icon-cloud-connector.svg
Cloud Connector/Branch Connector

DNSログのNSSフィードの追加

最大16個のNSSフィードを構成して、NSSがSIEMに送信するDNSログのデータを指定できます。フィードごとに、複数タイプのフィルターを構成できます。多数のフィルターまたは複雑なフィルター(文字列検索など)は、NSSのパフォーマンスに影響を与える可能性があります。

DNSログのフィードを設定するには、次のように操作します。

  1. [管理]>[Nanologストリーミングサービス]の順にアクセスします。
  2. NSSフィードタブで、NSSフィードの追加を選択します。

  1. [NSSフィードの追加]ウィンドウで、以下の操作を行います。
    • フィード名フィードの名前を入力します。各フィードは、NSSとお客様のSIEMの間の接続です。
    • NSSタイプ:NSSタイプはデフォルトで[ファイアウォール、Cloud Connector、Branch ConnectorのNSS]に設定されています。
    • NSSサーバーリストからNSSサーバーを選択します。
    • ステータス:ステータスはデフォルトで有効です。後でアクティブにする場合は、[無効]をクリックします。
    • SIEM宛先タイプ:宛先のタイプです。
      • SIEM IPアドレスログのストリーミング先のSIEMのIPアドレスを入力します。
      • FQDN:ログのストリーミング先となるTCP接続の宛先を入力します。これにより、DNSエントリの更新に依存することなく、手動の介入なしに、あるIPから別のIPへのフェイルオーバーが可能になります。NSSは、既存の接続がダウンした場合にのみFQDNを再解決します。この機能は、DNSベースの負荷分散には使用できません。
    • SIEM TCPポート:ログのストリーミング先のSIEMのポート番号を入力します。SIEMがNSSからのフィードを受け入れるように構成されていることを確認します。
    • [SIEMレート]:SIEMレートはデフォルトで無制限に設定されています。SIEMライセンス供与またはその他の制約のために出力ストリームを制御する必要がある場合は、[制限付き]を選択します。
    • ログのタイプDNSを選択します。
    • [フィード出力タイプ]: 出力は、デフォルトではカンマ区切り値(CSV)リストです。SIEMがこれらのフォーマットのいずれかを受け入れる場合は、[カスタム]、[JSON]、[名前値]、[ペア]または[タブ区切り]を選択することもできます。
    • [フィードエスケープ文字]:(省略可) URL、ホスト名、またはリファラーURLに表示されるときに16進数でエンコードする文字を入力します。たとえば、カンマ(,)を入力して、%2Cとしてエンコードします。これは、この文字を区切り文字として使用していて、誤った区切りを引き起こさないようにしたい場合に便利です。レコードに対してカスタムエンコードが行われた場合、[%%s{eedone}]フィールドはそのレコードについてYESを表示します。
    • フィード出力形式:これらは、出力に表示されるフィールドです。
    • タイムゾーンデフォルトでは、これは組織のタイムゾーンに設定されています。設定したタイムゾーンは、出力ファイルの時間フィールドに適用されます。タイムゾーンは、特定のタイムゾーンの夏時間の変化に合わせて自動的に調整されます。設定されたタイムゾーンは、別のフィールドとしてログに出力できます。タイムゾーンのリストは、IANAタイムゾーンデータベースから取得されます。直接GMTオフセットを指定することもできます。
    • 重複ログ:ダウンタイム中にログがスキップされないようにするには、NSSが重複ログを送信する分数を指定します。これはデフォルトで無効になっています。

  1. 次のフィルターを定義します。
      • ポリシーアクション
        • 許可:このフィルターは、許可されたDNSリクエストとレスポンスにログを制限するために使用します。
        • ブロック:このフィルターは、サービスがドロップしたDNSリクエストとレスポンスにログを制限するために使用します。
        • ZPAにリダイレクトするこのフィルターを使用して、IPプールを使用してDNSリクエストを解決するログを制限します。
      • ルール名:このフィルターを使用して、DNS コントロールポリシーの特定のルールに基づいてログを制限します。リストからルールを選択します。
      閉じる
      • [ロケーション]:このフィルターを使用して、ログを特定のロケーションに制限します。検索機能を使用するには、検索ボックスにロケーション名を入力し、[検索]をクリックします。選択できるロケーションの数に制限はありません。選択した後に削除されたロケーションは、取り消し線付きで表示されます。
      • Branch Connectorグループ:このフィルターを使用して、ログを特定のBranch Connectorグループに制限します。
      • Branch Connector:このフィルターを使用して、ログを特定のBranch Connectorに制限します。
      • クライアントIPアドレス:このフィルターを使用して、クライアントのIPアドレスに基づいてログを制限します。次のように入力できます。
        • IPアドレス(例:198.51.100.100)
        • IPアドレスの範囲(例:192.0.2.1-192.0.2.10)
        • ネットマスク付きのIPアドレス(例:203.0.113.0/24)

      複数のエントリを入力できます。各エントリの後に[Enter]を押してから、[項目を追加]をクリックします。項目リストの場合、1ページに最大500の項目を表示できます。項目に含まれる単語、語句、または番号を検索してリストをフィルター処理します。をクリックし、リストからすべての項目を削除する(すべて削除)か、特定のページの項目のみを削除する(ページを削除)します。[すべて削除]または[ページを削除]を選択すると、確認ウィンドウが表示されます。

      閉じる
      • サーバIPアドレス:このフィルターを使用して、特定のサーバIPアドレスにログを制限します。以下を入力できます。
        • IPアドレス(例:198.51.100.100)
        • IPアドレスの範囲(例:192.0.2.1-192.0.2.10)
        • ネットマスク付きのIPアドレス(例:203.0.113.0/24)

      複数のエントリを入力できます。各エントリの後に[Enter]を押してから、[項目を追加]をクリックします。項目リストの場合、1ページに最大500の項目を表示できます。項目に含まれる単語、語句、または番号を検索してリストをフィルター処理します。をクリックし、リストからすべての項目を削除する(すべて削除)か、特定のページの項目のみを削除する(ページを削除)します。[すべて削除]または[ページを削除]を選択すると、確認ウィンドウが表示されます。

      • サーバーIPポート:このフィルターを使用して、ログを特定のサーバー・ポートに制限します。個々のポートとポートの範囲を指定できます。

      項目リストの場合、1ページに最大500の項目を表示できます。項目に含まれる単語、語句、または番号を検索してリストをフィルター処理します。をクリックし、リストからすべての項目を削除する(すべて削除)か、特定のページの項目のみを削除する(ページを削除)します。[すべて削除]または[ページを削除]を選択すると、確認ウィンドウが表示されます。

      閉じる
      • ドメイン:このフィルターは、特定のドメインに関連するセッションにログを制限するために使用します。

      項目リストの場合、1ページに最大500の項目を表示できます。項目に含まれる単語、語句、または番号を検索してリストをフィルター処理します。をクリックし、リストからすべての項目を削除する(すべて削除)か、特定のページの項目のみを削除する(ページを削除)します。[すべて削除]または[ページを削除]を選択すると、確認ウィンドウが表示されます。

      • DNSリクエストタイプ:このフィルターを使用して、特定のDNSリクエストタイプに関連付けられたセッションにログを制限します。
      • DNSレスポンス:このフィルターを使用して、DNSレスポンスの特定のデーターを含むセッションにログを制限します。ドメイン名、IPv4アドレス、およびIPv6アドレスを指定できます。IPv4アドレスの場合、以下を入力できます。
        • IPアドレス(例:198.51.100.100)
        • IPアドレスの範囲(例:192.0.2.1-192.0.2.10)
        • ネットマスク付きのIPアドレス(例:203.0.113.0/24)

      複数のエントリをコンマで区切って入力できます。項目リストの場合、1ページに最大500の項目を表示できます。項目に含まれる単語、語句、または番号を検索してリストをフィルター処理します。をクリックし、リストからすべての項目を削除する(すべて削除)か、特定のページの項目のみを削除(ページを削除)します。[すべて削除]または[ページを削除]を選択すると、確認ウィンドウが表示されます。

      • 期間:このフィルターを使用して、セッションの期間(秒)に基づいてログをフィルターします。

      項目リストの場合、1ページに最大500の項目を表示できます。項目に含まれる単語、語句、または番号を検索してリストをフィルター処理します。をクリックし、リストからすべての項目を削除する(すべて削除)か、特定のページの項目のみを削除する(ページを削除)します。[すべて削除]または[ページを削除]を選択すると、確認ウィンドウが表示されます。

      閉じる
  2. 保存変更を有効にする をクリックします。

関連記事s
NSSフィードの追加セッション ログのNSSフィードの追加 DNSログのNSSフィードの追加イベント ログのNSSフィードの追加メトリクス ログ用のNSSフィードの追加