UTMログの取り込み対応時にあったこと
ログ収集基盤をこれまで作成し、色々収集対象を増やしていってるところなんですが、Sophos UTM9の追加を行った際に色々不具合が出てきました。
- grokプラグインでパースできたのに、tagsに「_grokparsefailure」が残ってる
- @timestampがログ収集時点のタイムスタンプになっているため、ログ再取り込みをしたときに時系列が狂う
今回、これの対応を行いました。
いまだに解決してないこと Windows Virtual Desktopを構築してしばらく経過するんだけど、いまだに解決できてないこととして「タイムゾーンがUTCから変えられない」問題が発生しておりました。 が、この度ついに変更ができることが分かったので、備忘録に残します。 予想外というか 以下のサイトが参考になりました。 なんとまぁ、Powershellを使う必要があるとはなぁ・・・という感じですが、とりあえずPowerShell起動して以下の通りコマンド実行すればよいようです。 結構CLI依存が高いのねー・・・と感じる瞬間でした。
ログ収集基盤をこれまで作成し、色々収集対象を増やしていってるところなんですが、Sophos UTM9の追加を行った際に色々不具合が出てきました。
今回、これの対応を行いました。
せっかく今回、SEIL/x86をちゃんと使ってみたので、コマンド関係をまとめておく。
SEIL/x86はRouterboardと内部サーバセグメントの中間に位置しており、上図の通り接続されている。インタフェースは2つ存在しており、SEIL/x86から見て、lan0を内部、lan1を外部用途に使用する。
RTX-3000はHE Tunnel BrokerとHomenoc両方のアドレスを所持しており、これがルーティングの境界になる。ここでRIPngで動的に経路交換を行わせる。なお、IHAnet用Cisco1812Jではルーティングフィルタを掛けることで、Routerboard(RB2011)に対してはRedistribute設定を無効化することでRIPngの経路は内部限定で伝搬する構成としている。
IPv6クライアントセグメント及びブログサーバに繋がるIPv6 Web DMZセグメントはSophos XG Firewallと言うUTM配下にあるが、IPv6の動的ルートがうまく構成できないため、静的ルートを構成し、SEIL/x86側で静的ルートをRIPngにRedistributeさせる構成としている。