せっかくSplunk入れていて, あんまし有用なログが取れない自宅の環境で, なんかみたいな~とおもい, CiscoのL3にACLきってSyslogに吐き出させて, アクセス先を見てみることにした。
やることは簡単。
1. ACLを書く@IOS
2. Data Inputにて
読み込むログファイルを指定する@Splunk
以上。
ほんとこれだけでいけるのだから簡単。
 |
| こんな感じで見れておもろい |
ただ, ちょっと躓いたところがあったのでメモ。
1.プロトコルレベルで見たいなら, ACLはちゃんとIOSがポート番号までチェックするように記述すべし。
ただ単に,
|
ip access-list extended ToInternet
permit ip any any log ! |
なんて書くと, Syslog上にTCPのポート番号が載らなくて, Splunkではサービスまで掘り下げられない。
たぶん, ルールにTCPのポート番号まで記載がないとチェックしないんだと思う。このままだとSyslog上はポート番号「0」(送信元/宛先共に)でのってしまってIPだけしか解析できない。
たぶん, ルールにTCPのポート番号まで記載がないとチェックしないんだと思う。このままだとSyslog上はポート番号「0」(送信元/宛先共に)でのってしまってIPだけしか解析できない。
なので
|
ip access-list extended ToInternet
permit tcp any eq 0 any permit ip any any log ! |
とするなどしてACL上TCPのポート番号も見るようにしないと意図した結果を得られない。