FortiGateのログ取得方法について

FortiGateは、Fortinet社が提供する次世代ファイアウォールの一種で、ネットワークセキュリティを向上させるためにさまざまな機能を提供しています。

FortiGateのログを取得することは、トラブルシューティングやセキュリティ監査のために非常に重要です。

ここでは、FortiGateからログを取得する一般的な方法について詳しく説明します。

FortiGateのログの種類

FortiGateは複数のログを生成します。

それぞれ異なる目的で利用できるため、取得するログの種類を理解しておくことが重要です。

主なログの種類は以下の通りです。

• イベントログ (Event Log): システムやネットワークデバイスで発生したイベント（設定の変更、インターフェースの変更など）を記録します。
• トラフィックログ (Traffic Log): トラフィックの許可、拒否、トンネリング情報など、ネットワークトラフィックに関するデータを記録します。
• セキュリティログ (Security Log): ウイルス、インストールされた攻撃、IPS（Intrusion Prevention System）、Webフィルタリング、アプリケーション制御に関する情報を記録します。
• システムログ (System Log): システム自体の動作、リソース利用状況、リブートやエラーなどに関する情報を記録します。

ログの保存場所

FortiGateでは、複数の場所にログを保存・転送することができます。

• ローカルディスク: ローカルディスクにログを保存しますが、ディスク容量に制限があるため、特に小型のFortiGateデバイスでは容量の制約に注意が必要です。
• Syslogサーバー: 外部のSyslogサーバーにログを転送して保存する方法です。大量のログを保存する場合や、長期間にわたってログを保持する場合に適しています。
• FortiAnalyzer: Fortinet社が提供する専用のログ解析ツールで、詳細な分析を行うことができます。多くのFortiGateデバイスのログを中央で管理・解析する際に使用されます。
• クラウドサービス: FortiCloudなどのクラウドベースのサービスにログを保存することも可能です。

FortiGateからログを取得する方法

Web GUIを使ったログ取得

FortiGateのWeb GUI（グラフィカルユーザーインターフェース）を使用して、ログを簡単に確認・取得することができます。

1. ログイン: FortiGateの管理者権限でWeb GUIにログインします。
2. ログの表示: 「ログ & レポート」タブに移動し、取得したいログの種類を選択します。たとえば、トラフィックログを確認する場合は、「トラフィックログ」オプションを選択します。
3. フィルタリング: 時間、トラフィックの種類、IPアドレスなどのフィルターを使用して、特定のログを探すことができます。
4. エクスポート: ログ画面の右上にある「エクスポート」ボタンをクリックして、CSVまたはその他のフォーマットでログをダウンロードします。

CLIを使ったログ取得

FortiGateのコマンドラインインターフェース（CLI）を使用してログを取得することもできます。

以下は、CLIを使用してログを取得する手順です。

1. CLIにアクセス: SSHなどを使ってFortiGateのCLIにアクセスします。
2. ログの表示コマンド: ログを表示するためには、次のコマンドを使用します。

• トラフィックログを表示する場合:
  shell execute log display
• 特定の時間帯やフィルタを使用してログを表示する場合:
  shell execute log filter field <フィールド名> value <フィルタ値>
  たとえば、特定のIPアドレスのトラフィックログをフィルタリングする場合、以下のようにします:
  shell execute log filter field srcip value 192.168.1.1
• すべてのフィルタをリセットするには:
  shell execute log filter clear

1. ログのエクスポート: ログをファイルとしてエクスポートしたい場合は、以下のコマンドを使用して、USBドライブやFTPサーバーなどにログを転送することができます。

• USBドライブにエクスポート:
  shell execute log export <filename> usb
• FTPサーバーにエクスポート:
  shell execute log export <filename> ftp://<ftp-server-ip>/path/

Syslogサーバーを使ったログ取得

外部のSyslogサーバーにログを送信する設定も非常に便利です。

以下の手順で設定できます。

1. Syslogサーバーの設定: FortiGateの「Log & Report」設定で、外部Syslogサーバーを設定します。「Syslog」設定に移動し、サーバーのIPアドレス、ポート番号（通常は514）、および使用するプロトコル（UDP/TCP）を指定します。
2. ログの転送設定: ログを転送したいイベント（トラフィック、システム、セキュリティなど）を選択して有効にします。
3. Syslogサーバーでのログ確認: 設定が完了すると、SyslogサーバーにFortiGateからのログが送信されるようになります。

FortiAnalyzerを使ったログ管理

FortiAnalyzerを使って複数のFortiGateデバイスのログを一元的に管理し、詳細な解析を行うことができます。

1. FortiGateでのFortiAnalyzer接続設定: FortiGateの「Log & Report」設定に移動し、FortiAnalyzerサーバーのIPアドレスを入力して接続を確立します。
2. FortiAnalyzerでのログ解析: FortiAnalyzerでログを解析し、インシデントの詳細を掘り下げて調査することができます。レポートの作成やアラートの設定も可能です。

ログの保管および監査のベストプラクティス

• ログの保存期間: 監査要件に応じてログをどれくらいの期間保存するかを決定します。一般的には、規模や業界基準に応じて、6ヶ月から1年の保存が推奨されます。
• ログのバックアップ: ログデータを定期的にバックアップして、消失リスクを減らすことが重要です。
• アラート設定: 重要なイベントが発生した場合、リアルタイムで通知を受け取るようにアラートを設定します。

まとめ

FortiGateのログ取得は、Web GUI、CLI、Syslogサーバー、FortiAnalyzerなど、複数の方法で行うことができます。

目的や環境に応じて最適な方法を選択し、定期的なログの監視と保存を行うことで、ネットワークセキュリティを高めることが可能です。

以上、FortiGateのログ取得方法についてでした。

最後までお読みいただき、ありがとうございました。