Palo Alto トラフィックログを Syslog サーバへ転送するための設定方法

2025年3月20日

動作確認環境

PA-200
- Version 8.1.19

トラフィックログを Syslogサーバへ転送する

送信元や宛先などの情報を含むトラフィックログを外部の Syslog サーバに転送することは良く行われます。以下ではこのための設定方法を記載します。

トラフィックログ転送の設定手順

Syslog サーバプロファイルを設定する
ログ転送プロファイルを設定する
ログ転送プロファイルをセキュリティポリシーに適用する

上記手順から分かるように、トラフィックログ転送設定はセキュリティポリシー毎に行います。

Syslog サーバプロファイルの設定

Syslog サーバプロファイルとは、ログの転送先となる Syslog サーバに関する設定情報のことです。

Syslog サーバプロファイルの設定は以下の要素から構成されています。

Syslog サーバプロファイルの構成要素

プロファイル名
Syslog サーバ名
- IP アドレス
- 転送プロトコル
  - デフォルト UDP
- ポート番号
  - デフォルト 514
- フォーマット
  - デフォルト BSD
- ファシリティ
  - デフォルト LOG_USER

GUI で設定する場合は [Device → サーバープロファイル → Syslog] から設定します。

Syslog サーバープロファイルの設定画面は以下です。

CLI で設定する場合は以下の構文で設定します。

Syslog サーバープロファイルの設定コマンド

set shared log-settings syslog <プロファイル名> server <サーバ名> <項目> <値>

例えば以下の設定値で設定する場合の設定コマンドは以下の通りです。

プロファイル名: SyslogProf
サーバ名: Syslog_192.168.1.100
- IP アドレス: 192.168.1.100
- プロトコル: UDP
- ポート番号: 514
- フォーマット: BSD
- ファシリティ: LOG_USER

set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 server 192.168.1.100
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 transport UDP
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 port 514
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 format BSD
set shared log-settings syslog SyslogProf server Syslog_192.168.1.100 facility LOG_USER

プロトコルの選択肢は以下の通りです。

プロトコルの選択肢

フォーマットの選択肢は以下の通りです。

フォーマットの選択肢

BSD
IETF

ファシリティの選択肢は以下の通りです。

ファシリティの選択肢

LOG_LOCAL0
LOG_LOCAL1
LOG_LOCAL2
LOG_LOCAL3
LOG_LOCAL4
LOG_LOCAL5
LOG_LOCAL6
LOG_LOCAL7
LOG_USER

ログ転送プロファイルの設定

ログ転送プロファイルとは、どのようなログをどこ宛に転送するかという設定情報です。

ログ転送プロファイルは以下の要素から構成されています。

ログ転送プロファイルの構成要素

プロファイル名
マッチリスト名
- ログタイプ
  - デフォルト traffic
- フィルタ
  - デフォルト “All Logs”
- 転送方式
  - Panorama
    - デフォルト OFF
  - Syslog サーバプロファイル
- ビルトインアクション

ログ転送プロファイルを GUI で設定する場合は [Objects → ログ転送] から行います。

設定画面は以下のようになっています。

各種設定は以下のように設定します。

プロファイル名、マッチリスト名は任意の名前で OK です
ログタイプはデフォルトの traffic とします
フィルタはデフォルトの “All Logs” とします
転送方式
- Panorama はデフォルトの OFF とします
- Syslog にあらかじめ作成しておいた Syslog サーバプロファイルを追加します
ビルトインアクションは設定不要です

CLI で設定する場合は、以下の構文で設定します。

ログ転送プロファイルの設定コマンド

set shared log-settings profiles <プロファイル名> match-list <マッチリスト名> <項目> <値>

例えば以下の設定値で設定する場合の設定コマンドは以下の通りです。

プロファイル名: testLogProf
マッチリスト名: testList
- ログタイプ: traffic
- フィルタ: “All Logs”
- Panorama: no (OFF)
- Syslog プロファイル: SyslogProf

set shared log-settings profiles testLogProf match-list testList log-type traffic
set shared log-settings profiles testLogProf match-list testList filter "All Logs"
set shared log-settings profiles testLogProf match-list testList send-to-panorama no
set shared log-settings profiles testLogProf match-list testList send-syslog SyslogProf

要注意

ログ転送プロファイルを GUI で設定するとコンフィグ上に設定が表示されないという事象があります。詳しくは以下記事参照。

ログ転送プロファイルをセキュリティポリシーに適用

最後に、作成したログ転送プロファイルをセキュリティポリシーに適用します。この設定を行うと、対象のセキュリティポリシーに合致するトラフィックに関するログを Syslog サーバへ転送する動作になります。

GUI で設定する場合は、対象のセキュリティポリシーの設定画面の [アクション] タブの [ログ設定 → ログ転送] で設定したいログ転送プロファイルを指定します。

CLI で設定する場合は以下の構文で設定します。

ログ転送プロファイルをセキュリティポリシーに適用する設定コマンド

set rulebase security rules <ポリシー名> log-setting <ログ転送プロファイル名>

例えば以下の設定値で設定する場合の設定コマンドは以下の通りです。

ポリシー名: Tust_to_Untrust
ログ転送プロファイル名: Syslog_192.168.1.100

set rulebase security rules Tust_to_Untrust log-setting Syslog_192.168.1.100

トラフィックログの例

Syslog サーバに転送されるトラフィックログは以下のようなフォーマットとなっています。

トラフィックログ例

<14>Feb 11 13:38:27 PA-200 1,2023/02/11 13:38:27,001606037698,TRAFFIC,start,2049,2023/02/11 13:38:27,10.20.1.10,8.8.8.8,0.0.0.0,0.0.0.0,Tust_to_Untrust,,,ping,vsys1,Trust,Untrust,ethernet1/2,ethernet1/1,Syslog_192.168.1.100,2023/02/11 13:38:27,6570,5,0,0,0,0,0×100000,icmp,allow,570,570,0,5,2023/02/11 13:38:21,0,any,0,127,0×0,10.0.0.0-10.255.255.255,United States,0,5,0,n/a,0,0,0,0,,PA-200,from-policy,,,0,,0,,N/A,0,0,0,0 192.168.1.1 11/02 13:38:27.936