designetwork

ネットワークを軸としたIT技術メモ

Fluentd(td-agent)でCisco ASAのFWログを可視化する

ログ収集ツールとして人気の高いFluentd(td-agnet)でCisco ASAのFWログを可視化する。Fuentdで受け取ったログはElasticSearchでインデックスしKibanaで可視化する。

Fluentdプラグインと設定

Fluentdのプラグインで既に作成していた方がいたので使ってみる。

https://github.com/rogeriobastos/fluent-plugin-cisco-asa-parsergithub.com

このFluentdプラグインは残念ながらtd-agent-gem install fluent-plugin-cisco-asa-parserではインストールできない。そのため、/etc/td-agent/plugin/配下にparser_cisco_asa.rbを配置する。

私の環境では汎用性を高めるためにforestプラグインを使用している。

td-agent-gem install fluent-plugin-forest

ログの読み込み設定は以下の通り。転送設定は適宜。

<source>
  @type tail
  path /var/log/ASA5505.log
  pos_file /var/log/ASA5505.log.pos
  tag net.asa5505.CentOS-01
  format cisco_asa
</source>

Cisco ASAログ出力設定

Cisco ASAのログ出力設定は以下の通り。(抜粋)

使用機器はCisco ASA5505 OS:9.2(3)。ASA5505に特化した設定ではなくASAシリーズ全般で同様設定になる。

logging enable
logging timestamp
logging trap informational
logging host management 192.168.1.60

ログ収集できず...

上記のプラグインでは、私のASAでのログフォーマットには合致せず(pattern not match)、ログ収集されなかった。

そのため、プラグインを自分でメンテしていこうと思う。

自作Cisco ASA Parser

こちらで継続メンテしていく。作成中のため商用利用はしないでください。既存で同様プラグインありましたら教えてください。

github.com

現状でもこのように各種情報を拾える。Elasticsearch + KibanaのDiscover画面の抜粋。