Cato NetworksのログをSumo Logicに取り込む方法

今回はCato NetworksのログをSumo Logicに取り込む方法についてご紹介させていただきます。

リモートワークの増加に伴ってSASEが注目されています。
SASEとはあらゆる環境のユーザやデバイスがクラウドサービスやデータに安全にアクセスできるように、本社やデータセンターに通信を集約する従来の方法からクラウドサービスへの経路上でネットワーク制御とセキュリティ統制を行う方法へシフトする考え方となります。

最近ではSASEソリューションであるCato NetworksのログをSumo Logicへ取り込みたいとご相談いただくことが増えてきました。
Catoクラウドにはログを180日間しか保持することができないためセキュリティインシデント等に備えてログの長期保管を行うために導入を検討いただいております。

Cato Networksのログは現状Cloud-to-Cloudでは取り込むことができないため、今回はInstalled Collectorを使用した取り込み方法を紹介したいと思います。

2023/8/1 追記・更新
現在、Cato NetworksのログをCloud-to-Cloudで取得できるようになりました！
より簡単にログの取得・保管・可視化ができるようになっています。
詳しくは以下の記事をご確認ください！

https://cloudsolution.terilogy.com/blog/sumo-cato-c2c

Cato Networks側の設定

1. ログエクスポートを設定

Cato Networksの管理画面より Account Menuに「Log Exporter」と入力、またはAdministration > Logs Exporter を選択します。

2. エクスポートするログの種類を選択

以下を選択します。

• Audit Trail：Admin changes made in the Cato Management Application
• Health：Logs related to connectivity for LAN monitoring, sites, and VPN Clients in the account
• Security：Logs generated by Threat Protection and firewall engines
• System：Logs related to LDAP, User Awareness, license, and users accounts

3. ログのフォーマットを指定

CEFを選択します。

4. スクリプトをダウンロード

Logs Exporterの設定画面にある【 Download Client Script 】からダウンロードします。
※こちらのスクリプトはSumo Logic側の設定の際に使用します

Sumo Logic側の設定

1. Collectorのインストール

既にインストール済みの場合は、次の「2.スクリプトの配置」に進んでください。

まずはAccess Keyを作成します。

左側のAdministration -> Securityの順にクリックします。

画面上部のAccess Keys -> Add Access Keyをクリックします。

Access Key Nameに任意の名前を入力しSaveをクリックします。

Access IDとAccess Keyが表示されます。

Access Keyはこの画面を閉じると見れなくなってしまうのでコピーしておくようにしてください。

ここまでで事前準備が完了したので、Collectorのインストーラーを使ってインストールを進めます。

以下はLinuxでの実行例です。

# wget "https://collectors.sumologic.com/rest/download/linux/64" -O SumoCollector.sh && chmod +x SumoCollector.sh

これを実行すると、入力を求められます。
<accessId>と<accessKey>には発行したAccess ID/Access Keyを入力します。

# ./SumoCollector.sh -q -Vsumo.accessid=<accessId> -Vsumo.accesskey=<accessKey>

Collectorのコンフィグ（user.properties）を修正します。

# cd /opt/SumoCollector/
# vi config/user.properties

最後の行に以下を追記し保存します。

enableScriptSource = true

Collectorを再起動します。

# ./collector restart

Sumo Logicの画面上のManage Data -> CollectionにCollectorが表示されたらインストールは完了です。

2. スクリプトの配置

Cato NetworksでダウンロードしたスクリプトをInstalled Collector内のアクセス可能なパスに置き、実行権を付与しておきます。

※今回は/opt/catonetworksに格納しました

3. Sourceの設定

1．でインストールしたCollectorのAdd -> Add Source をクリックします。

以下の画面でScriptを選択します。

以下の設定を行います。

Name：Cato Networks

Source Category：dev/catonetworks

Frequency：Every 5 Minutes

Specify a timeout for your command：有効（チェックボックスにチェック） 30 Seconds

Command：/bin/bash

Script：/opt/catonetworks/catonetworksSyslogClient.sh

Working Directory：/opt/catonetworks

CEF形式でログを取り込めていることを確認いたしました。

Cato NetworksのApp Catalogは現状ないですが弊社ではダッシュボードの作成等も行っております。

また、運用面でどのような情報が見たいのかをヒアリングしつつ一緒にダッシュボードを作り上げていくことも可能です。

次回は弊社の作成しているCato Networksのダッシュボードの一部をご紹介させていただきます。