F5 BIG-IP LTM ログを収集する

このドキュメントでは、Chronicle フォワーダーを使用して F5 BIG-IP Local Traffic Manager（LTM）のログを収集する方法について説明します。

詳細については、Chronicle へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。 このドキュメントの情報は、取り込みラベル F5_BIGIP_LTM が付加されたパーサーに適用されます。

F5 BIG-IP LTM を構成する

1. root 認証情報を使用して SSH にログインします。

2. 次のコマンドを使用して Traffic Management Shell（tmsh）にログインします。

   tmsh

3. 次のコマンドを使用して、フィルタされたログメッセージをリモート syslog サーバーに送信します。

   modify /sys syslog remote-servers none

4. リモート サーバー ステートメントを削除し、フィルタルールとリモート サーバーを定義する syslog include ステートメントを追加します。

5. リモート サーバーを参照する必要な syslog フィルタを定義するには、次のコマンドを使用します。

   edit /sys syslog all-properties

6. include none コマンドを次のフィルタに置き換え、IP アドレスとポート番号を追加します。

   include "
   
   filter f_remote_loghost {
   
   level(debug..emerg);
   
   };
   
   filter f_ssl_acc {
   
   not match(\"ssl_acc\");
   
   };
   
   filter f_ssl_req {
   
   not match(\"ssl_req\");
   
   };
   
   destination d_remote_loghost {
   
   udp(IP_ADDRESS PORT);
   
   };
   
   log {
   
   source(s_syslog_pipe);
   
   filter(f_remote_loghost);
   
   filter(f_ssl_acc);
   
   filter(f_ssl_req);
   
   destination(d_remote_loghost);
   
   };
   
   "
   

   IP_ADDRESS は、Chronicle フォワーダーの IP アドレスに、port は高いポート番号に置き換えます。

7. テキスト エディタを終了するには、Esc キーを押してから、「wq!」と入力します。

8. 次のコマンドを使用して構成を保存します。

   save /sys config

F5 BIG-IP LTM ログを取り込むように Chronicle フォワーダーと syslog を構成する

1. Chronicle メニューから [設定] を選択します。
2. [フォワーダー] をクリックします。
3. [新しいフォワーダーの追加] をクリックします。
4. [フォワーダー名] フィールドに名前を入力します。
5. [送信] をクリックします。フォワーダーが追加され、[コレクタ構成を追加] ウィンドウが表示されます。
6. [Collector name] フィールドに名前を入力します。
7. [ログタイプ] として [F5 BIGIP LTM] を選択します。
8. [コレクタタイプ] として [Syslog] を選択します。
9. 次の入力パラメータを構成します。
   • プロトコル: プロトコルを指定します。
   • アドレス: Chronicle フォワーダーの IP アドレスを指定します。
   • ポート: ポートを指定します。
10. [送信] をクリックします。

Chronicle フォワーダーの詳細については、Chronicle フォワーダーのドキュメントをご覧ください。各フォワーダー タイプの要件については、タイプ別のフォワーダー構成をご覧ください。 フォワーダーの作成時に問題が発生した場合は、Chronicle サポートにお問い合わせください。

次のステップ

• Chronicle へのデータ取り込み