ログ収集ツールとして人気の高いFluentd(td-agnet)でCisco ASAのFWログを可視化する。Fuentdで受け取ったログはElasticSearchでインデックスしKibanaで可視化する。
Fluentdプラグインと設定
Fluentdのプラグインで既に作成していた方がいたので使ってみる。
https://github.com/rogeriobastos/fluent-plugin-cisco-asa-parsergithub.com
このFluentdプラグインは残念ながらtd-agent-gem install fluent-plugin-cisco-asa-parser
ではインストールできない。そのため、/etc/td-agent/plugin/
配下にparser_cisco_asa.rbを配置する。
私の環境では汎用性を高めるためにforestプラグインを使用している。
td-agent-gem install fluent-plugin-forest
ログの読み込み設定は以下の通り。転送設定は適宜。
<source> @type tail path /var/log/ASA5505.log pos_file /var/log/ASA5505.log.pos tag net.asa5505.CentOS-01 format cisco_asa </source>
Cisco ASAログ出力設定
Cisco ASAのログ出力設定は以下の通り。(抜粋)
使用機器はCisco ASA5505 OS:9.2(3)。ASA5505に特化した設定ではなくASAシリーズ全般で同様設定になる。
logging enable logging timestamp logging trap informational logging host management 192.168.1.60
ログ収集できず...
上記のプラグインでは、私のASAでのログフォーマットには合致せず(pattern not match)、ログ収集されなかった。
そのため、プラグインを自分でメンテしていこうと思う。
自作Cisco ASA Parser
こちらで継続メンテしていく。作成中のため商用利用はしないでください。既存で同様プラグインありましたら教えてください。
現状でもこのように各種情報を拾える。Elasticsearch + KibanaのDiscover画面の抜粋。