FortiGateのログ管理は、セキュリティ監視やトラブルシューティングに不可欠です。適切なログ設定により、不正アクセスの検知や通信障害の原因特定が迅速に行えます。本記事では、FortiGateのログ種類から設定方法、実務での活用法まで詳しく解説します。
ある日、特定のWebサービスにアクセスできないという報告を受けました。トラフィックログを確認すると、UTMのWebフィルタリングで意図せずブロックされていたことが判明。ログがなければ原因特定に数時間かかっていたでしょう。
また、FortiAnalyzer導入後はログの可視化が進み、定期的なセキュリティレビューが効率化されました。ログ管理の重要性を痛感した経験です。
FortiGateは複数種類のログを出力し、それぞれ異なる目的で使用されます。主要なログタイプを理解することが、効果的なログ管理の第一歩です。
主要なログタイプと用途
| ログタイプ | 記録内容 | 主な用途 |
|---|---|---|
| トラフィックログ | ファイアウォールを通過するセッション情報(送信元/宛先IP、ポート、バイト数等) | 通信量分析、通信許可/拒否の確認 |
| イベントログ | システムイベント、管理者操作、認証成功/失敗等 | 設定変更の追跡、不正アクセス検知 |
| UTMログ | ウイルス検知、Webフィルタ、IPS、アプリケーション制御等 | セキュリティ脅威の分析 |
| VPNログ | IPsec/SSL-VPN接続情報、トンネル確立/切断 | VPN接続状況の監視 |
FortiGateのログには重要度を示すレベルがあります。Emergency(最高)からDebug(最低)まで8段階あり、通常運用ではWarning以上を記録することが推奨されます。Debug レベルはトラブルシューティング時のみ有効化し、大量のログ出力によるディスク容量圧迫を防ぎます。
FortiGate本体にログを保存するローカルログ設定は、小規模環境や一時的なログ取得に有効です。ただし、ディスク容量に限りがあるため、適切な管理が必要です。
Log & Report > Log Settings でログの保存先と保存期間を確認します。Memory(揮発性)とDisk(永続的)の違いに注意しましょう。
CLIでログディスクの使用状況を確認します。80%を超えたら古いログから自動削除されるため、定期的な監視が重要です。
# ログディスク使用状況の確認
diagnose sys logdisk usage
# ログファイル一覧表示
execute log list
# 特定ログの削除(注意して実行)
execute log delete trafficローカルディスクは容量が限られているため、トラフィックの多い環境では数時間~数日でログが上書きされます。長期保存が必要な場合は、FortiAnalyzerまたは外部Syslogサーバーへの転送を検討してください。
FortiAnalyzerは、FortiGateのログを集中管理・分析するための専用アプライアンスです。複数台のFortiGateを一元管理し、高度なレポート機能を提供します。
FortiAnalyzerで Device Manager > Add Device からFortiGateを追加します。IPアドレスとシリアル番号を指定します。
Log & Report > Log Settings でFortiAnalyzerのIPアドレスを設定し、送信するログタイプを選択します。
# FortiAnalyzer設定(CLI)
config log fortianalyzer setting
set status enable
set server "192.168.1.100"
set reliable enable
set upload-option realtime
end
# 接続確認
diagnose test application fazd 5FortiAnalyzer側でログが受信されているか確認します。Log View で最新のログが表示されれば成功です。
図1: FortiAnalyzer連携によるログ管理効率の向上
既存のSIEM(Security Information and Event Management)システムやログ管理ソリューションと統合する場合、Syslog転送が有効です。標準的なSyslogプロトコルを使用するため、汎用性が高い方法です。
# Syslogサーバー設定
config log syslogd setting
set status enable
set server "10.0.1.50"
set port 514
set facility local7
set source-ip 192.168.1.1
set format default
end
# トラフィックログをSyslogに送信
config log syslogd filter
set severity information
set traffic-log enable
endSyslog転送時の主要設定項目
| 設定項目 | 説明 | 推奨値 |
|---|---|---|
| mode | 送信プロトコル(udp/tcp/reliable) | reliable(TCP) |
| facility | Syslog ファシリティ値(local0~local7) | local7 |
| format | ログフォーマット(default/csv/cef) | cef(SIEM連携時) |
| enc-algorithm | 暗号化アルゴリズム(高セキュリティ環境) | high(TLS推奨) |
障害調査やセキュリティ監査では、膨大なログから必要な情報を迅速に抽出する能力が求められます。FortiGateはGUIとCLIの両方で強力なログ検索機能を提供しています。
Log & Report > Forward Traffic から、送信元IP、宛先IP、ポート番号、アクション(許可/拒否)などで絞り込みが可能です。時間範囲を指定し、特定の期間のログを効率的に確認できます。Custom Filterを作成すれば、頻繁に使用する検索条件を保存できます。
# 特定IPアドレスからのトラフィックログを表示
execute log filter field srcip 192.168.10.50
execute log display
# 拒否されたセッションのみ表示
execute log filter field action deny
execute log display
# 特定時間範囲のログ(開始時刻指定)
execute log filter start-line 100
execute log filter view-lines 50
execute log display
# フィルタのクリア
execute log filter reset図2: ログ調査における検索手法の効果
実際の運用では、ログを効果的に活用することで、セキュリティインシデントの早期発見や通信障害の迅速な解決が可能になります。代表的な活用例を紹介します。
イベントログで認証失敗(logdesc=”Authentication failed”)が短時間に多発していないか確認。管理画面へのブルートフォース攻撃の兆候を発見します。
攻撃元IPアドレスを特定し、トラフィックログで他の不審な通信がないか横展開調査を実施します。
IPアドレスブロック後、ログで攻撃が停止したことを確認。ポリシーログで拒否されていることを検証します。
「特定のサーバーに接続できない」という報告を受けた場合の調査手順です。トラフィックログで該当する通信を検索し、action=denyとなっている場合はポリシー設定を確認します。action=acceptでもセッションが確立しない場合は、ルーティングやNAT設定をログから検証します。
# 通信障害調査の実例
# クライアント192.168.10.20からサーバー10.0.5.100への通信を調査
execute log filter field srcip 192.168.10.20
execute log filter field dstip 10.0.5.100
execute log display
# ログ出力例の確認ポイント
# - action: accept/deny(許可/拒否)
# - policyid: どのポリシーで処理されたか
# - sentbyte/rcvdbyte: データ転送量(0の場合は接続失敗)
# - msg: エラーメッセージFortiGateのログ管理は、セキュリティ運用とトラブルシューティングの要です。ローカルログは手軽ですが容量に限界があり、本格運用ではFortiAnalyzerやSyslog転送が推奨されます。ログの種類と用途を理解し、適切な検索手法を身につけることで、インシデント対応の時間を大幅に短縮できます。
- トラフィック/イベント/UTM/VPNログを目的に応じて活用する
- FortiAnalyzer連携で長期保存と高度な分析を実現する
- ログ検索スキルを磨き、障害調査を迅速化する
