アラート応答の使用
ライセンス:任意
外部アラートを設定する際の最初の手順は、アラート応答を作成することです。アラート応答とは、アラートの送信先とする予定の外部システムと ASA FirePOWER モジュールが連携できるようにする一連の設定です。Syslog への書き込みによって、SNMP トラップを使用してアラートを送信するアラート応答を作成することができます。
アラートで受け取る情報は、アラートをトリガーしたイベントのタイプによって異なります。
作成したアラート応答は自動的に有効になります。有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。
アラート応答は [Alerts] ページ([ASA FirePOWER Configuration] > [Policies] > [Actions Alerts])で管理します。
各アラート応答の横のスライダは有効かどうかを示します。有効なアラート応答のみがアラートを生成できます。このページは、たとえば、アクセス コントロール ルールの接続をログに記録するための設定でアラート応答が使用されているかどうかも示します。該当する列見出しをクリックして、名前、タイプ、使用中ステータス、および有効または無効のステータスでアラート応答をソートできます。列見出しを再度クリックすると、順序が反転します。SNMP アラート応答の作成
ライセンス:任意
SNMPv1、SNMPv2、または SNMPv3 を使用して SNMP アラート応答を作成できます。
(注) |
SNMP で 64 ビット値を監視する場合は、SNMPv2 または SNMPv3 を使用する必要があります。SNMPv1 は 64 ビットのモニタリングをサポートしていません。 |
SNMP アラート応答を作成する方法:
手順
ステップ 1 |
[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Actions Alerts] の順に選択します。 [Alerts] ページが表示されます。 |
ステップ 2 |
[Create Alert] ドロップダウン メニューから、[Create SNMP Alert] を選択します。 [Create SNMP Alert Configuration] ポップアップ ウィンドウが表示されます。 |
ステップ 3 |
[Name] フィールドに、SNMP 応答を識別するために使用する名前を入力します。 |
ステップ 4 |
[Trap Server] フィールドに、英数字を使用して SNMP トラップ サーバのホスト名または IP アドレスを入力します。 このフィールドに無効な IPv4 アドレス(192.169.1.456 など)を入力した場合でも、システムからの警告がないことに注意してください。無効なアドレスはホスト名として扱われます。 |
ステップ 5 |
[Version] ドロップダウン リストから、使用する SNMP バージョンを選択します。 SNMP v3 がデフォルトです。SNMP v1 または SNMP v2 を選択すると、異なるオプションが表示されます。 |
ステップ 6 |
どのバージョンの SNMP を選択したかに応じて、以下のようにします。
|
ステップ 7 |
[Authentication Protocol] ドロップダウン リストから、認証に使用するプロトコルを選択します。 |
ステップ 8 |
[Authentication Password] フィールドに、SNMP サーバの認証に必要なパスワードを入力します。 |
ステップ 9 |
[Privacy Protocol] リストから、[None] を選択してプライバシー プロトコルを使用しないか、または [DES] を選択してプライバシー プロトコルにデータ暗号規格を使用します。 |
ステップ 10 |
[Privacy Password] フィールドに、SNMP サーバに必要なプライバシー パスワードを入力します。 |
ステップ 11 |
[Engine ID] フィールドに、SNMP エンジンの識別子を偶数桁の 16 進表記で入力します。 SNMPv3 を使用する場合、メッセージの符号化には Engine ID 値が使用されます。SNMP サーバでは、メッセージを復号化するためにこの値が必要です。 ASA FirePOWER モジュールの IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、ASA FirePOWER モジュールの IP アドレスが 10.1.1.77 の場合は、0a01014D0 を使用します。 |
ステップ 12 |
[Store ASA FirePOWER Changes] をクリックします。 アラート応答が保存され、自動的に有効になります。 |
Syslog アラート応答の作成
ライセンス:任意
syslog アラート応答を設定する際、syslog サーバーで確実に正しく処理されるようにするために、syslog メッセージに関連付けられる重大度とファシリティを指定できます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。ファシリティと重大度は syslog に示される実際のメッセージには表示されませんが、syslog メッセージを受信するシステムに対して、メッセージの分類方法を指示するために使用されます。
ヒント |
syslog の機能とその設定方法の詳細については、ご使用のシステムのマニュアルを参照してください。UNIX システムでは、syslog および syslog.conf の man ページで概念情報および設定手順が説明されています。 |
syslog アラート応答の作成時に任意のタイプのファシリティを選択できますが、syslog サーバに基づいて意味のあるものを選択する必要があります。すべての syslog サーバがすべてのファシリティをサポートしているわけではありません。UNIX syslog サーバの場合、syslog.conf ファイルで、どのファシリティがサーバ上のどのログ ファイルに保存されるかを示す必要があります。
次の表に、選択可能な syslog ファシリティを示します。
ファシリティ |
説明 |
---|---|
ALERT |
アラート メッセージ。 |
AUDIT |
監査サブシステムによって生成されるメッセージ。 |
AUTH |
セキュリティと承認に関連するメッセージ。 |
AUTHPRIV |
セキュリティと承認に関連する制限付きアクセス メッセージ。多くのシステムで、これらのメッセージはセキュア ファイルに転送されます。 |
CLOCK |
クロック デーモンによって生成されるメッセージ。 Windows オペレーティング システムを実行している syslog サーバは CLOCK ファシリティを使用することに注意してください。 |
CRON |
クロック デーモンによって生成されるメッセージ。 Linux オペレーティング システムを実行している syslog サーバは CRON ファシリティを使用することに注意してください。 |
DAEMON |
システム デーモンによって生成されるメッセージ。 |
FTP |
FTP デーモンによって生成されるメッセージ。 |
KERN |
カーネルによって生成されるメッセージ。多くのシステムでは、これらのメッセージは表示されるときにコンソールに出力されます。 |
LOCAL0-LOCAL7 |
内部プロセスによって生成されるメッセージ。 |
LPR |
印刷サブシステムによって生成されるメッセージ。 |
|
メール システムで生成されるメッセージ。 |
NEWS |
ネットワーク ニュース サブシステムによって生成されるメッセージ。 |
NTP |
NTP デーモンによって生成されるメッセージ。 |
SYSLOG |
syslog デーモンによって生成されるメッセージ。 |
USER |
ユーザー レベルのプロセスによって生成されるメッセージ。 |
UUCP |
UUCP サブシステムによって生成されるメッセージ。 |
次の表に、選択可能な標準の syslog 重大度レベルを示します。
レベル |
説明 |
---|---|
ALERT |
ただちに修正する必要がある状態。 |
CRIT |
クリティカルな状態。 |
DEBUG |
デバッグ情報を含むメッセージ。 |
EMERG |
すべてのユーザに配信されるパニック状態。 |
ERR |
エラー状態。 |
INFO |
情報メッセージです。 |
NOTICE |
エラー状態ではないが、注意が必要な状態。 |
WARNING |
警告メッセージ。 |
syslog アラートの送信を開始する前に、syslog サーバがリモート メッセージを受信できることを確認してください。
syslog アラートを作成する方法:
手順
ステップ 1 |
[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Actions Alerts] の順に選択します。 [Alerts] ページが表示されます。[Create Alert] ドロップダウン メニューから、[Create Syslog Alert] を選択します。 [Create Syslog Alert Configuration] ポップアップ ウィンドウが表示されます。 |
ステップ 2 |
[Name] フィールドに、保存される応答を識別するために使用する名前を入力します。 |
ステップ 3 |
[Host] フィールドに、syslog サーバのホスト名または IP アドレスを入力します。 このフィールドに無効な IPv4 アドレス(192.168.1.456 など)を入力した場合でも、システムからの警告がないことに注意してください。無効なアドレスはホスト名として扱われます。 |
ステップ 4 |
[Port] フィールドに、サーバが syslog メッセージに使用するポートを入力します。 この値はデフォルトで 514 です。 |
ステップ 5 |
[Facility] リストから、ファシリティを選択します。 使用可能なファシリティの一覧については、表「使用可能な syslog ファシリティ」を参照してください。 |
ステップ 6 |
[Severity] リストから、重大度を選択します。 使用可能な重大度の一覧については、表「Syslog の重大度レベル」を参照してください。 |
ステップ 7 |
[Tag] フィールドに、syslog メッセージとともに表示するタグ名を入力します。 タグ名には英数字のみを使用します。スペースまたは下線は使用できません。 たとえば、syslog に送信されるすべてのメッセージの前に From MC を付ける場合は、フィールドに「From MC」と入力します。 |
ステップ 8 |
[Store ASA FirePOWER Changes] をクリックします。 アラート応答が保存され、自動的に有効になります。 |
アラート応答の変更
ライセンス:任意
ほとんどのタイプのアラートについて、アラート応答が有効で使用中の場合、アラート応答への変更はすぐに反映されます。ただし、接続イベントをログに記録するアクセス コントロール ルールで使用されるアラート応答の場合、アクセス コントロール ポリシーを再適用するまで変更は有効になりません。
アラート応答を編集する方法:
手順
ステップ 1 |
[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Actions Alerts] の順に選択します。 [Alerts] ページが表示されます。 |
ステップ 2 |
編集するアラート応答の横にある編集アイコンをクリックします。 そのアラート応答の設定ポップアップ ウィンドウが表示されます。 |
ステップ 3 |
必要に応じて変更を加えます。 |
ステップ 4 |
[Store ASA FirePOWER Changes] をクリックします。 アラート応答が保存されます。 |
アラート応答の削除
ライセンス:任意
使用中でない任意のアラート応答を削除できます。
アラート応答を削除する方法:
手順
ステップ 1 |
[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Actions Alerts] の順に選択します。 [Alerts] ページが表示されます。 |
ステップ 2 |
削除するアラート応答の横にある削除アイコンをクリックします。 |
ステップ 3 |
アラート応答を削除することを確認します。 アラート応答が削除されます。 |
アラート応答の有効化と無効化
ライセンス:任意
有効なアラート応答のみがアラートを生成できます。アラートの生成を停止するには、設定を削除する代わりに、一時的にアラート応答を無効にすることができます。無効化するときにアラートが使用中の場合は、無効にしても使用中とみなされることに注意してください。
アラート応答を有効または無効にする方法:
手順
ステップ 1 |
[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Actions Alerts] の順に選択します。 [Alerts] ページが表示されます。 |
ステップ 2 |
有効または無効にするアラート応答の横にある [enable/disable] スライダをクリックします。 アラート応答が有効だった場合は、無効になります。無効だった場合は、有効になります。 |