sidetech

(元)インフラエンジニアの寄り道メモ。

Cisco Meraki MXシリーズでログをみたい!

Next-Gen FirewallとうたっているMXシリーズですが、日頃皆さんが慣れ親しんだファイアウォールとは感性がちょっと違うので、ちょこっとご紹介。

Merakiの製品の思想は私が勝手に思うに「運用時に欲しい情報を的確に簡単に得られる」事を最優先にした作りで、比較的インフラ初心者の方にも解かるインフォメーション(メッセージ)にしようという気持ちが感じられます。
その為、玄人な人達には見ている世界が違う為か、物足りなさがどうしても出てしまいます。

というか、ログの見たい部分の主幹が違うんだろうね・・・。

色々なファイアウォール製品を触っていますが、Merakiはですね・・・フィルターログに関しては寛容なんです。大事の優先度が違うというか。ただ、それだけでは事が足りない場合もあるという事で「Advanced Security」というライセンスがあるのだと思います。

なので、Meraki(MX)が標準で用意している「Event type」のLogはちょっと風変わりに感じるかもしれません。

====================================
All client events
All security appliance events
Auth
-All Auth
-Splash authentication
-Domain authentication
-Connected to Domain Controller
-Unable to connect to Domain Controller
-RADIUS authentication
Cellular
-All Cellular
-Cellular connection up
-Cellular connection down
Client status
-Client connectivity status change
DHCP
-All DHCP
-DHCP lease
-DHCP release
-DHCP NAK
-DHCP problem
-Multiple DHCP servers detected
-No DHCP lease available
-Rogue DHCP server detected
Events dropped
-Events dropped
IP conflict
-Client IP conflict
Appliance status
-Primary uplink status change
Status
-Ethernet port carrier change
OSPF
-All OSPF
-OSPF neighbor init
-OSPF neighbor up
-OSPF neighbor down
-OSPF route interface overlap
-OSPF route table overflow
Route tracking
-All Route tracking
-Route connection change
-Network test
Meraki VPN
-All Meraki VPN
-VPN tunnel connectivity change
-VPN registry connectivity change
VRRP
-All VRRP
-VRRP transition
-Virtual router colliosion
Web caching
-All Web caching
-Web cache stopped
-Web cache started
Non-Meraki / Client VPN
-All Non-Meraki / Client VPN
-Non-Meraki / Client VPN negotiation
-VPN client connected
-VPN client disconnected
====================================
ざっと標準でこれだけの「Event Type」を選別して表示する事が可能です。

CLIでひたすらログの山を見せられるよりは見やすいです。
で、慣れ親しんだ?フィルター系のログはどうなっているのかと?確かに見当たりませんね。
Mxfw

さて、この情報、どうやって拾えばよいのでしょうか。それはこちらに答があります。
「Syslog Server Overview and Configuration」

Mxmrsyslog
なんと、Syslogに吐かないとわからんつーことです。でもまぁ言い分は分かりますよ。どえらいセッション数のログをひたすらクラウドサーバー上にアップしていたらそれは事です。十分膨大な情報量をアップロードしているとは思いますが、ファイアウォールとしてのログは半端ないでしょう。
このログ情報でも事が足りん場合はパケットキャプチャも出来ます。

Paloalto製品などのモニタリングに慣れている方には面倒な話かもしれないですが。

あとは、L3だけですが、フィルターが効いているかどうかは設定中に「Hit」という項目がありカウントアップしていくので、Save前にフィルタが正しく動作しているか簡易チェックが行えます。

Advanced SecurtyのIDSがインクルードされていれば、Event LogにIDS関連の項目も出てきます。

ま、そんなことを言いながら、「あ”~このログがイベントログから見てぇ~」ってのは時々あります[E:coldsweats01]

あとはこれは考え方ではあるのですが・・・
Mxalarm
本当に届いて欲しいメールアラートだけを厳選している所も結構重宝します。
メール配信設計もファイアウォールって結構大変じゃないですか。よく考えられていると思います。

ただ、個人的には位置付けとしてはLightなNext-Gen-FWと思っています。Paloaltoのようにどえらい量のアプリケーションパターンを解析できるわけでもないので。

MXをインターネットゲートウェイとして考える場合でそれなりに証跡が必要なんです・・・という方は、Syslogは出来ますという事で。

あと、そうそう、クラウドって設定変更・即時反映でロールバックもしにくいし、変更ログ大変やんって思っている方。
アラートの中に「Configuration settings are changed」という項目があるのでこれでカンベンしてください[E:coldsweats01]

総合すると主戦場はClient主軸なので、ファイアウォールルーターではなくてVPNルーター