メインコンテンツまでスキップ
Sumo Logic Japanese

Cisco Meraki アプリケーションのログの収集

このページでは、Cisco Meraki アプリケーションのログ収集を設定する手順を説明し、ログ ファイルとクエリの例を示します。

このページでは、Cisco Meraki アプリケーションのログ収集を設定する手順を説明し、ログ ファイルとクエリの例を示します。

Cisco Meraki のログ収集の設定

このステップでは、Installed Collector と、Cisco Meraki からログやイベントを受信する Syslog サーバとして機能する Syslog Source を設定します。

  1. Installed Collector を設定します。

  2. Syslog Source を Installed Collector に追加します。

    1. Name (名前): (必須) 名前は必須です。

    2. Description (説明): 省略可能。

    3. Protocol (プロトコル): UDP または TCP。  Syslog 転送用に Cisco Meraki で設定したプロトコルを選択します。

    4. Port (ポート): ポート番号。Syslog 転送用に Cisco Meraki で設定したポートを選択します。

    5. Source Category: (必須) このデータ タイプの現実的な Source Category の例を提供します。例: prod/ciscomeraki。詳細については、「ベスト プラクティス」を参照してください。

  3. [Save (保存)] をクリックします。 

Cisco Meraki でのログ転送の設定

Cisco Meraki プラットフォームで、[Network-wide (ネットワーク全体)] > [General (一般)] > [Reporting (レポート)] > [Syslog Servers (syslog サーバ)] で syslog イベントを設定できます。syslog IDS/IPS イベント転送の設定方法の例を以下に示します。

syslog IDS/IPS イベントの転送を設定するには、次の手順を実行します。

  1. Cisco Meraki プラットフォームで、[Network-wide (ネットワーク全体)] > [General (一般)] > [Reporting (レポート)] に移動します。
  2. IDS アラート syslog ロールを追加します。

Cisco Meraki からのログ転送の設定に関する詳細は、以下の Cisco Meraki ドキュメントを参照してください。

ログ メッセージのサンプル

security_event ログ サンプル
<134>1 1563249630.774247467 remote_DC1_appliance security_event ids_alerted signature=1:41944:2 priority=1 timestamp=TIMESTAMPEPOCH.647461
dhost=74:86:7A:D9:D7:AA direction=ingress protocol=tcp/ip src=23.6.199.123:80 dst=10.1.10.51:56938 message: BROWSER-IE 
Microsoft Edge scripting engine security bypass css attempt

2019-07-16 04:00:30 Local0.Info 172.40.20.177 1 1561036264.565291108 australia_sydney security_event security_filtering_file_scanned 
url=http://tlu123.dl123.delivery.mp.microsoft.com/filestreamingservice/files/36ec4eb7-46dd-4aeb-990e-b6d32f7ed567?P1=1561036860&amp;
P2=402&amp;P3=2&amp;P4=Zj3qRDR5CbzfWlP8BuYg%2bUlTon0XE774ExEEquiawstLAJ2%2bQm3OoWLcwz3HBt8qp3r3buVRVoT5BQcUCcNlXw%3d%3d src=172.16.10.98:64160 
dst=200.188.210.42:180 mac=20:1C:BC:B2:0F:20 name='' sha256=093e4fc218b27e58e2fede7b8cb044d48d66995ae785bbc186a9df5ae08ca4f7 
disposition=malicious action=block
urls ログ サンプル
<134>1 1563249910.949155659 AP_firstfloor urls src=10.1.10.113:54877 dst=10.1.10.209:1400 mac=13:0C:AC:B2:0F:11 
agent='Spotify/110600113 OSX/0 (MacBookAir7,2)' request: GET http://10.1.10.209:1400/spotifyzc?action=getInfo

<134>1 1563261310.844330465 india_headoffice1 urls src=10.1.10.133:49305 dst=172.200.0.42:443 mac=13:0C:AC:B2:0F:11 
request: UNKNOWN https://appswaldo-pa.clients6.google.com/...
flows ログ サンプル
<134>1 1563246850.048798929 Head_office_Appliance flows allow src=192.168.254.135 dst=192.168.254.7 mac=E8:E8:B7:35:4A:C2 
protocol=udp sport=33787 dport=35

<134>1 1563262452.817053535 Reception_Bad_ flows deny src=10.20.41.19 dst=192.168.0.219 mac=19:EC:C5:7A:B2:2D protocol=tcp 
sport=61822 dport=8080
air_marshal ログ サンプル
<134>1 1563262058.692773343 AP_secondfloor airmarshal_events type=ssid_spoofing_detected ssid='Sumo-Guest' vap='10' 
bssid='9A:69:66:99:66:9A' src='64:92:49:26:99:64' dst='00:00:48:04:00:1F' channel='36' rssi='32' fc_type='0' fc_subtype='8'

<134>1 1563260410.364008273 AP_firstfloor airmarshal_events type=rogue_ssid_detected ssid='Library' bssid='B2:60:F1:71:81:FD' 
src='B2:60:F1:71:81:FD' dst='FF:FF:FF:FF:FF:FF' wired_mac='90:60:FF:71:81:FD' vlan_id='0' channel='2' rssi='55' fc_type='0' 
fc_subtype='8'
event ログ サンプル
2019-07-16 05:00:10 Local0.Info 172.33.222.111 1 1563253210.652261509 Head_office_Appliance events type=vpn_registry_change 
vpn_type='site-to-site' connectivity='true'

2019-07-16 05:00:10 Local0.Info 172.33.222.111 1 1563253210.025977456 main_branch_appliance events type=vpn_connectivity_change 
vpn_type='site-to-site' peer_contact='108.176.1.238:57357' peer_ident='449bc8f664862e11df74de400df333df' connectivity='false'

2019-07-16 07:27:37 Local0.Info 172.33.222.111 1 1563262057.262021278 HQ_Switch1 events Power supply Q2AS-95FW-7776 was inserted 
into slot 1

クエリのサンプル 

次のログ クエリは、[Cisco Meraki - Overview (Cisco Meraki - 概要)] ダッシュボードの [High Severity Threats (重大度の高い脅威)] パネルから引用されたものです。

_sourceCategory=*meraki* "security_event"
| parse regex " (?<name>\S*?)\s(?<msg_type>urls|flows|events|ids-alerts|security_event|airmarshal_events?)\s+"
| parse "security_event * signature=* priority=* timestamp=* dhost=* direction=* protocol=* src=*:* dst=*:* message: *" as type, signature, priority, timestamp, dhost, direction, protocol, src_ip, src_port, dest_ip, dest_port, msg nodrop
| parse "security_event * name='*' sha256=* disposition=* action=*" as type, name2, sha256, disposition, action nodrop
| parse "security_event * url=* src=*:* dst=*:* mac=* name='*' sha256=* disposition=* action=*" as type, url, src_ip, src_port, dest_ip, dest_port, mac, name2, sha256, disposition, action nodrop
| where priority="1" and msg_type="security_event"
| if (priority="1", "High", if (priority="2", "medium", if (priority="3", "Low", if (priority="4", "Very Low", priority)))) as priority
| count as threatCount
  • この記事は役に立ちましたか?