の画像の通り、Linux, WindowsなどのOSについては手順・使い方が記載されている。この中にCiscoは含まれていないため、Not shown here?から検索する。こちらに記載の通り、各種ネットワーク機器のログ設定手順が記載されている。
説明の内容はいたってシンプルで、FWログ(syslog)送信先の設定手順が記載されている。
logging enable logging host outside <host>.papertrailapp.com udp/11111 logging trap informational logging severity 5
なお、logging trap notification
のように大量ログを送信する設定は非推奨となっている。ログの検証後はinformationalなどに変更することを推奨されている。
rate-limit-loggingをサポートされている場合には使用が推奨されている。
logging rate-limit 10 30 level debugging
自宅ASAへの設定追加
上記を参考に自宅ASA(FW)へ設定を追加した。基本的に説明の通りsyslog設定を追加すればよい。私の環境ではホスト名で登録しようとするとエラーになってしまった。
ASA5505(config)# logging host outside ? configure mode commands/options: Hostname or A.B.C.D Specify the IP address or name of the syslog server. ASA5505(config)# logging host outside logs5.papertrailapp.com ? ERROR: % Unrecognized command
そのため、DNSの名前解決先IPアドレスを確認してIPアドレスで指定する。なお、プロトコルはudpで指定してもrunning-configではプロトコル番号17で表示される。
logging host outside 169.46.82.181 17/18xxx
ログ確認
Dashboardに新規ホストが表示されている。このIPアドレスをクリックするとログが確認できる。
EventにCisco ASAのFWログ(syslog)が表示されている。ログの検索もできる。
使用できる容量
SettingsからPapertrailを無料で利用できる残容量を確認できる。なお、ログは6日分を検索でき、過去7日分をアーカイブで取得することができる。
まとめ - PapertailでCiscoASAのFWログ(syslog)を管理する
PapertrailでCisco ASAのFWログ(syslog)の管理を始めた。Papertrailは無料で使用開始できるため、自宅ラボ・検証環境で有用だと考えられる。